Huikea uusi ominaisuus Azure AD:ssa – kovennetut sisäänkirjautumisvaatimukset

Huikea uusi ominaisuus Azure AD:ssa – kovennetut sisäänkirjautumisvaatimukset

Viimeisen vuosikymmenen yksi käytetyimpiä fraaseja pilvitietoturvaa sivuavissa keskusteluissa on ollut yksi, ja sama: ”käytä vahvaa tunnistautumista!”

Olen itsekin tämän lukuisia kertoja maininnut, pääosin ihan aiheesta. Microsoftin maailmankuvassa vahva tunnistautuminen tunnetaan käsitteellä Multi-Factor Authentication, eli MFA. Käyttäjä kirjautuu palveluihin käyttäjätunnuksen, salasanan ja jonkin hallussaan olevan kyvykkyyden avulla. Usein tämä on älypuhelin, johon tunnistautumishetkellä voidaan pirauttaa tai lähettää tekstiviestillä kertakäyttöinen pin-koodi. Selkeä setti. Tästä huolimatta, Microsoftin aiemmin tänä vuonna julkaisemassa raportissa todetaan, että vain 22 % Azure AD-käyttäjistä on MFA-ratkaisu käytössä.

Kytkemällä (ja edellyttämällä) MFA:n käyttöä käyttäjiltä voidaan taklata jopa 99,9 % kaikista hyökkäysyrityksistä käyttäjätunnuksia kohtaan.

Nykyisellään MFA voidaan helposti konfiguroida edellyttämään kirjautumisen yhteydessä pin-koodia (toimitus tekstiviestillä tai sähköpostilla) tai biometristä tunnistetta Microsoft Authenticator-mobiiliappsilla (esim. sormenjälki).

Aiemmin tänä syksynä tapahtunut tietomurto Uberille raporttien mukaan hyödynsi MFA Fatiguena tunnettua tapaa, jossa käyttäjää pommitetaan MFA-haasteilla niin kauan, kunnes hän joko lopulta kuittaa autentikointipyynnön, tai reagoi siihen muutoin myönteisesti (esimerkiksi välittämällä ”IT:lle” pin-koodin).

Uutena ominaisuutena Azure Active Directoryyn on nyt tullut koekäyttöön lisäkyvykkyys, joka edellyttää järeämpää MFA-kyvykkyyttä. Tässä ajattelun taustalla on osin se, että vaikkapa tekstiviestillä välitetty pin-koodi ei varsinaisesti ole tietoturvallinen tapa nykymaailmassa. Aiemman ajattelun, joka oli kovin binäärilähtöinen – MFA päällä tai pois – lisäksi on nyt tullut autentikaatioon liittyvä konteksti.

Hyödyntämällä tätä ominaisuutta, voidaan käyttäjiltä – tai erikseein vaikkapa vain ylläpitäjiltä tai yrityksen johdolta – edellyttää jotain tarkempaa kyvykkyyttä sisäänkirjautumisessa. Kyllä, haluamme että hyödynnät MFA:ta, mutta lisäksi MFA:n tapa tulisi olla vaikkapa salasanaton kirjautuminen. Tai FIDO2-pohjaisen standardin täyttävä tapa – esimerkiksi Windows Hello for Business tai USB-pohjainen hardware-avain.

Peruskäytössä MFA riittää sellaisenaan useimmissa tarpeissa. Tämän uuden ominaisuuden avulla voidaan ehdollisesti määritellä missä tilanteissa vaaditaan enemmän. Valinta tehdään Azure AD:n aiemman Conditional Access-toiminnon osana, ja siihen voidaan dynaamisesti liittää Authentication Context-käsite.

Askel askeleelta pääsemme ehkä hiljalleen eroon tekstiviesteistä, ja myöhemmin myös salasanoista. Matkalla kohti tietoturvallisempia kyvykkyyksiä kuten FIDO2- ja passwordless-ominaisuudet, on tämä uusi toiminto loistava lisä pimenevään syksyyn.

Tarvitsetko apua MFA-ratkaisun kanssa? Olisiko hyvä tutkia miten Azure AD:n ehdollinen pääsy ja tämä uusi kyvykkyys parantaisi tietoturvaa yrityksenne arjessa? Ole yhteydessä!