Monivaiheinen tunnistautuminen

Monivaiheinen tunnistautuminen kuuluu yhä olennaisempana osana monien verkkopalveluiden kyberturvallisuuteen. Sen avulla on helppo saada lisäsuojaa esimerkiksi tietomurtoja tai muita kyberhyökkäyksiä vastaan.

Mitä monivaiheinen tunnistautuminen tarkoittaa?

Monivaiheinen autentikointi on turvamekanismi, jossa digitaalisen palvelun tai resurssin käyttö vaatii käyttäjältä useampaa kuin yhtä tapaa tunnistautua.

MFA:lla on tärkeä rooli hyvän kyberturvallisuuden strategiassa, jossa oletetaan, ettei yksikään loppukäyttäjä, laite, verkkopalvelu tai verkko-osoite ole täysin luotettava – ei edes silloin, kun käyttöoikeuspyyntö tulee organisaation sisäisestä verkosta.

Loppukäyttäjät huomaavat monivaiheisen tunnistautumisen helposti, sillä heiltä pyydetään tunnistautumaan vähintään kahdella tunnistautumistavalla. Toisin sanoen esimerkiksi verkkopalveluun kirjautuessa ei riitä, että tunnistautuu sähköpostin ja salasanan avulla.

Niiden lisäksi usein vaaditaan vaikkapa erillistä PIN-koodia, joka lähetetään käyttäjän puhelimeen tekstiviestinä tai tarjotaan mahdollisuutta tunnistautua mobiilivarmenteen kautta.

Monivaiheinen autentikointi perustuu viime kädessä siihen, että käyttäjällä on olemassa tieto jostakin seuraavista asioista:

  1. Hänellä on jotakin, mitä vain hän tietää kuten PIN-koodi tai salasana
  2. Käyttäjä omistaa fyysisesti jotakin, jolla hän voi tunnistautua kuten matkapuhelin, joka tukee mobiilivarmennetta
  3. Jokin fyysinen ominaisuus, jonka vain käyttäjä omistaa kuten biometrinen tunniste

Ylivoimaisesti suosituin käyttötapaus monivaiheiselle tunnistautumiselle on kaksivaiheinen tunnistautuminen. Nykyään se on myös yleistymässä kovaa vauhtia, koska verkossa toimivat palvelut haluavat tarjota käyttäjilleen parempaa tietoturvaa.

Monivaiheinen tunnistautuminen – miten se toimii?

MFA tekee hyökkääjien pääsyn potentiaalisen uhrin tietoihin vaikeammaksi käyttäen hyväksi esimerkiksi verkkourkintaa tai salasanan hakkerointiin liittyviä työkaluja.

Useampi kerros autentikoinnissa auttaa tehokkaasti erilaisia tietomurtoja vastaan, koska tällöin hyökkääjille ei ainoastaan riitä se, että heillä on käytössään käyttäjätietoihin liittyviä asioita.

Jos autentikoinnissa vaaditaan vielä vaikkapa älypuhelimen kautta tunnistautumista, hyökkääjä ei pääse käyttäjän tietoihin käsiksi ilman pääsyä hänen puhelimeensa.

Monivaiheinen autentikointi tukee fyysistä, loogista ja biometristä turvallisuutta:

  • Fyysinen turvallisuus: Vahvistaa ja autentikoi käyttäjän heidän sijaintinsa ja turvatunnuksen hallussapidon perusteella.
  • Looginen turvallisuus: Varmistaa käyttäjän heidän tietämyksensä perusteella salasanaan tai henkilökohtaiseen tunnuslukuun eli PIN-lukuun perustuen.
  • Biometrinen turvallisuus: Autentikoi käyttäjän fyysisten ominaisuuksien, kuten kasvojentunnistuksen, sormenjälkien, verkkokalvon skannauksen ja äänen perusteella.

Näillä menetelmillä voit todentaa itsesi verkkopalveluun

Kaikille on varmasti melko selvää se, että digitaalisen maailman muuttuessa yhä monimutkaisemmaksi myös erilaisten kyberuhkien määrä lisääntyy jatkuvasti.

Juuri tämän takia monivaiheinen tunnistautuminen on tulossa yhä yleisemmäksi. Jos nyt useissa palveluissa on mahdollista valita eri todennustekijöiden väliltä, joten käyttäjien onneksi eri mahdollisuuksia on tarjolla. Joissakin tapauksissa käyttäjät voivat ottaa käyttöön useampia menetelmiä, kuten tekstiviestit tai verkkopankissa tunnistautumisen.

Eri palveluissa käyttäjät voivat valita käyttäjätunnuksen ja salasanan lisäksi toiseksi tunnistautumisvaihtoehdoksi esimerkiksi sormenjälkitunnisteen, vahvistusviestin sähköpostiin tai tekstiviestillä, erilaiset todennuslaitteet kuten tunnuslukulaitteet tai suojausavaimet, muuttuvat PIN-koodit tai todennussovellukset.

Suomessa suosittuja tapoja tunnistautumiseen ovat tietysti sähköposti ja salasana, vahvistusviestit, mobiilivarmenne ja tunnistautuminen verkkopankkien kautta.

Näiden kaikkien ominaisuuksien etu on siinä, että niitä on erittäin helppo käyttää. Vaikka kaksivaiheinen tunnistautuminen tuo ylimääräisen askeleen verkkopalveluun kirjautumisen yhteydessä, sen voi tehdä kohtalaisen vaivattomasti vaikkapa tekstiviestillä lähettävän vahvistusviestin avulla.

Monivaiheinen tunnistautuminen – eri tavat taulukossa

Tapa Kuvaus
Sähköposti Monissa palveluissa vaaditaan kirjautumisen yhteydessä, että käyttäjän pitää syöttää sähköpostiin lähetettävä varmistuskoodi. Tämä on yksi yleisimmistä monivaiheisen tunnistautumisen käyttötapauksista.
Tekstiviesti Varmistuskoodi voidaan lähettää käyttäjälle myös tekstiviestillä. Tällöin verkkorikolliselle ei riitä, että hän saanut käsiinsä käyttäjän tunnukset verkkopalveluun. Tekstiviestin etu on siinä, että huijarilla tulisi olla pääsy myös fyysisesti jossakin sijaitsevaan puhelimeen.
Autentikointi ohjelmat Tällaisia ovat esimerkiksi Google Authenticator. Ne voi liittää niitä tukeviin verkkopalveluihin oman tilin avulla. Tämän jälkeen jokaisen kirjautumisen yhteydessä tulee syöttää myös tässä sovelluksessa oleva koodi, joka käsittää kuusi numeroa.
Biometrinen Nykyään esimerkiksi älylaitteiden käyttöjärjestelmät tukevat biometristä tunnistautumista natiivisti. Tällöin käyttäjä voi tunnistautua myös kasvojen tai sormenjäljen avulla.

MFA auttaa näitä kyberuhkia vastaan

Monivaiheinen tunnistautuminen on erittäin tehokas tapa suojautua monilta haittaohjelmilta. Varsinkin tekoälyn kehityksen myötä verkkorikolliset saivat aivan uudenlaisia aseita käyttöönsä. Nykyään esimerkiksi verkkourkinta tapahtuu usein jo niin hyvin, että sitä ajoittain todella vaikea tunnistaa.

Näihin kasvaviin tietoturvaongelmiin monivaiheinen tunnistautuminen tuo erittäin tehokkaan keinon suojautua niitä vastaan. Mikäli kyberhyökkäys onnistuu, se tarkoittaa usein sitä, että ulkopuoliset saavat pääsyn käyttäjän tilitietoihin jossakin verkkopalvelussa.

Jos käyttäjä on luonut jokaisen palveluun erilaisen käyttäjätunnus ja salasana kombinaation ja käyttää samalla vähintään kaksivaiheista tunnistautumista, tietomurrosta ei välttämättä ole mitään käytännön haittaa yksilölle.

Ongelmia voi tulla tietysti silloin, jos kyseessä on kiristyshaittaohjelma. Tällöin hyökkääjät ovat päässeet uhrin tietokoneeseen käsiksi ja lukinneet koneen siten, ettei käyttäjällä ole enää pääsyä omiin tietoihinsa.

Toki tässäkin tapauksessa voi olla mahdollista, että haittaohjelma on lähettänyt arkaluontoisia tietoja rikollisten omalle palvelimelle. Mikäli käyttäjällä on kuitenkin verkkopalveluissa käytössä monivaiheinen tunnistautuminen, vuodetuista tiedoista ei välttämättä ole kovinkaan suurta iloa huijareille.

Samankaltaiset termit

Matti Laurila

Matti työskentelee sisällöntuotannon parissa ja on vuosien ajan seuraillut kryptovaluuttojen maailmaa ja niihin liittyviä ilmiöitä. Hänen erityinen mielenkiintonsa kohdistuu metaverseen, NFT:ihin ja yleisesti teknologiaan.