2FA-vertailu: 5 tapaa ja 99,9 % suoja [2026]

Kaksivaiheinen tunnistautuminen (2FA) on vuonna 2026 tilin tärkein yksittäinen suojaus, mutta kaikki menetelmät eivät ole läheskään yhtä turvallisia. Microsoftin mukaan monivaiheinen tunnistautuminen estää yli 99,9 prosenttia automatisoiduista tilikaappauksista, ja silti tekstiviestikoodit, todennussovellukset ja laitteistoavaimet eroavat toisistaan ratkaisevasti juuri kalastelunkestävyyden osalta. Tässä vertailussa käymme läpi viisi yleisintä tapaa: SMS-kertakoodit, TOTP-todennussovellukset (Google Authenticator, Microsoft Authenticator, Authy), push-hyväksynnät, FIDO2-laitteistoavaimet (YubiKey) ja salasanattomat avainkoodit eli passkeyt.

Päivitetty 11. kesäkuuta 2026. Vertailu perustuu Microsoftin, FIDO Alliancen, NISTin, Yubicon ja Twilion julkaisemiin lukuihin sekä Suomen Kyberturvallisuuskeskuksen suosituksiin. Jokainen luku on merkitty lähteen kanssa, eikä yhtäkään spesifikaatiota ole arvioitu tai pyöristetty markkinointitarkoituksessa.

Mikä kaksivaiheinen tunnistautuminen on ja miksi se ratkaisee

Kaksivaiheinen tunnistautuminen tarkoittaa, että kirjautuminen vaatii kaksi erillistä todistetta henkilöllisyydestä. Tietoturvassa nämä todisteet jaetaan kolmeen luokkaan: jokin, jonka tiedät (salasana, PIN), jokin, joka sinulla on hallussasi (puhelin, laitteistoavain) ja jokin, joka olet (sormenjälki, kasvot). Aito kaksivaiheinen tunnistautuminen yhdistää kaksi eri luokkaa. Salasana ja sen päälle kysytty turvakysymys eivät ole kaksivaiheinen tunnistautuminen, koska molemmat kuuluvat samaan tieto-luokkaan.

Tämä jako ei ole akateeminen yksityiskohta. EU:n maksupalveludirektiivi PSD2 vaatii niin sanottua vahvaa asiakastunnistusta (Strong Customer Authentication), joka edellyttää nimenomaan kahta eri luokan tekijää verkkomaksuissa ja pankkikirjautumisissa. Sama logiikka on levinnyt kuluttajapalveluihin: pelkkä salasana ei enää riitä, koska tietomurroissa vuodettuja salasanoja on miljardeja ja käyttäjät kierrättävät niitä palvelusta toiseen. Toinen tekijä katkaisee hyökkääjän ketjun silloinkin, kun salasana on jo vuotanut.

Microsoftin identiteettiturvallisuudesta vastaava johtaja Alex Weinert on toistuvasti korostanut, että ratkaiseva ero ei synny siitä, käytetäänkö monivaiheista tunnistautumista, vaan siitä, mitä toista tekijää käytetään. Microsoftin laajasti siteerattu arvio on, että monivaiheinen tunnistautuminen estää yli 99,9 prosenttia automatisoiduista tilikaappauksista. Luku koskee massamaista, robottien ajamaa hyökkäystä, jossa vuodettuja salasanoja kokeillaan miljoonia kertoja. Kohdennettua, ihmisen tekemää kalastelua vastaan suoja riippuu täysin valitusta menetelmästä, ja juuri tähän koko vertailu kiteytyy.

Kalastelunkestävyys (phishing resistance) on vuoden 2026 avainkäsite. Sillä tarkoitetaan, ettei todennustekijää voi varastaa huijaamalla käyttäjää syöttämään se väärennetylle sivulle tai välittämällä sitä reaaliajassa hyökkääjälle. SMS-koodin ja todennussovelluksen koodin voi yhä huijata käyttäjältä, mutta FIDO2-avaimen ja passkeyn salainen avain on sidottu kirjautumissivun osoitteeseen, joten väärennetty sivu ei saa siitä mitään irti. Tämä yksi ominaisuus jakaa viisi menetelmää kahteen leiriin.

Viisi 2FA-menetelmää lyhyesti

Ennen taulukoita kannattaa tuntea viisi menetelmää, jotka kattavat käytännössä kaiken kuluttajan ja yrityksen kohtaaman kaksivaiheisen tunnistautumisen vuonna 2026.

SMS-kertakoodit

Palvelu lähettää tekstiviestillä 4-8 numeron koodin, jonka syötät kirjautuessa. Tämä on yleisin ja helpoin tapa, koska se ei vaadi sovellusta eikä lisälaitetta. Se on myös vertailun heikoin tekijä. NIST luokittelee SMS- ja puhelinverkon kertakoodit erikseen rajoitetuksi (restricted) todennustekijäksi, koska puhelinverkkoa ei ole kryptografisesti todennettu ja koodi voidaan siepata tai uudelleenohjata.

TOTP-todennussovellukset

Aikaperustainen kertakoodi (TOTP, RFC 6238) on todennussovelluksen luoma kuusinumeroinen koodi, joka vaihtuu 30 sekunnin välein. Google Authenticator, Microsoft Authenticator ja Authy ovat tunnetuimmat. Koodi lasketaan laitteessa jaetusta salaisuudesta, joten se toimii ilman verkkoyhteyttä eikä kulje tekstiviestinä. Tämä poistaa SIM-kortin kaappauksen riskin, mutta käyttäjän voi yhä huijata syöttämään koodin väärennetylle sivulle.

Push-hyväksynnät

Push-hyväksynnässä palvelu lähettää puhelimeen ilmoituksen, jonka hyväksyt yhdellä napautuksella. Microsoft Authenticator ja monet pankkisovellukset käyttävät tätä. Vanhassa muodossaan push oli altis väsytyshyökkäykselle, jossa käyttäjä hyväksyy ilmoituksen vahingossa toistuvien pyyntöjen jälkeen. Microsoft otti vuonna 2023 oletuksena käyttöön numerontäsmäyksen (number matching), jossa käyttäjän on syötettävä ruudulla näkyvä numero, mikä torjuu sokeat hyväksynnät.

FIDO2-laitteistoavaimet

Fyysinen laitteistoavain, kuten Yubicon YubiKey, sisältää salaisen avaimen, joka ei koskaan poistu laitteesta. Avain todentaa FIDO2- ja WebAuthn-standardeilla ja sitoo allekirjoituksen kirjautumissivun osoitteeseen. Tämä tekee siitä kalastelunkestävän: väärennetty sivu saa eri osoitteen eikä avain allekirjoita sille mitään. CISA ja FIDO Alliance pitävät tätä vahvimpana kuluttajalle saatavilla olevana tekijänä.

Passkeyt eli salasanattomat avainkoodit

Passkey on sama FIDO2-tekniikka ilman erillistä laitetta. Salainen avain tallentuu puhelimeen tai tietokoneeseen, ja kirjautuminen tapahtuu sormenjäljellä, kasvoilla tai laitteen PIN-koodilla. Passkey korvaa salasanan kokonaan, ei vain täydennä sitä. Apple, Google, Microsoft, Amazon, PayPal ja GitHub tukevat passkeytä, ja se synkronoituu valmistajan pilven kautta laitteiden välillä. Passkey on samaan aikaan kalastelunkestävä ja yhtä helppo kuin puhelimen avaaminen.

Vertailutaulukko: 2FA-menetelmät rinnakkain

Alla oleva taulukko kokoaa viisi menetelmää yhdelletoista riville. Se on artikkelin tärkein yksittäinen yhteenveto, ja siitä näkee yhdellä silmäyksellä, miksi kalastelunkestävät tekijät erottuvat.

Ominaisuus	SMS-koodi	TOTP-sovellus	Push-hyväksyntä	FIDO2-avain	Passkey
Tekijän luokka	Hallussa	Hallussa	Hallussa	Hallussa	Hallussa + ominaisuus
Kalastelunkestävä	Ei	Ei	Osittain	Kyllä	Kyllä
SIM-kaappauksen kestävä	Ei	Kyllä	Kyllä	Kyllä	Kyllä
Toimii ilman verkkoa	Ei	Kyllä	Ei	Kyllä	Osittain
Vaatii lisälaitteen	Ei	Ei	Ei	Kyllä	Ei
Korvaa salasanan	Ei	Ei	Ei	Voi (FIDO2)	Kyllä
Synkronoituu laitteiden välillä	–	Vaihtelee	Ei	Ei (sidottu avaimeen)	Kyllä
Standardi	Ei avointa	RFC 6238	Valmistajakohtainen	FIDO2 / WebAuthn	FIDO2 / WebAuthn
Hinta käyttäjälle	Ilmainen	Ilmainen	Ilmainen	Noin 30-58 USD	Ilmainen
NIST/CISA-arvio	Heikoin	Keskitaso	Keskitaso	Vahvin	Vahvin
Suositeltavuus 2026	Vain varatekijä	Hyvä	Hyvä	Paras suojaus	Paras tasapaino

Taulukon punainen lanka on selvä. SMS on ainoa menetelmä, joka epäonnistuu sekä kalastelun että SIM-kaappauksen suhteen. FIDO2-avain ja passkey ovat ainoat, jotka läpäisevät kalastelutestin. Passkey voittaa käytettävyydessä, koska se ei vaadi erillistä laitetta ja synkronoituu laitteiden välillä, kun taas laitteistoavain voittaa korkeimman riskin tilanteissa, koska salaista avainta ei voi koskaan kopioida pois laitteelta.

Tietoturva ja kalastelunkestävyys: viranomaisten asettama järjestys

Tärkein turvallisuusero ei ole se, kuinka pitkä koodi on, vaan kestääkö menetelmä reaaliaikaisen kalastelun. Yhdysvaltain kyberturvallisuusviranomainen CISA julkaisi ohjeen kalastelunkestävän monivaiheisen tunnistautumisen käyttöönotosta, ja se asettaa menetelmät selkeään paremmuusjärjestykseen. Kärjessä ovat FIDO/WebAuthn-pohjaiset avaimet ja PKI-pohjaiset varmenteet, keskellä sovelluspohjaiset kertakoodit ja push-ilmoitukset, ja heikoimpina tekstiviesti ja puhelu.

Sama linja näkyy NISTin digitaalisen identiteetin ohjeistuksessa SP 800-63B, joka käsittelee SMS- ja puhelinverkon kertakoodeja rajoitettuna tekijänä. Käytännössä tämä tarkoittaa, että viranomainen sallii SMS:n mutta vaatii palveluntarjoajaa arvioimaan sen riskit ja tarjoamaan vahvemman vaihtoehdon. NISTin perustelu on tekninen: puhelinverkkoa ei ole kryptografisesti todennettu, joten koodin voi siepata, ja numeron voi siirtää toiselle SIM-kortille sosiaalisella manipuloinnilla.

Miksi todennussovelluksen TOTP-koodi sitten on vain keskitasoa, vaikka se ei kulje tekstiviestinä? Syy on reaaliaikainen kalastelu. Hyökkääjä rakentaa pankin tai sähköpostipalvelun näköisen sivun, käyttäjä syöttää salasanan ja kuusinumeroisen koodin, ja hyökkääjän palvelin välittää ne saman tien aitoon palveluun ennen kuin koodi vanhenee. Koodi on voimassa vain 30 sekuntia, mutta automatisoitu välityspalvelin tekee tämän millisekunneissa. TOTP nostaa riman korkealle robottihyökkäyksiä vastaan mutta ei pysäytä taitavaa ihmistä.

FIDO2 ja passkey katkaisevat juuri tämän hyökkäyksen. Kun selain pyytää avainta allekirjoittamaan kirjautumisen, allekirjoitukseen sidotaan sivuston osoite. Väärennetyllä sivulla on eri osoite, joten avain joko kieltäytyy tai tuottaa allekirjoituksen, joka ei kelpaa aidossa palvelussa. Käyttäjän ei tarvitse tunnistaa väärennöstä, koska kryptografia tekee sen puolesta. Tämä on syy, miksi suuret teknologiayhtiöt siirsivät omat työntekijänsä laitteistoavaimiin jo vuosia sitten ja miksi passkey leviää nyt kuluttajille.

SMS-koodit: miksi heikoin lenkki yhä elää

Jos SMS on viranomaisten mukaan heikoin tekijä, miksi se on edelleen yleisin? Vastaus on käytettävyys ja kattavuus. Jokaisella on puhelinnumero, eikä SMS vaadi sovelluksen asentamista. Pankit ja verkkokaupat tarjoavat sen, koska se toimii kaikilla puhelimilla ilman opastusta. SMS on silti parempi kuin ei mitään: se estää valtaosan automatisoiduista kirjautumisyrityksistä, koska hyökkääjällä ei ole pääsyä uhrin puhelimeen.

Ongelma on kohdennettu hyökkäys. SIM-kortin kaappaus (SIM swap) tarkoittaa, että hyökkääjä vakuuttaa operaattorin siirtämään uhrin numeron uudelle SIM-kortille esiintymällä uhrina. Sen jälkeen kaikki tekstiviestikoodit menevät hyökkääjälle. Tätä menetelmää on käytetty kryptovaluuttatilien ja korkean profiilin sosiaalisen median tilien kaappauksissa toistuvasti. Suomessa operaattorit ovat tiukentaneet numeronsiirron tunnistusta, mutta riski on rakenteellinen eikä poistu kokonaan.

Toinen SMS:n heikkous on, että koodin voi kalastella aivan yhtä helposti kuin TOTP-koodin. Väärennetty sivu pyytää tekstiviestikoodin, käyttäjä syöttää sen, ja hyökkääjä käyttää sen sekunneissa. SMS:llä on siis kaikki TOTP:n heikkoudet ja päälle vielä SIM-kaappauksen riski. Tämän vuoksi suositus vuonna 2026 on yksinkertainen: pidä SMS varatekijänä, jos palvelu ei tarjoa muuta, mutta vaihda todennussovellukseen tai passkeyhin heti kun se on mahdollista.

Kannattaa myös muistaa, että SMS-koodi on yhtä hyvä kuin puhelinliittymä sen takana. Jos numero katoaa, vaihtuu tai joutuu vääriin käsiin, kaikki sen varassa olevat tilit ovat vaarassa. Todennussovelluksen salaisuus ja laitteistoavaimen avain eivät ole sidottuja puhelinnumeroon, joten ne eivät kaadu numeron mukana. Tämä riippumattomuus on yksi syy siirtyä pois tekstiviesteistä.

Google Authenticator vs Microsoft Authenticator vs Authy

Kolme suosituinta todennussovellusta luovat kaikki saman standardin mukaisia TOTP-koodeja, joten itse koodi on yhtä turvallinen kaikissa. Erot ovat varmuuskopioinnissa, monilaitetuessa, yritysominaisuuksissa ja siinä, miten sovellus on kestänyt aikaa. Alla kolmikon erot tiiviisti.

Ominaisuus	Google Authenticator	Microsoft Authenticator	Authy (Twilio)
TOTP-koodit	Kyllä	Kyllä	Kyllä
Pilvisynkronointi	Kyllä (2023 alkaen)	Kyllä	Kyllä
Push-hyväksyntä	Ei	Kyllä (numerontäsmäys)	Rajattu
Passkey-tuki	Käyttöjärjestelmän kautta	Kyllä	Ei
Työpöytäsovellus	Ei	Ei	Lopetettu 2024
Yritysintegraatio	Kevyt	Vahva (Entra ID)	Kehittäjä-API
Hinta	Ilmainen	Ilmainen	Ilmainen

Google Authenticator

Google Authenticator on yksinkertaisin kolmikosta. Pitkään sen suurin heikkous oli, että koodit olivat sidottuja yhteen laitteeseen ja katosivat puhelimen vaihdossa. Google lisäsi vuonna 2023 pilvisynkronoinnin, jossa koodit varmuuskopioidaan Google-tilille ja palautuvat uudelle laitteelle. Alkuperäinen synkronointi herätti kritiikkiä, koska se ei ollut päästä päähän salattu, ja Google toi myöhemmin valinnaisen lisäsalauksen. Sovellus sopii käyttäjälle, joka haluaa pelkät koodit ilman ylimääräistä, ja luottaa Google-tiliinsä varmuuskopiona.

Microsoft Authenticator

Microsoft Authenticator on kolmikon monipuolisin. Se tekee TOTP-koodit, push-hyväksynnät numerontäsmäyksellä ja tukee passkeytä, ja se on syvästi integroitu Microsoft Entra ID -ympäristöön, jota yritykset käyttävät. Yksi iso muutos osui vuoteen 2025: Microsoft luopui sovelluksen salasanojen automaattitäytöstä. Automaattitäyttö poistui heinäkuussa 2025, tallennetut salasanat muuttuivat käyttökelvottomiksi elokuun 2025 jälkeen ja poistettiin syyskuussa 2025. Salasanat siirtyivät Edge-selaimeen. Itse todennus- ja passkey-toiminnot säilyivät, joten muutos koski salasanojen hallintaa, ei kaksivaiheista tunnistautumista.

Authy (Twilio)

Authy oli pitkään suosituin monilaitteinen vaihtoehto, koska se synkronoi koodit puhelimen ja työpöydän välillä. Vuonna 2024 Twilio kuitenkin lopetti Authyn työpöytäsovellukset, mikä jätti monet käyttäjät pulaan. Samana vuonna Twilio raportoi tietoturvaloukkauksesta, jossa hyökkääjä pääsi käsiksi Authyyn liitettyihin tietoihin ja sai haltuunsa noin 33 miljoonaa puhelinnumeroa suojaamattoman rajapinnan kautta. Itse koodit eivät vuotaneet, mutta numerolista on kalastelijoille arvokas. Nämä kaksi tapahtumaa heikensivät Authyn asemaa, ja moni käyttäjä on siirtynyt muihin sovelluksiin.

YubiKey ja laitteistoavaimet: vahvin suoja

Laitteistoavain on fyysinen pala, joka liitetään USB-porttiin tai luetaan NFC:llä puhelimen takaa. Markkinoiden tunnetuin on Yubicon YubiKey, ja sen 5-sarja on käytännön standardi. Sarjaan kuuluu useita malleja eri liitäntöihin: YubiKey 5 NFC (USB-A ja NFC), YubiKey 5C NFC (USB-C ja NFC), YubiKey 5Ci (USB-C ja Lightning) sekä pienikokoiset Nano-mallit. Yubicon verkkokaupan listahinta YubiKey 5 NFC- ja 5C NFC -malleille on vuonna 2025 noin 58 dollaria kappaleelta.

YubiKey 5 -sarja on monikäyttöinen: se tukee FIDO2- ja WebAuthn-todennusta, vanhempaa U2F:ää, älykorttitoimintoja, OpenPGP:tä ja kertakoodeja. Tämä tekee siitä yhden avaimen, joka kattaa kotikäytön, työpaikan ja jopa salausavaimet. Jos tarvitset vain kalastelunkestävän FIDO2-tekijän, Yubicon edullisempi Security Key -sarja maksaa noin 30 dollaria ja tarjoaa pelkän FIDO2- ja U2F-tuen ilman lisäominaisuuksia.

Laitteistoavaimen ainutlaatuinen vahvuus on, ettei salaista avainta voi koskaan kopioida pois laitteelta. Vaikka tietokone olisi haittaohjelman saastuttama, avain ei luovuta salaisuuttaan, ja jokainen kirjautuminen vaatii fyysisen kosketuksen avaimeen. Tämä tekee siitä ylivoimaisen korkean riskin käyttäjille: toimittajille, ylläpitäjille, kryptovaluuttojen haltijoille ja kenelle tahansa, joka on kohdennetun hyökkäyksen kohteena.

Haittapuoli on käytännöllinen. Avain maksaa, se pitää kantaa mukana, ja jos se katoaa ilman varakappaletta, kirjautuminen voi estyä. Siksi vakiokäytäntö on ostaa kaksi avainta, rekisteröidä molemmat tärkeisiin palveluihin ja säilyttää toinen turvallisessa paikassa. Tämä lisää kustannusta mutta poistaa yhden pisteen vikaantumisen. Laitteistoavain ei myöskään synkronoidu, mikä on samaan aikaan sen turvallisin ja kömpelöin ominaisuus.

Passkeyt: salasanaton tulevaisuus leviää nopeasti

Passkey on vuoden 2026 nopeimmin kasvava kirjautumistapa. Se käyttää samaa FIDO2- ja WebAuthn-kryptografiaa kuin laitteistoavain mutta tallentaa avaimen puhelimeen tai tietokoneeseen ja synkronoi sen valmistajan pilven kautta. Käyttäjälle kirjautuminen näyttää sormenjäljeltä tai kasvojentunnistukselta, eikä salasanaa tarvita lainkaan. Passkey on samaan aikaan kalastelunkestävä ja helpompi kuin salasana, mikä on harvinainen yhdistelmä tietoturvassa.

Käyttöönotto on ollut nopeaa. Vuoden 2025 raporttien mukaan passkeytä on luotu jo yli miljardi kappaletta, ja kahdeksan kymmenestä internetin suosituimmasta sivustosta tukee niitä. Saman datan mukaan vähintään noin viidennes markkinasta on jo ottanut passkeyn käyttöön ainakin yhdessä palvelussa. Apple, Google, Microsoft, Amazon, PayPal ja GitHub kuuluvat tukijoihin, ja lista kasvaa kuukausittain. FIDO Alliance, joka kehittää standardia, on tehnyt passkeystä yhteentoimivan eri alustojen välillä.

Passkeyssä on kaksi muotoa, jotka kannattaa erottaa. Synkronoitu passkey varmuuskopioituu pilveen (esimerkiksi iCloud-avainnippu tai Google-salasanojen hallinta) ja seuraa laitteelta toiselle, mikä on kätevää kuluttajalle. Laitesidottu passkey pysyy yhdessä laitteessa eikä poistu sieltä, mikä vastaa laitteistoavainta ja sopii korkeimman turvatason käyttöön. Yritykset voivat vaatia laitesidottua muotoa, kun taas kuluttajat hyötyvät synkronoidusta.

Passkeyn rajat liittyvät ekosysteemiin. Jos passkey on tallennettu Applen avainnippuun, sen käyttö Android-laitteessa vaatii ylimääräisiä askelia, ja siirtyminen alustalta toiselle on yhä kehittymässä. Tästä syystä moni pitää laitteistoavainta varatekijänä passkeyn rinnalla. Käytännössä passkey on silti paras yleisvalinta useimmille käyttäjille vuonna 2026, koska se yhdistää vahvan suojan ja vaivattomuuden.

Hinnat ja kustannukset vertailussa

Kustannus on monelle yllättävän pieni tekijä, koska kolme viidestä menetelmästä on käyttäjälle ilmaisia. Maksulliseksi muuttuu vain laitteistoavain, ja sen kertaluonteinen hinta on vaatimaton verrattuna kaapatun tilin aiheuttamaan vahinkoon. Alla hintataulukko käyttäjän näkökulmasta.

Menetelmä	Hankintahinta	Jatkuva kustannus	Huomio
SMS-koodi	0 €	0 € (operaattorin sis.)	Vaatii puhelinliittymän
Google Authenticator	0 €	0 €	Ilmainen sovellus
Microsoft Authenticator	0 €	0 €	Ilmainen sovellus
Authy	0 €	0 €	Työpöytäsovellus lopetettu
Passkey	0 €	0 €	Vaatii tuetun laitteen
YubiKey Security Key	noin 30 USD	0 €	Vain FIDO2 / U2F
YubiKey 5 NFC	noin 58 USD	0 €	Monikäyttöinen avain
YubiKey 5C NFC	noin 58 USD	0 €	USB-C ja NFC

Suositus on ostaa laitteistoavaimet pareittain, joten korkeimman turvatason kustannus on käytännössä noin 60-116 dollaria kahdesta avaimesta. Tämä on kertakulu, eikä siihen liity tilausmaksuja. Kun vertaa tätä esimerkiksi kaapatun pankki- tai kryptovaluuttatilin menetyksiin, hinta on lähes merkityksetön korkean riskin käyttäjälle. Useimmille kuluttajille ilmainen passkey on kuitenkin täysin riittävä, eikä mihinkään tarvitse käyttää rahaa.

Benchmarkit ja tutkimusdata kolmesta lähteestä

Kaksivaiheisen tunnistautumisen vaikuttavuutta on mitattu useassa riippumattomassa lähteessä, ja luvut tukevat toisiaan. Tärkeintä on huomata, että jokainen luku osoittaa samaan suuntaan: mikä tahansa toinen tekijä on valtava parannus pelkkään salasanaan, ja kalastelunkestävät tekijät ovat luokkaa parempia kuin koodipohjaiset.

• Microsoft: monivaiheinen tunnistautuminen estää yli 99,9 prosenttia automatisoiduista tilikaappauksista. Tämä on vertailun usein siteeratuin yksittäinen luku ja koskee massamaisia robottihyökkäyksiä.
• 1Password, passkey-katsaus 2025: passkeytä on luotu yli miljardi kappaletta, kahdeksan kymmenestä suosituimmasta sivustosta tukee niitä, ja vähintään noin viidennes markkinasta on ottanut passkeyn käyttöön.
• FIDO Alliance: FIDO2- ja WebAuthn-pohjaiset avaimet ja passkeyt ovat suunnittelultaan kalastelunkestäviä, koska todennus sidotaan kirjautumissivun osoitteeseen.
• CISA: kalastelunkestävän monivaiheisen tunnistautumisen ohje asettaa FIDO/WebAuthn-avaimet ja PKI-varmenteet vahvimmiksi, sovelluspohjaiset koodit ja push-ilmoitukset keskelle ja SMS:n sekä puhelun heikoimmiksi.
• Twilio (Authy), 2024: tietoturvaloukkaus paljasti noin 33 miljoonaa puhelinnumeroa, mikä osoittaa konkreettisesti, että keskitetty käyttäjätietokanta on hyökkäyspinta riippumatta itse koodien turvasta.

Näiden lukujen yhteisviesti on, että siirtyminen pelkästä salasanasta mihin tahansa toiseen tekijään tuo suurimman hyödyn, ja siirtyminen koodista kalastelunkestävään tekijään tuo toisen merkittävän hyppäyksen. NISTin ja CISAn ohjeistus, FIDO Alliancen tekninen suunnittelu ja Microsoftin tilastot piirtävät kaikki saman kuvan. Vuonna 2026 paras saatavilla oleva data tukee passkeyn ja laitteistoavaimen suosittelua kaikille, joille ne ovat saatavilla.

Viisi reaalimaailman esimerkkiä

Konkreettiset tapaukset selittävät, miksi menetelmän valinta ei ole akateeminen. Seuraavat viisi esimerkkiä havainnollistavat sekä epäonnistumisia että onnistumisia.

1. Authyn tietovuoto 2024: Twilio raportoi, että hyökkääjä keräsi noin 33 miljoonaa Authyyn liitettyä puhelinnumeroa suojaamattomasta rajapinnasta. Vaikka koodit eivät vuotaneet, numerolista mahdollisti kohdennetun kalastelun ja SIM-kaappauksen. Tapaus osoittaa, että pilvisynkronoidun palvelun tietokanta on itsessään houkutteleva kohde.
2. SIM-kaappaukset kryptovaluuttatileillä: lukuisissa raportoiduissa tapauksissa hyökkääjät ovat siirtäneet uhrin puhelinnumeron omalle SIM-kortilleen ja kaapanneet SMS-koodeilla suojatut kryptovaluutta- ja sähköpostitilit. Nämä tapaukset ovat suoraan syy siihen, miksi SMS:ää ei suositella arvokkaiden tilien ainoaksi toiseksi tekijäksi.
3. Suuryhtiöiden siirtymä laitteistoavaimiin: useat suuret teknologiayhtiöt siirsivät työntekijänsä FIDO-laitteistoavaimiin ja raportoivat tilikaappausten käytännössä loppuneen sisäisesti. Tämä oli yksi ensimmäisistä laajan mittakaavan todisteista kalastelunkestävän tekijän tehosta.
4. Push-väsytyshyökkäykset: ennen numerontäsmäystä hyökkääjät pommittivat uhreja push-pyynnöillä, kunnes joku hyväksyi yhden vahingossa. Microsoftin vuonna 2023 oletukseksi ottama numerontäsmäys torjui tämän tekemällä sokeasta hyväksynnästä mahdotonta.
5. Passkeyn nousu kuluttajilla: kun suuret alustat lisäsivät passkey-kirjautumisen, käyttöönotto ylitti miljardin luodun avaimen rajan ja kahdeksan kymmenestä suosituimmasta sivustosta otti tuen käyttöön. Tämä osoittaa, että kalastelunkestävä tekijä voi myös olla helppokäyttöinen ja levitä massoille.

Esimerkkien punainen lanka on selvä. Heikkoudet keskittyvät SMS:ään ja keskitettyihin tietokantoihin, kun taas kalastelunkestävät tekijät ovat kestäneet sekä massahyökkäykset että kohdennetut yritykset. Tämä ei tarkoita, etteikö koodipohjaisilla tekijöillä olisi paikkaansa, vaan että korkean riskin käyttäjän kannattaa nostaa rima FIDO2-tasolle.

Asiantuntijoiden ja viranomaisten näkemykset

Kaksivaiheisesta tunnistautumisesta on poikkeuksellisen vahva viranomaiskonsensus, mikä helpottaa suosituksen tekemistä. Toisin kuin monessa tietoturva-aiheessa, eri tahojen näkemykset eivät ole ristiriidassa keskenään vaan vahvistavat toisiaan.

Microsoftin identiteettiturvallisuudesta vastaava Alex Weinert on toistuvasti todennut, että pelkkä monivaiheisen tunnistautumisen käyttöönotto torjuu valtaosan tilikaappauksista, mutta SMS on tekijöistä heikoin ja se kannattaa korvata sovelluksella tai avaimella. Tämä näkemys vastaa Microsoftin julkaisemaa lukua, jonka mukaan suoja yltää automatisoituja hyökkäyksiä vastaan yli 99,9 prosenttiin.

Yhdysvaltain CISA on virallisessa ohjeessaan asettanut FIDO/WebAuthn-pohjaiset menetelmät kärkeen ja kehottaa organisaatioita siirtymään kalastelunkestävään monivaiheiseen tunnistautumiseen erityisesti korotetun uhkatason aikana. NIST puolestaan luokittelee SP 800-63B -ohjeessaan SMS-kertakoodit rajoitetuksi tekijäksi, mikä on viranomaiskielen tapa sanoa, että se sallitaan mutta sitä ei suositella ensisijaiseksi.

FIDO Alliance, joka kokoaa alan suurimmat toimijat, on rakentanut passkeyn nimenomaan ratkaisemaan salasanan ja koodien kalasteluongelman. Suomessa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus suosittelee monivaiheista tunnistautumista kaikkiin tärkeisiin tileihin ja korostaa, ettei pelkkä salasana riitä. Kun viranomaiset Yhdysvalloissa ja Suomessa, standardia kehittävä FIDO Alliance ja suurin pilvitoimija Microsoft päätyvät samaan johtopäätökseen, suosituksen voi tehdä ilman epäröintiä.

Kenelle mikäkin menetelmä sopii: viisi suositusta

Paras menetelmä riippuu käyttäjästä ja tilin arvosta. Seuraavat viisi käyttötapausta kattavat valtaosan tilanteista.

• Tavallinen kuluttaja: ota passkey käyttöön kaikkialla, missä se on tarjolla, ja käytä todennussovellusta siellä, missä passkeytä ei vielä ole. Pidä SMS vain varatekijänä. Tämä yhdistelmä on ilmainen ja torjuu valtaosan hyökkäyksistä.
• Korkean riskin käyttäjä (toimittaja, ylläpitäjä, kryptosijoittaja): hanki kaksi YubiKey-laitteistoavainta ja rekisteröi molemmat tärkeisiin palveluihin. Laitesidottu avain on vahvin suoja kohdennettua kalastelua vastaan.
• Yritys ja organisaatio: ota Microsoft Authenticator push-numerontäsmäyksellä tai FIDO2-avaimet käyttöön Entra ID:n kautta ja vaadi kalastelunkestävää tekijää järjestelmänvalvojille. Poista SMS-varatekijä korkean oikeustason tileiltä.
• Vähän tekniikkaa käyttävä henkilö: passkey sormenjäljellä tai kasvoilla on helpoin oppia, koska se ei vaadi koodien kopiointia. Jos passkey ei ole tuttu, Google Authenticator on yksinkertaisin todennussovellus.
• Useita laitteita käyttävä: synkronoitu passkey tai pilvisynkronoitu todennussovellus seuraa laitteelta toiselle. Vältä Authyn työpöytäratkaisua, koska työpöytäsovellus lopetettiin vuonna 2024.

Yhteinen nimittäjä on, että jokainen näistä suosituksista siirtää käyttäjän pois pelkästä SMS:stä. SMS säilyy varatekijänä, koska se on parempi kuin ei mitään, mutta yksikään käyttötapaus ei suosittele sitä ensisijaiseksi suojaksi vuonna 2026.

Siirtymäopas: näin vaihdat turvallisempaan 2FA:han

Siirtyminen vahvempaan kaksivaiheiseen tunnistautumiseen vie noin 15 minuuttia tärkeimpien tilien osalta. Etene järjestyksessä tärkeimmistä tileistä vähemmän tärkeisiin, jotta suurin riski katoaa ensin.

1. Listaa tärkeimmät tilit: sähköposti ensin, koska se on salasanojen palautuksen avain, sitten pankki, sosiaalinen media ja pilvitallennus.
2. Tarkista jokaisesta palvelusta turvallisuusasetukset ja katso, tukeeko se passkeytä tai FIDO2-avainta. Jos tukee, ota se käyttöön ensisijaisena tekijänä.
3. Jos passkey ei ole tarjolla, ota käyttöön todennussovellus skannaamalla palvelun QR-koodi. Tallenna palvelun antamat varakoodit turvalliseen paikkaan.
4. Poista SMS ensisijaisena tekijänä, jos palvelu sallii sen, ja jätä se vain varatekijäksi tai poista kokonaan, kun vahvempi tekijä on käytössä.
5. Rekisteröi varatekijä: toinen passkey, toinen laitteistoavain tai tulostetut varakoodit. Älä jätä itseäsi yhden laitteen varaan.
6. Testaa kirjautuminen uloskirjautumalla ja kirjautumalla takaisin uudella tekijällä ennen kuin poistat vanhan menetelmän.

Todennussovelluksen taustalla toimiva TOTP-koodi on standardoitu, joten saman jaetun salaisuuden voi tarvittaessa lisätä mihin tahansa yhteensopivaan sovellukseen. Alla on yksinkertaistettu esimerkki siitä, miten TOTP-koodi lasketaan, mikä auttaa ymmärtämään, miksi koodi toimii ilman verkkoyhteyttä.

# TOTP-koodin periaate (RFC 6238), Python-esimerkki
import hmac, hashlib, struct, time, base64

def totp(secret_base32, step=30, digits=6):
    key = base64.b32decode(secret_base32, casefold=True)
    counter = int(time.time() // step)        # aikaikkuna, 30 s
    msg = struct.pack(">Q", counter)
    h = hmac.new(key, msg, hashlib.sha1).digest()
    offset = h[-1] & 0x0F                       # dynaaminen leikkaus
    code = (struct.unpack(">I", h[offset:offset+4])[0] & 0x7FFFFFFF) % (10 ** digits)
    return str(code).zfill(digits)

# Sama salaisuus tuottaa saman koodin missa tahansa sovelluksessa
print(totp("JBSWY3DPEHPK3PXP"))

Esimerkki näyttää, miksi todennussovellus toimii ilman verkkoa: koodi lasketaan jaetusta salaisuudesta ja kellonajasta, eikä mitään lähetetä palvelimelle. Sama logiikka on syy siihen, että koodin voi yhä kalastella, koska valmis koodi syötetään käsin. FIDO2 ja passkey eroavat juuri tässä: niissä laite allekirjoittaa haasteen, jota käyttäjä ei voi vahingossa luovuttaa väärälle sivulle.

Plussat ja miinukset menetelmittäin

Jokaisella menetelmällä on paikkansa, mutta vahvuudet ja heikkoudet kannattaa tuntea ennen valintaa. Alla tiivistetty yhteenveto.

Menetelmä	Plussat	Miinukset
SMS-koodi	Toimii kaikilla, ei sovellusta	Altis kalastelulle ja SIM-kaappaukselle
TOTP-sovellus	Ilmainen, toimii offline, ei SIM-riskiä	Koodin voi yhä kalastella reaaliajassa
Push-hyväksyntä	Nopea, numerontäsmäys torjuu väsytyksen	Vaatii verkon, valmistajakohtainen
FIDO2-avain	Kalastelunkestävä, avain ei poistu laitteelta	Maksaa, pitää kantaa mukana
Passkey	Kalastelunkestävä ja helppo, ilmainen	Ekosysteemiriippuvuus, siirto kehittyy yhä

Taulukosta näkee, että passkey on ainoa menetelmä, jonka miinukset ovat lähinnä käytettävyyteen liittyviä eivätkä tietoturvaan. Laitteistoavain on turvallisin mutta kömpelöin ja maksullinen. SMS on helpoin mutta heikoin. Tämä asetelma on syy siihen, miksi suositus kallistuu passkeyn puolelle kuluttajille ja laitteistoavaimen puolelle korkean riskin käyttäjille.

Kaksivaiheinen tunnistautuminen Suomessa ja Pohjoismaissa

Pohjoismaat ovat olleet vahvan sähköisen tunnistautumisen edelläkävijöitä jo ennen kuin passkey-sana keksittiin. Suomessa pankkien verkkopankkitunnukset ja mobiilivarmenne ovat tehneet kaksivaiheisesta tunnistautumisesta arkipäivää, ja samaa tunnistautumista käytetään julkisissa palveluissa kuten verottajan ja Kelan asioinnissa. Tämä tarkoittaa, että suomalainen käyttäjä on jo tottunut toiseen tekijään, vaikka ei käyttäisi termiä. Siirtymä passkeyhin ja laitteistoavaimiin on siksi luonteva jatkumo, ei uusi vaatimus.

EU:n sääntely vauhdittaa kehitystä. PSD2:n vahva asiakastunnistus on jo pakottanut pankit kahteen tekijään verkkomaksuissa, ja eIDAS 2.0 -asetus tuo EU:n digitaalisen identiteetin lompakon, johon kansalaiset voivat tallentaa todennetun henkilöllisyytensä. Lompakon on tarkoitus toimia kaikkialla unionissa, ja sen tunnistautuminen nojaa samaan kalastelunkestävään kryptografiaan kuin passkey ja FIDO2. Pohjoismainen käyttäjä kohtaa siis lähivuosina yhä enemmän vahvaa tunnistautumista sekä yksityisissä että julkisissa palveluissa.

Suomen Kyberturvallisuuskeskus, joka toimii Liikenne- ja viestintävirasto Traficomin alaisuudessa, suosittelee monivaiheista tunnistautumista kaikkiin tärkeisiin tileihin ja varoittaa toistuvasti kalastelukampanjoista, jotka kohdistuvat suomalaisiin pankki- ja sähköpostikäyttäjiin. Keskuksen viesti on linjassa kansainvälisten viranomaisten kanssa: pelkkä salasana ei riitä, ja kalastelunkestävä tekijä on paras suoja. Suomalaiselle lukijalle tämä tarkoittaa, että passkeyn käyttöönotto ei ole vain kansainvälinen trendi vaan myös kotimaisen viranomaisen suositus.

Käytännön ero pohjoismaisessa arjessa on, että pankkitunnistautuminen on usein sidottu pankin omaan sovellukseen, kun taas globaalit palvelut (sähköposti, sosiaalinen media, pilvitallennus) jättävät tekijän valinnan käyttäjälle. Juuri näissä globaaleissa palveluissa kannattaa ottaa passkey tai todennussovellus käyttöön, koska ne eivät kuulu pankin vahvan tunnistautumisen piiriin. Kahden maailman yhdistäminen, kotimainen pankkitunnistus ja kansainvälinen passkey, antaa suomalaiselle käyttäjälle kattavan suojan.

Yleisimmät virheet kaksivaiheisen tunnistautumisen käytössä

Vahvinkin tekijä menettää tehonsa, jos sitä käytetään väärin. Seuraavat virheet toistuvat sekä kuluttajilla että organisaatioissa, ja ne kannattaa tarkistaa heti käyttöönoton jälkeen.

• Ei varatekijää: yleisin virhe on luottaa yhteen laitteeseen. Jos puhelin katoaa tai laitteistoavain rikkoutuu eikä varakappaletta ole, käyttäjä lukkiutuu ulos tileiltään. Rekisteröi aina vähintään kaksi tekijää tai tallenna varakoodit.
• SMS-varatekijä jää päälle: moni ottaa passkeyn käyttöön mutta jättää SMS:n varatekijäksi. Tällöin hyökkääjä voi ohittaa vahvan tekijän kohdistamalla hyökkäyksen heikompaan SMS-varareittiin. Poista SMS, kun vahvempi tekijä toimii.
• Varakoodit sähköpostissa: varakoodien tallentaminen samaan sähköpostiin, jota ne suojaavat, kumoaa koko hyödyn. Säilytä koodit erillään, mieluiten salasanojen hallinnassa tai paperilla.
• Saman tekijän käyttö kaikkialla ilman erottelua: kriittisimmät tilit, kuten pääsähköposti, ansaitsevat vahvimman tekijän. Älä käytä heikointa yhteistä nimittäjää kaikkialla.
• Push-pyynnön sokea hyväksyntä: jos saat push-ilmoituksen, jota et itse aloittanut, älä hyväksy sitä. Se on merkki siitä, että joku yrittää kirjautua tilillesi varastetulla salasanalla.

Nämä virheet selittävät, miksi pelkkä tekijän valinta ei riitä. Hyökkääjä etsii aina ketjun heikointa lenkkiä, ja usein se on varareitti tai huolimaton käyttö eikä itse tekijä. Kun otat käyttöön passkeyn tai laitteistoavaimen, käy samalla läpi tilin koko palautusketju, jotta vahva tekijä ei vuoda heikon takaoven kautta.

Biometriikka, varakoodit ja tilin palautus

Passkeyn yleistyessä moni sekoittaa biometriikan ja kryptografian. Sormenjälki tai kasvojentunnistus ei lähetä biometristä tietoa palvelulle. Se vain avaa laitteessa olevan salaisen avaimen paikallisesti, ja itse todennuksen tekee kryptografinen avain. Tämä on tärkeä yksityisyysero: kasvosi tai sormenjälkesi eivät koskaan poistu laitteelta, eikä palvelu saa niitä haltuunsa. Biometriikka on vain paikallinen lukko avaimen edessä.

Tilin palautus on kaksivaiheisen tunnistautumisen heikoin kohta, jos sitä ei suunnitella. Vahva tekijä suojaa kirjautumista, mutta jos palautusreitti nojaa pelkkään sähköpostiin tai SMS:ään, hyökkääjä voi ohittaa koko suojan palautustoiminnolla. Siksi palautusreitin pitää olla vähintään yhtä vahva kuin itse tekijän. Käytännössä tämä tarkoittaa toista passkeytä, toista laitteistoavainta tai turvallisesti säilytettyjä varakoodeja.

Varakoodit ovat palvelun antamia kertakäyttöisiä koodeja, jotka toimivat, kun varsinainen tekijä ei ole saatavilla. Ne ovat tehokas turvaverkko, mutta vain jos ne säilytetään oikein. Paras paikka on salasanojen hallinta tai fyysinen, lukittu paikka. Älä koskaan tallenna varakoodeja selkokielisenä pilveen tai samaan sähköpostiin, jota ne suojaavat. Hyvä käytäntö on tulostaa koodit ja säilyttää ne kotona muiden tärkeiden papereiden kanssa.

Laitteen vaihto on hetki, jolloin moni menettää tekijänsä. Synkronoitu passkey ja pilvisynkronoitu todennussovellus seuraavat uudelle laitteelle automaattisesti, kun kirjaudut samaan ekosysteemiin. Laitesidottu passkey ja laitteistoavain eivät synkronoidu, joten ne pitää rekisteröidä erikseen uudelle laitteelle ennen vanhan hävittämistä. Suunnittele laitteen vaihto etukäteen, niin et jää lukkojen taakse omille tileillesi.

Tuomio: paras 2FA vuonna 2026

Data antaa selkeän tuomion. Kaikille käyttäjille paras yleisvalinta on passkey, koska se on samaan aikaan kalastelunkestävä ja vaivaton, se on ilmainen, ja sitä tukee jo kahdeksan kymmenestä suosituimmasta sivustosta. Passkey on ainoa menetelmä, joka ratkaisee sekä turvallisuuden että käytettävyyden ongelman yhdellä kertaa, ja sen käyttöönotto on ylittänyt miljardin luodun avaimen rajan.

Korkeimman turvatason käyttäjille suositus on FIDO2-laitteistoavain, käytännössä kaksi YubiKey 5 -avainta noin 58 dollarin kappalehintaan. Laitesidottu avain on ainoa tekijä, jonka salaista avainta ei voi koskaan kopioida, mikä tekee siitä ylivoimaisen kohdennettua hyökkäystä vastaan. Passkey ja laitteistoavain käyttävät samaa FIDO2-tekniikkaa, joten ne täydentävät toisiaan: passkey arkeen, laitteistoavain varatekijäksi ja kriittisimpiin tileihin.

Todennussovellukset eli Google Authenticator, Microsoft Authenticator ja Authy ovat yhä hyvä valinta siellä, missä passkeytä ei tarjota. Niistä Microsoft Authenticator on monipuolisin push-numerontäsmäyksen ja passkey-tuen ansiosta, Google Authenticator yksinkertaisin, ja Authy heikentyi työpöytäsovelluksen lopetuksen ja vuoden 2024 tietovuodon takia. SMS jää viimeiseksi: se on parempi kuin ei mitään, mutta sen heikkous kalastelua ja SIM-kaappausta vastaan tekee siitä pelkän varatekijän.

Yhden lauseen tuomio: ota passkey käyttöön kaikkialla missä voit, lisää laitteistoavain jos tilisi ovat arvokkaita, käytä todennussovellusta välissä ja jätä SMS vain hätävaraksi. Tämä järjestys seuraa suoraan Microsoftin, CISAn, NISTin ja FIDO Alliancen yhtenevää dataa, eikä se maksa useimmille käyttäjille mitään.

Usein kysytyt kysymykset

Onko kaksivaiheinen tunnistautuminen pakollista?

Kuluttajalle se on yhä vapaaehtoista useimmissa palveluissa, mutta voimakkaasti suositeltua. EU:n PSD2-direktiivi vaatii vahvaa asiakastunnistusta verkkomaksuissa, joten pankkikirjautumisissa se on käytännössä pakollista. Yhä useampi palvelu tekee siitä oletuksen, ja korkean riskin tileissä sen pois jättäminen on suuri virhe.

Onko passkey turvallisempi kuin todennussovellus?

Kyllä. Passkey on kalastelunkestävä, koska se sitoo kirjautumisen sivuston osoitteeseen, kun taas todennussovelluksen koodin voi yhä huijata käyttäjältä väärennetylle sivulle. Molemmat ovat selvästi parempia kuin SMS, mutta passkey on turvallisuudeltaan luokkaa korkeammalla.

Mikä on paras todennussovellus?

Microsoft Authenticator on monipuolisin push-numerontäsmäyksen ja passkey-tuen ansiosta, ja se sopii erityisesti Microsoft-ympäristöön. Google Authenticator on yksinkertaisin pelkkiin koodeihin. Authyn asema heikkeni työpöytäsovelluksen lopetuksen ja vuoden 2024 tietovuodon jälkeen, joten sitä ei enää suositella ensisijaisena.

Kannattaako SMS-tunnistautumista käyttää lainkaan?

SMS on parempi kuin pelkkä salasana, joten se kannattaa pitää, jos palvelu ei tarjoa muuta. NIST luokittelee sen kuitenkin rajoitetuksi tekijäksi, ja se on altis SIM-kaappaukselle. Käytä sitä vain varatekijänä ja vaihda todennussovellukseen tai passkeyhin heti kun mahdollista.

Mitä tapahtuu, jos kadotan puhelimen tai laitteistoavaimen?

Siksi tarvitset aina varatekijän. Rekisteröi toinen passkey tai toinen laitteistoavain, ja tallenna palvelun antamat varakoodit turvalliseen paikkaan. Synkronoitu passkey palautuu uudelle laitteelle pilven kautta, mutta laitesidottu avain ja työpöytäsovellukseton todennussovellus eivät, joten varakappale on välttämätön.

Onko YubiKey 5 NFC hintansa arvoinen?

Korkean riskin käyttäjälle kyllä. Noin 58 dollarin kertakulu on vähäinen verrattuna kaapatun pankki- tai kryptotilin menetykseen, ja avain tukee FIDO2:ta, U2F:ää, älykorttitoimintoja ja kertakoodeja. Useimmille kuluttajille ilmainen passkey riittää, mutta jos kaipaat fyysistä, kopioimatonta avainta, YubiKey 5 on alan standardi.

Toimiiko passkey eri laitevalmistajien välillä?

Yhä paremmin, mutta ei täydellisesti. Passkey synkronoituu helposti saman ekosysteemin sisällä, esimerkiksi Applen tai Googlen laitteiden välillä. Eri alustojen välinen siirto on FIDO Alliancen työn alla ja paranee jatkuvasti, mutta tästä syystä moni pitää laitteistoavainta yleisenä varatekijänä.

Riittääkö kaksivaiheinen tunnistautuminen yksin suojaksi?

Se on tärkein yksittäinen suojaus, mutta ei korvaa muuta hygieniaa. Tarvitset yhä vahvat ja yksilölliset salasanat, ajantasaiset ohjelmistot ja varovaisuuden kalastelun suhteen. Kalastelunkestävä tekijä, kuten passkey, kuitenkin poistaa suurimman yksittäisen riskin eli salasanan varastamisen seuraukset.

Aiheeseen liittyvää

• Salasanaturvallisuus: mikä oikeasti pitää tilit turvassa
• Bitwarden vs 1Password: salasanojen hallinta vertailussa
• Kalasteluhyökkäykset: näin tunnistat ja vältät ne
• Tietomurrot: miten ne tapahtuvat ja miten suojaudut
• Signal vs WhatsApp vs Telegram: viestisovellusten vertailu
• HTTPS ja TLS selitettynä: mitä lukko oikeasti tarkoittaa
• Verkkoturvallisuus selitettynä: käytännön opas

Lähteet ja lisälukemista

• FIDO Alliance: mitä FIDO ja passkey ovat
• NIST SP 800-63B: digitaalisen identiteetin ohjeistus
• Yubico: YubiKey 5 -sarjan yleiskatsaus
• Microsoft: monivaiheisen tunnistautumisen toiminta
• Kyberturvallisuuskeskus (Traficom)
• EBA: PSD2:n vahva asiakastunnistus