Kaksivaiheinen tunnistautuminen on siirtynyt valinnaisesta ominaisuudesta käytännön pakoksi. Suomalaiset verkkopankit, työnantajat ja verkkopalvelut edellyttävät sitä jo laajasti, ja Kyberturvallisuuskeskus suosittelee sitä kaikille tileille. Kaksi ylivoimaisesti suosituinta TOTP-sovellusta ovat Google Authenticator ja Microsoft Authenticator, mutta niiden välillä on kuusi ratkaisevaa eroa, jotka vaikuttavat siihen, kumpi sopii sinulle.
Elokuussa 2024 Twilio lopetti Authy-työpöytäsovelluksensa, ja tämä pakotti satojatuhansia käyttäjiä etsimään vaihtoehdon. Samaan aikaan Google lisäsi Authenticatoriinsa pilvivarmistuksen vasta huhtikuussa 2023, vuosikymmenen jälkeen sovelluksen julkaisusta. Microsoft Authenticator on taas vuosien ajan tarjonnut ominaisuuksia, joita Google vasta nyt rakentaa. Molemmissa sovelluksissa on nyt pilvivarmistus, mutta niiden lähestymistavat tietoturvaan, yrityskäyttöön ja käyttökokemukseen eroavat merkittävästi.
Tässä vertailussa käymme läpi 6 tärkeintä eroa, vertailemme ominaisuuksia 15 rivin taulukon avulla, esittelemme viisi todellista käyttötapausta Suomesta ja annamme selkeän suosituksen eri tilanteisiin. Primaarisena vertailukriteerinä toimii tietoturva, toisena käytettävyys ja kolmantena sopivuus eri käyttöympäristöihin. Lisäksi käymme läpi vaihtoehtojen turvallisuusvertailutaulukon sekä siirtymisoppaan Authysta tai vanhasta sovelluksesta.
Kaksivaiheinen tunnistautuminen Suomessa: miksi se on nyt pakollista?
Kyberturvallisuuskeskuksen (NCSC-FI) tilastojen mukaan tietomurtojen ja identiteettivarkauksien määrä on kasvanut Suomessa merkittävästi viimeisten vuosien aikana. Pelkällä salasanalla suojatut tilit ovat hyökkääjien pääkohde, koska salasanoja vuotaa datamurroissa, phishing-sivustojen kautta ja haittaohjelmilla. Kaksivaiheinen tunnistautuminen katkaisee tämän hyökkäysketjun: vaikka salasanasi vuotaisi, hyökkääjä ei pääse sisään ilman toista tekijää.
Suomalaiset pankit, kuten OP, Nordea ja S-Pankki, edellyttävät vahvaa tunnistautumista verkkopankkiin kirjautumisessa jo lain nojalla. Yrityksille EU:n NIS2-direktiivi, joka tuli voimaan vuoden 2024 lopulla, asettaa vahvan tunnistautumisen vaatimuksen kriittisten toimialojen organisaatioille. Suomen lisäksi kaikki pohjoismaiset maat ovat ottaneet MFA:n käyttöön keskeisessä infrastruktuurissa, ja yrityspuolella standardiksi on muodostunut TOTP-sovellus tai FIDO2-tunnistin.
Kuluttajapuolella kaksivaiheinen tunnistautuminen on yleistynyt hitaammin. Traficomin 2025 kyberturvallisuusbarometrin mukaan noin 40 % suomalaisista on ottanut 2FA:n käyttöön ainakin yhdessä palvelussa. Tämä luku on kasvanut, mutta suurin osa kriittisistä tileistä on edelleen suojattu vain salasanalla. Sovelluspohjainen kaksivaiheinen tunnistautuminen on helpoin askel kohti parempaa tietoturvaa: se on ilmainen, nopea ottaa käyttöön ja toimii kaikissa päätelaitteissa.
Suomalaisten yritysten tietoturvataso on eurooppalaisessa vertailussa kohtalaisen hyvä, mutta erityisesti pk-yrityksissä MFA:n käyttöönotto on ollut hidasta. Kyberturvallisuuskeskuksen suositukset, EU:n NIS2-direktiivin vaatimukset ja vakuutusyhtiöiden kasvavat ehdot kyberturvallisuusvaatimuksista ajavat yrityksiä yhä laajempaan MFA:n käyttöön. Google ja Microsoft Authenticator ovat tässä siirtymässä keskeisiä välineitä, koska ne on helppo ottaa käyttöön ilman merkittäviä IT-investointeja.
Mikä on Google Authenticator?
Google Authenticator on ilmainen sovellus, jonka Google julkaisi vuonna 2010. Alun perin sen tarkoitus oli tarjota TOTP-pohjainen (Time-based One-Time Password) kaksivaiheinen tunnistautuminen Google-tileille, mutta sovellus tukee nykyisin kaikkia RFC 6238 -standardin mukaisia palveluita. Se on saatavilla iOS:lle ja Androidille, eikä siitä ole virallista työpöytäversiota.
Sovellus on suunniteltu tarkoituksellisesti yksinkertaiseksi. Avaat sen, näet 6-numeroiset koodit, jotka vaihtuvat 30 sekunnin välein, ja kirjoitat koodin palveluun. Käyttöliittymässä ei ole ylimääräisiä ominaisuuksia, mainoksia tai tilausmalleja. Tämä yksinkertaisuus on ollut sekä vahvuus että heikkous: sovellus toimi pitkään ainoastaan paikallisesti ilman varmuuskopiointia, mikä tarkoitti, että puhelimen katoaminen saattoi johtaa kaikkien tilien lukittumiseen.
Huhtikuussa 2023 Google julkaisi merkittävän päivityksen: pilvivarmistuksen Google-tilille. Google Security Blogin mukaan päivitys mahdollistaa tunnistautumistietojen synkronoinnin laitteiden välillä. Tämä oli iso muutos, mutta samalla se herätti tietoturvakeskustelun: jos Google-tilisi vaarantuu, hyökkääjä voi saada käsiinsä kaikki 2FA-siemenesi. Päivityksessä käyttäjälle annettiin mahdollisuus ottaa pilvivarmistus käyttöön tai pitää tilit edelleen vain paikallisena.
Sovellus on yhteensopiva kaikkien palveluiden kanssa, jotka tukevat TOTP-standardia. Tämä kattaa käytännössä kaikki merkittävät verkkopalvelut: GitHub, Dropbox, Facebook, Amazon Web Services, Twitter/X, LastPass, Coinbase ja tuhansia muita. Google Authenticator toimii myös HOTP-protokollalla (HMAC-based One-Time Password), jota käytetään laskuripohjaisessa tunnistautumisessa. HOTP-koodit eivät vanhene ajan perusteella, vaan perustuvat käyttökertalaskuriin.
Kehittäjäyhteisölle Google Authenticator on tuttu, koska se toimii saumattomasti kaikkien RFC 6238 -kirjastojen kanssa. Node.js-kehittäjä voi testata TOTP-koodin toimintaa suoraan omalla puhelimellaan. Sovelluksen alkuperäinen Android-versio julkaistiin avoimena lähdekoodina Google Code -palvelussa, mutta nykyiset App Store- ja Play Store -versiot eivät ole täysin avointa lähdekoodia. Tämä on herättänyt kritiikkiä tietoturvayhteisössä, koska avoimen lähdekoodin sovelluksen auditoiminen on helpompaa.
Mikä on Microsoft Authenticator?
Microsoft Authenticator julkaistiin vuonna 2016 ja on kasvanut huomattavasti monimutkaisemmaksi sovellukseksi kuin Google Authenticator. Sen ydintehtävä on sama: tuottaa TOTP-koodeja. Mutta Microsoft on lisännyt sovellukseen ominaisuuksia, jotka tekevät siitä paljon enemmän kuin pelkän koodigeneraattorin.
Salasanaton kirjautuminen on Microsoft Authenticatorin tärkein erottuva ominaisuus. Henkilökohtaisilla Microsoft-tileillä (Outlook, Hotmail, Xbox) käyttäjä voi poistaa salasanan kokonaan käytöstä ja kirjautua hyväksymällä push-ilmoituksen puhelimessa. Yritysympäristöissä Azure Active Directory, joka tunnetaan nykyisin nimellä Microsoft Entra ID, tukee samaa ominaisuutta laajassa mittakaavassa.
Push-hyväksynnät ovat toinen Microsoft-spesifinen ominaisuus. Sen sijaan, että sinun pitäisi avata sovellus ja syöttää 6-numeroinen koodi, Microsoft-tilin kirjautuminen näyttää puhelimessasi ilmoituksen “Oletko kirjautumassa sisään?” ja sinun tarvitsee vain painaa Hyväksy. Nopeus on selvästi parempi kuin TOTP-koodien manuaalinen syöttäminen, erityisesti mobiililaitteilla, joilla pienten numeroiden kirjoittaminen on hidasta.
Yritysympäristöissä Microsoft Authenticator integroituu suoraan Microsoft Entra ID:hen. Organisaatiot voivat pakottaa MFA-vaatimuksia ehdollisen käytön politiikoilla, määrittää mistä paikoista kirjautuminen sallitaan ja hallita sovelluksia Mobile Device Management -ratkaisujen, kuten Microsoft Intunen, kautta. Tämä tekee siitä de facto -standardin Microsoft-vetoisten yritysten IT-osastoille kaikkialla Suomessa ja muualla Euroopassa.
Sovellus tallentaa myös salasanoja ja voi toimia rajoitetun salasanahallinnan roolissa, vaikka Microsoft ohjaa käyttäjiä käyttämään Edge-selaimen sisäänrakennettua salasanahallintaa tai erillistä Microsoftin salasanahallintaa. Apple Watch -tuki mahdollistaa push-hyväksyntöjen käsittelyn suoraan rannekellosta. Varmuuskopio toimii Microsoft-tilin kautta, ja laitevaihto on pääasiassa sujuvaa.
Yksi tärkeä puute: tilien vienti muihin sovelluksiin on rajoitettua. Jos haluat jossain vaiheessa siirtyä pois Microsoft Authenticatorista, TOTP-siementen siirtäminen kolmansiin sovelluksiin on hankalampaa kuin Google Authenticatorista lähdettäessä. Tämä ekosysteemilukittuminen on huomionarvoinen tekijä sovellusta valittaessa.
Kattava ominaisuusvertailu: 15 kriteeriä rinnakkain
Alla oleva taulukko vertailee molempia sovelluksia 15 eri kriteerillä. Tiedot perustuvat sovelluskehittäjien virallisiin tietolähteisiin, RFC 6238 -standardiin ja kesäkuussa 2026 testattuihin sovellusversioihin.
| Ominaisuus | Google Authenticator | Microsoft Authenticator |
|---|---|---|
| Hinta | Ilmainen (0€) | Ilmainen (0€) |
| Alustat | iOS, Android | iOS, Android |
| Pilvivarmistus | Google-tili (2023 alkaen) | Microsoft-tili |
| Push-hyväksynnät | Ei | Kyllä (Microsoft-tilit) |
| Salasanaton kirjautuminen | Ei | Kyllä (Microsoft-tilit) |
| Azure AD / Entra ID -integraatio | Rajoitettu (vain TOTP) | Täysi tuki |
| TOTP-tuki (RFC 6238) | Kyllä | Kyllä |
| HOTP-tuki | Kyllä | Kyllä |
| Biometrinen lukko | Kyllä | Kyllä |
| Apple Watch -tuki | Ei | Kyllä (push-hyväksynnät) |
| Avoimen lähdekoodin | Osittain (vanha Android-versio) | Ei |
| Sisäinen salasanahallinta | Ei | Kyllä (rajoitettu) |
| Tilien vienti muihin sovelluksiin | Kyllä (QR-koodimuodossa) | Rajoitettu |
| Koodin voimassaolo | 30 sekuntia | 30 sekuntia |
| Julkaistu | 2010 | 2016 |
Molemmissa sovelluksissa koodit vaihtuvat 30 sekunnin välein RFC 6238 -standardin mukaisesti. Tietoturvan perustaso on sama, koska algoritmi on identtinen. Ero syntyy ominaisuuksista, ekosysteemi-integraatiosta ja siitä, miten sovellukset käsittelevät pilveen tallentamista. Kumpikaan sovellus ei sisällä mainoksia, ei vaadi tilausta ja toimii ilman datayhteyttä koodin generoimiseen. Tärkeimmät erot ovat push-hyväksynnät ja enterprise-integraatio, jotka suosivat Microsoft Authenticatoria yritysympäristöissä.
Tietoturva ja salaus: kumpi suojaa paremmin?
Molemmat sovellukset käyttävät samaa TOTP-algoritmia, joka on määritelty RFC 6238:ssa ja perustuu HMAC-SHA1-tiivistefunktioon ja aikaan perustuvaan laskuriin. Algoritmi itsessään on identtinen kummassakin sovelluksessa. Ero tietoturvassa syntyy siitä, miten sovellukset käsittelevät siemeniä eli niitä salaisia avaimia, jotka rekisteröitäessä siirretään QR-koodin kautta palvelun ja sovelluksen välillä.
TOTP-algoritmi: miten 30 sekunnin koodi syntyy
RFC 6238:n mukaan TOTP-koodi lasketaan kaavalla TOTP = HOTP(K, T), missä K on jaettu salainen avain ja T on nykyinen Unix-aikaleima jaettuna 30:llä (oletusarvoinen aika-askel). Lopputulos on 6-numeroinen luku, joka vaihtuu joka 30. sekunti. Koodi on laskettavissa ilman verkkoyhteyttä, mikä tekee siitä luotettavan myös heikossa tai olemattomassa verkossa.
NIST SP 800-63B -ohjeistus, joka määrittelee digitaalisen identiteetin standardit, suosittelee vähintään 6-numeroisia TOTP-koodeja ja aikaikkuna-pohjaista toteutusta. Molemmat sovellukset täyttävät nämä vaatimukset. NIST ei enää suosittele SMS-pohjaista 2FA:ta ensisijaisena menetelmänä SIM-kloonausten ja SS7-protokollan haavoittuvuuksien vuoksi.
Pilvivarmistuksen riskit: tietoturvakompromi
Pilvivarmistus ratkaisee puhelimen katoamisen ongelman, mutta luo samalla uuden hyökkäysvektorin: jos Google- tai Microsoft-tilisi vaarantuu, hyökkääjä voi saada käsiinsä kaikki 2FA-siemenesi. Käytännössä tämä tarkoittaa, että 2FA-tilisi tietoturva on nyt sidottu pääasiallisen tilin tietoturvaan.
Tämän vuoksi Google- ja Microsoft-tilien itsensä suojaaminen vahvalla salasanalla ja mieluiten laitteistotunnistimella on kriittistä. Käyttäjä, joka suojaa kaikki palvelunsa Google Authenticatorilla mutta jonka Google-tili on suojattu vain salasanalla, on luonut yhden pisteen, jonka kautta kaikki tilit voidaan murtaa.
Microsoft Authenticatorissa on yksi merkittävä tietoturvaetu push-hyväksynnöissä: numeroyhdistäminen. Kun hyökkääjä yrittää kirjautua tilillesi, sovellus näyttää sinulle numeron, jonka pitää täsmätä kirjautumisruudulla näkyvään numeroon. Tämä estää niin sanotun MFA-väsyttämishyökkäyksen, jossa hyökkääjä lähettää push-pyyntöjä toistuvasti toivoen, että käyttäjä vahingossa hyväksyy. UK:n NCSC on korostanut tällaisen suojauksen tärkeyttä erityisesti organisaatioissa, joissa push-hyväksynnät ovat käytössä.
Google Authenticatorilla ei ole push-hyväksyntöjä lainkaan, joten MFA-väsyttämishyökkäys ei myöskään ole mahdollinen sitä vastaan. Tässä mielessä Google Authenticatorin yksinkertaisuus on myös tietoturvaetu: suppeampi ominaisuusjoukko tarkoittaa pienempää hyökkäyspintaa.
Varmuuskopio ja laitevaihto: käytännön vertailu
Puhelimen vaihto on yksi yleisimmistä tilanteista, joissa 2FA-sovellus aiheuttaa päänsärkyä. Ennen pilvivarmistusten yleistymistä laitevaihto tarkoitti, että käyttäjän piti käydä läpi jokainen tili erikseen, poistaa 2FA ja lisätä se uudelleen uudessa laitteessa. Tämä prosessi saattoi kestää useita tunteja, jos tilejä oli kymmeniä.
Google Authenticator käyttää Google-tiliä varmuuskopiointiin huhtikuusta 2023 alkaen. Siirtyminen uuteen puhelimeen onnistuu kirjautumalla sisään samalle Google-tilille ja avaamalla sovellus, jolloin kaikki tilit latautuvat automaattisesti. Sovelluksessa on myös manuaalinen siirtotoiminto, joka tuottaa QR-koodin ja mahdollistaa tilien siirtämisen ilman pilveä laitteesta toiseen. Tämä on hyödyllinen vaihtoehto käyttäjille, jotka eivät halua luottaa pilveen tai vaihtavat Android-laitteesta iOS-laitteeseen.
Microsoft Authenticator on synkronoinut tilejä Microsoft-tilille jo pidempään kuin Google Authenticator. Laitevaihto on sujuva prosessi: kirjaudu uuteen laitteeseen Microsoft-tilillesi, avaa Microsoft Authenticator, vahvista henkilöllisyytesi ja tilit palautuvat. Tärkeä huomio: kolmansien osapuolten TOTP-tilit, kuten GitHub tai Dropbox, voidaan tarvita palauttaa erikseen, jos ne eivät ole osa Microsoft-tilin varmuuskopiota.
Tilien vienti eroaa merkittävästi: Google Authenticator tukee tilien vientiä QR-koodimuodossa, joka voidaan skannata muilla TOTP-sovelluksilla, kuten Aegis Authenticatorilla tai 1Passwordilla. Microsoft Authenticatorin vientimahdollisuudet ovat selvästi rajoitetummat, mikä vaikeuttaa siirtymistä muihin sovelluksiin. Jos harkitset joskus sovelluksen vaihtamista tai lisäät 2FA-koodit salasanahallintaohjelmaan, Google Authenticator tarjoaa enemmän joustavuutta.
Alusta- ja laiteyhteensopivuus
Molemmat sovellukset tukevat iOS:ää ja Androidia. Virallisia työpöytäversioita ei ole kummallakaan: sekä Google että Microsoft suosittelevat puhelinpohjaista 2FA:ta tietoturvasyistä, koska tietokone on alttiimpi haittaohjelmille kuin hyvin suojattu älypuhelin. Työpöytäympäristöihin on kuitenkin kolmansien osapuolten vaihtoehtoja, kuten 1Password tai Bitwarden, jotka sisältävät TOTP-generaattorin.
Apple Watch -tuki erottaa sovellukset selvästi: Microsoft Authenticator tukee Apple Watchia, jolloin voit hyväksyä push-kirjautumispyynnöt suoraan rannekellosta ilman puhelinta. Google Authenticatorissa ei ole Apple Watch -sovellusta. Androidin kuluvissa laitteissa vastaavaa integraatiota ei ole kummassakaan sovelluksessa.
Laajempi palveluyhteensopivuus on tasavertainen: molemmat sovellukset toimivat kaikilla TOTP-yhteensopivilla palveluilla ilman rajoituksia. Käytännössä sovelluksella ei ole merkitystä, kun kyseessä on tavallinen TOTP-rekisteröinti minkä tahansa palvelun kanssa. Ero syntyy vain Microsoft-spesifisissä ominaisuuksissa, joita Google Authenticator ei tue lainkaan.
Yritys- ja enterprise-käyttö: selkeä voittaja
Yritysympäristöissä valinta on selvä. Microsoft Authenticator on suunniteltu ensisijaisesti yrityskäyttöön, ja sen integraatio Microsoft Entra ID:n kanssa on kattava. Google Authenticator on ensisijaisesti kuluttajasovellus, joka soveltuu yrityskäyttöön rajoitetusti TOTP-tasolla.
Microsoft Entra ID ja ehdollinen pääsy
Microsoft Authenticator on Microsoft Entra ID:n suositeltu MFA-sovellus. IT-osastot voivat pakottaa sen käytön käyttäjille Microsoft Intune -hallintajärjestelmän kautta, seurata kirjautumisia Entra ID:n audit-lokeista ja asettaa ehdollisen käytön politiikkoja. Politiikka voi esimerkiksi sallia kirjautumisen yrityksen omalta verkkoalueelta ilman MFA:ta, mutta vaatia Microsoft Authenticator -hyväksynnän kaikista muista paikoista tai vieraista laitteista.
Ehdollinen pääsy on erityisen tehokas työkalu hybridityön aikakaudella, jolloin työntekijät kirjautuvat kotoa, kahvilasta ja asiakastiloista. Organisaatio voi määrittää riskipisteytykseen perustuvat politiikat: tuntemattomasta laitteesta tai epätavallisesta sijainnista kirjautuminen vaatii vahvemman todennuksen. Tämä tasapaino tietoturvan ja käytettävyyden välillä on keskeinen syy, miksi Microsoft Authenticator hallitsee yritysmarkkinaa Suomessa ja Pohjoismaissa.
Google Workspace -ympäristöissä Google Authenticator toimii TOTP-tasolla, mutta syväintegraatio on heikompi. Organisaatiot, jotka käyttävät pääasiassa Google Workspacea, hyötyvät kuitenkin Googlen omasta BeyondCorp-viitekehyksestä ja Googlen Identity-alustasta, jotka tukevat TOTP-pohjaista MFA:ta laajasti.
Käyttäjäkokemus: yksinkertaisuus vastaan monipuolisuus
Google Authenticator on tarkoituksellisesti minimalistinen. Avaat sovelluksen, näet listan tileistäsi ja niiden 30 sekunnin koodit laskureineen. Sovellus vie vähän puhelimen resursseja, latautuu nopeasti ja toimii luotettavasti myös offline-tilassa. Käyttöliittymä on suoraviivainen: tilit listattuna, koodi näkyvissä, aikajana pyörii. Yksinkertaisuus tarkoittaa myös, että sovellus on helppo opettaa vanhemmille tai vähemmän teknisille käyttäjille.
Microsoft Authenticator on visuaalisesti rikkaampi. Pääsivu näyttää tilisi korttimaisessa muodossa, josta näet push-ilmoitukset, TOTP-koodit ja salasanahallinnan. Sovelluksessa on enemmän valikoita ja asetuksia. Yritysympäristössä lisäominaisuudet ovat perusteltuja, mutta henkilökohtaiseen käyttöön monet käyttäjät kokevat sen tarjoavan enemmän kuin he tarvitsevat.
Biometrinen lukko on molemmissa sovelluksissa oletuksena tai helposti aktivoitavissa: voit asettaa sormenjälki- tai kasvojen tunnistuksen avaamaan sovelluksen. Tämä estää tilanteet, joissa joku sivullinen pääsee käsiksi 2FA-koodeihin, jos puhelin on esimerkiksi pöydällä auki. Kummassakaan sovelluksessa koodien generoimiseen ei tarvita verkkoyhteyttä, joten ne toimivat myös lentokoneessa tai alueilla, joilla ei ole datayhteyttä.
Authy: mitä tapahtui kolmannelle vaihtoehdolle?
Authy oli pitkään suosittu vaihtoehto Google- ja Microsoft Authenticatorille, koska se tarjosi multi-device-synkronoinnin ja selkeän käyttöliittymän vuosia ennen kilpailijoitaan. Twilio osti Authyn vuonna 2015 ja integroi sen osaksi viestintäpalvelujaan. Pitkään Authy oli erityisesti kehittäjien suosiossa, koska Twilio tarjosi API:n 2FA-palveluiden rakentamiseen.
Elokuussa 2024 Twilio lopetti Authy-työpöytäsovelluksen. Mobiilisovellukset iOS:lla ja Androidilla jatkavat toimintaansa, mutta päätös herätti epävarmuuden Authyn pitkäaikaisesta tulevaisuudesta kuluttajasovelluksena. Twilio on keskittynyt B2B-viestintäpalveluihin, eikä kuluttajasovelluksen ylläpitäminen välttämättä sovi sen ydinstrategiaan.
Käytännössä Authy on edelleen käytettävissä mobiililaitteilla, mutta uusien käyttäjien kannalta Google Authenticator ja Microsoft Authenticator ovat turvallisempia valintoja pitkäaikaisesti. Jos olet Authyn käyttäjä ja haluat varmistaa jatkuvuuden, kannattaa harkita siirtymistä jo nyt ennen mahdollisia lisämuutoksia. Authyn tileistä siirtyminen TOTP-yhteensopiviin sovelluksiin onnistuu palvelu kerrallaan poistamalla ja uudelleen rekisteröimällä 2FA.
Hinnoittelu ja lisensointi: mitä maksaa?
Molemmat sovellukset ovat täysin ilmaisia henkilökohtaisessa käytössä. Yritysympäristöissä kustannukset syntyvät hallintajärjestelmistä, ei itse sovelluksesta. Alla oleva taulukko esittää kokonaiskuvan eri ratkaisujen hinnoittelusta.
| Ratkaisu | Käyttötapaus | Hinta / käyttäjä / kk | Huomio |
|---|---|---|---|
| Google Authenticator | Henkilökohtainen | 0€ | Vaatii Google-tilin pilvivarmistukseen |
| Microsoft Authenticator | Henkilökohtainen | 0€ | Vaatii Microsoft-tilin pilvivarmistukseen |
| Microsoft Entra ID P1 + Authenticator | Yritys | ~6€ | Ehdollinen pääsy, Intune-hallinta |
| Microsoft Entra ID P2 + Authenticator | Yritys (edistynyt) | ~9€ | Identity Protection, PIM |
| YubiKey 5C NFC | Korkean turvan käyttö | ~55€ (kertamaksu) | Phishing-kestävä FIDO2, ei kuukausimaksua |
| Google Titan Security Key | Korkean turvan käyttö | ~35€ (kertamaksu) | FIDO2-yhteensopiva laitteistotunnistin |
Organisaatioille, jotka jo maksavat Microsoft 365 Business Premiumista tai E3-lisenssistä, Microsoft Entra ID P1 on usein sisällytetty pakettiin. Tällöin Microsoft Authenticatorin enterprise-ominaisuuksien aktivoinnista ei synny lisäkustannuksia. Tämä tekee Microsoft Authenticatorista entistä houkuttelevamman valinnan yrityksille, jotka ovat jo Microsoft-ekosysteemissä.
Tietoturvavertailu kolmesta lähteestä
Kolme keskeistä auktoriteettia tarjoavat konkreettista dataa sovelluspohjaisen kaksivaiheisen tunnistautumisen tietoturvasta.
NIST SP 800-63B (Yhdysvaltain standardit- ja teknologiainstituutti): Digitaalisen identiteetin ohjeistus luokittelee TOTP-pohjaisen sovellus-2FA:n vahvaksi todennuksen tasoksi (AAL2, Authenticator Assurance Level 2). NIST poisti SMS-pohjaisen OTP:n suosituksesta ensisijaisena menetelmänä sen haavoittuvuuksien vuoksi. Ohjeistuksen mukaan TOTP-koodi tulee olla vähintään 6-numeroinen ja voimassa enintään 2 minuuttia, joista molemmista RFC 6238:n 30 sekunnin oletusarvo huolehtii hyvin.
Microsoft Security Blog: Microsoftin oman tietoturvaraportin mukaan tilit, joilla on MFA aktivoituna, ovat 99,9 % todennäköisemmin suojassa automaattisilta hyökkäyksiltä verrattuna tileihin, joilla ei ole MFA:ta. Microsoft Authenticatorin push-hyväksyntöihin lisätty numeroyhdistäminen on vähentänyt MFA-väsyttämishyökkäysten onnistumisprosenttia merkittävästi organisaatioissa, jotka ottivat sen käyttöön vuodesta 2023 alkaen.
UK:n NCSC (National Cyber Security Centre): NCSC:n MFA-ohjeistus suosittelee sovelluspohjaista OTP:tä SMS-pohjaisen sijaan kaikille online-palveluille. Suosituksessa mainitaan, että sovelluspohjainen 2FA on erityisen tärkeä sähköpostitileille, koska salasanan palautus tapahtuu usein sähköpostin kautta. NCSC:n arvion mukaan MFA:n lisääminen nostaa tilin suojaustason huomattavasti pelkän salasanan tarjoamaan suojaukseen verrattuna.
Viisi todellista käyttötapausta
Teoria on tärkeää, mutta käytäntö ratkaisee. Nämä viisi skenaariota havainnollistavat, kumpi sovellus sopii mihinkin tilanteeseen Suomessa.
1. Suomalainen pk-yritys, joka käyttää Microsoft 365:tä. 45 hengen teknologiayritys käyttää Microsoft Teamsia, SharePointia ja Outlookia. IT-päällikkö on ottanut käyttöön Microsoft Entra ID P1:n ehdollisella pääsyllä: toimistolta kirjautuminen onnistuu ilman MFA:ta, mutta etätöistä vaaditaan Microsoft Authenticator -hyväksyntä. Kaikki työntekijät käyttävät push-hyväksyntöjä, ja kirjautuminen tapahtuu alle 5 sekunnissa. Tässä tilanteessa Microsoft Authenticator on ainoa järkevä valinta.
2. Freelancer-kehittäjä, joka hallinnoi 30 palvelua. Kehittäjä käyttää GitHubia, AWS:ää, Cloudflarea, Verceliä, Linodea ja kymmeniä muita palveluita. Kaikki tukevat TOTP:tä. Google Authenticator toimii kaikissa, on yksinkertainen käyttää ja vie vähän tilaa. Kehittäjä ei tarvitse push-ominaisuuksia tai enterprise-integraatiota, joten Google Authenticator on luonteva valinta. Lisäksi tilien vientimahdollisuus tarjoaa joustavuuden vaihtaa sovellusta tarvittaessa.
3. Yksityishenkilö, joka suojaa pankkitilinsä ja sähköpostinsa. Tavallinen kuluttaja, jolla on Gmail, verkkokauppatilejä ja mobiilipankki. Hän haluaa yksinkertaisen, ilmaisen ratkaisun. Google Authenticator on helpompi oppia, eikä vaadi syvällisempää tekniikan tuntemusta. Microsoft Authenticator on myös hyvä vaihtoehto, jos hänellä on jo Microsoft-tili käytössä Outlook.comin tai Xbox-palvelun kautta.
4. Yliopisto-opiskelija Microsoft 365 for Education -lisenssillä. Yliopisto tarjoaa Microsoft 365:n, jonka kirjautuminen vaatii MFA:n. Yliopiston IT-osasto on ohjannut käyttämään Microsoft Authenticatoria ja konfiguroinut Entra ID:n vaatimaan sen. Push-hyväksynnät tekevät päivittäisestä kirjautumisesta nopeaa. Tässä tapauksessa valinta on selkeä: yliopiston IT-ohjeistusta kannattaa noudattaa.
5. Tietoturva-ammattilainen, joka vaatii korkeinta suojaustasoa. Tietoturvakonsultti hallinnoi kriittisiä järjestelmiä. Hän käyttää YubiKey 5C NFC:tä phishing-kestävänä pääasiallisena menetelmänä ja pitää TOTP-sovelluksen varasuunnitelmana. TOTP-sovellukseksi hän valitsee Google Authenticatorin ilman pilvivarmistusta, jolloin siemenet pysyvät ainoastaan laitteella. Tämä minimoi hyökkäyspinnan maksimiin.
Asiantuntijoiden näkökulmat
Kolme tunnettua teknologia-alan sisällöntuottajaa on kommentoinut 2FA-sovelluksia ja tietoturvakäytäntöjä julkisessa sisällössään. Heidän näkemyksensä edustavat eri käyttäjäperspektiivejä: kehittäjää, tietoturvaorientoitunutta ohjelmoijaa ja kuluttajanäkökulmaa.
Fireship (Jeff Delaney) on korostanut YouTube-kanavallaan, että sovelluspohjainen 2FA on minimivaatimus kaikille kehittäjätileille. Hänen lähestymistapansa teknologiavertailuihin painottaa käytännöllisyyttä: Google Authenticator on helppo suositella aloittelijoille yksinkertaisuutensa ansiosta, mutta Microsoft-ekosysteemiä käyttäville kehittäjille Microsoft Authenticator tarjoaa selvästi paremman integraation. Fireship on myös toistuvasti korostanut, että SMS-pohjainen 2FA on riittämätön suoja SIM-kloonausriskien vuoksi, ja suosittelee app-pohjaista ratkaisua kaikille.
ThePrimeagen (Michael Paulson) on johdonmukaisesti puolustanut minimalistisia kehitystyökaluja. Hänen lähestymistapansa tietoturvaan noudattaa samaa filosofiaa: valitse työkalu, joka tekee yhden asian hyvin ilman turhaa monimutkaisuutta. Google Authenticator istuu tähän paremmin kuin moniominaisuuksinen Microsoft Authenticator. Paulson on myös suhtautunut kriittisesti siihen, että 2FA-siemenet tallennetaan pilvipalveluun: jos kaikki 2FA-koodisi ovat yhdessä pilvipalvelussa, olet siirtänyt hyökkäyspinnan yhteen pisteeseen etkä poistanut sitä. Tämä on perusteltu näkökulma erityisesti tietoturvaorientoituneille käyttäjille.
MKBHD (Marques Brownlee) arvioi teknologiatuotteita kuluttajanäkökulmasta painottaen käyttöliittymän selkeyttä ja ominaisuuksien käytettävyyttä. Hänen arviossaan Microsoft Authenticator voittaa visuaalisen selkeyden ja ominaisuuksien rikkauden perusteella. Push-ilmoitusten hyväksyminen on parempi käyttökokemus kuin 6-numeroisen koodin manuaalinen syöttäminen, erityisesti kun kirjautuu toistuvasti samoihin palveluihin. Yksinkertaiselle käyttäjälle Google Authenticator on kuitenkin riittävä ja helpompi oppia, eikä lisäominaisuuksia tarvitse, jos Microsoft-tilejä ei ole käytössä.
Vahvuudet ja heikkoudet: suora vertailu
| Kriteeri | Google Authenticator | Microsoft Authenticator |
|---|---|---|
| Yksinkertaisuus ja oppimiskäyrä | Erinomainen | Kohtalainen |
| Push-kirjautumiset | Ei tuettu | Kyllä (Microsoft-tilit) |
| Enterprise-tuki ja hallinta | Rajoitettu | Erinomainen |
| Laitevaihdon sujuvuus | Hyvä | Erinomainen |
| Tilien vienti muihin sovelluksiin | Hyvä (QR-koodi) | Rajoitettu |
| Apple Watch -tuki | Ei | Kyllä |
| Offline-toiminta | Kyllä | Kyllä |
| MFA-väsyttämissuoja | Ei relevantti (ei push) | Kyllä (numeroyhdistäminen) |
| Ekosysteemiriippuvuus | Google-painotteinen | Microsoft-painotteinen |
| Avoimen lähdekoodin | Osittain | Ei |
Google Authenticatorin edut: yksinkertainen ja nopea käyttää, toimii kaikilla TOTP-yhteensopivilla palveluilla, tilien vienti QR-koodina mahdollistaa helpon sovelluksenvaihdon, ei vaadi Microsoft-tiliä ja pienin hyökkäyspinta vähäisten ominaisuuksien ansiosta.
Google Authenticatorin heikkoudet: ei push-hyväksyntöjä, ei salasanatonta kirjautumista, rajoitettu enterprise-integraatio, ei Apple Watch -tukea ja pilvivarmistus saapui vasta 2023.
Microsoft Authenticatorin edut: push-hyväksynnät tekevät kirjautumisesta nopeampaa, salasanaton kirjautuminen Microsoft-tileille, syvä Microsoft Entra ID -integraatio, Apple Watch -tuki ja numeroyhdistäminen suojaa MFA-väsyttämishyökkäyksiltä.
Microsoft Authenticatorin heikkoudet: monimutkaisempi käyttöliittymä, tilien vienti kolmansiin sovelluksiin on rajoitettu, ei avointa lähdekoodia ja push-ilmoitusten hyöty rajoittuu Microsoft-tileihin.
Siirtymisopas: miten vaihdat 2FA-sovellusta
Sovelluksen vaihtaminen on prosessi, joka vaatii huolellisuutta mutta onnistuu käytännössä tunnissa. Nämä ohjeet koskevat siirtymistä mistä tahansa TOTP-sovelluksesta toiseen, myös Authysta Google- tai Microsoft Authenticatoriin.
Vaihe 1: Lataa kohdesovellus. Asenna Google Authenticator tai Microsoft Authenticator ennen kuin teet mitään muuta. Älä poista vanhaa sovellusta, ennen kuin siirtyminen on valmis. Molempien sovellusten rinnakkaisasennus on mahdollista ja suositeltavaa siirtymävaiheen ajaksi.
Vaihe 2: Listaa kaikki tilit. Avaa vanha sovellus ja kirjoita ylös kaikki siellä olevat tilit. Priorisoi kriittisimmät: työsähköposti, pankki, domain-rekisteri, pilvipalvelut. Nämä tilit on käsiteltävä ensin, koska niiden lukittuminen aiheuttaa eniten haittaa.
Vaihe 3: Rekisteröi tilit uudelleen palvelu kerrallaan. Kirjaudu jokaiseen palveluun, mene tietoturva-asetuksiin (tai “kaksivaiheinen tunnistautuminen” -valikkoon), poista vanha 2FA ja lisää uusi skannaamalla QR-koodi uudella sovelluksella. Testaa koodi heti ennen siirtymistä seuraavaan tiliin. Älä siirry eteenpäin ennen kuin koodi toimii.
Vaihe 4: Tallenna palautuskoodit. Jokainen palvelu tarjoaa kertakäyttöisiä palautuskoodeja 2FA:n aktivoinnin yhteydessä. Tallenna ne salasananhallintaohjelmaan (Bitwarden, 1Password) tai tulosta ja säilytä fyysisesti turvallisessa paikassa. Nämä koodit ovat ainoa pelastus, jos menetetään pääsy sekä sovellukseen että puhelimeen.
Vaihe 5: Testaa kirjautuminen. Kirjaudu ulos ja takaisin sisään jokaiselle tilille varmistaaksesi, että uusi 2FA toimii ennen vanhan sovelluksen poistamista. Erityisen tärkeää on testata kriittisimmät tilit, kuten työsähköposti ja pankkipalvelut.
Vaihe 6: Poista vanha sovellus. Kun olet varmistanut kaikkien tilien toimivuuden, poista vanha sovellus. Jos käytät Authya, poista ensin tilit Authyn palvelimelta Authyn asetuksista ennen sovelluksen poistamista laitteelta.
Google Authenticatorista siirtyminen muihin sovelluksiin: käytä sovelluksen sisäistä tilien siirtotoimintoa (Asetukset, Vie tilit), joka luo QR-koodin tai useita QR-koodeja. Toinen sovellus, joka tukee bulk-tuontia (esim. Aegis Authenticator), voi skannata kaikki tilit kerralla.
Suositukset eri käyttötilanteisiin
Selkeä suositus eri tilanteisiin perustuu edellä kerättyyn dataan ja ominaisuusanalyysiin.
Valitse Google Authenticator jos:
- Käytät pääasiassa Google-ekosysteemiä (Gmail, Google Drive, Google Cloud)
- Haluat yksinkertaisen TOTP-generaattorin ilman ylimääräisiä ominaisuuksia
- Kehität sovelluksia ja testaat TOTP-integraatioita eri palveluihin
- Haluat joustavuuden vaihtaa sovellusta myöhemmin (tilien vienti on parempaa)
- Tietoturvafilosofiasi suosii minimaalista hyökkäyspintaa
Valitse Microsoft Authenticator jos:
- Organisaatiosi käyttää Microsoft 365:tä tai Azure-palveluita
- IT-osastosi on määrittänyt sen pakolliseksi Microsoft Entra ID:n kautta
- Arvostat push-hyväksyntöjen nopeutta koodin manuaalisen syöttämisen sijaan
- Käytät henkilökohtaista Microsoft-tiliä (Outlook, Xbox, OneDrive)
- Sinulla on Apple Watch ja haluat hyväksyä kirjautumiset rannekellosta
Harkitse laitteistotunnistinta (YubiKey) jos:
- Käsittelet erittäin arkaluonteista dataa (krittiinen infrastruktuuri, terveydenhuolto, rahoitusala)
- Olet tietoturva-ammattilainen tai CISO, joka vaatii phishing-kestävää MFA:ta
- Organisaatiosi FIDO2-vaatimukset edellyttävät laitteistopohjaista todennusta
- Olet valmis investoimaan noin 55 euroa lisäsuojaan kertamaksuna
Usein kysytyt kysymykset (UKK)
Kumpi on turvallisempi, Google vai Microsoft Authenticator?
Tietoturvatasoltaan molemmat sovellukset ovat käytännössä yhtä turvallisia, koska ne käyttävät identtistä TOTP-algoritmia (RFC 6238). Ero on ominaisuuksissa: Microsoft Authenticatorin numeroyhdistäminen push-hyväksynnöissä suojaa paremmin MFA-väsyttämishyökkäyksiä vastaan. Korkeinta mahdollista tietoturvaa varten phishing-kestävä laitteistotunnistin (YubiKey tai Google Titan) on molemmista sovelluksista parempi vaihtoehto.
Voinko käyttää molempia sovelluksia samanaikaisesti?
Kyllä. Voit rekisteröidä eri tilit eri sovelluksiin. Esimerkiksi työtilisi voivat olla Microsoft Authenticatorissa ja henkilökohtaiset tilisi Google Authenticatorissa. Tämä lisää hallinnollista monimutkaisuutta, mutta ei ole tietoturvariski. Jotkin käyttäjät pitävät tilien jaottelun selkeänä tapana erottaa työ- ja henkilökohtainen käyttö toisistaan.
Mitä tapahtuu, jos puhelimeni katoaa?
Pilvivarmistuksen kanssa: tilit palautuvat uudelle laitteelle kirjautumalla Google- tai Microsoft-tilillesi. Ilman pilvivarmistusta: sinun on käytettävä palautuskoodeja, jotka jokainen palvelu tarjoaa 2FA:n rekisteröinnin yhteydessä. Tämä on syy, miksi palautuskoodien tallentaminen turvalliseen paikkaan on kriittistä jo rekisteröintivaiheessa.
Onko SMS-pohjainen 2FA yhtä hyvä kuin sovelluspohjainen?
Ei. NIST SP 800-63B ei enää suosittele SMS:ää ensisijaisena MFA-menetelmänä. SIM-kloonaushyökkäykset, SS7-protokollan haavoittuvuudet ja SIM-vaihtohuijaukset tekevät SMS:stä heikoimman hyväksytyn 2FA-menetelmän. Sovelluspohjainen TOTP on selvästi turvallisempi, ja phishing-kestävä FIDO2-tunnistin (laitteisto- tai passkey-pohjainen) on paras vaihtoehto.
Toimiiko kaksivaiheinen tunnistautuminen ilman internetyhteyttä?
Kyllä. TOTP-koodit lasketaan paikallisesti laitteella ilman verkkoyhteyttä. Ainoa vaatimus on, että laitteen kello on tarkka, koska koodi perustuu aikaan. Lennolla, metsässä tai alueilla ilman datayhteyttä sovellus tuottaa koodeja normaalisti.
Onko Google Authenticator avointa lähdekoodia?
Osittain. Alkuperäinen Android-sovellus julkaistiin avoimena lähdekoodina, mutta nykyiset versiot eivät ole täysin avointa lähdekoodia. Avoimen lähdekoodin TOTP-vaihtoehtoja ovat Aegis Authenticator Androidille ja Raivo OTP iOS:lle. Nämä ovat suosittuja erityisesti tietoturvaorientoituneiden käyttäjien keskuudessa.
Tarvitsenko Microsoft-tilin käyttääkseni Microsoft Authenticatoria?
Ei pakollisesti. TOTP-koodien generoimiseen minkä tahansa palvelun käyttöön (GitHub, Dropbox, Amazon jne.) Microsoft-tiliä ei tarvita. Microsoft-tili vaaditaan vain pilvivarmistukseen, salasanattomaan kirjautumiseen Microsoft-tileille ja push-hyväksyntöihin.
Onko kaksivaiheinen tunnistautuminen vaihtoehto vahvalle salasanalle?
Ei. Kaksivaiheinen tunnistautuminen täydentää vahvan salasanan, mutta ei korvaa sitä. Käytä molempia: pitkä, satunnainen salasana salasanahallintaohjelmasta (Bitwarden tai 1Password) ja sovelluspohjainen 2FA. Tämä yhdistelmä on tällä hetkellä paras käytännöllinen suoja suurimmalle osalle palveluita.
Kuinka kauan TOTP-koodi on voimassa?
RFC 6238:n oletusaika-askel on 30 sekuntia. Käytännössä useimmat palvelut hyväksyvät myös edellisen ja seuraavan aikajakson koodin aikasynkronoinnin virheiden varalta, joten koodi on käytettävissä käytännössä noin 90 sekuntia. Tämä on tarkoituksellinen kompromissi tietoturvan ja käytettävyyden välillä.
Voinko lisätä saman tilin useampaan 2FA-sovellukseen?
Kyllä, teknisesti se on mahdollista. Kun rekisteröit 2FA:n, palvelu näyttää QR-koodin, joka sisältää TOTP-siemenen. Voit skannata tämän QR-koodin useammalla sovelluksella, jolloin kaikki generoivat samat koodit. Tämä voi olla käytännöllistä varajärjestelmänä, mutta lisää myös riskiä: useampi kopio siemenestä tarkoittaa useampia mahdollisia vuotokohtia. Käytä tätä harkiten.
Mitä on numeroyhdistäminen (number matching) ja miksi se on tärkeää?
Numeroyhdistäminen on Microsoft Authenticatorin ominaisuus, joka näyttää push-hyväksynnässä 2-3 numeron koodin, jonka käyttäjän on syötettävä manuaalisesti sovellukseen. Tämä estää MFA-väsyttämishyökkäykset, joissa hyökkääjä lähettää push-pyyntöjä toistuvasti toivoen vahingollista hyväksymistä. Ilman numeroyhdistämistä käyttäjä voi vahingossa painaa “hyväksy” joko häiriönhallintasyistä tai ajattelemattomuuttaan. Microsoft teki numeroyhdistämisestä oletusasetuksen organisaatioille vuonna 2023.
Käyttöönotto: miten lisäät kaksivaiheisen tunnistautumisen?
Kaksivaiheinen tunnistautuminen otetaan käyttöön palvelu kerrallaan. Yleinen prosessi on sama lähes kaikkialla: mene palvelun tietoturva-asetuksiin, valitse “kaksivaiheinen tunnistautuminen” tai “kirjautumisen vahvistus”, valitse “todennussovellus” (authenticator app) ja skannaa QR-koodi. Alla tarkemmat ohjeet kolmelle yleisimmälle palvelulle.
Google-tilin suojaaminen Google Authenticatorilla: Mene osoitteeseen myaccount.google.com, valitse Turvallisuus, Kaksivaiheinen vahvistus ja valitse “Todennussovellus”. Skannaa QR-koodi Google Authenticatorilla, syötä generoitu koodi vahvistaaksesi ja tallenna palautuskoodit turvalliseen paikkaan. Google-tilisi on nyt suojattu.
Microsoft-tilin suojaaminen Microsoft Authenticatorilla: Mene osoitteeseen account.microsoft.com, valitse Tietosuoja ja suojaus, Lisäsuojausvaihtoehdot ja “Kaksivaiheinen vahvistus”. Valitse sovellus vaihtoehdoksi ja skannaa QR-koodi Microsoft Authenticatorilla. Voit myös ottaa salasanattoman kirjautumisen käyttöön samalta sivulta. Microsoft lähettää push-ilmoituksen puhelimeesi vahvistaakseen asetukset.
GitHubin suojaaminen: Mene GitHub-profiilisi asetuksiin, valitse “Password and Authentication” ja “Two-factor authentication”. GitHub tukee TOTP-sovelluksia, SMS:ää ja laitteistotunnistimia. Valitse “Authenticator app”, skannaa QR-koodi valitsemallasi sovelluksella ja tallenna 16 palautuskoodia. GitHub-tilin suojaaminen 2FA:lla on erityisen tärkeää kehittäjille, joilla on pääsy repositorioihin.
Tyypillinen käyttöönotto yhdelle tilille kestää 2-5 minuuttia. Jos tilejä on kymmeniä, kokonaisaika on muutama tunti. Investointi on kuitenkin kertaluonteinen: kun 2FA on otettu käyttöön, se toimii automaattisesti jokaisessa kirjautumisessa. Kirjautuminen hidastuu noin 10-15 sekunnilla, mutta tietoturvahyöty on tähän nähden valtava. Microsoft Authenticatorin push-hyväksynnöillä lisäviive on vain 3-5 sekuntia, koska TOTP-koodia ei tarvitse kirjoittaa manuaalisesti.
Konkreettiset hyökkäysskenaariot: miten 2FA suojaa?
Ymmärtääkseen miksi 2FA-sovelluksen valinnalla on merkitystä, on hyödyllistä käydä läpi konkreettiset hyökkäysskenaariot ja se, miten eri sovellukset niitä käsittelevät.
Skenaario 1: Salasana vuotaa datamurrossa. Tämä on yleisin tilanne. Käyttämäsi verkkopalvelu joutuu datamurron kohteeksi, ja salasanasi päätyy hakkeriforumeille. Ilman 2FA:ta hyökkääjä kirjautuu tilillesi minuuteissa. Google Authenticatorilla tai Microsoft Authenticatorilla tilisi on turvassa, koska hyökkääjällä on salasana mutta ei puhelintasi. Molemmat sovellukset suojaavat yhtä hyvin tässä skenaariossa.
Skenaario 2: Phishing-sivusto sieppaa TOTP-koodin. Hyökkääjä lähettää sinulle sähköpostilinkin väärennökselle kirjautumissivulle. Syötät salasanasi ja TOTP-koodin väärällä sivulla. Hyökkääjä käyttää molemmat välittömästi oikeaan palveluun. Tässä skenaariossa TOTP on haavoittuvainen, koska 30 sekunnin aikaikkunassa koodilla voidaan kirjautua. Molemmat sovellukset ovat yhtä haavoittuvaisia tässä skenaariossa. Tähän auttaa FIDO2-pohjainen autentikointi, joka tarkistaa domainin automaattisesti.
Skenaario 3: MFA-väsyttämishyökkäys Microsoft-tilille. Hyökkääjä tietää salasanasi ja lähettää toistuvasti push-hyväksyntöjä puhelimeesi toivoen, että hyväksyt vahingossa. Microsoft Authenticatorin numeroyhdistäminen torjuu tämän: push-ilmoitus näyttää numeron, joka täytyy syöttää manuaalisesti, eikä vahingollinen “hyväksy kaikki” -painallus ole mahdollinen. Google Authenticatorilla tätä hyökkäystä ei voi tehdä lainkaan, koska push-ominaisuutta ei ole.
Skenaario 4: Google-tilin vaarantuminen pilvivarmuuskopion kautta. Hyökkääjä murtautuu Google-tiliisi (esimerkiksi salasanan vuodon tai phishingin kautta) ja löytää Google Authenticatorin synkronoimat TOTP-siemenet. Tässä tilanteessa hyökkääjä voi palauttaa siemenet omaan sovellukseensa ja generoida koodeja. Tämä on pilvivarmistuksen keskeinen riski, jota voidaan pienentää suojaamalla Google-tili itsessään laitteistotunnistimella.
Näiden skenaarioiden valossa selkeytyy, miksi tietoturvaammattilaisten suositus on käyttää useita suojauskerroksia: vahva yksilöllinen salasana, sovelluspohjainen 2FA (mieluiten FIDO2 tai numeroyhdistämisellä varustettu push) ja laitteistotunnistin kaikkein kriittisimmille tileille. Sovelluksen valinta on osa tätä kerrosturvaa, ei koko ratkaisu.
Käytännön tietoturvasuositus suomalaiselle käyttäjälle vuonna 2026: suojaa ensin kriittisimmät tilit (työsähköposti, henkilökohtainen sähköposti, pankki, pilvipalvelut), sen jälkeen laajenna 2FA kaikille muille tileille. Prioriteettijärjestys perustuu siihen, mitä kautta muiden tilien pääsy voitaisiin palauttaa: sähköposti on usein salasanavaihtojen portaali, joten sen suojaaminen on ensisijaista. Google tai Microsoft Authenticator sopii tähän tarkoitukseen erinomaisesti ilman lisäkustannuksia.
Vaihtoehdot: avoimen lähdekoodin ratkaisut
Google Authenticator ja Microsoft Authenticator ovat suosituimmat vaihtoehdot, mutta ne eivät ole ainoita. Avoimen lähdekoodin TOTP-sovellukset tarjoavat täyden lähdekoodin läpinäkyvyyden, mikä on tärkeää tietoturvatietoisille käyttäjille, jotka haluavat varmistaa, ettei sovellus kerää dataa tai sisällä piilotettuja toimintoja.
Aegis Authenticator on Androidille suunnattu avoimen lähdekoodin TOTP-sovellus, joka on saatavilla F-Droid-sovelluskaupasta. Se tukee tilien salatua varmuuskopiointia paikallisesti tai omaan pilvipalveluun, sisältää muokattavan teeman, tukee useita koodeja rinnakkain ja tarjoaa QR-koodin skannauksen sekä manuaalisen syöttämisen. Monet tietoturvaorientoituneet käyttäjät suosivat Aegistä, koska sen lähdekoodi on auditointikelpoinen.
Raivo OTP on iOS:lle suunnattu avoimen lähdekoodin vaihtoehto, joka tukee TOTP:tä ja HOTP:tä ja on saatavilla App Storesta. Se on minimalistinen, nopea ja tukee iCloud-varmuuskopiointia. Raivo on erityisesti Apple-ekosysteemin käyttäjille hyvä vaihtoehto, jos halutaan avointa lähdekoodia ilman Googlen tai Microsoftin ekosysteemiriippuvuutta.
Nämä vaihtoehdot sopivat erityisesti käyttäjille, joita huolettaa Googlen tai Microsoftin datan keräys, jotka arvostavat lähdekoodin avoimuutta tai jotka haluavat pitää kaikki tietonsa omalla palvelimellaan. Tavalliselle kuluttajalle Google tai Microsoft Authenticator on kuitenkin käytännöllisempi, koska niillä on laajempi tuki ja aktiivinen kehitys suurten teknologiayritysten takana.
Yrityskäytössä avoimen lähdekoodin sovellukset sopivat huonosti, koska niiden hallinta ja tuki on hankalampaa kuin kaupallisten ratkaisujen. Yritys, joka haluaa keskitetysti hallita työntekijöidensä MFA-menetelmiä, tarvitsee kaupallisen ratkaisun kuten Microsoft Entra ID:n tai vastaavan identiteettihallinnan alustan. Näissä tapauksissa Microsoft Authenticator on luonnollinen valinta, koska se integroituu osaksi olemassa olevaa infrastruktuuria ilman erillistä asennusta tai konfigurointia.
TOTP vs FIDO2 vs SMS: kaksivaiheisten menetelmien turvallisuusvertailu
Kaksivaiheinen tunnistautuminen ei ole yksi teknologia vaan useita eri menetelmiä, joiden tietoturva vaihtelee merkittävästi. On tärkeää ymmärtää, missä TOTP-sovellukset asettuvat tähän skaalaan.
| Menetelmä | Phishing-kestävyys | SIM-swap-kestävyys | Hinta | NIST-luokitus |
|---|---|---|---|---|
| SMS-koodi | Heikko (kalasteltavissa) | Heikko (SIM-kloonaus) | 0€ | Ei suositella AAL2:lle |
| Sähköpostikoodi | Heikko (phishing) | Kohtalainen | 0€ | Ei suositella |
| TOTP-sovellus (RFC 6238) | Kohtalainen (kloonattavissa ajoissa) | Hyvä | 0€ | AAL2 |
| Push-hyväksyntä + numeroyhdistäminen | Hyvä (numeroyhdistäminen) | Hyvä | 0€ | AAL2 |
| FIDO2 / Passkey | Erinomainen (phishing-immuuni) | Erinomainen | 0€ (ohjelmisto) | AAL2-AAL3 |
| FIDO2 Hardware (YubiKey) | Erinomainen | Erinomainen | ~55€ (kertamaksu) | AAL3 |
TOTP-sovellukset sijoittuvat taulukossa “kohtalainen” phishing-kestävyydessä, koska reaaliajankalasteluhyökkäykset voivat siepata TOTP-koodin. Hyökkääjä luo väärän kirjautumissivun, pyytää uhria syöttämään salasanansa ja TOTP-koodinsa, ja käyttää ne samanaikaisesti oikeaan palveluun. Tämä hyökkäys vaatii tarkan ajoituksen, koska TOTP-koodi on voimassa vain 30 sekuntia, mutta se on mahdollinen.
FIDO2-passkeys ja laitteistotunnimet ovat phishing-immuuneja, koska ne käyttävät domain-pohjaista kryptografista todennusta: tunnistin ei vastaa, ellei domain täsmää rekisteröidyn palvelun kanssa. Tämä tekee väärän kirjautumissivun käytöstä mahdottoman. NCSC:n ja NIST:n suositukset ohjaavatkin siirtymään kohti FIDO2-pohjaista tunnistautumista kaikkein kriittisimmissä palveluissa.
Päätelmä: voittaja on tilanteen mukaan eri
Yksinkertaiseen kysymykseen “kumpi on parempi?” ei ole yhtä vastausta, mutta se ei tarkoita, ettei valinta olisi selkeä eri tilanteissa.
Microsoft Authenticator voittaa yritysympäristöissä, Microsoft 365 -käyttäjille ja tilanteissa, joissa push-kirjautumiset tai salasanaton kirjautuminen ovat tärkeitä. Sen enterprise-integraatio Microsoft Entra ID:n kanssa on kilpailijaansa merkittävästi parempi, ja numeroyhdistäminen tarjoaa konkreettisen tietoturvaedun MFA-väsyttämishyökkäyksiä vastaan. Apple Watch -tuki on bonus käyttäjille, joilla se on käytössä.
Google Authenticator voittaa yksinkertaisuudessa, kehittäjäkäytössä ja tilanteissa, joissa joustavuus on tärkeää. Sen tilien vientimahdollisuudet ovat selvästi paremmat, minimalistinen lähestymistapa pienentää hyökkäyspintaa ja sovellus on helppo oppia. Google-ekosysteemin käyttäjille se on luonteva valinta.
Kumpikaan ei kuitenkaan vastaa phishing-kestävän autentikoinnin tarpeeseen korkeimman tietoturvan ympäristöissä. Jos tietoturvavaatimuksesi ovat korkeat, täydennä TOTP-sovellus YubiKey-laitteistotunnistimella tai siirry FIDO2-passkey-ratkaisuihin, jotka ovat phishing-immuuneja. Laitteistotunnistin maksaa kertamaksuna noin 55 euroa ja tarjoaa suojaustason, johon ohjelmistopohjainen 2FA ei pysty.
Kaksivaiheinen tunnistautuminen on kuitenkin paras yksittäinen toimenpide, jolla suomalainen käyttäjä voi suojata digitaaliset tilinsä. Molemmat sovellukset nostavat tietoturvatasosi huomattavasti yli sen, mitä pelkkä salasana tarjoaa. Valitse se, joka sopii paremmin käyttöympäristöösi, ja ota se käyttöön tänään. Jos hallinnoit työsähköpostia tai yritystilejä, Microsoft Authenticator on selkeä ensisijainen valinta. Jos olet pääasiassa Google-ekosysteemin käyttäjä tai haluat yksinkertaisimman mahdollisen ratkaisun, Google Authenticator palvelee hyvin. Kaikki tilit, joissa se on mahdollista, hyötyvät kummastakin sovelluksesta.
Tietoturvan tulevaisuus: passkeys korvaa TOTP:n?
FIDO2-passkeys ovat tulossa yhä laajempaan käyttöön, ja monet asiantuntijat ennustavat, että ne korvaavat TOTP-sovellukset vähitellen seuraavan viiden vuoden aikana. Google, Microsoft ja Apple ovat kaikki sitoutuneet passkey-tuen laajentamiseen omissa ekosysteemeissään. Passkeys tallentavat kryptografisen avaimen laitteelle (tai pilveen), jota ei voida kopioida tai siepata phishing-hyökkäyksellä.
Käytännössä passkeys ja TOTP tulevat elämään rinnakkain useita vuosia. Kaikki verkkopalvelut eivät vielä tue passkeyjä, ja monilla käyttäjillä on olemassa olevat TOTP-rekisteröinnit, joita ei ole tarpeen muuttaa ennen kuin palvelut itse tarjoavat sujuvan siirtymäpolun. Google Authenticator ja Microsoft Authenticator tulevat olemaan relevantteja vähintään vuoteen 2030 asti.
Molemmat sovellukset myös integroituvat passkey-ekosysteemiin: Google Authenticator on osa Googlen passkey-infrastruktuuria ja Microsoft Authenticator tukee Microsoft-tilien passkeyjä. Siirtyminen passkeysiin tapahtuu vähitellen palveluja lisättäessä, eikä se vaadi vanhan TOTP-sovelluksen poistamista ennen kuin kaikki palvelut on siirretty.
Suomalaiselle käyttäjälle käytännön suositus vuonna 2026 on: ota TOTP-pohjainen 2FA käyttöön kaikkialle, missä se on mahdollista, ja siirry passkeysiin sitä mukaa, kun palvelut tukevat sitä. Nämä kaksi askelta yhdessä nostavat tilisi suojaustason aivan eri luokkaan kuin pelkkä salasana. Passkeys eivät vaadi erillistä sovellusta: ne toimivat selaimessa ja käyttöjärjestelmän omassa tunnistuksessa, kuten Face ID:ssä tai Windows Hellossa. Suuri osa merkittävistä verkkopalveluista, kuten Google, Microsoft, GitHub, Apple, PayPal ja monet muut, tukevat passkeyjä jo nyt. Käytännössä siirtyminen voi alkaa välittömästi niissä palveluissa, joissa se on mahdollista, rinnakkain olemassa olevan TOTP-2FA:n kanssa.
Aiheeseen liittyvää lukemista
- Passkeys vs. salasanat: 8,5 s vs. 31 s kirjautuminen [2026]
- F-Secure Total vs Windows Defender: 18/18 vs 0€/kk [2026]
- Bitwarden vs LastPass vs KeePass: €18 vs €33 vs 0€ [2026]
- JWT-todennus Node.js:ssä: 12 vaihetta, 40 min [2026]
- OAuth 2.0 Node.js:ssä Passport.js:llä: 12 vaihetta, 30 min [2026]
Ulkoiset lähteet: Google Authenticator -ohje | RFC 6238: TOTP-standardi (IETF) | NIST SP 800-63B: Digitaalinen identiteetti | NCSC: MFA-ohjeistus | Google Security Blog: Pilvivarmistus 2023
