Mitä on monivaiheinen tunnistautuminen? Esimerkkejä MFA:sta

Mitä on monivaiheinen tunnistautuminen?

Monivaiheinen tunnistautuminen (MFA) on käyttäjien vahvistusmenetelmä, joka vaatii kaksi tunnistustietoa tai enemmän, jotta käyttäjä saa pääsyn tileille tai yrityksen resursseihin. Monivaiheisessa tunnistautumisessa käytetään menetelmiä, joihin tyypillisesti kuuluu seuraavia elementtejä:

• Jotain, mitä käyttäjä tietää (kuten salasanan tai PIN-koodi).
• Jotain, mitä käyttäjällä on (esimerkiksi todennussovellus tai sähköpostitili).
• Jokin käyttäjän ominaisuus (esimerkiksi sormenjälki tai kasvojen skannaus).

Koska käyttäjä todennetaan useammalla tavalla, monivaiheinen tunnistautuminen vähentää luvattoman pääsyn riskiä. Vaikka vaarallinen toimija selvittäisikin ensimmäisen vahvistuselementin (salasana), hän ei todennäköisesti pysty vastaamaan seuraaviin todennusvaatimuksiin saadakseen pääsyn tilille.

Monet yritykset ovat kokeneet hyödyllisiksi myös mukautuvan monivaiheisen tunnistautumisen, joka mukautuu dynaamisesti riskitekijöiden mukaan. Se hyödyntää taustatietoa ja käyttäjän toimintamalleja määrittääkseen yhteyteen liittyvän riskitason ja sen, mitä tunnistautumiselementtejä käytetään.

Taustatiedot, joita mukautuvassa todennuksessa käytetään, voivat olla seuraavia:

• sijainti, josta käyttäjä yrittää luoda yhteyden
• kirjautumiseen käytetyt laitteet
• vuorokauden aika, jolloin käyttäjä yrittää luoda yhteyden
• muodostetaanko yhteyttä yksityisen vai julkisen verkon kautta
• epäonnistuneiden kirjautumistyritysten määrä.

Mukautuva MFA pyytää tiettyä vahvistusmenetelmää vertaamalla käyttäjän yhdistysyrityksen taustatietoja tavallisen yhteyden tietoihin. Jos yhteyden muodostusyritys vaikuttaa liian riskialttiilta, järjestelmä ei välttämättä päästä käyttäjää kirjautumaan sisään tai pyytää häneltä lisätietoja.

Miten monivaiheinen tunnistautuminen toimii?

Monivaiheinen tunnistautuminen pyytää käyttäjää vastaamaan tietyillä tiedoilla vähintään kahteen eri pyyntöön, jotka ovat tyypeiltään erilaisia. Näitä pyyntöjä on useanlaisia: ensimmäinen on yleensä käyttäjän luoma salasana, jota seuraa esimerkiksi pyyntö antaa tekstiviestinä lähetettävä kertakäyttöinen salasana (OTP eli one-time password) tai skannata sormenjälki. Kun käyttäjän henkilöllisyys todennetaan useammalla eri tavalla, se vähentää mahdollisuutta siihen, että vaaralliset toimijat jäljittelevät käyttäjää ja hankkivat pääsyn yksityisiin tai yrityksen resursseihin.

Katsotaan seuraavaksi tarkemmin, miten MFA toimii ensimmäisistä vaiheista alkaen.

1. 1.Kun käyttäjä luo tilin, jossa käytetään monivaiheista tunnistautumista, hänen täytyy ensin luoda käyttäjätunnus ja salasana ja antaa sitten jokin muu mahdollinen tunnistautumistapa, kuten puhelinnumero, sähköpostiosoite tai sormenjälki.
2. 2.Kun käyttäjä haluaa pääsyn monivaiheisella tunnistautumisella suojatulle tilille tai tietoihin, hänen täytyy antaa käyttäjätunnus, salasana ja lisätunnistautumistiedot tai -tieto, joka otettiin käyttöön tiliä luodessa. Kyseessä voi olla tekstiviestinä lähetetty todennuskoodi, kasvojen skannaus tai sormenjälki.
3. 3.Kun kaikki vahvistusvaiheet on suoritettu, käyttäjä saa pääsyn järjestelmään.

Miksi monivaiheinen tunnistautuminen on tärkeää?

Monivaiheinen tunnistautuminen on tärkeää, sillä se tarjoaa lisäsuojaa ja vähentää sen mahdollisuutta, että luvattomat tahot saavat pääsyn arkaluontoisiin tietoihin. Kun yhä enemmän tietoa säilytetään monilla pilvipohjaisilla alustoilla, tietojen turvaaminen pelkällä salasanalla ei ole enää käytännöllistä. Käyttäjät saattavat esimerkiksi luoda heikkoja salasanoja, jotka hakkerit voivat helposti murtaa väsytyshyökkäyksillä tai haittaohjelmaa hyödyntäen. Salasanan joutumisella hakkereiden käsiin voi olla vielä vakavampia seurauksia, jos samaa salasanaa on käytetty useilla tileillä – näin ne kaikki joutuvat vaaraan. Toisaalta MFA voi estää luvattoman pääsyn tileillesi, vaikka salasanasi olisikin varastettu.

Monivaiheisen tunnistautumisen edut

MFA:sta on hyötyä sekä yrityksille että yksityishenkilöille, sillä se tarjoaa monivaiheisen lähestymistavan tileille kirjautumiseen sekä niiden suojaamiseen. Katsotaan seuraavaksi sen tärkeimpiä etuja:

• Parempi suojaus. Useampia todennuselementtejä hyödyntävä monivaiheinen tunnistautuminen voi suojata tilit, vaikka ensimmäinen vahvistuselementti eli salasana olisikin murrettu tai kadonnut. Se on myös hyvä tapa vähentää tietojenkalastelun aiheuttamaa vahinkoa: vaikka verkkorikollinen onnistuisikin huijaamaan salasanan käyttäjältä, toisen vaiheen todennus estää huijarin pääsyn tilille. Se minimoi murrettuihin salasanoihin, inhimillisiin virheisiin ja arkaluontoiseen tietoon kohdistuviin kyberhyökkäyksiin liittyvät riskit samaan tapaan kuin tietojenkalastelua ajatellen kehitetty salasanaton kirjautuminen.
• Joustavuus ja yhteensopivuus. MFA tarjoaa useita erilaisia vahvistusmenetelmiä, kuten todennuskoodit tai biometriset tiedot. Yritykset voivat valita sellaisen MFA-todennusmenetelmän, joka on yrityksen tarpeiden, resurssien ja käyttäjien näkökulmasta kätevin. Tämä on pääsyy sille, että Nord Account otti käyttöön MFA-suojauksen. Yritykset voivat myös ottaa käyttöön MFA:n useissa sovelluksissa ja yhteyspisteiden yhteyksissä, jolloin menetelmä suojaa monenlaisia resursseja.
• Asiakasluottamus. MFA:n käyttäminen voi parantaa houkuttelevuutta sekä asiakkaiden luottamusta, sillä sen todennusmenetelmä painottaa yhä vähemmän salasanoja ja muita todennusmuotoja. Inhimilliset virheet eivät estä MFA-järjestelmän toimimista.

Monivaiheisen tunnistautumisen menetelmien päätyypit

MFA-todennusmenetelmä voidaan luokitella sen mukaan, mitä resursseja käyttäjä käyttää saadakseen pääsyn tililleen. Tarkastellaan seuraavaksi yleisimpiä todennusmenetelmiä.

Tieto

Tietoon perustuva elementti tarkoittaa tietoa, minkä vain käyttäjä tietää. Esimerkkejä tästä ovat

• käyttäjän luoma salasana tai PIN-koodi
• turvakysymys, kuten käyttäjän lemmikin tai sukulaisen nimi.

Kun käyttäjä syöttää tämän tiedon MFA-järjestelmään, hänet siirretään seuraaviin todennusvaiheisiin.

Omistajuus

Tämä todennusmenetelmä liittyy tietyn asian omistamiseen – käyttäjät tunnistautuvat käyttämällä jotain, mitä he omistavat. Tällaisia asioita ovat

• fyysiset laitteet, kuten matkapuhelimet, tabletit tai turva-avaimet
• digitaalinen omaisuus, kuten sähköpostit ja tekstiviestipalvelu
• todennussovellukset, kuten Google Authenticator tai Authy, jotka tuottavat aikaperustaisia kertakäyttöisiä koodeja (TOTP eli time-based one-time password).

Todennuksen yhteydessä käyttäjä saa väliaikaisen koodin, joka tulee syöttää MFA-sovellukseen, tai push-ilmoituksen, joka hänen täytyy vahvistaa. Kun käyttäjä on suorittanut tämän vaiheen, hän pääsee tililleen tai saa toisen vahvistuspyynnön.

Ominaisuus

Ominaisuuselementti viittaa johonkin, mitä käyttäjä on. Esimerkkeinä voidaan mainita

• sormenjälki tai kasvojen skannaus
• äänen tai kasvojen tunnistus.
• näppäinlyöntien dynamiikka, mukaan lukien nopeus ja laitteen tietynlainen käyttö.

MFA:n täytyy kerätä käyttäjän biometriset tiedot tilin luomisen yhteydessä ja tallentaa ne, jotta tätä todennustapaa voidaan käyttää. Biometriset tiedot ovat aina ainutlaatuisia ja sidoksissa käyttäjään, mikä tekee ominaisuuskategoriasta yhden merkittävimmistä esteistä luvattomalle pääsylle.

Sijainti

Sijaintielementti koskee käyttäjän fyysistä sijaintia, kuten

• käyttäjän maantieteellinen sijainti kirjautumishetkellä
• sen laitteen IP-osoite, jolta käyttäjä yrittää muodostaa yhteyttä.

Sijaintitodennusmenetelmä käyttää GPS-koordinaatteja ja verkon tietoja määrittääkseen, vaikuttaako käyttäjän sijainti epätavalliselta. Sijaintitiedot varmistetaan yleensä taustalla. Jos MFA epäilee, että toiminta on epätavallista, se saattaa estää käyttäjiä pääsemästä tilille tai pyytää lisävahvistusta.

Ajankohta

Ajankohtaelementti seuraa sitä, mihin aikaan käyttäjä yrittää kirjautua sisään. Se määrittää, voiko käyttäjä saada pääsyn tilille seuraavalla perusteella:

• ajankohta, jolloin käyttäjälle on sallittu pääsy resursseihin.

Jos käyttäjä yrittää kirjautua sisään poikkeukselliseen aikaan, kuten keskellä yötä, MFA saattaa estää pääsyn tai pyytää lisävahvistusta.

Liittyykö monivaiheiseen tunnistautumiseen huonoja puolia?

Vaikka MFA on erinomainen väline käyttäjien tilien ja yritysten resurssien suojaamiseen, siihen liittyy haasteitakin. Katso alta MFA:n haitat, jotka kannattaa huomioida: 

• Pääsyn menettäminen. Jos käyttäjä kadottaa tai rikkoo puhelimensa tai muun henkilöllisyyden vahvistamiseen käytetyn laitteen, MFA estää pääsyn tilille. Tämä voi aiheuttaa merkittäviä viiveitä, ja pääsyn palauttamiseen saatetaan tarvita ulkopuolista apua.
• Kirjautuminen vie enemmän aikaa. MFA-pyyntöihin vastaaminen vie jonkin verran aikaa, erityisesti jos järjestelmä merkitsee yhteytesi riskejä sisältäväksi.
• Riippuvuus kolmansista osapuolista. Jotkut vahvistusvaiheet voivat vaatia ylimääräisten sovellusten asentamista push-ilmoituksia ja aikaperustaisia kertakäyttöisiä koodeja varten. Ne vievät tilaa käyttäjien laitteilla.
• Alttius kohdennetuille hyökkäyksille. Vaikka MFA on tehokas järjestelmä automaattisia kyberhyökkäyksiä vastaan, se ei ole yhtä tehokas hakkereita vastaan, jotka ovat kohdentaneet toimintansa tiettyyn tiliin tai resursseihin. Vaaralliset toimijat voivat hyödyntää käyttäjän toimintaa tai käyttää hienostuneita tietojenkalastelukonsteja saadakseen käyttäjät auttamaan pääsyssä suojatuille tileille.

Miten monivaiheinen tunnistautuminen eroaa kaksivaiheisesta tunnistautumisesta?

MFA ja kaksivaiheinen tunnistautuminen (2FA eli two-factor authentication) ovat molemmat vahvistusmenetelmiä, joissa käyttäjien täytyy todistaa henkilöllisyytensä useita kertoja saadakseen pääsyn tilille. Pääero on järjestelmän vaatimissa todennusvaiheissa.

2FA vaatii kaksi erilaista tunnistautumistapaa, joita ovat usein tietoelementti (salasana) yhdistettynä omistajuuteen (mobiililaite) tai ominaisuuteen (biometriset tiedot). Jos käytät 2FA:ta, sinulta saatetaan pyytää siis salasana ja tekstiviestillä lähetetty koodi tai sormenjälki.

MFA voi puolestaan pyytää kahta tai useampaa tunnistautumismenetelmää salasanan lisäksi. Käyttäjää voidaan pyytää hyväksymään mobiililaitteelle lähetetty push-ilmoitus, ja samalla MFA voi tarkistaa sijainnin, josta käyttäjä on muodostamassa yhteyttä, ja arvioida riskin.

2FA:han verrattuna MFA tarjoaa joustavampia ja vahvempia ratkaisuja, joilla määritellä, onko yhteys tilille luotettava.

Yhteenveto

MFA voi tarjota vahvan lisäsuojauksen, joka ei ole riippuvainen perinteisistä salasanaperustaisista pääsyjärjestelmistä. MFA-teknologia käyttää todennusmenetelmiä, jotka ovat yksilöllisiä ja perustuvat reaaliaikaisiin olosuhteisiin, ja siksi vaarallisten toimijoiden on paljon vaikeampi murtaa tilejä. Tämä ominaisuus auttaa merkittävästi vähentämään riskiä luvattomasta pääsystä tileille ja resursseihin, ja hintana on vain pieni epäkäytännöllisyys käyttäjän kannalta.