Uwierzytelnianie wieloskładnikowe, czyli MFA, to jedno z niewielu zabezpieczeń o naprawdę wysokim stosunku efektu do kosztu. Samo hasło da się wykraść, zgadnąć albo wyłudzić. Drugi składnik sprawia, że wykradzione hasło przestaje wystarczać. Poniżej pokazuję, jak wdrożyć MFA w firmie tak, żeby podniosło bezpieczeństwo, a nie zablokowało ludziom pracę.
Dlaczego samo hasło to za mało
Hasła wyciekają masowo i regularnie. Trafiają do baz, którymi handluje się w sieci, a atakujący po prostu je podstawiają.
- Wiele osób używa tego samego hasła w kilku miejscach.
- Phishing potrafi wyłudzić hasło bez żadnego włamania.
- Silne hasło nie pomaga, jeśli ktoś przechwyci je w drodze.
W większości przypadków, które obsługiwałem, włamanie na konto zaczynało się od wyciekniętego hasła. Tam, gdzie działało MFA, atak zatrzymywał się na drugim składniku.
Krok 1: policz konta i systemy
Zanim cokolwiek włączysz, zrób inwentaryzację.
- Spisz wszystkie systemy, które wspierają MFA: pocztę, Microsoft 365, VPN, aplikacje w chmurze.
- Wypisz konta użytkowników i osobno konta administracyjne.
- Zaznacz konta serwisowe i współdzielone, bo wymagają osobnego podejścia.
Krok 2: wybierz metodę drugiego składnika
Nie wszystkie metody są równie bezpieczne i wygodne.
- Aplikacja uwierzytelniająca z powiadomieniem lub kodem, dobry punkt startu dla większości firm.
- Klucz sprzętowy dla kont administracyjnych i najbardziej wrażliwych ról.
- Kod SMS tylko jako ostateczność, bo jest najsłabszy i podatny na przejęcie numeru.
Dla kont z najwyższymi uprawnieniami warto od razu przyjąć mocniejszą metodę, bo to one są najcenniejszym celem.
Krok 3: zacznij od administratorów
Wdrażanie zacznij od kont, które przy przejęciu robią największą szkodę.
- Najpierw MFA dla wszystkich administratorów, bez wyjątków.
- Potem działy o podwyższonym ryzyku, na przykład finanse i zarząd.
- Na końcu reszta organizacji, etapami, żeby dało się reagować na problemy.
Krok 4: dołóż dostęp warunkowy
W środowisku Microsoft prawdziwą siłę daje połączenie MFA z dostępem warunkowym w Entra ID. Dzięki temu drugi składnik pojawia się mądrze, a nie przy każdym kliknięciu.
- Wymuszaj MFA przy logowaniu z nowego urządzenia lub nietypowej lokalizacji.
- Blokuj logowania z krajów, w których firma nie działa.
- Ogranicz dostęp do danych wyłącznie z urządzeń spełniających zasady bezpieczeństwa.
Krok 5: zaplanuj wyjątki i sytuacje awaryjne
To etap, który najczęściej się pomija, a on decyduje o spokoju.
- Przygotuj procedurę na zgubiony lub wymieniony telefon, żeby nie blokować pracy.
- Zdefiniuj konto awaryjne z kluczem sprzętowym, na wypadek problemów z logowaniem.
- Ustal, kto i jak resetuje drugi składnik, żeby nie robił tego przypadkowy człowiek.
Krok 6: komunikacja i wsparcie
Techniczne włączenie MFA to połowa sukcesu. Druga połowa to ludzie.
- Uprzedź zespół z wyprzedzeniem i wytłumacz, po co to robicie.
- Daj krótką instrukcję z obrazkami, jak skonfigurować aplikację.
- Zabezpiecz pierwsze dni zwiększonym wsparciem, bo wtedy pojawia się najwięcej pytań.
Podsumowanie
Dobrze wdrożone MFA to jedna z najskuteczniejszych rzeczy, jakie możesz zrobić dla bezpieczeństwa firmy. Klucz to kolejność: najpierw administratorzy, potem reszta, z przemyślanymi wyjątkami i dobrą komunikacją.
Jeśli chcesz wdrożyć MFA i dostęp warunkowy bez chaosu, zobacz, jak konfigurujemy Entra ID w ramach wdrożenia Microsoft 365. Pomożemy przejść przez to spokojnie, tak żeby zabezpieczenie nie stało się utrapieniem.