Artikkeli

Mikä on kaksi­vaiheinen tunnistautuminen (2FA)?

F-Secure
F-Secure
|
28. lokak. 2023
|
8 min lukuaika

Kaksi­vaiheinen tunnistautuminen on yksi vaihe lisää, kun tunnistaudut käyttäjä­tileillesi. Sen sijaan, että käyttäisit tunnistautumiseen ainoastaan käyttäjä­tunnustasi ja sala­sanaa, sinun on lisäksi todistettava henkilöllisyytesi jollain toisella tavalla. Toinen tapa tunnistautua voi olla esi­merkiksi puhelimeesi teksti­viestillä lähetettävä koodi, henkilö­kohtainen turva­kysymys, sormen­jälkesi tai mobiili­sovellus.

Kaksi­vaiheinen tunnistautuminen (tai kaksi­vaiheinen vahvistus) tunnetaan englanniksi nimellä two-factor authentication eli 2FA. Jos tunnistautumiseen on käytössä kaksi tai useampi vaihe, käytetään myös termiä moni­vaiheinen tunnistautuminen eli MFA (multi-factor authentication). Kaksi- ja moni­vaiheinen tunnistautuminen suojaa käyttäjä­tilisi tekemällä niihin murtautumisesta vaikeampaa. Onnistuessaan murtautumaan käyttäjä­tilillesi, verkko­rikolliset ja hakkerit voivat esi­merkiksi varastaa henkilö­kohtaisia tietojasi, käyttää henkilö­tietojasi identiteetti­varkauteen tai viedä rahaa tililtäsi.

Miten kaksi­vaiheinen vahvistus toimii?

Tavallisesti käyttäjän henkilöllisyys vahvistetaan käyttäjä­tunnuksella ja sala­sanalla. Vaikka vahvan sala­sanan käyttäminen tekee tilistäsi turvallisemman, sala­sana voidaan varastaa. Verkko­rikollisten käytössä olevat työ­kalut sala­sanojen murtamiseen ja varastamiseen kehittyvät jatkuvasti, joten sinun ei kannata turvata henkilö­tietojasi pelkän sala­sanan voimalla.

Käyttäjä­tunnuksesi selvittäminen tai arvaaminen ei ole vaikeaa, sillä tunnus on yleensä joko sähkö­posti­osoitteesi tai muuten kaikille näkyvissä. Vaikka kyber­turvallisuuden asian­tuntijat neuvovat toisin, monet käyttävät eri käyttäjä­tileillään samoja sala­sanoja tai valitsevat sala­sanan, joka on yksin­kertainen ja helppo muistaa. Kun samaa sala­sanaa käytetään useammalla kuin yhdellä tilillä, sen avulla voidaan murtautua monelle eri tilille. Tästä syystä kannattaa käyttää sala­sanojen­hallinta­ohjelmaa, jonka avulla luot ja hallitset vahvoja sala­sanojasi ilman niiden opettelua ulkoa.

Kaksi­vaiheisen tunnistautumisen keinot voidaan jakaa kolmeen kategoriaan:

  • Jotain mitä tiedät. Kyseessä voi olla esi­merkiksi sala­sana, PIN-koodi tai turva­kysymys, johon vain sinä tiedät vastauksen.

  • Jotain mitä omistat. Tässä tapauksessa tarvitset tunnistautumista varten jonkin esineen, kuten puhelimesi tai pankki- tai luotto­kortin. Tarvittaessa voit käyttää myös tarkoitukseen suunniteltua todennus­laittetta.

  • Jotain mitä olet. Tämä moni­vaiheisen tunnistautumisen tapa on erittäin turvallinen, sillä sen avulla käyttäjä voidaan yksilöidä esi­merkiksi kasvojen, sormen­jäljen tai äänen avulla.

Monet verkko­palvelut ja sivustot ovat ottaneet käyttöön kaksi­vaiheisen tunnistautumisen suojatakseen käyttäjiensä yksityisyyttä ja estääkseen tunnusten hakkeroinnin. Käyttäjien kannattaa kuitenkin muistaa, että usein kaksi­vaiheinen tunnistus ei ole päällä automaattisesti, vaan se on kytkettävä päälle itse asetuksista. Riippuu paljon palvelusta, miten kaksi­vaiheinen tunnistautuminen otetaan käyttöön ja miten se käytännössä toimii. Kaksi­vaiheista tunnistautumista voidaan vaatia esi­merkiksi vain uudelle laitteelle kirjauduttaessa tai joka kerta, kun käyttäjä kirjautuu tililleen.

Ota kaksi­vaiheinen tunnistautuminen käyttöön

Kaksi­vaiheinen tunnistautuminen kannattaa ottaa käyttöön niin monella käyttäjä­tilillä kuin mahdollista. Valitettavasti kaikki palvelut eivät vielä tue kaksi­vaiheista tunnistautumista, joten sinun on luotettava vahvojen ja uniikkien sala­sanojen tuomaan turvaan. Verkko­rikollisten ja huijareiden menetelmät sekä työ­kalut kehittyvät kaiken aikaa, joten sinun on varauduttava, ettei kukaan muu kuin sinä pääse kirjautumaan tunnuksillesi.

Kaksi­vaiheinen tunnistautuminen ei ole niin moni­mutkaista kuin moni luulee. Itse asiassa se on erittäin yksin­kertainen, helppo ja kaiken lisäksi ilmainen tapa parantaa turvallisuutta verkossa. Näin 2FA auttaa sinua pysymään suojassa:

  • Estä käyttäjä­tilien kaappaus. Verkko­rikolliset voivat varastaa tileiltäsi arvokasta henkilö­kohtaista tietoa, kuten luotto­kortti­tietoja, ja käyttää niitä ostosten tekemiseen verkossa.

  • Ehkäise identiteetti­varkaus. Käyttäjä­tilisi kaappaamisen lisäksi verkko­rikolliset voivat käyttää tietojasi identiteetti­varkauteen. Seuraukset voivat olla vakavat ja uhrille kalliit, jos identiteetti­varkauteen ei reagoida ajoissa.

  • Estä petoksia nimissäsi. Verkko­rikolliset voivat murtautua esi­merkiksi some­tileillesi ja levittää huijaus­viestejä nimissäsi. Huijarit voivat hyödyntää muun muassa Instagram-tiliäsi ja pyrkiä myymään bit­coineja seuraajillesi. Kaksi­vaiheinen vahvistus ei siis suojaa ainoastaan sinua ja omaa mainettasi, vaan estää muita joutumasta huijatuksi.

  • Pidä käyttäjä­tilisi turvassa. Kun otat käyttöön kaksi­vaiheisen tunnistautumisen, joudut miettimään tarkemmin omaa yksityisyyttäsi ja turvallisuuttasi internetissä. Monet käyttävät samoja sala­sanoja useilla eri tileillä, koska se on huomattavasti helpompaa kuin usean moni­mutkaisen mutta vahvan sala­sanan muistaminen. Kaksi­vaiheinen tunnistautuminen on tehokas tapa kasvattaa ihmisten tietoisuutta kyber­turvallisuudesta.

Moni­vaiheisen tunnistautumisen metodit

Esittelimme aiemmin kolme kategoriaa, joihin moni­vaiheisen tunnistautumisen eri metodit voidaan jakaa. Tässä tarkemmin eri tavat vahvistaa käyttäjä­tiliesi turvaa.

  • Henkilö­kohtainen kysymys. Voit valita tunnistautumista varten kysymyksen, johon muut eivät osaa vastata. Tämä metodi on turvallinen vain, jos kysymys on sellainen, joka ei ole helposti arvattavissa tai pääteltävissä.

  • Kerta­käyttöinen vahvistus­koodi. Jokaisen sisään­kirjautumisen yhteydessä saat teksti­viestillä PIN-koodin, jonka avulla vahvistat henkilöllisyytesi.

  • Kasvojen­tunnistus. Käyttämäsi laitteen kamera tunnistaa henkilöllisyytesi kasvojesi perusteella, kun kirjaudut sisään.

  • Sormen­jälki. Jokaisen sormen­jäljet ovat erilaiset, joten ne ovat turvallinen tapa todentaa käyttäjän henkilöllisyys. Nyky­aikaiset äly­puhelimet voivat myös hyödyntää käyttäjän sormen­jälkeä lukemalla sen puhelimen kosketus­näytön avulla.

  • Äänen­tunnistus. Laite tunnistaa äänesi vahvistaaksesi henkilöllisyytesi. Äänen­tunnistusta voidaan huijata joissain tapauksissa käyttämällä valmiiksi nauhoitettua äänitettä.

  • QR-koodi. Saat QR-koodin luettavaksi puhelimesi sovelluksella, minkä jälkeen pääset kirjautumaan sisään.

  • Todennus­sovellus. Esi­merkiksi monet pankit käyttävät erillistä todennus­sovellusta sisään­kirjautumista varten. Kun olet syöttänyt tunnuksesi ja sala­sanan, palvelu lähettää todennus­pyynnön puhelimesi sovellukseen.

  • Todennus­laite. Voit vahvistaa henkilöllisyytesi käyttämällä erityistä todennus­laitetta tai ‑avainta, joka toimii USB:n, NFE:n tai Blue­toothin avulla. Tämä metodi on turvallinen, kunhan et hävitä laitetta tai sitä ei varasteta.

Rikolliset voivat ohittaa tunnistautumisen

Vaikka kaksi­vaiheinen tunnistautuminen suojaa käyttäjä­tilejäsi ja tekee niihin murtautumisesta vaikeampaa, verkko­rikolliset ja hakkerit voivat silti ohittaa sen. Osa tavoista perustuu käyttäjän huijaamiseen, osa käyttää hyväksi palvelujen heikkouksia.

Käyttäjän manipulointi

Uhrejaan manipuloimalla verkko­rikolliset hyödyntävät yhtä ihmisten henkilö­kohtaisen kyber­turvallisuuden suurinta heikkoutta — käyttäjää itseään. Käyttäjän manipulointi, englanniksi social engineering, kattaa erilaisia tapoja, joilla uhri saadaan paljastamaan tai luovuttamaan henkilö­kohtaisia tietojaan. Käyttäjän manipuloinnin tavoitteena on huijata uhri tekemään jotain, jonka seurauksena rikolliset pääsevät esi­merkiksi murtautumaan uhrin tileille tai varastamaan rahaa. Yksi tunnettu käyttäjien manipulointiin käytetty keino on tietojen­kalastelu eli phishing. Tietojen­kalasteluun kuuluvat käyttäjän huijaamiseen käytetyt viestit ja sähkö­postit, joiden avulla uhri saadaan paljastamaan henkilö­kohtaisia tietojaan tai tartuttamaan laite haitta­ohjelmilla.

Kaksi­vaiheisen tunnistautumisen ohittamiseksi verkko­rikolliset voivat esi­merkiksi teeskennellä edustavansa jotain luotettavaa tahoa ja keksiä teko­syitä sille, miksi uhrin on luovutettava tunnistautumiseen käytettävä suoja­koodi. Jos huijari on jo saanut käsiinsä uhrin käyttäjä­tunnuksen ja sala­sanan, tarvitaan tilille murtautumiseen enää uhrin luovuttama suoja­koodi.

Brute force- eli väsytys­hyökkäys

Termillä brute force viitaan kyber­turvallisuudessa toistuviin yrityksiin kirjautua sisään käyttäjä­tilille. Yleensä käytössä on jokin ohjelma, jonka avulla pyritään arvaamaan uhrin sala­sana. Jos arvauksille ei ole asetettu rajaa tai hyökkääjä voi syöttää niin monta väärää koodia kuin haluaa, oikea sala­sana paljastuu ennemmin tai myöhemmin. Tosin tätäkin voidaan vaikeuttaa riittävän vahvalla sala­sanalla. Mitä pidempi ja moni­mutkaisempi sala­sana on, sitä pidempään sen murtaminen vie. Sama pätee suoja­koodeihin. Koodi voidaan murtaa melko nopeasti, jos se koostuu vain muutamasta numerosta, kunhan koodia arvataan tarpeeksi monta kertaa. Tästä syystä koodi voi olla voimassa vain rajoitetun ajan tai oikeaa koodia voi yrittää vain muutaman kerran.

Vanhojen koodien käyttäminen

Monessa tapauksessa tunnistautumiseen käytetään vain hetken voimassa olevaa koodia. Tunnistautumiseen voidaan käyttää myös etu­käteen luotua listaa koodeista. Tällöin hakkerin tarvitsee ainoastaan tietää, mitä koodeista tarvitaan ja hän voi ohittaa moni­vaiheisen tunnistautumisen. Uhrin tilille murtautuminen ei kuitenkaan onnistu ilman käyttäjä­tunnusta ja sala­sanaa koodi­listan lisäksi.

Haitta­ohjelmat

Verkko­rikolliset voivat käyttää haitta­ohjelmia kaksi­vaiheisen tunnistautumisen ohittamiseen, esi­merkiksi uhrin pankki­tilille murtautumista varten. Jotkin virukset osaavat jäljitellä oikeita verkko­pankki­sovelluksia ja voivat huijata uhrinsa hyväksymään tunnistautumisen. Saman­laiset haitta­ohjelmat aiheuttavat harmia myös monissa krypto­valuutta­palveluissa.

Asetusten muuttaminen

Tunnistautumiseen käytettävä koodi lähetetään usein käyttäjän puhelimeen teksti­viestillä. Verkko­rikolliset voivat käyttää tätäkin metodia hyväkseen, jos he onnistuvat vaihtamaan uhriensa tilien asetuksia. Näin hakkerit voivat vaihtaa puhelin­numeron, johon suoja­koodi lähetetään. Sen sijaan, että tilin oikea omistaja saa koodin puhelimeensa, se lähetetäänkin rikolliselle, joka käyttää koodia tilille murtautumiseen.

Sivun osiot

Tässä artikkelissa:

Miten kaksi­vaiheinen vahvistus toimii?Ota kaksi­vaiheinen tunnistautuminen käyttöönMoni­vaiheisen tunnistautumisen metoditRikolliset voivat ohittaa tunnistautumisen

Suojaa tilisi F‑Secure Totalin avulla

Käyttäjä­tilin kaappaus on valitettavasti vain yksi internetin vaaroista. Siksi tarvitset kaiken­kattavan tieto­turva­paketin haitta­ohjelmia, hakkereita ja muita verkon vaaroja vastaan. F‑Secure Total tarjoaa työ­kalut sala­sanojesi hallintaan ja identiteettisi suojaamiseen. Lisäksi saat maailman­luokan virus­torjunta­ohjelman sekä VPN:n yksityisyytesi suojaamiseen. Kokeile F‑Secure Totalia ilmaiseksi ja pysy turvassa.

Lue lisää ja kokeile ilmaiseksi