Monivaiheinen tunnistautuminen suojaa käyttäjätilejäsi

Miten monivaiheinen tunnistautuminen toimii?

Verkossa oleviin palveluihin kirjatuessa käyttäjä todennetaan (authentication). Silloin käyttäjä todistaa palvelulle olevansa se henkilö, joka hän väittää olevansa. Perinteisesti tämä todentaminen tehdään käyttäjätunnuksen ja salasanan avulla. Käyttäjätunnuksen ja salasanan käyttäminen ei kuitenkaan valitettavasti ole kovin hyvä tapa suorittaa todentamista. Käyttäjätunnusten arvaaminen on helppoa, koska käyttäjätunnus on usein henkilön sähköpostiosoite. Lisäksi käyttäjät saattavat ottaa käyttöönsä helposti muistettavan salasanan, jota hyödyntävät useassa eri palvelussa. Salasanojen “kierrättäminen” ei ole suositeltavaa. Mikäli salasana vuotaa yhdestä palvelusta, voivat rikolliset yrittää kirjautua samalla käyttäjätunnuksella ja salasanalla myös muihin palveluihin.

Tämän takia monissa palveluissa on mahdollisuus ottaa käyttöön monivaiheinen tunnistautuminen. Useissa palveluissa monivaiheinen tunnistautuminen on käyttäjän vapaaehtoisuuteen perustuva lisäominaisuus, joka ei oletuksena ole käytössä. Tätä ominaisuutta voidaan tarjota esimerkiksi nimellä “kaksivaiheinen tunnistautuminen” ja “monivaiheinen tunnistautuminen” tai englanninkielisissä palveluissa “Two-Step Verification” ja “Multifactor Authentication”.

Monivaiheinen tunnistautuminen ei vaadi ylimääräisten koodien tai tunnusten muistamista. Ylimääräinen todennustekijä on kertakäyttöinen. Numerosarja saapuu kirjautumistapahtuman yhteydessä valitsemallasi tavalla esimerkiksi tekstiviestillä, sähköpostilla tai sen voi tarkastaa todennussovelluksesta.

Monivaiheinen tunnistaminen perustuu kolmelle periaatteelle:

1. Jotain mitä tiedän (esim. salasana)
2. Jotakin mitä omistan (esim. matkapuhelimeen lähetettävä muuttuva koodi, kuten mobiilivarmenne)
3. Jotakin mitä olen (esim. sormenjälki tai muu käyttäjän yksilöivä ominaisuus)

Kahden kolmesta todennustavasta on toteuduttava, jotta tunnistus on riittävä.

Todennustekijän valinta

Useissa palveluissa voi valita eri todennustekijöiden välillä. Joissakin palveluissa on myös mahdollista ottaa käyttöön useampi menetelmä esim. tekstiviesti sekä todennussovellus. Useamman todennustekijän käyttö voi toimia myös varamenetelmänä, jos puhelin menee rikki tai katoaa. Monet palvelut tarjoavat monivaiheista tunnistautumista käyttöönottaessa listan kertakäyttöisiä numerosarjoja, jotka kannattaa tallettaa huolellisesti esimerkiksi salasananhallintaohjelmaan. Niiden avulla on mahdollista kiertää monivaiheinen tunnistautuminen, jos pääsy ensisijaiseen tunnistautumismenetelmään on estynyt.

Monivaiheinen tunnistautuminen, joka pohjautuu vähintään kahteen todennustekijään voi pitää sisällään:
• salasanan
• sormenjälkitunnisteen
• vahvistusviestin sähköpostiin tai tekstiviestillä
• todennuslaitteen (esim. tunnuslukulaite, joita pankeilla on käytössä) tai suojaus-avaimen (ns. token)
• muuttuvan PIN-koodin
• palautuskoodit
• todennussovelluksen

Näin eri todennustekijät toimivat

Seuraavaksi kerrotaan lyhyesti erilaisten todennustekijöiden toiminnasta. Todennustekijöiden käyttöönotto voi aluksi vaikuttaa hankalalta tai työläältä, mutta monivaiheisen tunnsitautumisen käytöön tottuu nopeasti!

Missä monivaiheista tunnistautumista pitäisi käyttää?

Kannattaa miettiä, miksi monivaiheista tunnistautumista ei ottaisi käyttöön jokaisessa palvelussa, joka tarjoaa siihen mahdollisuuden. Monivaiheisen tunnistautumisen käyttöönotto hankaloittaa merkittävästi rikollisten mahdollisuuksia käyttää tietojenkalastelua. Rikolliset voivat saada käsiinsä esimerkiksi palvelun salasanan, mutta eivät pääse kirjautumaan sisään, koska heillä ei ole toista todentamiseen vaadittavaa tietoa käytössään.

Palvelut joissa on henkilö- tai maksutietoja kannattaa aina suojata monivaiheisella tunnistautumisella. Muista suojata myös yrityksen käytössä olevat tilit monivaiheisella tunnistautumisella. 

Miten monivaiheisen tunnistautumisen voi ottaa käyttöön?

Jokainen palvelu ohjeistaa omilla sivuillaan ja ohjeissaan monivaiheisen tunnistautumisen käyttöönottoon. Kaiken kattavaa ohjetta on siten mahdotonta antaa. Olemme listanneet käytetyimpiä sosiaalisen median palveluita ja ohjeita niiden monivaiheisen tunnistautumisen käyttöönottoon:

• Facebook (Ulkoinen linkki)
• Gmail (Ulkoinen linkki)
• Instagram (Ulkoinen linkki)
• LinkedIn (Ulkoinen linkki)
• PayPal (Ulkoinen linkki)
• Pinterest (Ulkoinen linkki)
• Reddit (Ulkoinen linkki) / Redditin video-ohje (Ulkoinen linkki)
• Signal (Ulkoinen linkki)
• Snapchat (Ulkoinen linkki)
• Telegram (Ulkoinen linkki)
• TikTok (Ulkoinen linkki) / TikTokin video-ohje (Ulkoinen linkki)
• Tumblr (Ulkoinen linkki)
• Twitter (Ulkoinen linkki)
• WhatsApp (Ulkoinen linkki)
• YouTube (Ulkoinen linkki)

Tunnistautumisen siirtäminen toiseen laitteeseen

Kannattaa huomioida, että joissakin todennussovelluksissa koodien varmuuskopiointi voi olla vaikeaa tai jopa mahdotonta. Puhelimen kadotessa, rikkoutuessa tai nollautuessa nämä tiedot voivat hävitä lopullisesti. Tämä voi myös hankaloittaa valitun todennussovelluksen vaihtamista seuraavaan laitteeseen. Tämän takia kannattaa mahdollisuuksien mukaan varmuuskopioida tiedot, käyttää kahta eri todennustapaa tai ottaa talteen todennussovelluksen tuottamat numerosarjat monivaiheisen tunnistautumisen käyttöönottotilanteessa.

Siirtäminen toiseen laitteeseen voidaan tehdä useilla eri tavoilla. Apuna voidaan käyttää esimerkiksi seuraavia keinoja:

• QR-koodeja
• TOTP-avaimia
• OAuth-linkkien talteenottoa
• Maksettua palvelua pilvitallennuksella
• Muuta pilvipalvelua

Authenticator-sovelluksissa on myös paljon eroja siinä miten helppoa tietojen varmuuskopiointi niistä on. Suosittelemme, että tutustut tarkasti valitun sovelluksen mahdollistamaan varmuuskopiointiin tai siirtämisvaihtoehtoihin.