Kaksivaiheinen tunnistautuminen
Kaksivaiheinen tunnistautuminen (2FA, two-factor authentication) on tietoturvamenetelmä, jossa käyttäjän on todistettava henkilöllisyytensä kahdella eri tavalla päästäkseen palveluun. Tämä kerrostaa turvallisuuden – vaikka yksi tunnistautumistapa murrettaisiin, toinen suojaa edelleen tiliäsi. Kaksivaiheinen tunnistautuminen on nykyään standardi pankkipalveluissa ja yhä yleisempi kaikissa verkkopalveluissa, ja sen ymmärtäminen on osa digitaalista turvallisuutta.
Tyypillisesti kaksi tunnistautumistekijää kuuluvat eri kategorioihin: jotain mitä tiedät (salasana, PIN-koodi), jotain mitä sinulla on (puhelin, fyysinen avain, tunnuslukusovellus) tai jotain mitä olet (sormenjälki, kasvontunnistus). Pankkipalveluissa yleinen yhdistelmä on salasana tai PIN-koodi yhdistettynä puhelimeen lähetettävään kertakäyttökoodiin tai mobiilisovelluksen vahvistukseen.
Verkkopankeissa ja mobiilipankeissa kaksivaiheinen tunnistautuminen on pakollinen PSD2-direktiivin mukaisesti. EU:n maksupalveludirektiivi vaatii vahvaa asiakkaan tunnistamista (SCA, Strong Customer Authentication) verkkomaksuissa ja pankkipalveluihin kirjautumisessa. Tämä on parantanut merkittävästi verkkomaksamisen ja pankkiasioinnin turvallisuutta Euroopassa.
Suomessa pankit käyttävät tyypillisesti pankkitunnuksia, jotka sisältävät käyttäjätunnuksen, salasanan ja kertakäyttöisen tunnusluvun. Tunnusluku voi tulla paperiselta tunnuslukukortilta, tunnuslukusovelluksesta tai tekstiviestillä. Yhä useammat pankit ovat siirtyneet mobiilisovelluksiin, joissa tunnistautuminen vahvistetaan sormenjäljellä tai kasvojentunnistuksella.
Kaksivaiheinen tunnistautuminen suojaa tiliäsi monilta uhkilta. Vaikka joku saisi selville salasanasi esimerkiksi tietokalastelun, tietomurron tai olkapäähakkerroinnin kautta, hän ei pääse tililesi ilman toista tekijää. Pelkkä salasana ei riitä – tarvitaan myös puhelimesi tai muu laite. Tämä tekee tilimurrosta huomattavasti vaikeampaa.
Käytännössä kaksivaiheinen tunnistautuminen toimii seuraavasti: kirjaudut palveluun käyttäjätunnuksella ja salasanalla, minkä jälkeen palvelu pyytää toista tunnistautumista. Tämä voi olla koodi, joka lähetetään puhelimeesi tekstiviestillä, push-ilmoitus mobiilisovellukseen, joka pyydetään hyväksymään, kertakäyttökoodi autentikaattori-sovelluksesta (kuten Google Authenticator) tai biometrinen tunnistus puhelimessa.
Tekstiviestipohjaiset koodit ovat yleisiä mutta eivät turvallisimpia – SIM-kortin kaappaus (SIM swapping) on mahdollinen hyökkäysvektori. Autentikaattorisovellukset ja laitteistoavaimet (kuten YubiKey) ovat turvallisempia vaihtoehtoja. Biometriset menetelmät yhdistävät helppokäyttöisyyden ja turvallisuuden, minkä vuoksi ne ovat yleistyneet nopeasti.
Kaksivaiheinen tunnistautuminen kannattaa ottaa käyttöön kaikissa palveluissa, joissa se on mahdollista. Erityisen tärkeää se on pankkipalveluissa, sähköpostissa (joka on usein muiden tilien palautuskanava), sosiaalisessa mediassa ja verkkokauppatileillä, joihin on tallennettu maksutietoja. Suurin osa palveluista tarjoaa 2FA:n asetuksissa turvallisuusosiossa.
Puhelimen kadottaminen 2FA:n ollessa käytössä voi aiheuttaa pääsyongelmia, minkä vuoksi palautuskoodit kannattaa tallentaa turvalliseen paikkaan. Useimmat palvelut tarjoavat varakoodeja, joilla pääsee kirjautumaan, jos päälaite ei ole käytettävissä. Nämä koodit kannattaa tulostaa tai tallentaa salasananhallintaohjelmaan.
Tulevaisuudessa tunnistautuminen kehittyy yhä saumattomammaksi. Salasanattomat kirjautumistavat (passkeys) yleistyvät, jolloin erillistä salasanaa ei enää tarvita – tunnistautuminen tapahtuu puhtaasti laitteen ja biometrian yhdistelmällä. Tämä parantaa sekä turvallisuutta että käyttökokemusta poistamalla salasanojen unohtamisen ja arvaamisen riskit.
Yrityksille ja organisaatioille kaksivaiheinen tunnistautuminen on kriittinen osa tietoturvaa. Monen yrityksen tietomurrot ovat alkaneet murretusta työntekijän tilista, jota ei ole suojattu 2FA:lla. Siksi yhä useammat työnantajat vaativat kaksivaiheista tunnistautumista kaikkiin työjärjestelmiin.
