Vaadi parannusta Office 365 -palveluiden tietoturvaan – ota käyttöön 2-vaiheinen tunnistautuminen

Atlas IT-kartoitus Onko IT-ympäristösi ylläpito tulipalojen sammuttelua?

Pyydä apua
Printcom auttaa 2-vaiheisen tunnistautuminen kytkennässä.
Tietoturvan kannalta oleelliseen 2-vaiheiseen tunnistautumiseen tarvitaan aina mobiililaitetta. Microsoft on parantanut ohjeistuksiaan, mutta käytäntö vielä osoittaa, että käyttäjät kokevat 2-vaiheisen tunnistautumisen kytkennän hankalaksi. Helpointa ja varminta on hyödyntää IT-asiantuntijaa.

Salasanan voi helposti luovuttaa vahingossa kalastelijalle, eikä sitä välttämättä edes itse huomaa. Käytäntö on osoittanut, että vahingon sattuessa kaksivaiheinen tunnistautuminen suojaa käyttäjätilit. Tällöin korjaukseksi riittää käyttäjän salasanan vaihto sekä tiedotus sisäisesti IT-toimijalle, jonka tulee tarkistaa mahdolliset vahingot.

Office 365 -palveluiden väärinkäytökset ovat viimeisen vuoden aikana räjähdysmäisesti lisääntyneet. Tästä on uutisoitu suomalaisessa mediassa sekä Viestintäviraston tiedotteissa käytännössä jatkuvasti.

Samaan aikaan Office 365 -palveluita on otettu entistä enemmän käyttöön yrityksissä. Tämä johtuu siitä, että ne antavat ylivoimaisen hinta-laatusuhteen yrityksille tarjottavissa sähköisissä työkaluissa.

Identiteettivarkaudet tiivistyvät hyvin yksinkertaiseen ongelmaan: käyttäjien harhauttamiseen. Koska kaikki tiedot, jotka Office 365 -palveluihin ladataan, ovat saavutettavissa yhdellä ainoalla tunnistautumisella mistäpäin maailmaa tahansa, ovat nämä tiedot identiteettivarkaiden kiinnostuksen kohteiden kärkipäässä. Yhdellä ainoalla salasanalla pääsee käsiksi yrityksen sähköposteihin, intranetiin, tallennettuihin dokumentteihin ja niin edelleen.

Tietoturvallisimmat vaihtoehdot tunnistautumiseen ovat tekstiviesti ja autentikaattorisovelluksen PIN-koodi

Suomalaiset pankit näkivät ongelman, kun aikoinaan verkkopankit tulivat laajaan käyttöön. Alusta asti niiden tunnistautumisessa onkin käytetty niin sanottua kaksivaiheista tunnistautumista, jossa käyttäjätunnuksien lisäksi kirjautumisessa pitää syöttää avainlukulistalta vaihtuva tunniste.

Office 365 -palvelussa avainlukulistaa ei ole mahdollista toteuttaa, eikä siihen ole tarvettakaan, sillä käytössä on huomattavasti modernimmat työkalut toiminnallisuuden toteuttamiseen. Yksinkertaisimmillaan avainlukulistan virkaa toimittaa käyttäjän puhelinnumeroon toimitettava tekstiviesti.

Tekstiviestitunnistautuminen on tietoturvallinen tapa kaksivaiheiseen tunnistautumiseen.

Kaksivaiheinen tunnistautuminen tulee suorittaa jokaisella uudella kirjautumisyrityksellä. Uusi kirjautumisyritys tarkoittaa, että tiliin kirjaudutaan laitteella, jota käyttäjä ei ole viime aikoina käyttänyt tai käyttäjä on aikaisemmin lopettanut istunnon kirjautumalla Office 365 -palveluista ulos. Täten päivittäiseen työntekoon muutoksella on minimaalinen vaikutus. 

Tunnistautumistapoja on käytännössä neljä: tekstiviesti, puhelu (automaatti), autentikaattorisovellus (esim. Microsoft Authenticator tai Google Authenticator) tai Microsoft Authenticatorin notifikaatioilmoitus. 

Kaksivaiheiseen tunnistautumiseen tarvitaan mobiililaitetta.

Tietoturvallisin vaihtoehto tunnistautumiseen on tekstiviesti tai autentikaattorisovelluksen PIN-koodi. Tunnistautumishyväksyntää ei näitä käytettäessä pysty antamaan tuntemattomalle kirjautujalle.


Autentikaattorisovelluksen käyttö on tietoturvallinen tapa kaksivaiheiseen tunnistautumiseen.

Uuteen kirjautumiseen tarvitaan siis palvelun kytkennän jälkeen aina mobiililaite. Tähän perustuu myös palvelun tietoturva: salasanan voi hukata huomaamatta, mutta mobiililaitteen häviämisen käyttäjä oletettavasti havaitsee.

Käyttäjän kannalta helpoin ja varmin keino kytkeä tunnistautuminen on käyttää IT-asiantuntijaa

Palvelu oteta käyttöön käyttäjä kerrallaan. Tärkein osa palvelun kytkentää on käyttäjien tiedotus. Tiedotuksessa tulee ilmetä syy muutokselle sekä mitkä sen vaikutukset ovat jokapäiväiseen tekemiseen.

Käyttäjälle helpoin ratkaisu on se, että IT-asiantuntijat tekevät kytkennän ja käyvät läpi sen vaikutukset yhdessä loppukäyttäjän kanssa. Tällöin saavutetaan varmuudella tilanne, että käyttäjä tietää, mistä on kyse ja että kaikki hänen laitteensa tulevat muutoksen jälkeen käyttökuntoon.

Microsoft on parantanut ohjeistuksiaan koskien kaksivaiheista tunnistautumista, mutta käytäntö vielä osoittaa, että käyttäjät kokevat kytkennän hankalaksi.

Ongelmat koskevat pääasiassa Outlook-ohjelmistoja sekä vanhahtavaa Skype for Business -ohjelmistoa. Näidenkin osalta tilanne helpottuu, jos käytössä ovat Office 365 -palvelun lisensoidut ohjelmistopaketit.

Palvelun kytkennän ainoa pakollinen vaihe, joka käyttäjältä pyydetään, on puhelinnumeron vahvistaminen tekstiviestitse. Tämä tapahtuu sen jälkeen, kun Office 365 -palvelua hallinnoiva IT-toimija on aktivoinut kaksivaiheisen tunnistautumisen käyttöön. Käyttäjän kirjautuessa osoitteeseen www.office.com omilla henkilökohtaisilla Office 365 -palvelutunnuksillaan häneltä kysytään puhelinnumeroa. Puhelinnumero vahvistetaan saapuvalla tekstiviestillä.

Palvelu aktivoituu välittömästi tämän jälkeen, ja se alkaa käyttää tunnistautumiseen tekstiviestiä. Vaihtoehtoiset tunnistautumismekanismit ovat käyttäjän itse päätettävissä tämän jälkeen.

Vahinkoja sattuu – siksi ylimääräinen tietoturvakerros on oleellinen käyttäjien kirjautumisessa

Käytäntö on osoittanut, että kaksivaiheinen tunnistautuminen suojaa käyttäjätilit vahingon sattuessa. Salasanan voi nykyisissä kalasteluyrityksissä helposti luovuttaa eikä sitä välttämättä usein edes itse huomaa. Kun ylimääräinen tietoturvakerros on kytketty käyttäjätilien kirjautumiseen, ei vahinkoa pääse syntymään. Tällöin korjaukseksi riittää käyttäjän salasanan vaihto sekä luonnollisesti tiedotus sisäisesti IT-toimijalle, jonka tulee tarkistaa mahdolliset vahingot. Office 365 -palvelut tarjoavat IT-toimijalle hyvät työkalut vahinkojen tarkasteluun. 

Suosittelen, että vaaditte IT-toimijaltanne toimenpiteitä koskien Office 365 -palveluiden tietoturvaa.

Printcom Center on valmistautunut kytkemään kaksivaiheisen tunnistautumisen Office 365 -palveluihinne. Kytkentätapa kartoitetaan aina tarpeidenne mukaiseksi.

Juha Kuorelahti 

Järjestelmäasiantuntija Juha Kuorelahti Printcom Center

Kirjoittaja on Printcom Centerin järjestelmäasiantuntija. Printcom Center huolehtii yritysten IT-ympäristöjen toimivuudesta ja tietoturvasta.