MFA käyttöön yrityksessä – mitä, miksi ja miten

Kaksivaiheinen tunnistautuminen (MFA, Multi-Factor Authentication) on yksinkertainen tapa nostaa yrityksen tietoturvaa merkittävästi. Pelkkä salasana ei enää riitä – vaikka se vuotaisi, MFA estää luvattoman pääsyn. Tässä oppaassa käymme läpi, mitä MFA on, miksi se kannattaa ottaa käyttöön ja miten se tehdään käytännössä Microsoft 365:ssä ja Google Workspacessa.

Mitä MFA on?

MFA tarkoittaa, että kirjautuminen vaatii vähintään kaksi eri todennustapaa. Yleensä nämä ovat:

• Jotain mitä tiedät: salasana tai PIN-koodi
• Jotain mitä sinulla on: puhelin, jossa tunnistautumissovellus tai tekstiviesti
• Jotain mitä olet: sormenjälki tai kasvojentunnistus (harvemmin käytössä yrityksissä)

Käytännössä MFA toimii niin, että kun kirjaudut sisään salasanalla, järjestelmä pyytää vielä toisen vahvistuksen – esimerkiksi koodin puhelimestasi tai hyväksynnän sovelluksessa. Vasta tämän jälkeen pääset sisään.

Miksi MFA kannattaa ottaa käyttöön?

Salasanat vuotavat

Salasanat päätyvät vääriin käsiin monella tapaa: tietomurrot, kalasteluviestit, heikot salasanat tai sama salasana monessa paikassa. Kun MFA on käytössä, pelkkä salasana ei riitä – hyökkääjä tarvitsisi myös pääsyn puhelimeesi.

Suurin osa hyökkäyksistä estyy

Microsoftin mukaan MFA estää yli 99,9 % tilien kaappaushyökkäyksistä (Lähde: Microsoft Security Blog). Tämä on yksinkertaisin ja tehokkain tietoturvaparannus, jonka voit tehdä.

Pakollinen monessa sopimuksessa

Vakuutusyhtiöt, asiakkaat ja kumppanit vaativat yhä useammin MFA:ta osana tietoturvavelvoitteita. Jos MFA:ta ei ole, se voi vaikuttaa sopimusehtoihin tai vakuutuskorvauksiin tietoturvaloukkauksen sattuessa.

Miten MFA otetaan käyttöön?

Microsoft 365

1. Kirjaudu hallintakeskukseen
Mene osoitteeseen admin.microsoft.com ja kirjaudu pääkäyttäjänä (global admin).

2. Ota MFA käyttöön
Siirry kohtaan Azure Active Directory → Properties → Manage Security defaults tai Conditional Access -asetuksiin. Yksinkertaisin tapa on laittaa "Security defaults" päälle – se pakottaa MFA:n kaikille käyttäjille automaattisesti.

3. Käyttäjät rekisteröivät laitteensa
Kun käyttäjä kirjautuu seuraavan kerran sisään, häntä pyydetään rekisteröimään puhelinnumero tai Microsoft Authenticator -sovellus. Tämä tapahtuu kerran, jonka jälkeen MFA on käytössä.

Google Workspace

1. Kirjaudu hallintakonsoliin
Mene osoitteeseen admin.google.com ja kirjaudu ylläpitäjänä.

2. Ota 2-Step Verification käyttöön
Siirry kohtaan Security → 2-Step Verification. Voit valita, pakotetaanko kaikki käyttäjät ottamaan MFA käyttöön vai annetaanko heille aikaa tehdä se vapaaehtoisesti (suositus: pakota, jotta kaikki ovat suojassa).

3. Käyttäjät rekisteröivät laitteensa
Käyttäjät voivat käyttää Google Authenticator -sovellusta, tekstiviestejä tai turva-avaimia.

Vinkit onnistuneeseen käyttöönottoon

• Tiedota etukäteen: Kerro henkilöstölle, mitä tapahtuu ja miksi. Näin vältät turhaa hämmennystä.
• Testaa pienellä ryhmällä: Ota MFA ensin käyttöön muutamalla henkilöllä, varmista että kaikki toimii, ja laajenna sitten koko yritykseen.
• Tarjoa ohjeistus: Anna selkeä ohje, miten Authenticator-sovellus asennetaan ja miten MFA rekisteröidään.
• Varaa varasuunnitelma: Varmista, että ylläpitäjillä on varatunnukset tai varakoodit, jos joku kadottaa puhelimensa.

Katso myös

• Microsoft 365 vs Google Workspace – kumpi sopii yrityksellesi?
• Varmuuskopiot yritykselle: mitä pitää varmistaa
• IT-tuki yrityksille – etänä tai paikan päällä
• Yrityssähköposti: Microsoft 365 tai Gmail – käyttöönotto ja tuki

Lähteet ja lisälukeminen

• Microsoft Security Blog: One simple action you can take to prevent 99.9% of account attacks (2019)
• Traficom Kyberturvallisuuskeskus: Salasanat haltuun
• NIST SP 800-63B: Digital Identity Guidelines – Authentication
• Microsoft: Mikä on monimenetelmäinen todentaminen?