Salasana yksin on huono turva. Se riittää niin kauan, kunnes se vuotaa, arvataan tai kalastellaan pois.
Siksi kaksivaiheinen tunnistautuminen on nykyään perusasia, ei mikään nörttien lisävaruste. Lukijan hakuintentio tässä haussa on yleensä selvä: ensin halutaan ymmärtää, mikä tämä on, ja heti perään halutaan ottaa se käyttöön ilman säätöä.
Kaksivaiheinen tunnistautuminen tarkoittaa, että kirjautuminen varmistetaan kahdella eri tavalla. Ensin annat salasanan, sitten vahvistat kirjautumisen esimerkiksi Google Authenticatorin koodilla, puhelimeen tulevalla hyväksynnällä tai muulla lisävaiheella. Näin pelkkä vuotanut salasana ei vielä riitä tilin kaappaamiseen.
Mikä on kaksivaiheinen tunnistautuminen?
Kaksivaiheinen tunnistautuminen tarkoittaa sitä, että kirjautuminen vaatii kaksi eri asiaa. Ensin annat yleensä salasanan. Sen jälkeen vahvistat kirjautumisen toisella tavalla, esimerkiksi koodilla, sovelluksella tai fyysisellä turva-avaimella.
Yksinkertaisesti sanottuna idea on tämä: vaikka salasana päätyisi väärälle ihmiselle, tili ei vielä aukea.
Hyvä 2FA ei tee tilistä maagisesti murtamatonta. Se tekee tavallisesta tilikaappauksesta paljon vaikeampaa.
Tämä ero on tärkeä. Kyse ei ole täydellisestä suojasta vaan siitä, että hyökkääjän työ vaikeutuu heti.
Miksi tämä kannattaa ottaa käyttöön ensin juuri tärkeimmissä tileissä?
Kaikki tilit eivät ole yhtä kriittisiä. Jos sähköposti kaapataan, vahinko voi levitä nopeasti muihin palveluihin salasanan palautuksen kautta.
Siksi etenisimme tässä järjestyksessä:
- sähköposti
- Google- tai Apple-tili
- maksupalvelut
- työ- ja opiskelutilit
- sosiaalinen media
Jos aloitat vain yhdestä paikasta, aloita sähköpostista. Se on tylsä neuvo, mutta täysin oikea.
Kaikki 2FA-tavat eivät ole yhtä hyviä
Tästä kohtaa monet tekstit lipsuvat höttöön. Ei riitä, että sanotaan “ota 2FA käyttöön”. Pitää sanoa myös, mikä vaihtoehto on järkevin.
Nopea vertailu
| Tapa | Helppous | Turvallisuus | Käytännön arvio |
|---|---|---|---|
| Tekstiviestikoodi | Helppo | Kohtalainen | Parempi kuin ei mitään |
| Authenticator-sovellus | Hyvä | Hyvä | Useimmille paras valinta |
| Puhelimen hyväksyntäpyyntö | Erittäin helppo | Hyvä | Toimiva, jos käyttäjä ei paina kaikkea läpi |
| Turva-avain | Kohtalainen | Erittäin hyvä | Paras, mutta ei aloittelijan ensimmäinen askel |
Tekstiviesti on edelleen yleinen, mutta sitä ei kannata pitää kultaisena standardina. Jos palvelu tukee autentikaattorisovellusta, se on usein parempi valinta.
Aloittelijalle paras perusratkaisu on yleensä authenticator-sovellus ja varakoodit talteen. Se yhdistelmä on helppo, toimiva ja tarpeeksi vahva useimmille.
Google Authenticator pitää mainita nimeltä, koska moni oikeasti käyttää sitä
Edellisessä versiossa tämä puuttui, ja se oli selvä virhe. Google Authenticator on yksi tunnetuimmista sovelluksista juuri tähän käyttöön.
Googlen oman ohjeen mukaan Google Authenticator tuottaa kertakäyttöisiä vahvistuskoodeja tileille ja sovelluksille, jotka tukevat authenticator-pohjaista kaksivaiheista tunnistautumista. Sitä voi käyttää myös Google-tilin kirjautumiseen, ja koodit toimivat ilman mobiilidataa tai verkkoyhteyttä.
Tämä on käytännössä iso etu. Jos olet ulkomailla, kentällä huonossa verkossa tai ilman liittymää, tekstiviesti voi jäädä tulematta. Sovellus ei ole siitä riippuvainen.
Milloin Google Authenticator on järkevä valinta?
Google Authenticator tai muu vastaava sovellus on hyvä valinta, kun:
- haluat pois tekstiviestikoodeista
- käytät useita palveluita samalla puhelimella
- haluat koodit myös ilman verkkoa
- et halua sitoa kaikkea yhteen puhelinnumeroon
Tässä kohtaa on hyvä olla tarkka. Google Authenticator ei ole mikään yleinen “kaikkien palveluiden pakollinen standardi”. Se on vain yksi hyvin yleinen tapa toteuttaa toinen vaihe.
Gmail kaksivaiheinen tunnistautuminen ja kaksivaiheinen tunnistautuminen Google-tilillä
Gmail kaksivaiheinen tunnistautuminen on käytännössä osa Google-tilin suojausta. Kun suojaat Google-tilin, suojaat samalla usein Gmailin, Drive-tiedostot, kalenterin ja muut samaan tiliin sidotut palvelut.
Googlen mukaan 2-Step Verificationin jälkeen tilille voi kirjautua salasanalla ja toisella vahvistusvaiheella, ja tietyissä tilanteissa käytössä voi olla myös passkey. Google näyttää kirjautuessa sen vahvistustavan, jonka se arvioi tilanteeseen sopivaksi. Lisäksi Google ohjaa käyttämään varakoodeja, jos puhelin ei ole saatavilla.
Näin kaksivaiheinen tunnistautuminen käyttöönotto etenee Google-tilillä
- kirjaudu Google-tilillesi
- avaa tilin suojausasetukset
- etsi 2-Step Verification
- valitse toinen vaihe
- ota käyttöön authenticator-sovellus, puhelinvahvistus tai muu tarjottu tapa
- tallenna varakoodit heti
- testaa kirjautuminen uudelleen
Tämä on juuri se kohta, jossa moni mokaa. Asetus laitetaan päälle, mutta varakoodeja ei tallenneta. Sitten puhelin vaihtuu, katoaa tai hajoaa, ja omaan tiliin pääsy muuttuu turhan vaikeaksi.
Jos haluat lisäselityksen perusideasta, voit käyttää tässä kohtaa ulkoista lähdettä: kaksivaiheinen tunnistautuminen.
Kaksivaiheinen tunnistautuminen pankissa ei ole sama asia kuin Google Authenticator
Tämä pitää sanoa suoraan, koska moni sotkee nämä jatkuvasti. Kaksivaiheinen tunnistautuminen pankkiympäristössä ei yleensä tarkoita sitä, että avaat Google Authenticatorin ja syötät koodin.
Suomessa vahva sähköinen tunnistaminen nojaa omiin tunnistusvälineisiin ja säädeltyihin käytäntöihin. Suomi.fi kuvaa tunnistuksen vahvan tunnistautumisen palveluksi, ja palveluun kirjaudutaan tunnistusvälineillä kuten verkkopankkitunnuksilla tai mobiilivarmenteella. Traficom taas valvoo Suomessa vahvaa sähköistä tunnistamista tarjoavia palveluntarjoajia.
Tämä on tärkeä ero. Tavallisessa verkkopalvelussa toinen vaihe voi olla authenticator-sovellus. Pankki- ja viranomaisasioinnissa puhutaan usein laajemmasta vahvasta tunnistamisesta, jossa välineet ja vaatimukset ovat eri tasoa.
Mitä tästä kannattaa käytännössä ymmärtää?
- Google Authenticator on yleinen verkkopalveluissa
- pankit eivät yleensä nojaa siihen pääasiallisena tunnistusratkaisuna
- pankki- ja viranomaisasioinnissa käytetään omia tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta
- näitä ei kannata kirjoituksessa niputtaa yhdeksi ja samaksi asiaksi
Juuri tästä syystä huono artikkeli kuulostaa epäuskottavalta heti. Jos siinä vihjataan, että pankkien kirjautuminen pyörii samalla logiikalla kuin Gmailin 2FA, lukija huomaa virheen nopeasti.
Miten kaksivaiheinen tunnistautuminen otetaan käyttöön ilman että sotket koko homman?
Yleisrunko on lähes aina sama, vaikka käyttöliittymä vaihtuu palvelusta toiseen.
Peruskaava
- Kirjaudu sisään normaalisti.
- Avaa tilin suojaus- tai tietoturva-asetukset.
- Etsi kaksivaiheinen tunnistautuminen.
- Valitse toinen vaihe.
- Tallenna varakoodit.
- Testaa uusi kirjautuminen.
Tämän ei pitäisi kestää pitkään. Suurin riski ei ole se, ettet osaisi käyttää asetusta. Suurin riski on se, että jätät sen kokonaan tekemättä.
[Tähän luonteva sisäinen linkki aiheeseen, joka käsittelee tietojenkalastelun tunnistamista]
Yleisimmät virheet, joilla hyväkin suojaus pilataan
Kaksivaiheinen tunnistautuminen ei auta kunnolla, jos käyttö on huolimatonta. Tämä on se osa, jonka moni ohje sivuuttaa.
Yleisimmät mokat
- varakoodeja ei tallenneta
- puhelinnumero jää vanhaksi
- kaikki vahvistus sidotaan vain yhteen laitteeseen
- hyväksyntäpyynnöt painetaan läpi ajattelematta
- salasana on edelleen heikko tai kierrätetty
Brutaali totuus on tämä: 2FA ei korjaa välinpitämättömyyttä. Jos hyväksyt oudolta näyttävän kirjautumispyynnön vain siksi, että haluat päästä ilmoituksesta eroon, olet itse avannut oven.
Usein kysytyt kysymykset
Mikä on kaksivaiheinen tunnistautuminen?
Se on kirjautumisen lisäsuoja, jossa pelkkä salasana ei riitä. Tarvitaan vielä toinen vahvistus, kuten koodi, sovellusvahvistus tai turva-avain.
Miten kaksivaiheinen tunnistautuminen otetaan käyttöön?
Avaa palvelun suojausasetukset, valitse kaksivaiheinen tunnistautuminen, ota haluamasi vahvistustapa käyttöön ja tallenna varakoodit. Sama peruslogiikka toistuu lähes kaikkialla.
Onko Google Authenticator hyvä vaihtoehto?
On. Se on hyvin yleinen ja käytännöllinen vaihtoehto, koska se tuottaa kertakäyttöiset koodit ilman verkkoyhteyttäkin.
Onko pankkien tunnistautuminen sama asia?
Ei käytännössä samalla tavalla. Pankit ja monet julkiset palvelut käyttävät vahvan sähköisen tunnistamisen ratkaisuja, jotka nojaavat omiin tunnistusvälineisiin eikä yleensä Google Authenticatoriin.
Paras tapa aloittaa on tämä
Aloita sähköpostista. Ota sitten Google-tili kunnolla haltuun. Valitse toiseksi vaiheeksi authenticator-sovellus, jos palvelu sitä tukee.
Älä odota täydellistä hetkeä tai täydellistä ratkaisua. Riittävän hyvä suojaus tänään on paljon parempi kuin täydellinen suunnitelma, jota et koskaan toteuta.
Muista myös pitää puhelimen tietoturvasta huolta, lue lisää siitä täältä!
