Uwierzytelnianie wieloskładnikowe, czyli MFA, to jedno z niewielu zabezpieczeń o naprawdę wysokim stosunku efektu do kosztu. Samo hasło da się wykraść, zgadnąć albo wyłudzić. Drugi składnik sprawia, że wykradzione hasło przestaje wystarczać. Poniżej pokazuję, jak wdrożyć MFA w firmie tak, żeby podniosło bezpieczeństwo, a nie zablokowało ludziom pracę.

Dlaczego samo hasło to za mało

Hasła wyciekają masowo i regularnie. Trafiają do baz, którymi handluje się w sieci, a atakujący po prostu je podstawiają.

  • Wiele osób używa tego samego hasła w kilku miejscach.
  • Phishing potrafi wyłudzić hasło bez żadnego włamania.
  • Silne hasło nie pomaga, jeśli ktoś przechwyci je w drodze.

W większości przypadków, które obsługiwałem, włamanie na konto zaczynało się od wyciekniętego hasła. Tam, gdzie działało MFA, atak zatrzymywał się na drugim składniku.

Krok 1: policz konta i systemy

Zanim cokolwiek włączysz, zrób inwentaryzację.

  • Spisz wszystkie systemy, które wspierają MFA: pocztę, Microsoft 365, VPN, aplikacje w chmurze.
  • Wypisz konta użytkowników i osobno konta administracyjne.
  • Zaznacz konta serwisowe i współdzielone, bo wymagają osobnego podejścia.

Krok 2: wybierz metodę drugiego składnika

Nie wszystkie metody są równie bezpieczne i wygodne.

  1. Aplikacja uwierzytelniająca z powiadomieniem lub kodem, dobry punkt startu dla większości firm.
  2. Klucz sprzętowy dla kont administracyjnych i najbardziej wrażliwych ról.
  3. Kod SMS tylko jako ostateczność, bo jest najsłabszy i podatny na przejęcie numeru.

Dla kont z najwyższymi uprawnieniami warto od razu przyjąć mocniejszą metodę, bo to one są najcenniejszym celem.

Krok 3: zacznij od administratorów

Wdrażanie zacznij od kont, które przy przejęciu robią największą szkodę.

  • Najpierw MFA dla wszystkich administratorów, bez wyjątków.
  • Potem działy o podwyższonym ryzyku, na przykład finanse i zarząd.
  • Na końcu reszta organizacji, etapami, żeby dało się reagować na problemy.

Krok 4: dołóż dostęp warunkowy

W środowisku Microsoft prawdziwą siłę daje połączenie MFA z dostępem warunkowym w Entra ID. Dzięki temu drugi składnik pojawia się mądrze, a nie przy każdym kliknięciu.

  • Wymuszaj MFA przy logowaniu z nowego urządzenia lub nietypowej lokalizacji.
  • Blokuj logowania z krajów, w których firma nie działa.
  • Ogranicz dostęp do danych wyłącznie z urządzeń spełniających zasady bezpieczeństwa.

Krok 5: zaplanuj wyjątki i sytuacje awaryjne

To etap, który najczęściej się pomija, a on decyduje o spokoju.

  • Przygotuj procedurę na zgubiony lub wymieniony telefon, żeby nie blokować pracy.
  • Zdefiniuj konto awaryjne z kluczem sprzętowym, na wypadek problemów z logowaniem.
  • Ustal, kto i jak resetuje drugi składnik, żeby nie robił tego przypadkowy człowiek.

Krok 6: komunikacja i wsparcie

Techniczne włączenie MFA to połowa sukcesu. Druga połowa to ludzie.

  • Uprzedź zespół z wyprzedzeniem i wytłumacz, po co to robicie.
  • Daj krótką instrukcję z obrazkami, jak skonfigurować aplikację.
  • Zabezpiecz pierwsze dni zwiększonym wsparciem, bo wtedy pojawia się najwięcej pytań.

Podsumowanie

Dobrze wdrożone MFA to jedna z najskuteczniejszych rzeczy, jakie możesz zrobić dla bezpieczeństwa firmy. Klucz to kolejność: najpierw administratorzy, potem reszta, z przemyślanymi wyjątkami i dobrą komunikacją.

Jeśli chcesz wdrożyć MFA i dostęp warunkowy bez chaosu, zobacz, jak konfigurujemy Entra ID w ramach wdrożenia Microsoft 365. Pomożemy przejść przez to spokojnie, tak żeby zabezpieczenie nie stało się utrapieniem.