Näin estät 99,9% verkkopalveluihisi kohdistetuista tilihyökkäyksistä

Nykypäivän digitaalisessa ympäristössä pelkkä salasana antaa perusturvan, mutta ei pysäytä päättäväistä hyökkääjää. Kyberhyökkäykset, tietomurrot ja kalasteluyritykset ovat arkipäivää, ja erityisesti verkkopalvelut sekä mobiilisovellukset joutuvat niiden kohteeksi.

Tutkimusten mukaan jopa 99,9% käyttäjätileihin kohdistuvista hyökkäyksistä voidaan estää ottamalla käyttöön monivaiheinen tunnistautuminen (MFA). Tämä yksinkertainen mutta erittäin tehokas toimenpide on tärkein askel digitaalisen turvallisuuden vahvistamisessa.

Monivaiheinen tunnistautuminen (MFA): lisäsuojaa salasanan päälle

MFA (multifactor authentication) tarkoittaa sitä, että sisäänkirjautuminen vaatii salasanan lisäksi toisen vahvistuskeinon, kuten puhelimeen lähetetyn kertakäyttökoodin, fyysisen turva-avaimen tai biometrisen tunnisteen, kuten sormenjäljen tai kasvokuvan. Kertakäyttökoodiin käytetään tyypillisesti Google Authenticator tai Microsoftin Authenticator sovelluksia, koska ne ovat huomattavasti turvallisempia kuin tekstiviestillä saapuva koodi.

Monivaiheisen tunnistautumisen hyödyt yrityksille ja organisaatioille

• Suoja tietomurroilta ja kalastelulta: varastettu salasana ei riitä tilin kaappaamiseen.
• Etätyön ja pilvipalveluiden turvaaminen: vain oikeat henkilöt pääsevät käsiksi yrityksen järjestelmiin.
• Mielenrauha: tärkeät tilit pysyvät suojassa myös automatisoituja hyökkäyksiä vastaan.

WordPress-pohjaisen verkkosivuston suojaaminen monivaiheisella kirjautumisella

WordPress on Suomen suosituin julkaisualusta ja siksi myös yksi yleisimmistä hyökkäyskohteista. Brute force -hyökkäykset, joissa erityisesti botit arvaavat salasanoja, voidaan pysäyttää tehokkaasti ottamalla käyttöön MFA. Ilmaislisäosien ongelma on niiden epäluotettavuus. Tästä syystä Hion käyttää toteutuksissaan Auth0:n tuottamaa Enterprise-tason MFA-ratkaisua, joka suojaa koko kirjautumissivun (myös palvelunestohyökkäyksiltä) sekä tarjoaa SSO-mahdollisuudet, niistä myöhemmin.

Monivaiheinen tunnistautuminen mobiilisovelluksissa

Mobiilisovellusten käyttäjät odottavat sujuvaa käyttökokemusta. MFA voidaan toteuttaa biometrisillä menetelmillä (sormenjälki, Face ID) tai push-hyväksynnöillä, jotka ovat käyttäjälle nopeita ja turvallisia.

Kertakirjautuminen (SSO): turvallisuutta ja sujuvuutta yhdellä kirjautumisella

Kertakirjautuminen (SSO, single-sign on) mahdollistaa sen, että käyttäjä kirjautuu kerran ja saa pääsyn kaikkiin tarvitsemiinsa sovelluksiin ja verkkopalveluihin. Tämä on erityisen hyödyllistä yrityksille, joilla on useita eri järjestelmiä, kuten esimerkiksi WordPress-verkkosivusto ja erilliset Microsoftin O365-tunnukset.

SSO:n edut yrityksille ja organisaatioille:

• Parempi käyttökokemus ja tuottavuus: työntekijä pääsee kaikkiin työkaluihin yhdellä kirjautumisella.
• Vähemmän salasanoja, enemmän turvaa: yksi vahva salasana + MFA tarkoittaa vähemmän salasanavuotoja.
• Keskitetty hallinta: kun työntekijät vaihtuvat, hänen pääsynsä kaikkiin järjestelmiin voidaan estää yhdellä kertaa. Roolitukset ja oikeudet voidaan asettaa AD-ryhmillä.
• Alhaisemmat tukikustannukset: vähemmän salasanan unohtamisesta ja käyttäjien luomisesta johtuvia tukipyyntöjä.

Paras suoja syntyy, kun yhdistät MFA:n ja SSO:n

MFA ja SSO täydentävät toisiaan erinomaisesti. SSO tarjoaa käyttäjälle helppouden: yksi vahva kirjautuminen riittää, jonka jälkeen kaikki tarvittavat palvelut ovat käytettävissä ilman uusia salasanoja. MFA puolestaan varmistaa, että tuo yksi kirjautuminen on oikeasti luotettava – käyttäjä ei pääse sisään pelkällä salasanalla, vaan tarvitsee lisäksi tekstiviestivahvistuksen, sovelluskoodin tai biometrisen tunnisteen.

Kun SSO ja MFA yhdistetään:

• Hyökkääjän on huomattavasti vaikeampi murtautua sisään, koska pelkkä salasana ei riitä.
• Käyttäjän ei tarvitse muistaa kymmeniä salasanoja tai kirjautua palveluihin erikseen.
• Ylläpitäjä saa selkeämmän hallinnan pääsynhallinnasta ja lokitietojen seurannasta.

Tyypillisesti MFA toteutetaan samassa paikassa, missä tunnuksiakin hallitaan. Käytännössä tämä tarkoittaa esimerkiksi Google Workspacen tai Microsoft 365:n pääsynhallintaa: kun kirjautuminen tehdään kerran niiden kautta MFA:lla varmennettuna, kaikki siihen liitetyt sovellukset hyötyvät suojasta ja käyttäjä saa silti saumattoman käyttökokemuksen.

NIS2 ja pääsynhallinta

EU:n NIS2-direktiivi asettaa entistä tiukempia vaatimuksia organisaatioiden kyberturvallisuudelle. Käytännössä se tarkoittaa, että monivaiheinen tunnistautuminen on monille yrityksille pakollinen osa riskienhallintaa. Suomessa tämä koskee erityisesti kriittisiä toimialoja, mutta parhaana käytäntönä se on ajankohtainen jokaiselle digitaalisia palveluja tarjoavalle yritykselle ja organisaatiolle.

On aika jättää pelkällä salasanalla kirjautuminen menneisyyteen. MFA ja SSO ovat digitaalisen arjen perusturva niin WordPress-sivustojen ylläpitäjille, mobiilisovellusten kehittäjille kuin Contentfulia hyödyntäville organisaatioille.

Lähteet:
https://arxiv.org/abs/2305.00945 

https://www.microsoft.com/en-us/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/