Blogi

MFA:sta vakio: Microsoft tuo monivaiheisen autentikoinnin kaikille asiakkaille

Microsoft on marraskuussa 2023 ilmoittanut ottavansa käyttöön monivaiheisen autentikoinnin (MFA) kaikille asiakkailleen. Tämä muutos on osa Microsoftin maailmanlaajuista pyrkimystä lisätä tietoturvaa ja suojata käyttäjien tilejä. Monivaiheinen autentikointi auttaa torjumaan yli 99% tileihin kohdistuvista tietoturvauhista. Tässä blogautuksessa valotan tarkemmin muutoksen taustoja ja annan ideoita MFA:n käyttöönottoon.

Microsoft on vuosikymmenien aikana kasvanut isoksi tietoturvapeluriksi. Ei sitä oikein voi kiertää tai selittää toisella tavalla. Monella meistä on päivittäin käytössä suuri määrä Microsoftin tuottamia palveluita tai alustoja, joiden päällä olemme juuri niin tuottavia kuin itse kykenemme. Historiaan mahtuu muutamia tähtihetkiä missä Microsoft on yksinkertaisesti laittanut päälle jonkun tietoturvaominaisuuden keneltäkään kysymättä ja se on muuttanut maailmaa paremmaksi.

Yksi tälläinen oli Windows XP:n Service Pack 2. Siinä tuli kysymättä ja pyytäen palomuuri jokaiseen työasemaan. Tarpeeksi vanhat dinosaurukset vielä muistavat mikä itku ja poru siitä pääsi kun asiat ei enää yhtenä aamuna toiminut, mutta tietoturva parani reilusti.

Vihattu Windows Vista ja askeleet kohti tietoturvaa

Seuraava VALTAVA hyppäys parempaan oli erittäin vihattu Windows Vista. Tietoturvamielessä se oli kaikin tavoin XP:tä parempi ja juuri ne tietoturvauudistukset tekivät siitä niin vihatun. Supersuosioon noussut Windows 7 sisälsi jokaisen Vistaan rakennetun tietoturvaominaisuuden, mutta niistä oli tehty vähemmän ärsyttäviä. Ja vielä tänä päivänä monessa talossa sovelluksen asentamisen aloittamiseksi pitää ensin antaa pääkäyttäjän tunnukset tai vähintään pelkkä hyväksyntä. Vistassa tuo tarvittiin koneen kellon tai päivämäärän muuttamiseksi, se oli ärsyttävää, mutta turvallista.

Ja nyt Windows 11 on seuraava suuri muutos tietoturvalle. Harvalla on tästä suuria tunteita, oma suositukseni on vain alkaa käyttää sitä sen enempää miettimättä. Se toimii ja on parempi kuin Windows 10. Windows 11 varmistaa, että laitteessa on kaikki tarvittava levyjen salaamiseen ja salasanattomaan kirjautumiseen. Siksi se vaatii vähän uudemman koneen ja siksi ensi vuonna on menossa muutama sata miljoonaa laitetta kaatopaikalle ympäri maailman. Kun menemme muutaman vuoden eteenpäin, harva kirjautuu laitteelle salasanalla ja kaikissa koneissa on arkkitehtuurilla estetty salasanojen varastelu. Nämä ovat valtavan hyödyllisiä juttuja koko maailmalle.

Syy miksi kerroin tämän historiapläjäyksen liittyy tämän blogipostauksen varsinaiseen aiheeseen. Nimittäin Microsoft on taas muuttamassa maailmaa tietoturvallisemmaksi ja se tulee vaikuttamaan lähes kaikkiin Microsoftin pilvipalveluita käyttäviin ihmisiin sekä organisaatioihin.

Onko käyttäjien identiteetit, laitteet ja data turvattu yrityksessänne?

Lue käytännönläheiset vinkit yrityksen tietoturvan parantamiseksi.

Haluatko MFA:n käyttöön nopeasti ja hallitusti?

Eiköhän laiteta tietoturva-asiat kerralla kuntoon ja kytketä MFA käyttöönotto kaikille käyttäjillenne – nyt on korkea aika toimia

Monivaiheisesta autentikoinnista on tulossa vakio

Marraskuussa Microsoft tiedotti, että he tulevat ajamaan uudet asetukset liittyen käyttäjien kirjautumisiin. Tämä tullaan toteuttamaan jokaiseen Microsoft 365 ympäristöön, joka tukee ominaisuutta nimeltään Conditional Access (ehdollinen pääsy). Jokainen Microsoft 365 lisenssejä käyttävä organisaatio on siis kohteena ja näillä asetuksilla pakotetaan käyttäjätilit käyttämään monivaiheista autentikointia eli MFA:ta.

MFA ratkoo yli 99% tileihin kohdistuvista tietoturvauhista (!), joten muutoksella on valtavasti tietoturvaa parantava vaikutus. MFA kuitenkin tarkoittaa, että käyttäjätunnuksen ja salasanan lisäksi pitää olla jotain muuta – ja yleensä tässä puhutaan matkapuhelimesta. No meillä kaikilla on matkapuhelin ja me kaikki lataamme niihin sovelluksia sovelluskaupoista. Muuten emme voisi käyttää pankkipalveluita, sosiaalista mediaa tai pelata Pokemonia. Tämä ei eroa pankkien varmistusviestejä lähettävistä sovelluksista mitenkään ja jokaisen kannattaa muistaa, että tässä suojataan juuri sitä omaa henkilökohtaista identiteettiä.

Ongelma on aito koska vain noin 26% käyttäjätileistä on suojattu monivaiheisella kirjautumisella Microsoftin pilvipalveluissa.

Muutos on jo käynnissä

Microsoftin lähestymistapa tähän on erittäin nopea. He laittavat ominaisuutta jo päälle, mutta se ei vielä pakota mitään, vaan pelkästään raportoi. Melko lyhyen 90 päivän raportoinnin jälkeen politiikka menee päälle ja käyttäjiltä tullaan vaatimaan matkapuhelimen rekisteröintiä seuraavassa kirjautumisessa. Microsoft on tiedottanut asiasta sähköpostilla admin-tilejä, mutta se viesti hukkuu helposti massaan.

Monella yrityksellä on MFA käytössä, mutta se voi olla vain admin-tileillä. Monella yrityksellä MFA:n piirissä on puolet henkilöstöstä, koska kaikilla ei ole esimerkiksi firman puhelinta. Keskustelun avauksen sijaan on ollut helpompi todeta, että ei laiteta päälle. Myös niissä tilanteissa missä yksilö esimerkiksi kieltäytyisi käyttämään omaa matkapuhelintaan MFA:n käyttöön on ratkaisuja. Niistä kaikista on hieman enemmän vaivaa sekä käyttäjälle että organisaatiolle, mutta ratkaisuja on ja niitä voidaan käyttää. Haluan painottaa, että jos nyt ei tehdä mitään – MFA menee päälle lähitulevaisuudessa myös näille henkilöille!

Hallittu käyttöönotto on kaiken A&O

Meistä tämä on hyvä juttu ja me haluamme tätä myös. Paras tapa ottaa uusi uudistus ja uusi normaali vastaan on ottaa MFA käyttöön, mutta ei yllättäen. Muutosta ei ole syytä viivästyttää tai estää. Kyse on valtavasta parannuksesta tietoturvaan.

Me olemme kasanneet asiakkaillemme pari palvelupakettia MFA:n sujuvaan käyttöönottoon. Ensimmäinen on tarkoitettu suoraviivaiseksi ja edulliseksi. Päätetään minä päivänä muutos tapahtuu, ohjeistetaan käyttäjät viestimällä ja taustalla asiantuntijat laittavat asiat juuri niin kuin pitää. Näin toimien vähennetään loppukäyttäjien tukitarvetta reilusti. Unohtamatta dokumentointia! Hinnoittelu on tosi simppeli: 1250€ alv. 0 sisältäen koko homman.

Toinen paketti sisältää enemmän suunnittelua. MFA toteutetaan osana kokonaisuutta ja samalla huomioidaan muitakin tietoturvaominaisuuksia. Voidaan myös tutkia ja optimoida lisensointia. Tyypillisesti tämä paketti tehdään esimerkiksi yhteistyössä yrityksen oman IT:n kanssa mutta asiakkaan osallistumista ei vaadita. Luonnollisesti tässäkin tapauksessa loppukäyttäjät ohjeistetaan tai jopa tarvittaessa valmennetaan muutokseen. Nämä kaikki sovitaan tarjouksen kautta riippuen siitä mitä kaikkea halutaan sisällyttää. Puhutaan alkaen noin 2500€ alv. 0 urakasta. Kaikista nykyisistä tietoturvatekniikoista MFA antaa isoimman hyödyn halvimmalla hinnalla.

Petri Pukkanen

Konsultti
Tietokeskus

Ajankohtaista

Laitehallinta Zero Trust -mallilla 

2/3 tietoturvahyökkäyksistä tapahtuu päätelaitteen kautta. Käyttäjä painaa vahingossa linkkiä, joka aiheuttaa pienen epidemian yrityksen IT-ympäristössä. […]