Skip to main content
Tietoturva

Monivaiheinen tunnistautuminen (MFA) murroksessa – nykykäytännöt eivät enää riitä

Monivaiheinen tunnistautuminen (MFA) murroksessa – nykykäytännöt eivät enää riitä

Monivaiheinen tunnistautuminen eli MFA on pitkään ollut keskeinen työkalu käyttäjätilien suojaamisessa. Sen ideana on, että pelkkä salasana ei riitä kirjautumiseen, vaan käyttäjän on lisäksi vahvistettava henkilöllisyytensä toisella menetelmällä – esimerkiksi tekstiviestikoodilla tai autentikaattorisovelluksella.

Viime vuosina nämä menetelmät ovat kuitenkin joutuneet kritiikin kohteeksi. Hyökkäystavat ovat kehittyneet, ja MFA:n kyky estää tilikaappauksia ei enää ole niin luotettava kuin aiemmin ajateltiin.

Ongelma: todennus voi tapahtua väärässä paikassa

Moni MFA-menetelmä, erityisesti aikaperusteiset koodit (TOTP), ei pysty tunnistamaan missä ympäristössä sitä käytetään. Jos käyttäjä syöttää tunnuksensa ja MFA-koodinsa tarkasti jäljitellylle huijaussivustolle, hyökkääjä voi välittömästi käyttää samoja tietoja oikealla sivustolla – käytännössä ohittaen MFA:n kokonaan.

Tällaiset hyökkäykset ovat yleistyneet. Tilanteet eivät välttämättä näytä käyttäjälle mitenkään poikkeavilta: sähköpostiin tulee uskottava viesti, joka ohjaa huolellisesti kopioidulle kirjautumissivulle. Käyttäjä syöttää tietonsa ja hyväksyy todennuksen – mutta ei järjestelmässä, vaan hyökkääjän käsissä.

SMS-todennus on erityisen haavoittuva

Tekstiviestipohjainen MFA on jo pitkään ollut tietoturva-asiantuntijoiden huolenaihe. Viestit voidaan siepata, SIM-kortteja voidaan kloonata, ja monet toimitusketjut sisältävät kolmansia osapuolia, joiden tietoturva ei aina täytä vaatimuksia. Yhdysvaltain kyberturvallisuusvirasto CISA onkin suoraan suositellut, ettei SMS:ää käytettäisi enää todennustapana.

Myös autentikaattorisovellukset ovat kiertettävissä

Vaikka esimerkiksi Google Authenticator tai Microsoft Authenticator ovat askel parempaan suuntaan, ne eivät ole ongelmattomia. TOTP-koodeja voidaan kalastella, ja jos laitteen tietoturva on vaarantunut, myös MFA-sovellus voidaan manipuloida. Kyse ei ole sovelluksen heikkoudesta sinänsä, vaan siitä, että käyttäjä hyväksyy todennuspyynnön ilman varmuutta siitä, kuka sitä oikeasti pyytää.

Passkeyt – lupaava mutta rajallinen ratkaisu

Uudemmat teknologiat, kuten passkeyt, pyrkivät parantamaan tilannetta sitomalla tunnistautumisen suoraan verkkotunnukseen kryptografisesti. Ne vähentävät manuaalisen virheen riskiä, mutta eivät ole haavoittumattomia. Pilvitallennus ja laitteiden synkronointi luovat uusia riskejä – erityisesti, jos päätili kaapataan tai laite varastetaan.

Mitä voidaan tehdä?

Ongelman ytimessä on kysymys luottamuksesta: perinteiset MFA-menetelmät luottavat siihen, että käyttäjä toimii oikein, ja että ympäristö, jossa tunnistautuminen tapahtuu, on turvallinen. Nykyiset hyökkäykset kohdistuvat juuri tähän oletukseen.

Tämän vuoksi tietoturva-asiantuntijat suosittelevat siirtymistä ratkaisuihin, joissa tunnistautuminen sidotaan fyysisesti käyttäjään ja laitteen läheisyyteen – esimerkiksi FIDO2-standardin mukaisiin biometrisiin turva-avaimiin. Nämä laitteet estävät tunnistautumisen, ellei käyttäjä ole fyysisesti läsnä ja pysty todentamaan itsensä esimerkiksi sormenjäljellä.

FIDO2-biometriset turva-avaimet – mitä ne ovat ja miten ne toimivat?

FIDO2 on moderni tunnistautumisstandardi, jonka tavoitteena on korvata salasanat ja perinteiset MFA-koodit turvallisemmalla ja phishing-kestävämmällä ratkaisulla.

FIDO2 koostuu kahdesta osasta:

  • WebAuthn (Web Authentication API): selainpohjainen rajapinta, jonka avulla sivustot voivat pyytää vahvaa tunnistautumista.

  • CTAP (Client to Authenticator Protocol): mahdollistaa yhteyden fyysisten tunnistuslaitteiden ja päätelaitteiden välillä (esim. USB, NFC tai Bluetooth).

FIDO2-avaimet voivat olla esimerkiksi:

  • USB-avain, jossa on sormenjälkitunnistin

  • NFC-lähiluettava tunnistin

  • Turva-avain, jossa on painike ja PIN-koodi

Keskeiset ominaisuudet:

  • Avaimessa oleva turvasiru luo kryptografisen avainparin vain tietylle verkkotunnukselle (esim. login.microsoftonline.com)

  • Avainta ei voi käyttää väärällä sivustolla, koska verkkotunnus validoidaan laitteessa

  • Todennus onnistuu vain, jos käyttäjä on fyysisesti läsnä (esim. sormenjälki tai painikepainallus)

  • Avaimen yksityisavainta ei koskaan lähetetä ulos laitteesta, eikä sitä voi kopioida

Mutta entä jos käyttäjä huijataan kirjautumaan feikkisivulle?

Tämä on kriittinen kysymys, ja siihen vastaus riippuu käytetystä tunnistusmekanismista:

FIDO2:

Jos tunnistus tehdään FIDO2-avaimella ja WebAuthn-standardilla, sivuston verkkotunnus tarkistetaan laitteessa.

Tämä tarkoittaa, että:

  • Jos käyttäjä menee huijaussivulle, kuten micr0soft-login.com, avain ei suostu autentikoimaan, koska verkkotunnus ei vastaa alkuperäistä.

  • Todennus epäonnistuu automaattisesti – ilman käyttäjän erityistä arviointia.

Tämä tekee FIDO2:sta phishing-resistentin – ainakin tekniseltä osalta.

Ihminen käyttäjänä:

sosiaalinen luottamus voi ohittaa teknisen turvan:

  • Jos luotettu kontakti (tai hyökkääjä, joka esiintyy sellaisena) lähettää linkin, joka vie oikealle sivulle mutta käynnistää valtuutettuna toimena haitallisen toiminnon (esim. ”hyväksy dokumentti”), käyttäjä voi silti klikata ilman huomiota.

  • Jos käyttäjä on kirjautunut jo sisään, eikä uutta todennusta vaadita, hyökkäys voi kohdistua istunnon kaappaukseen tai tietojen hyväksikäyttöön muulla tavoin (esim. OAuth-määritykset).

FIDO2:n vahvuudet ja rajoitukset:

Vahvuudet:

  • Ei salasanoja, ei koodeja

  • Ei phishattavissa – todennus ei toimi väärällä verkkotunnuksella

  • Vain fyysisesti läsnä oleva käyttäjä voi hyväksyä

  • Ei pilveen tallennettuja salaisuuksia

Rajoitukset:

  • Käyttäjän luottamus voi yhä olla ongelma: käyttäjä saattaa hyväksyä toiminnon ymmärtämättä sen merkitystä

  • Olemassa olevat istunnot voivat olla hyökkäyksen kohteena, vaikka kirjautuminen olisi suojattu

  • Käytettävyys voi olla haaste erityisesti ei-teknisille käyttäjille

  • Ei vielä yleisesti tuettu kaikissa palveluissa

 

Yhteenveto

  • SMS-pohjainen MFA on helppo murtaa ja suositellaan vältettäväksi.

  • Autentikaattorisovellukset tarjoavat paremman suojan, mutta eivät estä kalasteluun perustuvia hyökkäyksiä.

  • Uudet passkey-ratkaisut parantavat tilannetta, mutta eivät ratkaise kaikkea.

  • Fyysiset, biometriset tunnistuslaitteet tarjoavat tällä hetkellä parhaan suojan erityisesti korkean riskin käyttäjille.

  • FIDO2 on tällä hetkellä paras saatavilla oleva tekninen suoja tunnistautumiseen, mutta se ei poista tarvetta käyttäjän koulutukselle ja kriittiselle ajattelulle. Paraskaan turvajärjestelmä ei estä hyväksymästä vahingossa toimintaa, jota käyttäjä ei ymmärrä.

 

Jos organisaatiosi haluaa arvioida nykyiset tunnistautumiskäytännöt ja siirtyä kohti kestävämpiä ratkaisuja kuten FIDO2-pohjaisia tunnistusmenetelmiä, ota yhteyttä TM-Tietoon – autamme mielellämme suunnittelussa, käyttöönotossa ja koulutuksessa.