Mitä todentaminen on?
Tutustu siihen, miten ihmisten, sovellusten ja palvelujen käyttäjätiedot tarkistetaan, ennen kuin niille annetaan digitaalisten järjestelmien ja resurssien käyttöoikeus.
Todentamisen määritelmä
Todentaminen on prosessi, jonka avulla yritykset varmistavat, että vain oikeat henkilöt, palvelut ja sovellukset, joilla on oikeat käyttöoikeudet, voivat käyttää organisaation resursseja. Se on tärkeä osa kyberturvallisuutta, koska haitallisten toimijoiden tärkein tavoite on päästä järjestelmiin luvatta. He tekevät tämän varastamalla niiden käyttäjien käyttäjätunnukset ja salasanat, joilla on käyttöoikeus. Todentamisprosessissa on kolme päävaihetta:
- Tunnistaminen: Käyttäjät ilmoittavat yleensä käyttäjätunnuksen avulla, keitä he ovat.
- Todentaminen: Yleensä käyttäjät todistavat henkilöllisyytensä syöttämällä salasanan (jonka vain käyttäjän oletetaan tietävän), mutta tietoturvan vahvistamista varten monet organisaatiot vaativat myös, että käyttäjät todistavat henkilöllisyytensä jollakin laitteella, joka heillä on (puhelin tai tunnuslaite), tai jollakin ominaisuudella, joka heillä on (sormenjälki tai kasvoskannaus).
- Valtuuttaminen: Järjestelmä tarkistaa, että käyttäjillä on käyttöoikeudet järjestelmään, johon he yrittävät päästä.
Miksi todentaminen on tärkeää?
Todentaminen on tärkeää, koska se auttaa organisaatioita suojaamaan järjestelmiään, tietojaan, verkkojaan, verkkosivustojaan ja sovelluksiaan hyökkäyksiltä. Se auttaa myös yksityishenkilöitä pitämään henkilötietonsa luottamuksellisina ja antaa heille mahdollisuuden harjoittaa liiketoimintaa, kuten pankki- ja sijoitustoimintaa, verkossa tavallista pienemmällä riskillä. Kun todennusprosessit ovat heikkoja, hyökkääjän on helpompi vaarantaa tili joko arvaamalla yksittäisiä salasanoja tai huijaamalla ihmisiä luovuttamaan tunnistetietonsa. Tämä voi johtaa seuraaviin riskeihin:
- Tietomurto tai tietojen luvaton siirto.
- Haittaohjelmien, kuten kiristysohjelmien, asentaminen.
- Alueellisten tai toimialakohtaisten tietosuojasäännösten noudattamatta jättäminen.
Miten todentaminen toimii?
Ihmisille todentamiseen kuuluu käyttäjätunnuksen, salasanan ja muiden tunnistusmenetelmien, kuten kasvoskannauksen, sormenjäljen tai PIN-koodin, määrittäminen. Käyttäjätietojen suojaamista varten mitään näistä todennusmenetelmistä ei tallenneta palvelun tietokantaan. Salasanat hajautetaan (ei salata), ja hajautukset tallennetaan tietokantaan. Kun käyttäjä syöttää salasanan, myös syötetty salasana hajautetaan, minkä jälkeen hajautuksia verrataan toisiinsa. Jos nämä kaksi hajautusta täsmäävät, käyttöoikeus myönnetään. Sormenjälkien ja kasvoskannausten tiedot koodataan, salataan ja tallennetaan laitteeseen.
Todentamismenetelmien tyypit
Nykyaikaisessa todentamisessa todentamisprosessi siirretään luotettavaan erilliseen tunnistusjärjestelmään, toisin kuin perinteisessä todentamisessa, jossa jokainen järjestelmä todentaa itsensä. Myös käytetyt todentamismenetelmät ovat muuttuneet. Useimmat sovellukset edellyttävät käyttäjätunnusta ja salasanaa, mutta koska haitalliset toimijat ovat yhä taitavampia varastamaan salasanoja, tietoturvayhteisö on kehittänyt useita uusia menetelmiä käyttäjätietojen suojaamiseksi.
Salasanapohjainen todentaminen
Salasanapohjainen todentaminen on yleisin todentamistapa. Monet sovellukset ja palvelut edellyttävät, että käyttäjät luovat salasanoja, joissa käytetään numeroiden, kirjainten ja symbolien yhdistelmää. Se vähentää riskiä, että haitallinen toimija arvaisi salasanan. Salasanat aiheuttavat kuitenkin myös turvallisuus- ja käytettävyyshaasteita. Ihmisten on vaikea keksiä ja muistaa yksilöllistä salasanaa jokaiselle verkkotililleen, minkä vuoksi he usein käyttävät samoja salasanoja uudelleen. Hyökkääjät käyttävät monia taktiikoita salasanojen arvaamiseen tai varastamiseen tai ihmisten houkuttelemiseen jakamaan ne tietämättään. Tästä syystä organisaatiot ovat siirtymässä pois salasanoista muihin turvallisempiin todentamistapoihin.
Varmennepohjainen todentaminen
Varmenteeseen perustuva todennus on salattu menetelmä, jonka avulla laitteet ja henkilöt voivat todentaa itsensä muille laitteille ja järjestelmille. Kaksi yleistä esimerkkiä ovat älykortti tai sen, kun työntekijän laite lähettää digitaalisen varmenteen verkkoon tai palvelimeen.
Biometrinen todentaminen
Biometrisessä todentamisessa ihmiset varmistavat henkilöllisyytensä biologisten ominaisuuksien avulla. Monet ihmiset käyttävät esimerkiksi sormea tai peukaloa kirjautumisessa sisään puhelimeensa, ja jotkin tietokoneet skannaavat henkilön kasvot tai verkkokalvon hänen henkilöllisyytensä varmistamista varten. Biometriset tiedot on myös sidottu tiettyyn laitteeseen, joten hyökkääjät eivät voi käyttää niitä saamatta myös käyttöoikeutta laitteeseen. Tämäntyyppinen todentaminen on yhä yleisempää, koska se on ihmisille helppoa, koska heidän ei tarvitse muistaa mitään. Haitallisten toimijoiden taas on vaikea varastaa biometrisia tietoja, mikä tekee niistä salasanoja turvallisempia.
Tunnuspohjainen todentaminen
Tunnuspohjaisessa todentamisessa sekä laite että järjestelmä luovat 30 sekunnin välein uuden yksilöllisen numeron, jota kutsutaan aikapohjaiseksi kertakäyttöiseksi PIN-koodiksi (TOTP). Jos numerot täsmäävät, järjestelmä varmentaa, että käyttäjällä on laite.
Kertakäyttöinen salasana
Kertakäyttöiset salasanat (OTP) ovat koodeja, jotka on luotu tiettyä kirjautumistapahtumaa varten ja jotka vanhenevat pian niiden myöntämisen jälkeen. Ne toimitetaan tekstiviestien, sähköpostin tai laitteistotunnuksen välityksellä.
Pikailmoitukset
Jotkin sovellukset ja palvelut käyttävät palveluilmoituksia käyttäjien todentamiseen. Näissä tapauksissa ihmiset saavat puhelimeensa viestin, jossa heitä pyydetään hyväksymään tai hylkäämään käyttöoikeuspyyntö. Joskus ihmiset hyväksyvät palveluilmoitukset vahingossa, vaikka he yrittävät kirjautua sisään ilmoituksen lähettäneeseen palveluun, ja siksi tämä menetelmä yhdistetään joskus OTP-menetelmään. OTP:n avulla järjestelmä luo yksilöllisen numeron, joka käyttäjän on syötettävä. Tämä tekee todentamisesta vastustuskykyisemmän tietojen kalastelulle.
Äänitodentaminen
Äänitodentamisessa palvelua käyttävä henkilö saa puhelinsoiton, jossa häntä pyydetään syöttämään koodi tai todentamaan itsensä suullisesti.
Monimenetelmäinen todentaminen
Yksi parhaista tavoista vähentää tilien vaarantumista on vaatia kahta tai useampaa todentamismenetelmää, joihin voi kuulua mikä tahansa aiemmin luetelluista menetelmistä. Tehokas paras käytäntö on vaatia kahta seuraavista:
- Jotain, minkä käyttäjä tietää, yleensä salasana.
- Jotain, joka käyttäjällä on, kuten puhelin, laiteavain tai muu luotettu laite, jota ei ole helppo kopioida.
- Jokin käyttäjän ominaisuus, kuten sormenjälki tai kasvoskannaus.
Monet organisaatiot esimerkiksi pyytävät salasanaa (jonka käyttäjä tietää) ja lähettävät myös OTP:n tekstiviestillä luotettuun laitteeseen (joka käyttäjällä on) ennen käyttöoikeuden antamista.
Kaksiosainen todentaminen
Kaksiosainen todentamismenetelmä on monimenetelmäisen todentamisen tyyppi, joka edellyttää kahta todentamismenetelmää.
Vaikka todentamista, johon joskus viitataan nimellä AuthN, ja valtuuttamista, johon joskus viitataan nimellä AuthZ, käytetään usein vaihtokelpoisesti, ne ovat kaksi toisiinsa liittyvää, mutta erillistä asiaa. Todentaminen vahvistaa, että kirjautuva käyttäjä on se, joka hän sanoo olevansa, kun taas valtuuttaminen vahvistaa, että käyttäjällä on oikeat käyttöoikeudet hänen haluamiinsa tietoihin. Esimerkiksi henkilöstöhallinnossa työskentelevällä henkilöllä voi olla käyttöoikeus arkaluonteisiin järjestelmiin, kuten palkanlaskentaan tai työntekijätiedostoihin, joita muut eivät voi nähdä. Sekä todentaminen että valtuuttaminen ovat kriittisen tärkeitä tuottavuuden mahdollistamista ja arkaluonteisten tietojen, immateriaalioikeuksien ja yksityisyyden suojaamista varten.
Todentamisen tietoturvan parhaat käytännöt
Koska tilien vaarantaminen on yleinen tapa, jolla hyökkääjät saavat luvattoman käyttöoikeuden yrityksen resursseihin, on tärkeää ottaa käyttöön todentamisen vahva tietoturva. Seuraavassa on muutamia asioita, joilla voit suojata organisaatiotasi:
-
Ota monimenetelmäinen todentaminen käyttöön
Tärkein asia, jonka voit tehdä tilien vaarantumisriskin vähentämistä varten, on ottaa käyttöön monimenetelmäinen todentaminen ja vaatia vähintään kaksi todentamismenetelmää. Hyökkääjien on paljon vaikeampi varastaa useampi kuin yksi todentamismenetelmä, varsinkin jos toinen niistä on biometrinen tieto tai jotain, joka käyttäjällä on hallussaan, kuten laite. Jotta todentaminen olisi mahdollisimman yksinkertaista työntekijöille, asiakkaille ja kumppaneille, anna heidän valita useista eri menetelmistä. On kuitenkin tärkeää huomata, että kaikki todentamismenetelmät eivät ole samanarvoisia. Jotkin ovat turvallisempia kuin muut. Vaikka esimerkiksi tekstiviestin vastaanottaminen on parempi vaihtoehto kuin ei mitään, palveluilmoitus on turvallisempi.
-
Siirry salasanattomuuteen
Kun olet ottanut käyttöön monimenetelmäisen todentamisen, voit jopa rajoittaa salasanojen käyttöä ja kannustaa ihmisiä käyttämään vähintään kahta muuta todennusmenetelmää, kuten PIN-koodia ja biometrista tietoa. Salasanojen käytön vähentäminen ja salasanattomuus yksinkertaistavat kirjautumisprosessia ja pienentävät tilien vaarantumisen riskiä.
-
Käytä salasanasuojausta
Työntekijöiden koulutuksen lisäksi on olemassa työkaluja, joilla voit vähentää helposti arvattavien salasanojen käyttöä. Salasanasuojauksen ratkaisujen avulla voit kieltää yleisesti käytetyt salasanat, kuten Salasana1. Voit myös luoda mukautetun luettelon, joka koskee yritystäsi tai aluettasi ja jossa on esimerkiksi paikallisten urheiluseurojen tai maamerkkien nimiä.
-
Ota käyttöön riskiin perustuva monimenetelmäinen todentaminen
Jotkin todentamistapahtumat ovat merkkejä vaarantumisesta, kun työntekijä esimerkiksi yrittää käyttää verkkoa uudesta laitteesta tai oudosta paikasta. Muut kirjautumistapahtumat eivät välttämättä ole epätyypillisiä, mutta ne ovat riskialttiimpia, kun esimerkiksi henkilöstöhallinnon ammattilaisen on päästävä työntekijän henkilökohtaisesti tunnistettaviin tietoihin. Vähentääksesi riskiäsi määritä käyttäjätietojen ja käyttöoikeuksien hallinnan (IAM) ratkaisusi siten, että se vaatii vähintään kaksi todentamisosaa, kun se havaitsee tämäntyyppisiä tapahtumia.
-
Priorisoi käytettävyys
Tehokas tietoturva edellyttää työntekijöiden ja muiden sidosryhmien sitoutumista. Tietoturvakäytännöt voivat joskus estää ihmisiä osallistumasta riskialttiisiin verkkotoimintoihin, mutta jos käytännöt ovat liian raskaita, ihmiset etsivät kiertotien. Parhaat ratkaisut ottavat huomioon ihmisten todellisen käyttäytymisen. Ota käyttöön ominaisuuksia, kuten omatoiminen salasanan palauttaminen, jotta ihmisten ei tarvitse soittaa asiakaspalveluun, kun he ovat unohtaneet salasanansa. Tämä voi myös kannustaa heitä valitsemaan vahvan salasanan, koska he tietävät, että se on helppo palauttaa, jos he unohtavat sen myöhemmin. Toinen hyvä tapa helpottaa kirjautumista on antaa käyttäjien valita haluamansa valtuutusmenetelmän.
-
Ota käyttöön kertakirjautuminen
Yksi erinomainen käytettävyyttä ja tietoturvaa parantava ominaisuus on kertakirjautuminen (SSO). Kukaan ei pidä siitä, että salasanaa kysytään joka kerta, kun käyttäjä vaihtaa sovellusta, Siksi käyttäjä saattaakin käyttää samaa salasanaa useissa tileissä ajan säästämistä varten. Kertakirjautumisen avulla työntekijöiden tarvitsee kirjautua vain kerran, minkä jälkeen he voivat käyttää useimpia tai kaikkia työssään tarvitsemiaan sovelluksia. Tämä vähentää kitkaa ja mahdollistaa yleisten tai ehdollisten tietoturvakäytäntöjen, kuten monimenetelmäisen todentamisen, käyttämisen kaikissa työntekijöiden käyttämissä ohjelmistoissa.
-
Käytä vähimpien oikeuksien periaatetta
Rajoita rooleihin perustuvien erityisoikeudellisten tilien määrää ja anna henkilöille juuri niin vähän oikeuksia kuin he tarvitsevat tehtäviensä hoitamisessa. Käyttöoikeuksien valvonnan käyttäminen auttaa varmistamaan, että vain harvoilla henkilöillä on kriittisimpien tietojen ja järjestelmien käyttöoikeus. Kun jonkun on suoritettava arkaluonteinen tehtävä, käytä erityisoikeudellisen käytön hallintaa, kuten juuri oikeaan aikaan tehtävää aktivointia, johon liittyy ajallinen kesto, jotta voit pienentää riskiä edelleen. On myös hyödyllistä vaatia, että hallinnolliset toiminnot suoritetaan vain erittäin suojatuilla laitteilla, jotka ovat erillään niistä tietokoneista, joita ihmiset käyttävät päivittäisissä tehtävissään.
-
Hallitse tietomurtoja ja tee säännöllisiä tarkastuksia
Monissa organisaatioissa ihmisten roolit ja työtilanne muuttuvat säännöllisesti. Työntekijät lähtevät yrityksestä tai vaihtavat osastoa. Yhteistyökumppanit siirtyvät hankkeisiin ja poistuvat niistä. Tämä voi olla ongelma, jos käyttöoikeussäännöt eivät pysy muutosten tasalla. On tärkeää varmistaa, että ihmiset eivät voit säilyttää käyttöoikeuttaan järjestelmiin ja tiedostoihin, joita he eivät enää tarvitse työssään. Jos haluat vähentää riskiä, että hyökkääjä saa haltuunsa arkaluonteisia tietoja, käytä käyttäjätietojen hallinnan ratkaisua, jonka avulla voit tarkastaa tilit ja roolit johdonmukaisesti. Näiden työkalujen avulla voit myös varmistaa, että henkilöillä on käyttöoikeus vain siihen kohteeseen, mitä hän tarvitsee, ja että organisaatiosta poistuneiden henkilöiden tilit eivät ole enää aktiivisia.
-
Suojaa käyttäjätietoja uhkilta
Käyttäjätietojen ja käyttöoikeuksien hallinnan ratkaisut tarjoavat monia työkaluja, joiden avulla voit vähentää tilien vaarantumisen riskiä, mutta on silti järkevää ennakoida tietomurtoja. Jopa hyvin koulutetut työntekijät lankeavat joskus tietojenkalasteluhuijauksiin. Jos haluat havaita tilien vaarantumisen ajoissa, investoi käyttäjätietoja suojaaviin ratkaisuihin ja ota käyttöön käytäntöjä, joiden avulla voit havaita epäilyttävän toiminnan ja reagoida siihen. Monet nykyaikaiset ratkaisut, kuten Microsoft Security Copilot, käyttävät tekoälyä paitsi uhkien havaitsemiseen myös automaattiseen reagointiin.
Pilvitodentamisratkaisut
Tunnistaminen on ratkaisevan tärkeää sekä vahvan kyberturvallisuusohjelman että työntekijöiden tuottavuuden kannalta. Kattava pilvipohjainen käyttäjätietojen ja käyttöoikeuksien hallinnan ratkaisu, kuten Microsoft Entra, tarjoaa työkalut, joiden avulla ihmiset voivat helposti saada tarvitsemansa tiedot työnsä suorittamiseen ja samalla tehokkaat toiminnot, jotka vähentävät riskiä siitä, että hyökkääjät vaarantaisivat tilin ja pääsisivät käsiksi arkaluonteisiin tietoihin.
Lue lisää Microsoft Securitystä
Microsoft Entra ID
Suojaa organisaatiotasi käyttäjätietojen ja käyttöoikeuksien hallinnalla.
Microsoft Entra -tunnuksien hallinta
Varmista automaattisesti, että oikeilla henkilöillä on oikeat käyttöoikeudet oikeisiin sovelluksiin oikeaan aikaan.
Microsoft Entran käyttöoikeuksien hallinta
Hanki yksi yhdistetty ratkaisu minkä tahansa käyttäjätietojen oikeuksien hallintaan monen pilvipalvelun infrastruktuurissasi.
Usein kysytyt kysymykset
-
On olemassa monia erilaisia todentamistyyppejä. Seuraavassa on esimerkkejä:
- Monet ihmiset kirjautuvat puhelimeensa kasvojentunnistuksen tai sormenjäljen avulla.
- Pankit ja muut palvelut vaativat usein kirjautumista salasanalla ja automaattisesti tekstiviestillä lähetettävällä koodilla.
- Jotkin tilit vaativat vain käyttäjätunnuksen ja salasanan, vaikka monet organisaatiot ovatkin siirtymässä monimenetelmäiseen todentamiseen turvallisuuden lisäämistä varten.
- Työntekijät kirjautuvat usein tietokoneeseensa ja saavat käyttöoikeuden useisiin eri sovelluksiin samaan aikaan, mitä kutsutaan kertakirjautumiseksi.
- On myös tilejä, joihin käyttäjät voivat kirjautua Facebook- tai Google-tilin avulla. Tällöin Facebook, Google tai Microsoft vastaa käyttäjän todentamisesta ja siirtää valtuutuksen palvelulle, jota käyttäjä haluaa käyttää.
-
Pilvitodentaminen on palvelu, joka varmistaa, että vain oikeat henkilöt ja sovellukset, joilla on oikeat käyttöoikeudet, voivat käyttää pilviverkkoja ja -resursseja. Monissa pilvisovelluksissa on sisäinen pilvipohjainen todentaminen, mutta on myös laajempia ratkaisuja, kuten Microsoft Entra ID, jotka on suunniteltu hoitamaan todentamisen useissa pilvisovelluksissa ja -palveluissa. Näissä ratkaisuissa käytetään yleensä SAML-protokollaa, jotta yksi tunnistautumispalvelu voi toimia useilla tileillä.
-
Vaikka todentamista ja valtuuttamista käytetäänkin usein vaihtokelpoisesti, ne ovat kaksi toisiinsa liittyvää, mutta erillistä asiaa. Todentaminen vahvistaa, että kirjautuva käyttäjä on se, joka hän sanoo olevansa, kun taas valtuuttaminen vahvistaa, että käyttäjällä on oikeat käyttöoikeudet hänen haluamiinsa tietoihin. Yhdessä käytettyinä todentaminen ja valtuuttaminen auttavat vähentämään riskiä, että hyökkääjä pääsee käsiksi arkaluonteisiin tietoihin.
-
Todentamisen avulla varmistetaan, että henkilöt ja entiteetit ovat niitä, joita he tai ne väittävät olevansa, ennen kuin heille tai niille annetaan käyttöoikeus digitaalisiin resursseihin ja verkkoihin. Vaikka ensisijaisena tavoitteena on turvallisuus, nykyaikaiset todentamisratkaisut on suunniteltu myös käytettävyyden parantamista varten. Esimerkiksi monet organisaatiot ottavat käyttöön kertakirjautumisratkaisuja, jotta työntekijöiden olisi helppo löytää kaikki heidän tarvitsemansa tiedot. Kuluttajapalveluissa käyttäjät voivat usein kirjautua sisään Facebook-, Google- tai Microsoft-tilinsä avulla, mikä nopeuttaa todentamisprosessia.
Seuraa Microsoft Securitya