Vahvan tunnistautumisen laajentunut käyttöönotto niin työ- kuin henkilökohtaisessa käytössä on tuonut mukanaan uudenlaisen hyökkäystavan, ns. MFA-spämmäyksen (MFA spamming). MFA-spämmäyksessä pyritään saamaan käyttäjä hyväksymään vahva tunnistautuminen lähettämällä hänelle hyväksyntäpyyntöjä eri palveluista.
Microsoftin tutkimusten mukaan 1% käyttäjistä hyväksyy tällaisen kalastelun jo ensimmäisellä kerralla ja mahdollistaa hyökkääjän pääsyn haluttuun resurssiin. Tämä edellyttää toki, että ennen tätä hyökkääjän on pitänyt saada tietoonsa käyttäjän tunnus ja salasana.
Lisäsuojaa todennukseen
Microsoft lisää Authenticator-todentajasovellukseen Number Matching -ominaisuuden, joka vaatii käyttäjää syöttämään kirjautumisikkunassa näkyvän luvun sovellukseen pelkän simppelin hyväksymisen sijasta. Microsoft kytkee ominaisuuden automaattisesti käyttöön 8.5.2023 lähtien.
Käyttöönoton voi tehdä hallitusti ennakkoon ja omalla aikataululla. Samalla kannattaa myös asettaa sovellukseen näkyviin kirjautumissijainti ja sovellus, mistä kirjautumista yritetään. Nämä tiedot näytetään Authenticator-sovelluksen todennusnäkymässä. Kartta näyttää sijainnin käyttäjän IP-osoitteen perusteella eikä käytä tähän laitteen paikannusta. Riittää että kirjautuminen tapahtuu samasta maasta.
Nämä ominaisuudet eivät lisää itsestään tietoturvaa, vaan asiasta pitää viestiä käyttäjille. Tärkeintä on, että käyttäjä ymmärtää miten toimitaan siinä tilanteessa, kun vahvan tunnistautumisen pyyntö tulee oudosta sijainnista tai sovelluksta sellaiseen aikaan, kun käyttäjä ei käytä työvälineitä, tai tunnistuspyyntöjä alkaa tulla jatkuvalla syötöllä.
Tekninen käyttöönotto vaatii vain muutaman asetuksen muuttaminen Azure Active Directoryssä, todellinen tietoturva tulee käyttäjien osaamisen ja ymmärryksen lisäämisellä.