Kaksivaiheinen tunnistautuminen pelastaa paljolta - pelkkä salasana ei suojaa kaikilta uhkilta

Internetistä käytettävät palvelut, esimerkiksi sähköposti ja VPN, ovat alttiita tietoturvauhkille. Käyttäjätunnus-salasana-paria vankemman tietoturvan saa kaksivaiheisella tunnistautumisella.

Jos verkkohyökkääjä on motivoitunut ja hänellä on riittävät resurssit käytössään, käyttäjätunnus-salasana-pari on vain hidaste toisen verkkoon tunkeuduttaessa. Etenkin organisaatioiden tulisi suojata maineensa, varansa ja tietonsa kaksivaiheisella tunnistautumisella.

Älä tee hyökkääjän elämää helpoksi, suosi kaksivaiheista tunnistautumista

Kaksivaiheinen tai vahva tunnistautuminen perustuu kahteen tai useampaan todentamistapaan. Perinteisen käyttäjätunnus-salasana-parin lisäksi toisena elementtinä on esimerkiksi

  • toimikortti
  • token-pohjaiset ratkaisut (esim. RSA SecurID ja Google Authenticator)
  • asiakasvarmenne (esim. client certificate)
  • mobiilivarmenne
  • muu, esimerkiksi tekstiviestitse saapuva kertakäyttösalasana.

Useat kolmannen osapuolen tarjoamat palvelut tukevat kaksivaiheista tunnistusta. Näitä ovat esimerkiksi Microsoft Office 365, OneDrive, Gmail sekä Dropbox.

Kaksivaiheinen tunnistus on tehokas tekninen kontrolli, jolla voidaan ehkäistä inhimillisestä virheestä johtuvia tietoturvapoikkeamia. Hyvin resurssoidulle hyökkääjälle pelkkä käyttäjätunnus-salasana-pari on usein vain hidaste.

Vahvakin salasana antaa julkisen verkon palvelulle vain kohtalaisen suojan

Suurin osa yritysten ja organisaatioiden henkilöstöstä käyttää esimerkiksi sähköpostia tai VPN:ää internetistä, julkisen verkon kautta. Näiden lisäksi organisaatiot voivat tarjota sidosryhmilleen web-pohjaisia palveluita, muun muassa julkisia verkkosivuja ja sovelluksia.

Virtual Private Network, tuttavallisemmin VPN, näkyy useimmiten julkiseen verkkoon yhtenä palveluna, mutta sen avulla useat muut organisaation sisäiset palvelut aukeavat käytettäväksi. Käytännössä VPN:n avulla esimerkiksi toiminnanohjaus- ja asiakashallintajärjestelmää voi käyttää mistä päin maailmaa tahansa. Näin on mahdollista tehdä myös etätöitä.

Kun kyse on julkiseen verkkoon avoinna olevista palveluista, pelkkä salasana, vahvakin, tarjoaa tunnistusmenetelmänä vain kohtalaisen suojan. Salasana voi päätyä ulkopuolisen haltuun esimerkiksi huolimattomuuden vuoksi, silti seuraukset voivat olla kohtalokkaat.

Motivoitunut hyökkääjä saa salasanat ja reitin kohteensa verkkoon helpohkosti

Vääriin käsiin päätyneillä organisaation sähköpostitunnuksilla viestien luottamuksellisuus ja varmuus lähettäjän identiteetistä menetetään. Pahimmassa tapauksessa salasanatunnistautumiseen perustuva VPN avaa yrityksen tai organisaation kaikkein arvokkaimmat tiedot ulkopuolisen saataville tai muokattavaksi.

Salasana voi päätyä ulkopuolisen haltuun esimerkiksi tietojenkalastelulla. Kohdistetun kalastelukampanjan uhriksi voi päätyä lyhyessäkin aikaa kymmeniä organisaation työntekijöitä. Jo yksikin vääriin käsiin päätynyt salasana voi aiheuttaa merkittävää vahinkoa.

Käyttäjätunnus-salasana-pari on myös altis niin sanotuille väsytyshyökkäykselle (brute force). Hyökkääjä pyrkii arvaamaan oikean salasanan tai yrittää mahdollisimman monta eri salasanaa. Motivoituneelle hyökkääjälle brute force voi tarjota kohtalaisen yksinkertaisen reitin kohdeorganisaation verkkoon - yksikin heikko salasana riittää.

Päivityshistoria

Asiasanat: Tietoturva , Kyberrikollisuus , Kyberturvallisuus , Organisaatio , Riskienhallinta , Salasana , Sähköinen tunnistaminen , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248