Luulitko, että kaksivaiheinen tunnistautuminen on varma tapa suojautua? Viranomainen toppuuttelee 

Kaksivaiheista tunnistautumista saatetaan edellyttää esimerkiksi monen yrityksen sisäisissä tietoverkoissa käytettävissä palveluissa. Tunnistautuminen on yleistynyt myös julkisissa palveluissa.

Käytännössä monivaiheinen tunnistautuminen (eli vahva tunnistautuminen) tarkoittaa kirjautumista esimerkiksi Googlen tai Microsoftin sovelluksen avulla. Sovellus luo koodin, joka syötetään halutun palvelun kirjautumissivulle.

Kyberturvallisuuskeskus muistuttaa, että monivaiheinen tunnistautuminen suojaa tiliä, mutta ei korvaa käyttäjän valppautta.

Traficomin alainen Kyberturvallisuuskeskus kertoo saavansa päivittäin ilmoituksia yrityksiltä erilaisista tietojenkalasteluviesteistä. Monivaiheinen tunnistautuminen on hyvä tapa suojautua henkilökohtaisten tunnusten menettämiseltä. Vahva tunnistautuminen ei kuitenkaan yksinään takaa tietomurrolta välttymistä.

Rikolliset käyttävät ”väsytystaktiikkaa”

Osa tietojenkalastelusivustoista on suunniteltu niin, että ne kysyvät sisäänkirjautumiseen tarvittavaa kertakäyttöistä numerosarjaa (niin sanottua MFA-koodia). 

Kyberturvallisuuskeskus muistuttaa, että tämän takia on tärkeää tarkistaa sivuston osoite ennen kirjautumistietojen antamista.

Rikolliset voivat yrittää saada MFA-koodeja myös muilla keinoin, kuten sosiaalisen manipuloinnin keinoin. Näin on toimittu esimerkki Facebook-tunnusten kalasteluyrityksissä, joissa kysytään tekstiviestillä saapuvaa monivaiheiseen tunnistautumiseen käytettävää koodia väittämällä sen liittyvän esimerkiksi arvontavoiton lunastamisen. Todellisuudessa rikollinen saa koodin avulla kaapattua kohteena olevan tilin haltuunsa.

Rikolliset käyttävät myös väsytyshyökkäykseksi kutsuttua keinoa, jolla pyritään ohittamaan  monivaiheinen tunnistautuminen. Hyökkäyksessä rikollinen on saanut käyttäjätunnuksen ja salasanan haltuunsa ja yrittää kirjautua näillä sisään useita kertoja. Sisäänkirjautumisen hyväksymispyyntöjä tulee lukuisia ja tavoitteena on saada tunnuksen oikea omistaja epähuomiossa hyväksymään sisäänkirjautuminen vahvan tunnistautumisen sovelluksellaan.

Vaihda tarvittaessa salasana

Kyberturvallisuuskeskus huomauttaa, että osa yleisesti käytössä olevista palveluista ja sovelluksista ilmoittaa ulkomailta tai muuten poikkeuksellisesti tapahtuvista kirjautumisyrityksistä. Jos käyttäjä ei tunnista ilmoitettua kirjautumisyritystä, viestin saadessaan hänen tulisi vaihtaa kyseessä olevan tilin salasana.

Viranomainen muistuttaa, että yritysten kannattaa seurata käyttäjiensä kirjautumisia ja ryhtyä toimiin, mikäli poikkeuksellisia kirjautumisyrityksiä havaitaan.