Turvallisuusopas

MFA vs vahva salasana

Opi, miten monivaiheinen todennus ja vahvat salasanat toimivat yhdessä, ja miksi kumpikaan suojaustoimenpide ei korvaa toista.

Yhteenveto

MFA ja vahvat salasanat ratkaisevat eri ongelmia. Vahva salasana vaikeuttaa arvausta ja uudelleenkäyttöhyökkäyksiä. MFA lisää toisen esteen, kun salasana varastetaan, kalastellaan tai vuotaa. Tärkeillä tileillä käytä molempia.

MFA-tyypit

MFA voi sisältää todennussovelluksia, laitteistoturva-avaimia, passkeyt, push-hyväksynnät, SMS- tai sähköpostikoodit. Menetelmät eroavat kalastelunkestävyydessä ja palautusriskissä. Toinen salasana ei ole todellinen toinen tekijä.

Käytännön suositukset

• Käytä ainutlaatuisia satunnaisia salasanoja jokaiselle tilille.
• Ota MFA käyttöön sähköposti-, pankki-, työ-, pilvi- ja salasananhallintatileille.
• Suosi kalastelunkestäviä menetelmiä, kun mahdollista.
• Tallenna palautuskoodit turvallisesti.
• Tarkista varmuuskopiointimenetelmät ja luotetut laitteet.

Yksityiskohtainen opas

Tämä opas keskittyy siihen, miten MFA ja vahvat salasanat täydentävät toisiaan. Se on kirjoitettu käyttäjille, jotka pohtivat, tekeekö MFA salasanan vahvuudesta vähemmän tärkeää, joten käytännön tavoitteena ei ole luoda dramaattista turvallisuusväitettä. Tavoitteena on valita salasanatapa, joka kestää jokapäiväistä käyttöä: kirjautumislomakkeet, salasananhallinnat, mobiilinäppäimistöt, tilin palautus, jaetut laitteet ja satunnaiset palvelut, joilla on outoja validointisääntöjä. Turvallinen suositus on hyödyllinen vain, jos oikea henkilö voi noudattaa sitä johdonmukaisesti.

Turvallisin lähtökohta on satunnaisuus plus ainutlaatuisuus. Satunnaisuus tarkoittaa, että arvo valitaan suuresta avaruudesta kryptografisesti sopivalla satunnaislähteellä, ei keksitty syntymäpäivästä, lemmikin nimestä, näppäimistökuviosta tai lempilainauksesta. Ainutlaatuisuus tarkoittaa, että samaa salasanaa ei käytetä missään muualla. Pitkä mutta uudelleenkäytetty salasana voi pettää nopeasti yhden toisiinsa liittymättömän tietomurron jälkeen, kun taas ainutlaatuinen satunnainen salasana rajoittaa vahingot siihen tiliin, jossa sitä käytettiin.

Tässä aiheessa käytännöllinen esiasetus on ainutlaatuinen satunnainen salasana plus itsenäinen toinen tekijä. Voit soveltaa tätä esiasetusta sähköpostin salasanageneraattorilla ja tallentaa lopullisen arvon luotettuun salasananhallintaan. PwdGen luo arvot paikallisesti selaimessa Web Cryptolla; luotua salasanaa ei lähetetä PwdGen-palvelimelle. Tämä paikallinen suunnittelu vähentää palvelinpuolen altistumista, mutta se ei suojaa kaikilta uhilta. Haitallinen selainlaajennus, vaarantunut laite, kalastelusivu tai turvaton leikepöydän käsittely voi silti paljastaa salaisuuden sen luomisen jälkeen.

Yleisimmät vältettävät ongelmat ovat SMS-salauksen purku, kehotusväsymys, heikko palautussähköposti, turvattomasti tallennetut varmuuskoodit ja uudelleenkäytetyt salasanat MFA:n takana. Nämä ongelmat ovat tärkeitä, koska hyökkääjät harvoin tarvitsevat raakaa voimaa jokaiseen mahdolliseen salasanaan, kun ihmisten tavat antavat heille oikotien. Tunnusten täyttö, kalastelu, vuotaneet salasanalistat ja tilin palautuksen väärinkäyttö ovat usein realistisempia kuin puhdas matemaattinen haku. Siksi paras neuvo yhdistää salasanan laatu tilikohtaisiin hallintakeinoihin, kuten MFA, passkeyt, palautuskoodien tallennus ja palautussähköpostin tai puhelinnumeron asetusten säännöllinen tarkistus.

Käytä tätä tarkistuslistaa suosituksen soveltamisessa:

• Käytä sovellus-, laitteisto- tai passkey-tekijöitä, kun mahdollista.
• Suojaa sähköposti ensin.
• Tallenna palautuskoodit turvallisesti.
• Älä heikennä salasanoja, koska MFA on käytössä.

Jos verkkosivusto hylkää ihanteellisen asetuksen, älä pakota salasanaa heikompaan malliin käsin. Säädä yhtä muuttujaa kerrallaan. Jos symbolit hylätään, pidä isot kirjaimet, pienet kirjaimet ja numerot käytössä ja lisää pituutta. Jos enimmäispituus on pieni, käytä suurinta hyväksyttyä pituutta ja varmista, että arvo on ainutlaatuinen. Jos salasana on luettava ääneen, tulostettava tai kirjoitettava televisioon tai reitittimen näyttöön, harkitse hämmentävien merkkien poissulkemista ja pituuden lisäämistä kompensoimaan pienempää aakkostoa.

Lopuksi muista salasananeuvonnan rajat. Vahva salasana on yksi puolustuskerros, ei takuu. Se ei voi tehdä kalastelusivusta turvallista, korjata haittaohjelmaa tai korvata palvelua, joka tallentaa tunnukset huonosti. Hyödyllinen tapa on tylsä mutta kestävä: luo ainutlaatuinen arvo, tallenna se turvallisesti, suojaa palautuspolku ja vaihda se nopeasti, jos epäilet altistumista.

Turvallinen seuraava askel

Tämän oppaan lukemisen jälkeen tee yksi pieni tilin tarkistus sen sijaan, että yrität korjata kaikkea kerralla. Valitse tili, joka aiheuttaisi eniten ongelmia, jos se kaapattaisiin, varmista, että sen salasana on ainutlaatuinen, ja tarkista palautussähköposti, palautuspuhelin, MFA-menetelmä ja varmuuskoodien tallennus. Jos jokin osa ketjusta on heikko, paranna sitä ennen kuin siirryt pienemmän riskin tileihin. Tämä järjestys pitää työn hallittavana ja suojaa tilejä, joita hyökkääjät todennäköisimmin käyttävät ponnahduslautana. MFA vs vahva salasana -aiheessa paras lopputulos on toistettava tapa: luo paikallisesti, tallenna huolellisesti ja vältä uudelleenkäyttöä.

Usein kysytyt kysymykset

Korvaako MFA vahvan salasanan?

Ei. MFA vähentää tilin kaappauksen riskiä, mutta salasanan tulisi silti olla ainutlaatuinen ja vahva.

Onko SMS-MFA riittävä?

SMS voi olla parempi kuin ei MFA:ta ollenkaan, mutta todennussovellukset, passkeyt ja turva-avaimet ovat usein vahvempia, kun ne ovat saatavilla.

Mitä minun tulisi suojata ensin?

Suojaa sähköposti, salasananhallinta, pankki-, työ- ja pilvitilit ensin, koska ne voivat avata muita palveluita.