Innofactorin Blogi

Identiteetinhallinnan kilpajuoksu – Näin selviydyt voittajana

Kirjoittanut Janne Nevalainen | 13.7.2023

Vääriin käsiin vuotanut käyttäjätunnus on monen kyberturvaiskun lähtölaukaus. Varastettu tunnus on kuin pääsylippu kohdeorganisaation järjestelmiin, joita kartoittamalla kyberturvarikollinen voi helposti suunnitella hyökkäyksensä seuraavia vaiheita.

Identiteetin suojaaminen onkin elintärkeää kyberturvatietoiselle organisaatiolle, sillä nykyaikainen pilvipohjainen IT-infra perustuu nimenomaan käyttäjien luotettavalle  tunnistautumiselle.

Identiteettien merkityksen kasvun myötä olemmekin ajautuneet oravanpyörään: verkkorikolliset keksivät tunnusten varastamiseksi mitä innovatiivisempia keinoja, joita vastaan organisaatiot väsymättä puolustautuvat. Ja vauhti sen kuin kiihtyy kierros kierrokselta.

On aika luoda tarkempi katsaus identiteetinhallinnan kilpajuoksun taustoihin ja pohtia, kuinka voisimme kulkea kohti turvallisempaa tulevaisuutta.

Salasana on perinteinen tapa suojata identiteetti – sen vaarana ovat huolimattomat käyttäjät ja kalasteluviestit

Salasanat ovat jo vuosikymmenien ajan toimineet verkkopalveluiden uskollisina portinvartijoina.

Ne suojaavat niin työelämälle elintärkeitä ohjelmistoja ja dataa kuin vapaa-ajalla käytettäviä suoratoistopalveluita, sosiaalisen median tilejä ja monia muita sovelluksia, joita hyödynnämme päivittäin. Tätä nykyä ei ole tavatonta, että yhdellä ihmisellä on tunnukset kymmeniin eri palveluihin, jotka aukeavat eri pituisilla kirjain-, numero- ja merkkiyhdistelmillä.

Salasanojen paljous onkin itsessään ruokkinut niiden pahimpia tietoturvavitsauksia, joista yleisimpiä ovat

  • salasanojen kierrätys
  • heikot salasanat
  • salasanojen muistiin kirjaaminen.

Tietoturvarikollisilla on keinonsa hyödyntää käyttäjien huolimattomuutta erilaisin työkaluin, joiden avulla he voivat murtaa ja myydä eteenpäin jopa miljardeja käyttäjätunnuksia.

Toinen merkittävä uhka salasanoille ovat puolestaan rikollisten tehtailemat kalasteluviestit.

Kaukana ovat ajat, jolloin kalasteluviestin tunnisti kömpelöstä kieliasusta ja kotikutoisuudesta – nykyisin viestit on nimittäin kirjoitettu uskottavalla suomen kielellä, ne näyttävät tulevan esimerkiksi kohteensa esihenkilöltä tai kollegalta ja vaikuttavat muutenkin kaikin puolin luotettavilta. Ei siis ihme, että moni valppaampikin käyttäjä on tullut langenneeksi viesteihin ja luovuttanut tunnuksensa rikollisille.


"Vastaukseksi salasanojen päätymiselle rikollisiin käsiin on kehitetty monivaiheinen tunnistautuminen, joka tarjoaa ylimääräisen suojakerroksen perinteiselle salasanan ja käyttäjätunnuksen yhdistelmälle."


Monivaiheinen tunnistautuminen tarjoaa ylimääräisen suojakerroksen salasanan lisäksi – sen voi murtaa väsyttämällä

Vastaukseksi salasanojen päätymiselle rikollisiin käsiin on kehitetty monivaiheinen tunnistautuminen (MFA, Multi-Factor Authentication), joka tarjoaa ylimääräisen suojakerroksen perinteiselle salasanan ja käyttäjätunnuksen yhdistelmälle.

MFA-tekniikassa käyttäjä todentaa identiteettinsä useassa eri vaiheessa – yleensä siten, että salasanakirjautumisen lisäksi käyttäjä osoittaa omistavansa esimerkiksi älypuhelimen tai muun laitteen, johon hänelle toimitetaan kirjautumiseen vaadittava varmenne. Yleisiä omistajuuden todentamisen ratkaisuja ovat nykyisin esimerkiksi Microsoft Authenticator -sovellus ja pankkien ID-sovellukset.

Vaikka MFA:ta pidetään yhtenä parhaista ja helpoimmista identiteetin suojaamisen menetelmistä, rikolliset ovat löytäneet keinonsa myös sen murtamiseksi. Yksi tällaisista on sosiaaliseen manipulaatioon perustuva niin kutsuttu MFA Fatigue -tekniikka, jota hyödyntäviä hyökkäyksiä nähtiin useita vuoden 2022 aikana. Tekniikan idea on yksinkertainen:

  • Rikollinen hankkii haltuunsa kohdetilin salasanan ja käyttäjätunnuksen.
  • Tiliin kohdistetaan loppumattomalta tuntuva MFA-pyyntöjen vyöry tilin omistajan väsyttämiseksi.
  • Turhautunut omistaja hyväksyy yhden pyynnöistä, mikä avaa rikolliselle pääsyn tilille.

Joissain tapauksissa rikolliset ovat vielä tehostaneet hyökkäystä soittamalla tilin omistajalle teknisen tuen nimissä ja pyytäneet tätä hyväksymään kirjautumisen vetoamalla esimerkiksi tekniseen häiriöön.

Tietoturva-alalla ei suinkaan ole jääty aseettomaksi väsytystekniikan edessä. Esimerkiksi Microsoft on päivittänyt Authenticator-sovellusta numeroiden täsmäys (number matching) -ominaisuudella, jossa käyttäjän tulee syöttää sovellukseen kirjautumisruudulla näkyvä luku. Näin käyttäjä ei voi hyväksyä mitä tahansa satunnaista kirjautumispyyntöä vaan ainoastaan sen, jonka hän itse on toteuttanut.


Innofactorin kyberturvakonsultit Marcus Söderblom ja Janne Nevalainen kertovat videolla, kuinka tietoturvarikolliset hyödyntävät MFA Fatigue -tekniikkaa ohittaakseen monivaiheisen tunnistautumisen ja päästäkseen käsiksi kohteensa tiliin.

Tietoturvarikollisten vastaus monivaiheiselle tunnistautumiselle: AiTM-hyökkäys

Käyttäjäidentiteettien kissa-hiiri-leikki sai jatkoa, kun rikolliset kehittivät niin kutsutun AiTM- eli Adversary-in-the-middle-hyökkäysmenetelmän.

AiTM perustuu ideaan, jossa yksittäisen salasanan sijaan hyökkääjä varastaa käyttäjän koko kirjautumisistunnon. Kyse on uudenlaisesta kalasteluhyökkäyksestä, jossa käyttäjä harhautetaan kirjautumaan hyökkääjän haluamaan palveluun esimerkiksi huijaussähköpostissa olevan linkin kautta.

Kirjautuminen laukaisee tietoliikenteen ohjautumaan hyökkääjän hallinnoiman järjestelmän kautta, minkä ansiosta hyökkääjä voi kirjautua kohteensa käyttäjätiedoilla tämän hallinnoimaan palveluun. AiTM-hyökkäykset ovat salakavalia, sillä tyypillisesti hyökkäyksen kohteeksi joutunut henkilö ei edes tiedä istuntonsa tulleen varastetuksi: hyökkäyksestä huolimatta itse palvelu toimii nimittäin koko ajan täysin normaalisti.

Yhä yleisemmiksi käyvien AiTM-hyökkäysten torjumiseksi on tärkeää ottaa käyttöön modernit tunnistautumistavat. Erityisesti kriittiset käyttäjätilit (kuten ylläpitotilit ja kriittistä dataa käsittelevät käyttäjät) olisi hyvä suojata niin kutsutuilla Phishing Resistant MFA -tekniikoilla, kuten FIDO2-avaimella Windows Hello for Business -ratkaisulla tai sertifikaattipohjaisella kirjautumisella. Näiden tekniikoiden avulla päätelaitteen ja palveluntarjoajan välille luodaan kryptografinen yhteys, jota ei voi kaapata.

Matka kohti turvallisempaa tulevaisuutta kuljetaan pilvessä

Pilvi-identiteettien yleistymisestä seuraa väistämättä, että niihin myös kohdistuu yhä enemmän tietoturvahyökkäyksiä. Pelkkään salasanaan perustuvat perinteiset ratkaisut eivät enää ole riittävän turvallisia nykyaikaisia uhkia vastaan.

Kuten tietoturvassa yleensäkin, pilvi tarjoaa ratkaisun avaimet tunnuksien suojaamiseksi. Pilvi nimittäin mahdollistaa erilaisille digitaalisille palveluille keskitetysti hoidetun turvallisen infrastruktuurin, joka pystyy ketterästi reagoimaan nopeasti kehittyviin tietoturvauhkiin.

Jos organisaatiosi ei vielä ole alkanut modernisoimaan henkilöstön tunnuksia, nyt olisi korkea aika tarttua toimeen!