Käyttäjänimi, sähköpostiosoite ja salasana pitävät käyttäjien tilit ja henkilökohtaiset tiedot kohtuullisen turvassa, mutta viimeisten vuosien aikana lisäturvan tarve on kasvanut entisestään. Hakkerit voivat päästä käsiksi käyttäjien tileille monin eri keinoin, eivätkä tietomme ole aina niin turvassa kuin kuvittelemme niiden olevan.
Kaksivaiheinen tunnistautuminen (2FA) on yksi yksinkertaisimmista ja tehokkaimmista tavoista lisätä suojausta omille käyttäjätileille.
Vaikka 2FA on yleistynyt dramaattisesti viimeisen parin vuoden aikana, se on edelleen kaukana universaalisti käytetystä turvasta. Kerromme tässä artikkelissa tarkemmin, miten kaksivaiheinen tunnistautuminen toimii ja miksi se on erinomainen tapa suojata omat tiedot.
- Olemme valinneet parhaat salasanan luojat ja parhaat salasanan hallintaohjelmat
Miten kaksivaiheinen tunnistautuminen toimii?
Nimensä mukaisesti kaksivaiheinen tunnistautuminen lisää kirjautumiseen toisen vaiheen. Käyttäjänimi/sähköposti ja salasana ovat yksivaiheinen keino tunnistautua. Näistä käyttäjänimi ja sähköposti on usein tiedossa myös muillekin, joten salasana jää tilin ainoaksi suojaukseksi.
Kaksivaiheisen tunnistautumisen takana oleva idea on siinä, että kahden eri tunnistautumiskeinon joutuminen vääriin käsiin on epätodennäköisempää kuin ainoastaan yhden. Esimerkiksi pankkikortissa käytetään yksivaiheista tunnistautumista automaatista rahaa nostaessa. Tällöin PIN-koodin vaatiminen estää väärinkäyttäjiä nostamasta rahaa luvatta, vaikka kortti olisi varastettu.
Toinen vahva suojauskeino kaksivaiheisessa tunnistuksessa on se, etteivät tunnistautumiskeinot voi joutua samalla lailla vääriin käsiin. Pysyäksemme pankkiautomaattivertauksessa, ei olisi järkevää vaatia rahaa nostaessa sekä pankkikorttia ja ajokorttia, joita ihmiset todennäköisesti pitävät samassa varastettavissa olevassa lompakossa.
Kaksivaiheinen tunnistautuminen on siten yhdistelmä kahdesta seuraavasta kolmasta elementistä: jotain käyttäjän omistamaa (esimerkiksi luottokortti tai älypuhelin), jotain käyttäjän tietämää (esimerkiksi PIN-koodi tai salasana) ja jotain käyttäjän omaa (esimerkiksi sormenjälki tai kasvojentunnistus). Salasanat ovat verkossa olevien tilien ensimmäinen vaihe, joten toinen vaihe on joko jotain, jonka käyttäjä omistaa tai on osa häntä.
2FA-ratkaisut luottavatkin monesti toiseen laitteeseen, jolla voidaan vahvistaa ensimmäisen laitteen käyttötarkoitus. Esimerkiksi käyttäjätilille tietokoneella kirjautuessa, palvelu saattaa lähettää käyttäjälle tekstiviestin varmistaakseen kirjautumisyrityksen. Tällöin huijarin täytyisi varastaa sekä tilin salasana sekä käyttäjän puhelin päästäkseen käsiksi siihen.
Kuinka tehokas kaksivaiheinen tunnistautuminen on?
Vaikka kaksivaiheinen tunnistautuminen on yksi tehokkaimmista suojauskeinoista, se ei eliminoi täysin riskiä. Hyökkääjillä on muutamia keinoja, joilla he voivat ohittaa kaksivaiheisen tunnistautumisen.
Yksi keino on esimerkiksi se, että hyökkääjät yrittävät kalastaa tarvittavat tiedot luomalla valheellisen verkkosivun, joka muistuttaa käyttäjän käyttämää verkkosivua. Yksi käytetyimmistä kalastuskeinoista on lähettää ilmoituksia valheellisista murtautumisyrityksistä, jotka herättävät tunteen kiireestä ja saavat siten käyttäjän huomion herpaantumaan viestin aiheellisuuden tarkistamisesta.
Toinen yleisesti käytetty keino on välittää kohteen tiedot eteenpäin viralliselle sivulle ja luoda sen jälkeen evästeitä, joiden avulla he voivat murtautua tilille heidän omalla laitteella. Tätä strategiaa hyödynnetään erityisesti Muraena- ja NecroBrowserin avulla, jotka ovat kaksi suosittua kalastukseen käytettyä työkalua ja ovat miltei kaikkien saatavilla.
Kaksivaiheinen tunnistautuminen voi olla haavoittuvainen myös silloin, kun käyttäjällä ei ole pääsyä tunnistautumiseen käytettävään toiseen laitteeseen. Perinteisesti tilien palautusta varten luodaan vain uusi salasana tai linkki salasanan resetoimiseen, mutta tätä keinoa voivat hyödyntää myös hyökkääjät ohittaakseen kaksivaiheisen tunnistautumisen.
Tämä ei kuitenkaan tarkoita suinkaan sitä, että kaksivaiheinen tunnistautuminen on hyödytön tai ettei sitä kannattaisi käyttää yrityksissä. Kannattaa vain muistaa, ettei 2FA-suojaus ole yksistään täysin murtamaton. Sen sijaan se kannattaa mieltää vain yhdeksi suojaksi yrityksen laajemmassa suojausjärjestelmässä.
Kuinka voin käyttää kaksivaiheista tunnistautumista?
Kaksivaiheinen tunnistautuminen on tullut mahdolliseksi jo useissa eri verkkosivuissa, sovelluksissa ja muissa palveluissa. Vaikka tähän tarkoitukseen on olemassa jo muutamia palveluntarjoajia, kuten Duo ja Authy, monet alustat käyttävät heidän omaa 2FA-käytäntöä.
Facebook, Twitter ja LinkedIn ovat suosituimmat sivut, joiden käyttäjät voivat laittaa päälle kaksivaiheisen tunnistautumisen. Yritystarkoituksessa toimenpide on vielä yleisempää.
Monet yrityspalvelut tarjoavat nykyään jo 2FA-käytäntöjä, ja joissain näissä on jopa hallintatason ratkaisuja, joilla kaksivaiheisen tunnistautumisen voi pakottaa otettavaksi kaikille organisaation jäsenille. Alla vain muutama alusta, jotka tukevat tällä hetkellä kaksivaiheista tunnistautumista:
- Slack
- Microsoft
- Apple
- Dropbox
Duo ja Google Authenticator ovat kaksi helposti yrityksille saatavilla olevaa vaihtoehtoa ottaa käyttöön kaksivaiheinen tunnistautuminen. Molemmat sovellukset on luotu yhteensopiviksi monien muiden palveluiden kanssa. Duo tarjoaa lisäksi kertakäyttöisiä sisäänkirjautumisia lisäturvallisuutta varten ja antaa tiimien vetäjille mahdollisuuden hallita kaikkien organisaatiossa olevien henkilöiden pääsyä.
Yhteenveto
Kaksivaiheinen tunnistautuminen on tärkeässä roolissa yritysten, koulujen ja muiden organisaatioiden turvallisuuden parantamisessa. 2FA-tunnistautumisen käyttäminen vaikeuttaa huomattavasti hyökkääjien mahdollisuuksia murtautua käyttäjätileille ja päästä käsiksi herkkäluontoiseen tietoon, eikä sen hyödyntäminen vaadi käyttäjiltä kalliita lisäinvestointeja.
Yritysten ei kannata kuitenkaan jättää turvallisuuttaan ainoastaan kaksivaiheisen tunnistautumisen varaan, mutta se on yksi yksinkertaisimmista keinoista lisätä turvallisuutta. Kalastus- ja muut haitalliset yritykset ovat nykypäivänä entistä runsaampia, jolloin 2FA antaa yrityksille niiden kaipaaman lisäturvan näitä hyökkäyksiä vastaan.
