Monivaiheinen tunnistautuminen suojaa käyttäjätilejäsi | Traficom
Siirry pääsisältöön
Liikenne- ja viestintävirasto

Monivaiheinen tunnistautuminen suojaa käyttäjätilejäsi

Monivaiheisella tunnistautumisella tarkoitetaan sitä, että henkilöllisyytesi varmistetaan kahta tai useampaa eri tunnistautumistapaa käyttämällä. Lähes kaikki käyttäjätilien kaappausyritykset voidaan estää monivaiheista tunnistautumista käyttämällä. Vaikka rikollinen saisi tietoonsa käyttäjätunnuksesi ja salasanasi, palveluun ei pääse kirjautumaan ilman lisätunnistetta. Palvelut joissa on henkilö- tai maksutietoja kannattaa aina suojata monivaiheisella tunnistautumisella.

Monivaiheinen tunnistautuminen pähkinänkuoressa

Monivaiheinen tunnistautuminen (Multi-factor Authentication, MFA) tarkoittaa sitä, että henkilön identiteetti varmistetaan useampaa eri tunnistautumistapaa käyttämällä. Kaksivaiheinen tunnistautuminen (Two-factor Authentication, 2FA) on yleisin monivaiheisen tunnistautumisen muoto.

Miten monivaiheinen tunnistautuminen toimii?

Verkossa oleviin palveluihin kirjatuessa käyttäjä todennetaan (authentication). Silloin käyttäjä todistaa palvelulle olevansa se henkilö, joka hän väittää olevansa. Perinteisesti tämä todentaminen tehdään käyttäjätunnuksen ja salasanan avulla. Käyttäjätunnuksen ja salasanan käyttäminen ei kuitenkaan valitettavasti ole kovin hyvä tapa suorittaa todentamista. Käyttäjätunnusten arvaaminen on helppoa, koska käyttäjätunnus on usein henkilön sähköpostiosoite. Lisäksi käyttäjät saattavat ottaa käyttöönsä helposti muistettavan salasanan, jota hyödyntävät useassa eri palvelussa. Salasanojen “kierrättäminen” ei ole suositeltavaa. Mikäli salasana vuotaa yhdestä palvelusta, voivat rikolliset yrittää kirjautua samalla käyttäjätunnuksella ja salasanalla myös muihin palveluihin.

Tämän takia monissa palveluissa on mahdollisuus ottaa käyttöön monivaiheinen tunnistautuminen. Useissa palveluissa monivaiheinen tunnistautuminen on käyttäjän vapaaehtoisuuteen perustuva lisäominaisuus, joka ei oletuksena ole käytössä. Tätä ominaisuutta voidaan tarjota esimerkiksi nimellä “kaksivaiheinen tunnistautuminen” ja “monivaiheinen tunnistautuminen” tai englanninkielisissä palveluissa “Two-Step Verification” ja “Multifactor Authentication”.

Monivaiheinen tunnistautuminen ei vaadi ylimääräisten koodien tai tunnusten muistamista. Ylimääräinen todennustekijä on kertakäyttöinen. Numerosarja saapuu kirjautumistapahtuman yhteydessä valitsemallasi tavalla esimerkiksi tekstiviestillä, sähköpostilla tai sen voi tarkastaa todennussovelluksesta.

Monivaiheinen tunnistaminen perustuu kolmelle periaatteelle:

  1. Jotain mitä tiedän (esim. salasana)
  2. Jotakin mitä omistan (esim. matkapuhelimeen lähetettävä muuttuva koodi, kuten mobiilivarmenne)
  3. Jotakin mitä olen (esim. sormenjälki tai muu käyttäjän yksilöivä ominaisuus)

Kahden kolmesta todennustavasta on toteuduttava, jotta tunnistus on riittävä.

Todennustekijän valinta

Useissa palveluissa voi valita eri todennustekijöiden välillä. Joissakin palveluissa on myös mahdollista ottaa käyttöön useampi menetelmä esim. tekstiviesti sekä todennussovellus. Useamman todennustekijän käyttö voi toimia myös varamenetelmänä, jos puhelin menee rikki tai katoaa. Monet palvelut tarjoavat monivaiheista tunnistautumista käyttöönottaessa listan kertakäyttöisiä numerosarjoja, jotka kannattaa tallettaa huolellisesti esimerkiksi salasananhallintaohjelmaan. Niiden avulla on mahdollista kiertää monivaiheinen tunnistautuminen, jos pääsy ensisijaiseen tunnistautumismenetelmään on estynyt.

Monivaiheinen tunnistautuminen, joka pohjautuu vähintään kahteen todennustekijään voi pitää sisällään:
• salasanan
• sormenjälkitunnisteen
• vahvistusviestin sähköpostiin tai tekstiviestillä
• todennuslaitteen (esim. tunnuslukulaite, joita pankeilla on käytössä) tai suojaus-avaimen (ns. token)
• muuttuvan PIN-koodin
• palautuskoodit
• todennussovelluksen

Näin eri todennustekijät toimivat

Seuraavaksi kerrotaan lyhyesti erilaisten todennustekijöiden toiminnasta. Todennustekijöiden käyttöönotto voi aluksi vaikuttaa hankalalta tai työläältä, mutta monivaiheisen tunnsitautumisen käytöön tottuu nopeasti!

Tekstiviestitse tapahtuva todennus otetaan käyttöön syöttämällä palveluun oma puhelinnumero. Seuraavalla kerralla, kun palveluun kirjaudutaan, palvelu kysyy käyttäjätunnuksen ja salasanan kirjoittamisen jälkeen noin 4-8 numeroista koodia, joka tulee puhelimeen tekstiviestillä. Syöttämällä koodin sivustolle, pääset kirjautumaan palveluun.

Todennuslaite tai suojausavain tarkoittaa fyysistä laitetta. Yleensä suojausvaimia voivat olla esimerkiksi USB-, NFC- tai Bluetooth-laitteet, jotka on mahdollista rekisteröidä käyttöön eri palveluissa. Suojausavaimen käyttöönotto edellyttää, että seuraavalla kirjautumiskerralla käytössä oleva laite yhdistetään fyysiseen avaimeen.

Palautuskoodien avulla tapahtuva todennus voidaan ottaa käyttöön varavaihtoehdoksi, jos puhelimelle tapahtuu jotain ja sitä ei voi käyttää. Palautuskoodit ovat lista kirjautumistapahtuman yhteydessä käytettävistä koodeista, jotka voi käyttää kerran. Käyttämisen jälkeen koodia ei voi koskaan enää käyttää uudelleen. Palautuskoodit on mahdollista ladata tiedostona omalle koneelle, laitteelle, ottaa niistä kuvankaappaus, tallentaa salasananhallintaohjelmaan tai tulostaa paperille.

Todennussovellusta käyttääksesi sinun tulee ladata laitteellesi jokin mobiilisovellus virallisesta sovelluskaupasta. Todennussovellus otetaan käyttöön kirjautumalla haluttuun palveluun (esim. Facebook tai Telegram), ja siirtymällä asetuksista monivaiheisen tunnistautumisen käyttöönottokohtaan. Sieltä skannataan palvelusta saatava QR-koodi tai kopioidaan palvelun tarjoama tunniste todennussovellukseen.

Seuraavan kirjautumisen yhteydessä käyttäjätunnuksen ja salasanan syöttämisen jälkeen, palvelu pyytää syöttämään todennussovelluksessa näkyvän numerosarjan, joka vaihtuu noin 30 sekunnin välein.

Todennussovellus ei ole tilikohtainen, eli sen voi ottaa käyttöön useilla eri käyttäjätileillä ja monissa eri palveluissa. Mikäli käytössäsi on useita eri palveluita, joilla käytät todennussovellusta, kannattaa tilit nimetä todennussovelluksessa selkeästi esimerkiksi niin, että nimeen sisältyy sen palvelun nimi, joissa käytät sitä.

Missä monivaiheista tunnistautumista pitäisi käyttää?

Kannattaa miettiä, miksi monivaiheista tunnistautumista ei ottaisi käyttöön jokaisessa palvelussa, joka tarjoaa siihen mahdollisuuden. Monivaiheisen tunnistautumisen käyttöönotto hankaloittaa merkittävästi rikollisten mahdollisuuksia käyttää tietojenkalastelua. Rikolliset voivat saada käsiinsä esimerkiksi palvelun salasanan, mutta eivät pääse kirjautumaan sisään, koska heillä ei ole toista todentamiseen vaadittavaa tietoa käytössään.

Palvelut joissa on henkilö- tai maksutietoja kannattaa aina suojata monivaiheisella tunnistautumisella. Muista suojata myös yrityksen käytössä olevat tilit monivaiheisella tunnistautumisella. 

Miten monivaiheisen tunnistautumisen voi ottaa käyttöön?

Jokainen palvelu ohjeistaa omilla sivuillaan ja ohjeissaan monivaiheisen tunnistautumisen käyttöönottoon. Kaiken kattavaa ohjetta on siten mahdotonta antaa. Olemme listanneet käytetyimpiä sosiaalisen median palveluita ja ohjeita niiden monivaiheisen tunnistautumisen käyttöönottoon:

Tunnistautumisen siirtäminen toiseen laitteeseen

Kannattaa huomioida, että joissakin todennussovelluksissa koodien varmuuskopiointi voi olla vaikeaa tai jopa mahdotonta. Puhelimen kadotessa, rikkoutuessa tai nollautuessa nämä tiedot voivat hävitä lopullisesti. Tämä voi myös hankaloittaa valitun todennussovelluksen vaihtamista seuraavaan laitteeseen. Tämän takia kannattaa mahdollisuuksien mukaan varmuuskopioida tiedot, käyttää kahta eri todennustapaa tai ottaa talteen todennussovelluksen tuottamat numerosarjat monivaiheisen tunnistautumisen käyttöönottotilanteessa.

Siirtäminen toiseen laitteeseen voidaan tehdä useilla eri tavoilla. Apuna voidaan käyttää esimerkiksi seuraavia keinoja:

  • QR-koodeja
  • TOTP-avaimia
  • OAuth-linkkien talteenottoa
  • Maksettua palvelua pilvitallennuksella
  • Muuta pilvipalvelua

Authenticator-sovelluksissa on myös paljon eroja siinä miten helppoa tietojen varmuuskopiointi niistä on. Suosittelemme, että tutustut tarkasti valitun sovelluksen mahdollistamaan varmuuskopiointiin tai siirtämisvaihtoehtoihin.

Lue lisää

Muista myös salasanat ja niiden oikeaoppinen käyttö. Tutustu myös muihin ohjeisiimme.

Salasanat haltuun - Kuka käyttää tiliäsi? Pidempi parempi - Näin teet hyvän salasanan Nasevia neuvoja tiliesi turvaamiseksi
Sivu on viimeksi päivitetty