{"id":149,"date":"2026-06-21T09:00:00","date_gmt":"2026-06-21T09:00:00","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/21\/google-authenticator-vs-microsoft-authenticator\/"},"modified":"2026-06-28T23:48:38","modified_gmt":"2026-06-28T23:48:38","slug":"google-authenticator-vs-microsoft-authenticator","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/google-authenticator-vs-microsoft-authenticator\/","title":{"rendered":"Google vs Microsoft Authenticator: 6 Eroa, 1 Voittaja [2026]"},"content":{"rendered":"\n

Kaksivaiheinen tunnistautuminen on siirtynyt valinnaisesta ominaisuudesta k\u00e4yt\u00e4nn\u00f6n pakoksi. Suomalaiset verkkopankit, ty\u00f6nantajat ja verkkopalvelut edellytt\u00e4v\u00e4t sit\u00e4 jo laajasti, ja Kyberturvallisuuskeskus suosittelee sit\u00e4 kaikille tileille. Kaksi ylivoimaisesti suosituinta TOTP-sovellusta ovat Google Authenticator<\/strong> ja Microsoft Authenticator<\/strong>, mutta niiden v\u00e4lill\u00e4 on kuusi ratkaisevaa eroa, jotka vaikuttavat siihen, kumpi sopii sinulle.<\/p>\n\n\n\n

Elokuussa 2024 Twilio lopetti Authy-ty\u00f6p\u00f6yt\u00e4sovelluksensa, ja t\u00e4m\u00e4 pakotti satojatuhansia k\u00e4ytt\u00e4ji\u00e4 etsim\u00e4\u00e4n vaihtoehdon. Samaan aikaan Google lis\u00e4si Authenticatoriinsa pilvivarmistuksen vasta huhtikuussa 2023, vuosikymmenen j\u00e4lkeen sovelluksen julkaisusta. Microsoft Authenticator on taas vuosien ajan tarjonnut ominaisuuksia, joita Google vasta nyt rakentaa. Molemmissa sovelluksissa on nyt pilvivarmistus, mutta niiden l\u00e4hestymistavat tietoturvaan, yritysk\u00e4ytt\u00f6\u00f6n ja k\u00e4ytt\u00f6kokemukseen eroavat merkitt\u00e4v\u00e4sti.<\/p>\n\n\n\n

T\u00e4ss\u00e4 vertailussa k\u00e4ymme l\u00e4pi 6 t\u00e4rkeint\u00e4 eroa, vertailemme ominaisuuksia 15 rivin taulukon avulla, esittelemme viisi todellista k\u00e4ytt\u00f6tapausta Suomesta ja annamme selke\u00e4n suosituksen eri tilanteisiin. Primaarisena vertailukriteerin\u00e4 toimii tietoturva, toisena k\u00e4ytett\u00e4vyys ja kolmantena sopivuus eri k\u00e4ytt\u00f6ymp\u00e4rist\u00f6ihin. Lis\u00e4ksi k\u00e4ymme l\u00e4pi vaihtoehtojen turvallisuusvertailutaulukon sek\u00e4 siirtymisoppaan Authysta tai vanhasta sovelluksesta.<\/p>\n\n\n\n

Kaksivaiheinen tunnistautuminen Suomessa: miksi se on nyt pakollista?<\/h2>\n\n\n\n

Kyberturvallisuuskeskuksen (NCSC-FI) tilastojen mukaan tietomurtojen ja identiteettivarkauksien m\u00e4\u00e4r\u00e4 on kasvanut Suomessa merkitt\u00e4v\u00e4sti viimeisten vuosien aikana. Pelk\u00e4ll\u00e4 salasanalla suojatut tilit ovat hy\u00f6kk\u00e4\u00e4jien p\u00e4\u00e4kohde, koska salasanoja vuotaa datamurroissa, phishing-sivustojen kautta ja haittaohjelmilla. Kaksivaiheinen tunnistautuminen katkaisee t\u00e4m\u00e4n hy\u00f6kk\u00e4ysketjun: vaikka salasanasi vuotaisi, hy\u00f6kk\u00e4\u00e4j\u00e4 ei p\u00e4\u00e4se sis\u00e4\u00e4n ilman toista tekij\u00e4\u00e4.<\/p>\n\n\n\n

Suomalaiset pankit, kuten OP, Nordea ja S-Pankki, edellytt\u00e4v\u00e4t vahvaa tunnistautumista verkkopankkiin kirjautumisessa jo lain nojalla. Yrityksille EU:n NIS2-direktiivi, joka tuli voimaan vuoden 2024 lopulla, asettaa vahvan tunnistautumisen vaatimuksen kriittisten toimialojen organisaatioille. Suomen lis\u00e4ksi kaikki pohjoismaiset maat ovat ottaneet MFA:n k\u00e4ytt\u00f6\u00f6n keskeisess\u00e4 infrastruktuurissa, ja yrityspuolella standardiksi on muodostunut TOTP-sovellus tai FIDO2-tunnistin.<\/p>\n\n\n\n

Kuluttajapuolella kaksivaiheinen tunnistautuminen on yleistynyt hitaammin. Traficomin 2025 kyberturvallisuusbarometrin mukaan noin 40 % suomalaisista on ottanut 2FA:n k\u00e4ytt\u00f6\u00f6n ainakin yhdess\u00e4 palvelussa. T\u00e4m\u00e4 luku on kasvanut, mutta suurin osa kriittisist\u00e4 tileist\u00e4 on edelleen suojattu vain salasanalla. Sovelluspohjainen kaksivaiheinen tunnistautuminen on helpoin askel kohti parempaa tietoturvaa: se on ilmainen, nopea ottaa k\u00e4ytt\u00f6\u00f6n ja toimii kaikissa p\u00e4\u00e4telaitteissa.<\/p>\n\n\n\n

Suomalaisten yritysten tietoturvataso on eurooppalaisessa vertailussa kohtalaisen hyv\u00e4, mutta erityisesti pk-yrityksiss\u00e4 MFA:n k\u00e4ytt\u00f6\u00f6notto on ollut hidasta. Kyberturvallisuuskeskuksen suositukset, EU:n NIS2-direktiivin vaatimukset ja vakuutusyhti\u00f6iden kasvavat ehdot kyberturvallisuusvaatimuksista ajavat yrityksi\u00e4 yh\u00e4 laajempaan MFA:n k\u00e4ytt\u00f6\u00f6n. Google ja Microsoft Authenticator ovat t\u00e4ss\u00e4 siirtym\u00e4ss\u00e4 keskeisi\u00e4 v\u00e4lineit\u00e4, koska ne on helppo ottaa k\u00e4ytt\u00f6\u00f6n ilman merkitt\u00e4vi\u00e4 IT-investointeja.<\/p>\n\n\n\n

Mik\u00e4 on Google Authenticator?<\/h2>\n\n\n\n

Google Authenticator on ilmainen sovellus, jonka Google julkaisi vuonna 2010. Alun perin sen tarkoitus oli tarjota TOTP-pohjainen (Time-based One-Time Password) kaksivaiheinen tunnistautuminen Google-tileille, mutta sovellus tukee nykyisin kaikkia RFC 6238 -standardin mukaisia palveluita. Se on saatavilla iOS:lle ja Androidille, eik\u00e4 siit\u00e4 ole virallista ty\u00f6p\u00f6yt\u00e4versiota.<\/p>\n\n\n\n

Sovellus on suunniteltu tarkoituksellisesti yksinkertaiseksi. Avaat sen, n\u00e4et 6-numeroiset koodit, jotka vaihtuvat 30 sekunnin v\u00e4lein, ja kirjoitat koodin palveluun. K\u00e4ytt\u00f6liittym\u00e4ss\u00e4 ei ole ylim\u00e4\u00e4r\u00e4isi\u00e4 ominaisuuksia, mainoksia tai tilausmalleja. T\u00e4m\u00e4 yksinkertaisuus on ollut sek\u00e4 vahvuus ett\u00e4 heikkous: sovellus toimi pitk\u00e4\u00e4n ainoastaan paikallisesti ilman varmuuskopiointia, mik\u00e4 tarkoitti, ett\u00e4 puhelimen katoaminen saattoi johtaa kaikkien tilien lukittumiseen.<\/p>\n\n\n\n

Huhtikuussa 2023 Google julkaisi merkitt\u00e4v\u00e4n p\u00e4ivityksen: pilvivarmistuksen Google-tilille<\/strong>. Google Security Blogin mukaan p\u00e4ivitys mahdollistaa tunnistautumistietojen synkronoinnin laitteiden v\u00e4lill\u00e4. T\u00e4m\u00e4 oli iso muutos, mutta samalla se her\u00e4tti tietoturvakeskustelun: jos Google-tilisi vaarantuu, hy\u00f6kk\u00e4\u00e4j\u00e4 voi saada k\u00e4siins\u00e4 kaikki 2FA-siemenesi. P\u00e4ivityksess\u00e4 k\u00e4ytt\u00e4j\u00e4lle annettiin mahdollisuus ottaa pilvivarmistus k\u00e4ytt\u00f6\u00f6n tai pit\u00e4\u00e4 tilit edelleen vain paikallisena.<\/p>\n\n\n\n

Sovellus on yhteensopiva kaikkien palveluiden kanssa, jotka tukevat TOTP-standardia. T\u00e4m\u00e4 kattaa k\u00e4yt\u00e4nn\u00f6ss\u00e4 kaikki merkitt\u00e4v\u00e4t verkkopalvelut: GitHub, Dropbox, Facebook, Amazon Web Services, Twitter\/X, LastPass, Coinbase ja tuhansia muita. Google Authenticator toimii my\u00f6s HOTP-protokollalla (HMAC-based One-Time Password), jota k\u00e4ytet\u00e4\u00e4n laskuripohjaisessa tunnistautumisessa. HOTP-koodit eiv\u00e4t vanhene ajan perusteella, vaan perustuvat k\u00e4ytt\u00f6kertalaskuriin.<\/p>\n\n\n\n

Kehitt\u00e4j\u00e4yhteis\u00f6lle Google Authenticator on tuttu, koska se toimii saumattomasti kaikkien RFC 6238 -kirjastojen kanssa. Node.js-kehitt\u00e4j\u00e4 voi testata TOTP-koodin toimintaa suoraan omalla puhelimellaan. Sovelluksen alkuper\u00e4inen Android-versio julkaistiin avoimena l\u00e4hdekoodina Google Code -palvelussa, mutta nykyiset App Store- ja Play Store -versiot eiv\u00e4t ole t\u00e4ysin avointa l\u00e4hdekoodia. T\u00e4m\u00e4 on her\u00e4tt\u00e4nyt kritiikki\u00e4 tietoturvayhteis\u00f6ss\u00e4, koska avoimen l\u00e4hdekoodin sovelluksen auditoiminen on helpompaa.<\/p>\n\n\n\n

Mik\u00e4 on Microsoft Authenticator?<\/h2>\n\n\n\n

Microsoft Authenticator julkaistiin vuonna 2016 ja on kasvanut huomattavasti monimutkaisemmaksi sovellukseksi kuin Google Authenticator. Sen ydinteht\u00e4v\u00e4 on sama: tuottaa TOTP-koodeja. Mutta Microsoft on lis\u00e4nnyt sovellukseen ominaisuuksia, jotka tekev\u00e4t siit\u00e4 paljon enemm\u00e4n kuin pelk\u00e4n koodigeneraattorin.<\/p>\n\n\n\n

Salasanaton kirjautuminen<\/strong> on Microsoft Authenticatorin t\u00e4rkein erottuva ominaisuus. Henkil\u00f6kohtaisilla Microsoft-tileill\u00e4 (Outlook, Hotmail, Xbox) k\u00e4ytt\u00e4j\u00e4 voi poistaa salasanan kokonaan k\u00e4yt\u00f6st\u00e4 ja kirjautua hyv\u00e4ksym\u00e4ll\u00e4 push-ilmoituksen puhelimessa. Yritysymp\u00e4rist\u00f6iss\u00e4 Azure Active Directory, joka tunnetaan nykyisin nimell\u00e4 Microsoft Entra ID, tukee samaa ominaisuutta laajassa mittakaavassa.<\/p>\n\n\n\n

Push-hyv\u00e4ksynn\u00e4t<\/strong> ovat toinen Microsoft-spesifinen ominaisuus. Sen sijaan, ett\u00e4 sinun pit\u00e4isi avata sovellus ja sy\u00f6tt\u00e4\u00e4 6-numeroinen koodi, Microsoft-tilin kirjautuminen n\u00e4ytt\u00e4\u00e4 puhelimessasi ilmoituksen “Oletko kirjautumassa sis\u00e4\u00e4n?” ja sinun tarvitsee vain painaa Hyv\u00e4ksy. Nopeus on selv\u00e4sti parempi kuin TOTP-koodien manuaalinen sy\u00f6tt\u00e4minen, erityisesti mobiililaitteilla, joilla pienten numeroiden kirjoittaminen on hidasta.<\/p>\n\n\n\n

Yritysymp\u00e4rist\u00f6iss\u00e4 Microsoft Authenticator integroituu suoraan Microsoft Entra ID:hen<\/strong>. Organisaatiot voivat pakottaa MFA-vaatimuksia ehdollisen k\u00e4yt\u00f6n politiikoilla, m\u00e4\u00e4ritt\u00e4\u00e4 mist\u00e4 paikoista kirjautuminen sallitaan ja hallita sovelluksia Mobile Device Management -ratkaisujen, kuten Microsoft Intunen, kautta. T\u00e4m\u00e4 tekee siit\u00e4 de facto -standardin Microsoft-vetoisten yritysten IT-osastoille kaikkialla Suomessa ja muualla Euroopassa.<\/p>\n\n\n\n

Sovellus tallentaa my\u00f6s salasanoja ja voi toimia rajoitetun salasanahallinnan roolissa, vaikka Microsoft ohjaa k\u00e4ytt\u00e4ji\u00e4 k\u00e4ytt\u00e4m\u00e4\u00e4n Edge-selaimen sis\u00e4\u00e4nrakennettua salasanahallintaa tai erillist\u00e4 Microsoftin salasanahallintaa. Apple Watch -tuki mahdollistaa push-hyv\u00e4ksynt\u00f6jen k\u00e4sittelyn suoraan rannekellosta. Varmuuskopio toimii Microsoft-tilin kautta, ja laitevaihto on p\u00e4\u00e4asiassa sujuvaa.<\/p>\n\n\n\n

Yksi t\u00e4rke\u00e4 puute: tilien vienti muihin sovelluksiin on rajoitettua<\/strong>. Jos haluat jossain vaiheessa siirty\u00e4 pois Microsoft Authenticatorista, TOTP-siementen siirt\u00e4minen kolmansiin sovelluksiin on hankalampaa kuin Google Authenticatorista l\u00e4hdett\u00e4ess\u00e4. T\u00e4m\u00e4 ekosysteemilukittuminen on huomionarvoinen tekij\u00e4 sovellusta valittaessa.<\/p>\n\n\n\n

Kattava ominaisuusvertailu: 15 kriteeri\u00e4 rinnakkain<\/h2>\n\n\n\n

Alla oleva taulukko vertailee molempia sovelluksia 15 eri kriteerill\u00e4. Tiedot perustuvat sovelluskehitt\u00e4jien virallisiin tietol\u00e4hteisiin, RFC 6238 -standardiin ja kes\u00e4kuussa 2026 testattuihin sovellusversioihin.<\/p>\n\n\n\n

Ominaisuus<\/th>Google Authenticator<\/th>Microsoft Authenticator<\/th><\/tr><\/thead>
Hinta<\/td>Ilmainen (0\u20ac)<\/td>Ilmainen (0\u20ac)<\/td><\/tr>
Alustat<\/td>iOS, Android<\/td>iOS, Android<\/td><\/tr>
Pilvivarmistus<\/td>Google-tili (2023 alkaen)<\/td>Microsoft-tili<\/td><\/tr>
Push-hyv\u00e4ksynn\u00e4t<\/td>Ei<\/td>Kyll\u00e4 (Microsoft-tilit)<\/td><\/tr>
Salasanaton kirjautuminen<\/td>Ei<\/td>Kyll\u00e4 (Microsoft-tilit)<\/td><\/tr>
Azure AD \/ Entra ID -integraatio<\/td>Rajoitettu (vain TOTP)<\/td>T\u00e4ysi tuki<\/td><\/tr>
TOTP-tuki (RFC 6238)<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>
HOTP-tuki<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>
Biometrinen lukko<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>
Apple Watch -tuki<\/td>Ei<\/td>Kyll\u00e4 (push-hyv\u00e4ksynn\u00e4t)<\/td><\/tr>
Avoimen l\u00e4hdekoodin<\/td>Osittain (vanha Android-versio)<\/td>Ei<\/td><\/tr>
Sis\u00e4inen salasanahallinta<\/td>Ei<\/td>Kyll\u00e4 (rajoitettu)<\/td><\/tr>
Tilien vienti muihin sovelluksiin<\/td>Kyll\u00e4 (QR-koodimuodossa)<\/td>Rajoitettu<\/td><\/tr>
Koodin voimassaolo<\/td>30 sekuntia<\/td>30 sekuntia<\/td><\/tr>
Julkaistu<\/td>2010<\/td>2016<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Molemmissa sovelluksissa koodit vaihtuvat 30 sekunnin v\u00e4lein RFC 6238 -standardin mukaisesti. Tietoturvan perustaso on sama, koska algoritmi on identtinen. Ero syntyy ominaisuuksista, ekosysteemi-integraatiosta ja siit\u00e4, miten sovellukset k\u00e4sittelev\u00e4t pilveen tallentamista. Kumpikaan sovellus ei sis\u00e4ll\u00e4 mainoksia, ei vaadi tilausta ja toimii ilman datayhteytt\u00e4 koodin generoimiseen. T\u00e4rkeimm\u00e4t erot ovat push-hyv\u00e4ksynn\u00e4t ja enterprise-integraatio, jotka suosivat Microsoft Authenticatoria yritysymp\u00e4rist\u00f6iss\u00e4.<\/p>\n\n\n\n

Tietoturva ja salaus: kumpi suojaa paremmin?<\/h2>\n\n\n\n

Molemmat sovellukset k\u00e4ytt\u00e4v\u00e4t samaa TOTP-algoritmia, joka on m\u00e4\u00e4ritelty RFC 6238:ssa ja perustuu HMAC-SHA1-tiivistefunktioon ja aikaan perustuvaan laskuriin. Algoritmi itsess\u00e4\u00e4n on identtinen kummassakin sovelluksessa. Ero tietoturvassa syntyy siit\u00e4, miten sovellukset k\u00e4sittelev\u00e4t siemeni\u00e4<\/strong> eli niit\u00e4 salaisia avaimia, jotka rekister\u00f6it\u00e4ess\u00e4 siirret\u00e4\u00e4n QR-koodin kautta palvelun ja sovelluksen v\u00e4lill\u00e4.<\/p>\n\n\n\n

TOTP-algoritmi: miten 30 sekunnin koodi syntyy<\/h3>\n\n\n\n

RFC 6238:n mukaan TOTP-koodi lasketaan kaavalla TOTP = HOTP(K, T), miss\u00e4 K on jaettu salainen avain ja T on nykyinen Unix-aikaleima jaettuna 30:ll\u00e4 (oletusarvoinen aika-askel). Lopputulos on 6-numeroinen luku, joka vaihtuu joka 30. sekunti. Koodi on laskettavissa ilman verkkoyhteytt\u00e4, mik\u00e4 tekee siit\u00e4 luotettavan my\u00f6s heikossa tai olemattomassa verkossa.<\/p>\n\n\n\n

NIST SP 800-63B -ohjeistus, joka m\u00e4\u00e4rittelee digitaalisen identiteetin standardit, suosittelee v\u00e4hint\u00e4\u00e4n 6-numeroisia TOTP-koodeja ja aikaikkuna-pohjaista toteutusta. Molemmat sovellukset t\u00e4ytt\u00e4v\u00e4t n\u00e4m\u00e4 vaatimukset. NIST ei en\u00e4\u00e4 suosittele SMS-pohjaista 2FA:ta ensisijaisena menetelm\u00e4n\u00e4 SIM-kloonausten ja SS7-protokollan haavoittuvuuksien vuoksi.<\/p>\n\n\n\n

Pilvivarmistuksen riskit: tietoturvakompromi<\/h3>\n\n\n\n

Pilvivarmistus ratkaisee puhelimen katoamisen ongelman, mutta luo samalla uuden hy\u00f6kk\u00e4ysvektorin: jos Google- tai Microsoft-tilisi vaarantuu, hy\u00f6kk\u00e4\u00e4j\u00e4 voi saada k\u00e4siins\u00e4 kaikki 2FA-siemenesi.<\/strong> K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 2FA-tilisi tietoturva on nyt sidottu p\u00e4\u00e4asiallisen tilin tietoturvaan.<\/p>\n\n\n\n

T\u00e4m\u00e4n vuoksi Google- ja Microsoft-tilien itsens\u00e4 suojaaminen vahvalla salasanalla ja mieluiten laitteistotunnistimella on kriittist\u00e4. K\u00e4ytt\u00e4j\u00e4, joka suojaa kaikki palvelunsa Google Authenticatorilla mutta jonka Google-tili on suojattu vain salasanalla, on luonut yhden pisteen, jonka kautta kaikki tilit voidaan murtaa.<\/p>\n\n\n\n

Microsoft Authenticatorissa on yksi merkitt\u00e4v\u00e4 tietoturvaetu push-hyv\u00e4ksynn\u00f6iss\u00e4: numeroyhdist\u00e4minen<\/strong>. Kun hy\u00f6kk\u00e4\u00e4j\u00e4 yritt\u00e4\u00e4 kirjautua tilillesi, sovellus n\u00e4ytt\u00e4\u00e4 sinulle numeron, jonka pit\u00e4\u00e4 t\u00e4sm\u00e4t\u00e4 kirjautumisruudulla n\u00e4kyv\u00e4\u00e4n numeroon. T\u00e4m\u00e4 est\u00e4\u00e4 niin sanotun MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4yksen, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 l\u00e4hett\u00e4\u00e4 push-pyynt\u00f6j\u00e4 toistuvasti toivoen, ett\u00e4 k\u00e4ytt\u00e4j\u00e4 vahingossa hyv\u00e4ksyy. UK:n NCSC on korostanut t\u00e4llaisen suojauksen t\u00e4rkeytt\u00e4 erityisesti organisaatioissa, joissa push-hyv\u00e4ksynn\u00e4t ovat k\u00e4yt\u00f6ss\u00e4.<\/p>\n\n\n\n

Google Authenticatorilla ei ole push-hyv\u00e4ksynt\u00f6j\u00e4 lainkaan, joten MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4ys ei my\u00f6sk\u00e4\u00e4n ole mahdollinen sit\u00e4 vastaan. T\u00e4ss\u00e4 mieless\u00e4 Google Authenticatorin yksinkertaisuus on my\u00f6s tietoturvaetu: suppeampi ominaisuusjoukko tarkoittaa pienemp\u00e4\u00e4 hy\u00f6kk\u00e4yspintaa.<\/p>\n\n\n\n

Varmuuskopio ja laitevaihto: k\u00e4yt\u00e4nn\u00f6n vertailu<\/h2>\n\n\n\n

Puhelimen vaihto on yksi yleisimmist\u00e4 tilanteista, joissa 2FA-sovellus aiheuttaa p\u00e4\u00e4ns\u00e4rky\u00e4. Ennen pilvivarmistusten yleistymist\u00e4 laitevaihto tarkoitti, ett\u00e4 k\u00e4ytt\u00e4j\u00e4n piti k\u00e4yd\u00e4 l\u00e4pi jokainen tili erikseen, poistaa 2FA ja lis\u00e4t\u00e4 se uudelleen uudessa laitteessa. T\u00e4m\u00e4 prosessi saattoi kest\u00e4\u00e4 useita tunteja, jos tilej\u00e4 oli kymmeni\u00e4.<\/p>\n\n\n\n

Google Authenticator<\/strong> k\u00e4ytt\u00e4\u00e4 Google-tili\u00e4 varmuuskopiointiin huhtikuusta 2023 alkaen. Siirtyminen uuteen puhelimeen onnistuu kirjautumalla sis\u00e4\u00e4n samalle Google-tilille ja avaamalla sovellus, jolloin kaikki tilit latautuvat automaattisesti. Sovelluksessa on my\u00f6s manuaalinen siirtotoiminto, joka tuottaa QR-koodin ja mahdollistaa tilien siirt\u00e4misen ilman pilve\u00e4 laitteesta toiseen. T\u00e4m\u00e4 on hy\u00f6dyllinen vaihtoehto k\u00e4ytt\u00e4jille, jotka eiv\u00e4t halua luottaa pilveen tai vaihtavat Android-laitteesta iOS-laitteeseen.<\/p>\n\n\n\n

Microsoft Authenticator<\/strong> on synkronoinut tilej\u00e4 Microsoft-tilille jo pidemp\u00e4\u00e4n kuin Google Authenticator. Laitevaihto on sujuva prosessi: kirjaudu uuteen laitteeseen Microsoft-tilillesi, avaa Microsoft Authenticator, vahvista henkil\u00f6llisyytesi ja tilit palautuvat. T\u00e4rke\u00e4 huomio: kolmansien osapuolten TOTP-tilit, kuten GitHub tai Dropbox, voidaan tarvita palauttaa erikseen, jos ne eiv\u00e4t ole osa Microsoft-tilin varmuuskopiota.<\/p>\n\n\n\n

Tilien vienti eroaa merkitt\u00e4v\u00e4sti: Google Authenticator<\/strong> tukee tilien vienti\u00e4 QR-koodimuodossa, joka voidaan skannata muilla TOTP-sovelluksilla, kuten Aegis Authenticatorilla tai 1Passwordilla. Microsoft Authenticatorin vientimahdollisuudet ovat selv\u00e4sti rajoitetummat, mik\u00e4 vaikeuttaa siirtymist\u00e4 muihin sovelluksiin. Jos harkitset joskus sovelluksen vaihtamista tai lis\u00e4\u00e4t 2FA-koodit salasanahallintaohjelmaan, Google Authenticator tarjoaa enemm\u00e4n joustavuutta.<\/p>\n\n\n\n

Alusta- ja laiteyhteensopivuus<\/h2>\n\n\n\n

Molemmat sovellukset tukevat iOS:\u00e4\u00e4 ja Androidia. Virallisia ty\u00f6p\u00f6yt\u00e4versioita ei ole kummallakaan: sek\u00e4 Google ett\u00e4 Microsoft suosittelevat puhelinpohjaista 2FA:ta tietoturvasyist\u00e4, koska tietokone on alttiimpi haittaohjelmille kuin hyvin suojattu \u00e4lypuhelin. Ty\u00f6p\u00f6yt\u00e4ymp\u00e4rist\u00f6ihin on kuitenkin kolmansien osapuolten vaihtoehtoja, kuten 1Password tai Bitwarden, jotka sis\u00e4lt\u00e4v\u00e4t TOTP-generaattorin.<\/p>\n\n\n\n

Apple Watch -tuki erottaa sovellukset selv\u00e4sti: Microsoft Authenticator<\/strong> tukee Apple Watchia, jolloin voit hyv\u00e4ksy\u00e4 push-kirjautumispyynn\u00f6t suoraan rannekellosta ilman puhelinta. Google Authenticatorissa ei ole Apple Watch -sovellusta. Androidin kuluvissa laitteissa vastaavaa integraatiota ei ole kummassakaan sovelluksessa.<\/p>\n\n\n\n

Laajempi palveluyhteensopivuus on tasavertainen: molemmat sovellukset toimivat kaikilla TOTP-yhteensopivilla palveluilla ilman rajoituksia. K\u00e4yt\u00e4nn\u00f6ss\u00e4 sovelluksella ei ole merkityst\u00e4, kun kyseess\u00e4 on tavallinen TOTP-rekister\u00f6inti mink\u00e4 tahansa palvelun kanssa. Ero syntyy vain Microsoft-spesifisiss\u00e4 ominaisuuksissa, joita Google Authenticator ei tue lainkaan.<\/p>\n\n\n\n

Yritys- ja enterprise-k\u00e4ytt\u00f6: selke\u00e4 voittaja<\/h2>\n\n\n\n

Yritysymp\u00e4rist\u00f6iss\u00e4 valinta on selv\u00e4. Microsoft Authenticator on suunniteltu ensisijaisesti yritysk\u00e4ytt\u00f6\u00f6n, ja sen integraatio Microsoft Entra ID:n kanssa on kattava. Google Authenticator on ensisijaisesti kuluttajasovellus, joka soveltuu yritysk\u00e4ytt\u00f6\u00f6n rajoitetusti TOTP-tasolla.<\/p>\n\n\n\n

Microsoft Entra ID ja ehdollinen p\u00e4\u00e4sy<\/h3>\n\n\n\n

Microsoft Authenticator on Microsoft Entra ID:n suositeltu MFA-sovellus. IT-osastot voivat pakottaa sen k\u00e4yt\u00f6n k\u00e4ytt\u00e4jille Microsoft Intune -hallintaj\u00e4rjestelm\u00e4n kautta, seurata kirjautumisia Entra ID:n audit-lokeista ja asettaa ehdollisen k\u00e4yt\u00f6n politiikkoja. Politiikka voi esimerkiksi sallia kirjautumisen yrityksen omalta verkkoalueelta ilman MFA:ta, mutta vaatia Microsoft Authenticator -hyv\u00e4ksynn\u00e4n kaikista muista paikoista tai vieraista laitteista.<\/p>\n\n\n\n

Ehdollinen p\u00e4\u00e4sy on erityisen tehokas ty\u00f6kalu hybridity\u00f6n aikakaudella, jolloin ty\u00f6ntekij\u00e4t kirjautuvat kotoa, kahvilasta ja asiakastiloista. Organisaatio voi m\u00e4\u00e4ritt\u00e4\u00e4 riskipisteytykseen perustuvat politiikat: tuntemattomasta laitteesta tai ep\u00e4tavallisesta sijainnista kirjautuminen vaatii vahvemman todennuksen. T\u00e4m\u00e4 tasapaino tietoturvan ja k\u00e4ytett\u00e4vyyden v\u00e4lill\u00e4 on keskeinen syy, miksi Microsoft Authenticator hallitsee yritysmarkkinaa Suomessa ja Pohjoismaissa.<\/p>\n\n\n\n

Google Workspace -ymp\u00e4rist\u00f6iss\u00e4 Google Authenticator toimii TOTP-tasolla, mutta syv\u00e4integraatio on heikompi. Organisaatiot, jotka k\u00e4ytt\u00e4v\u00e4t p\u00e4\u00e4asiassa Google Workspacea, hy\u00f6tyv\u00e4t kuitenkin Googlen omasta BeyondCorp-viitekehyksest\u00e4 ja Googlen Identity-alustasta, jotka tukevat TOTP-pohjaista MFA:ta laajasti.<\/p>\n\n\n\n

K\u00e4ytt\u00e4j\u00e4kokemus: yksinkertaisuus vastaan monipuolisuus<\/h2>\n\n\n\n

Google Authenticator<\/strong> on tarkoituksellisesti minimalistinen. Avaat sovelluksen, n\u00e4et listan tileist\u00e4si ja niiden 30 sekunnin koodit laskureineen. Sovellus vie v\u00e4h\u00e4n puhelimen resursseja, latautuu nopeasti ja toimii luotettavasti my\u00f6s offline-tilassa. K\u00e4ytt\u00f6liittym\u00e4 on suoraviivainen: tilit listattuna, koodi n\u00e4kyviss\u00e4, aikajana py\u00f6rii. Yksinkertaisuus tarkoittaa my\u00f6s, ett\u00e4 sovellus on helppo opettaa vanhemmille tai v\u00e4hemm\u00e4n teknisille k\u00e4ytt\u00e4jille.<\/p>\n\n\n\n

Microsoft Authenticator<\/strong> on visuaalisesti rikkaampi. P\u00e4\u00e4sivu n\u00e4ytt\u00e4\u00e4 tilisi korttimaisessa muodossa, josta n\u00e4et push-ilmoitukset, TOTP-koodit ja salasanahallinnan. Sovelluksessa on enemm\u00e4n valikoita ja asetuksia. Yritysymp\u00e4rist\u00f6ss\u00e4 lis\u00e4ominaisuudet ovat perusteltuja, mutta henkil\u00f6kohtaiseen k\u00e4ytt\u00f6\u00f6n monet k\u00e4ytt\u00e4j\u00e4t kokevat sen tarjoavan enemm\u00e4n kuin he tarvitsevat.<\/p>\n\n\n\n

Biometrinen lukko on molemmissa sovelluksissa oletuksena tai helposti aktivoitavissa: voit asettaa sormenj\u00e4lki- tai kasvojen tunnistuksen avaamaan sovelluksen. T\u00e4m\u00e4 est\u00e4\u00e4 tilanteet, joissa joku sivullinen p\u00e4\u00e4see k\u00e4siksi 2FA-koodeihin, jos puhelin on esimerkiksi p\u00f6yd\u00e4ll\u00e4 auki. Kummassakaan sovelluksessa koodien generoimiseen ei tarvita verkkoyhteytt\u00e4, joten ne toimivat my\u00f6s lentokoneessa tai alueilla, joilla ei ole datayhteytt\u00e4.<\/p>\n\n\n\n

Authy: mit\u00e4 tapahtui kolmannelle vaihtoehdolle?<\/h2>\n\n\n\n

Authy oli pitk\u00e4\u00e4n suosittu vaihtoehto Google- ja Microsoft Authenticatorille, koska se tarjosi multi-device-synkronoinnin ja selke\u00e4n k\u00e4ytt\u00f6liittym\u00e4n vuosia ennen kilpailijoitaan. Twilio osti Authyn vuonna 2015 ja integroi sen osaksi viestint\u00e4palvelujaan. Pitk\u00e4\u00e4n Authy oli erityisesti kehitt\u00e4jien suosiossa, koska Twilio tarjosi API:n 2FA-palveluiden rakentamiseen.<\/p>\n\n\n\n

Elokuussa 2024 Twilio lopetti Authy-ty\u00f6p\u00f6yt\u00e4sovelluksen<\/strong>. Mobiilisovellukset iOS:lla ja Androidilla jatkavat toimintaansa, mutta p\u00e4\u00e4t\u00f6s her\u00e4tti ep\u00e4varmuuden Authyn pitk\u00e4aikaisesta tulevaisuudesta kuluttajasovelluksena. Twilio on keskittynyt B2B-viestint\u00e4palveluihin, eik\u00e4 kuluttajasovelluksen yll\u00e4pit\u00e4minen v\u00e4ltt\u00e4m\u00e4tt\u00e4 sovi sen ydinstrategiaan.<\/p>\n\n\n\n

K\u00e4yt\u00e4nn\u00f6ss\u00e4 Authy on edelleen k\u00e4ytett\u00e4viss\u00e4 mobiililaitteilla, mutta uusien k\u00e4ytt\u00e4jien kannalta Google Authenticator ja Microsoft Authenticator ovat turvallisempia valintoja pitk\u00e4aikaisesti. Jos olet Authyn k\u00e4ytt\u00e4j\u00e4 ja haluat varmistaa jatkuvuuden, kannattaa harkita siirtymist\u00e4 jo nyt ennen mahdollisia lis\u00e4muutoksia. Authyn tileist\u00e4 siirtyminen TOTP-yhteensopiviin sovelluksiin onnistuu palvelu kerrallaan poistamalla ja uudelleen rekister\u00f6im\u00e4ll\u00e4 2FA.<\/p>\n\n\n\n

Hinnoittelu ja lisensointi: mit\u00e4 maksaa?<\/h2>\n\n\n\n

Molemmat sovellukset ovat t\u00e4ysin ilmaisia henkil\u00f6kohtaisessa k\u00e4yt\u00f6ss\u00e4. Yritysymp\u00e4rist\u00f6iss\u00e4 kustannukset syntyv\u00e4t hallintaj\u00e4rjestelmist\u00e4, ei itse sovelluksesta. Alla oleva taulukko esitt\u00e4\u00e4 kokonaiskuvan eri ratkaisujen hinnoittelusta.<\/p>\n\n\n\n

Ratkaisu<\/th>K\u00e4ytt\u00f6tapaus<\/th>Hinta \/ k\u00e4ytt\u00e4j\u00e4 \/ kk<\/th>Huomio<\/th><\/tr><\/thead>
Google Authenticator<\/td>Henkil\u00f6kohtainen<\/td>0\u20ac<\/td>Vaatii Google-tilin pilvivarmistukseen<\/td><\/tr>
Microsoft Authenticator<\/td>Henkil\u00f6kohtainen<\/td>0\u20ac<\/td>Vaatii Microsoft-tilin pilvivarmistukseen<\/td><\/tr>
Microsoft Entra ID P1 + Authenticator<\/td>Yritys<\/td>~6\u20ac<\/td>Ehdollinen p\u00e4\u00e4sy, Intune-hallinta<\/td><\/tr>
Microsoft Entra ID P2 + Authenticator<\/td>Yritys (edistynyt)<\/td>~9\u20ac<\/td>Identity Protection, PIM<\/td><\/tr>
YubiKey 5C NFC<\/td>Korkean turvan k\u00e4ytt\u00f6<\/td>~55\u20ac (kertamaksu)<\/td>Phishing-kest\u00e4v\u00e4 FIDO2, ei kuukausimaksua<\/td><\/tr>
Google Titan Security Key<\/td>Korkean turvan k\u00e4ytt\u00f6<\/td>~35\u20ac (kertamaksu)<\/td>FIDO2-yhteensopiva laitteistotunnistin<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Organisaatioille, jotka jo maksavat Microsoft 365 Business Premiumista tai E3-lisenssist\u00e4, Microsoft Entra ID P1 on usein sis\u00e4llytetty pakettiin. T\u00e4ll\u00f6in Microsoft Authenticatorin enterprise-ominaisuuksien aktivoinnista ei synny lis\u00e4kustannuksia. T\u00e4m\u00e4 tekee Microsoft Authenticatorista entist\u00e4 houkuttelevamman valinnan yrityksille, jotka ovat jo Microsoft-ekosysteemiss\u00e4.<\/p>\n\n\n\n

Tietoturvavertailu kolmesta l\u00e4hteest\u00e4<\/h2>\n\n\n\n

Kolme keskeist\u00e4 auktoriteettia tarjoavat konkreettista dataa sovelluspohjaisen kaksivaiheisen tunnistautumisen tietoturvasta.<\/p>\n\n\n\n

NIST SP 800-63B (Yhdysvaltain standardit- ja teknologiainstituutti):<\/strong> Digitaalisen identiteetin ohjeistus luokittelee TOTP-pohjaisen sovellus-2FA:n vahvaksi todennuksen tasoksi (AAL2, Authenticator Assurance Level 2). NIST poisti SMS-pohjaisen OTP:n suosituksesta ensisijaisena menetelm\u00e4n\u00e4 sen haavoittuvuuksien vuoksi. Ohjeistuksen mukaan TOTP-koodi tulee olla v\u00e4hint\u00e4\u00e4n 6-numeroinen ja voimassa enint\u00e4\u00e4n 2 minuuttia, joista molemmista RFC 6238:n 30 sekunnin oletusarvo huolehtii hyvin.<\/p>\n\n\n\n

Microsoft Security Blog:<\/strong> Microsoftin oman tietoturvaraportin mukaan tilit, joilla on MFA aktivoituna, ovat 99,9 % todenn\u00e4k\u00f6isemmin suojassa automaattisilta hy\u00f6kk\u00e4yksilt\u00e4 verrattuna tileihin, joilla ei ole MFA:ta. Microsoft Authenticatorin push-hyv\u00e4ksynt\u00f6ihin lis\u00e4tty numeroyhdist\u00e4minen on v\u00e4hent\u00e4nyt MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4ysten onnistumisprosenttia merkitt\u00e4v\u00e4sti organisaatioissa, jotka ottivat sen k\u00e4ytt\u00f6\u00f6n vuodesta 2023 alkaen.<\/p>\n\n\n\n

UK:n NCSC (National Cyber Security Centre):<\/strong> NCSC:n MFA-ohjeistus suosittelee sovelluspohjaista OTP:t\u00e4 SMS-pohjaisen sijaan kaikille online-palveluille. Suosituksessa mainitaan, ett\u00e4 sovelluspohjainen 2FA on erityisen t\u00e4rke\u00e4 s\u00e4hk\u00f6postitileille, koska salasanan palautus tapahtuu usein s\u00e4hk\u00f6postin kautta. NCSC:n arvion mukaan MFA:n lis\u00e4\u00e4minen nostaa tilin suojaustason huomattavasti pelk\u00e4n salasanan tarjoamaan suojaukseen verrattuna.<\/p>\n\n\n\n

Viisi todellista k\u00e4ytt\u00f6tapausta<\/h2>\n\n\n\n

Teoria on t\u00e4rke\u00e4\u00e4, mutta k\u00e4yt\u00e4nt\u00f6 ratkaisee. N\u00e4m\u00e4 viisi skenaariota havainnollistavat, kumpi sovellus sopii mihinkin tilanteeseen Suomessa.<\/p>\n\n\n\n

1. Suomalainen pk-yritys, joka k\u00e4ytt\u00e4\u00e4 Microsoft 365:t\u00e4.<\/strong> 45 hengen teknologiayritys k\u00e4ytt\u00e4\u00e4 Microsoft Teamsia, SharePointia ja Outlookia. IT-p\u00e4\u00e4llikk\u00f6 on ottanut k\u00e4ytt\u00f6\u00f6n Microsoft Entra ID P1:n ehdollisella p\u00e4\u00e4syll\u00e4: toimistolta kirjautuminen onnistuu ilman MFA:ta, mutta et\u00e4t\u00f6ist\u00e4 vaaditaan Microsoft Authenticator -hyv\u00e4ksynt\u00e4. Kaikki ty\u00f6ntekij\u00e4t k\u00e4ytt\u00e4v\u00e4t push-hyv\u00e4ksynt\u00f6j\u00e4, ja kirjautuminen tapahtuu alle 5 sekunnissa. T\u00e4ss\u00e4 tilanteessa Microsoft Authenticator on ainoa j\u00e4rkev\u00e4 valinta.<\/p>\n\n\n\n

2. Freelancer-kehitt\u00e4j\u00e4, joka hallinnoi 30 palvelua.<\/strong> Kehitt\u00e4j\u00e4 k\u00e4ytt\u00e4\u00e4 GitHubia, AWS:\u00e4\u00e4, Cloudflarea, Verceli\u00e4, Linodea ja kymmeni\u00e4 muita palveluita. Kaikki tukevat TOTP:t\u00e4. Google Authenticator toimii kaikissa, on yksinkertainen k\u00e4ytt\u00e4\u00e4 ja vie v\u00e4h\u00e4n tilaa. Kehitt\u00e4j\u00e4 ei tarvitse push-ominaisuuksia tai enterprise-integraatiota, joten Google Authenticator on luonteva valinta. Lis\u00e4ksi tilien vientimahdollisuus tarjoaa joustavuuden vaihtaa sovellusta tarvittaessa.<\/p>\n\n\n\n

3. Yksityishenkil\u00f6, joka suojaa pankkitilins\u00e4 ja s\u00e4hk\u00f6postinsa.<\/strong> Tavallinen kuluttaja, jolla on Gmail, verkkokauppatilej\u00e4 ja mobiilipankki. H\u00e4n haluaa yksinkertaisen, ilmaisen ratkaisun. Google Authenticator on helpompi oppia, eik\u00e4 vaadi syv\u00e4llisemp\u00e4\u00e4 tekniikan tuntemusta. Microsoft Authenticator on my\u00f6s hyv\u00e4 vaihtoehto, jos h\u00e4nell\u00e4 on jo Microsoft-tili k\u00e4yt\u00f6ss\u00e4 Outlook.comin tai Xbox-palvelun kautta.<\/p>\n\n\n\n

4. Yliopisto-opiskelija Microsoft 365 for Education -lisenssill\u00e4.<\/strong> Yliopisto tarjoaa Microsoft 365:n, jonka kirjautuminen vaatii MFA:n. Yliopiston IT-osasto on ohjannut k\u00e4ytt\u00e4m\u00e4\u00e4n Microsoft Authenticatoria ja konfiguroinut Entra ID:n vaatimaan sen. Push-hyv\u00e4ksynn\u00e4t tekev\u00e4t p\u00e4ivitt\u00e4isest\u00e4 kirjautumisesta nopeaa. T\u00e4ss\u00e4 tapauksessa valinta on selke\u00e4: yliopiston IT-ohjeistusta kannattaa noudattaa.<\/p>\n\n\n\n

5. Tietoturva-ammattilainen, joka vaatii korkeinta suojaustasoa.<\/strong> Tietoturvakonsultti hallinnoi kriittisi\u00e4 j\u00e4rjestelmi\u00e4. H\u00e4n k\u00e4ytt\u00e4\u00e4 YubiKey 5C NFC:t\u00e4 phishing-kest\u00e4v\u00e4n\u00e4 p\u00e4\u00e4asiallisena menetelm\u00e4n\u00e4 ja pit\u00e4\u00e4 TOTP-sovelluksen varasuunnitelmana. TOTP-sovellukseksi h\u00e4n valitsee Google Authenticatorin ilman pilvivarmistusta, jolloin siemenet pysyv\u00e4t ainoastaan laitteella. T\u00e4m\u00e4 minimoi hy\u00f6kk\u00e4yspinnan maksimiin.<\/p>\n\n\n\n

Asiantuntijoiden n\u00e4k\u00f6kulmat<\/h2>\n\n\n\n

Kolme tunnettua teknologia-alan sis\u00e4ll\u00f6ntuottajaa on kommentoinut 2FA-sovelluksia ja tietoturvak\u00e4yt\u00e4nt\u00f6j\u00e4 julkisessa sis\u00e4ll\u00f6ss\u00e4\u00e4n. Heid\u00e4n n\u00e4kemyksens\u00e4 edustavat eri k\u00e4ytt\u00e4j\u00e4perspektiivej\u00e4: kehitt\u00e4j\u00e4\u00e4, tietoturvaorientoitunutta ohjelmoijaa ja kuluttajan\u00e4k\u00f6kulmaa.<\/p>\n\n\n\n

Fireship (Jeff Delaney)<\/strong> on korostanut YouTube-kanavallaan, ett\u00e4 sovelluspohjainen 2FA on minimivaatimus kaikille kehitt\u00e4j\u00e4tileille. H\u00e4nen l\u00e4hestymistapansa teknologiavertailuihin painottaa k\u00e4yt\u00e4nn\u00f6llisyytt\u00e4: Google Authenticator on helppo suositella aloittelijoille yksinkertaisuutensa ansiosta, mutta Microsoft-ekosysteemi\u00e4 k\u00e4ytt\u00e4ville kehitt\u00e4jille Microsoft Authenticator tarjoaa selv\u00e4sti paremman integraation. Fireship on my\u00f6s toistuvasti korostanut, ett\u00e4 SMS-pohjainen 2FA on riitt\u00e4m\u00e4t\u00f6n suoja SIM-kloonausriskien vuoksi, ja suosittelee app-pohjaista ratkaisua kaikille.<\/p>\n\n\n\n

ThePrimeagen (Michael Paulson)<\/strong> on johdonmukaisesti puolustanut minimalistisia kehitysty\u00f6kaluja. H\u00e4nen l\u00e4hestymistapansa tietoturvaan noudattaa samaa filosofiaa: valitse ty\u00f6kalu, joka tekee yhden asian hyvin ilman turhaa monimutkaisuutta. Google Authenticator istuu t\u00e4h\u00e4n paremmin kuin moniominaisuuksinen Microsoft Authenticator. Paulson on my\u00f6s suhtautunut kriittisesti siihen, ett\u00e4 2FA-siemenet tallennetaan pilvipalveluun: jos kaikki 2FA-koodisi ovat yhdess\u00e4 pilvipalvelussa, olet siirt\u00e4nyt hy\u00f6kk\u00e4yspinnan yhteen pisteeseen etk\u00e4 poistanut sit\u00e4. T\u00e4m\u00e4 on perusteltu n\u00e4k\u00f6kulma erityisesti tietoturvaorientoituneille k\u00e4ytt\u00e4jille.<\/p>\n\n\n\n

MKBHD (Marques Brownlee)<\/strong> arvioi teknologiatuotteita kuluttajan\u00e4k\u00f6kulmasta painottaen k\u00e4ytt\u00f6liittym\u00e4n selkeytt\u00e4 ja ominaisuuksien k\u00e4ytett\u00e4vyytt\u00e4. H\u00e4nen arviossaan Microsoft Authenticator voittaa visuaalisen selkeyden ja ominaisuuksien rikkauden perusteella. Push-ilmoitusten hyv\u00e4ksyminen on parempi k\u00e4ytt\u00f6kokemus kuin 6-numeroisen koodin manuaalinen sy\u00f6tt\u00e4minen, erityisesti kun kirjautuu toistuvasti samoihin palveluihin. Yksinkertaiselle k\u00e4ytt\u00e4j\u00e4lle Google Authenticator on kuitenkin riitt\u00e4v\u00e4 ja helpompi oppia, eik\u00e4 lis\u00e4ominaisuuksia tarvitse, jos Microsoft-tilej\u00e4 ei ole k\u00e4yt\u00f6ss\u00e4.<\/p>\n\n\n\n

Vahvuudet ja heikkoudet: suora vertailu<\/h2>\n\n\n\n
Kriteeri<\/th>Google Authenticator<\/th>Microsoft Authenticator<\/th><\/tr><\/thead>
Yksinkertaisuus ja oppimisk\u00e4yr\u00e4<\/td>Erinomainen<\/td>Kohtalainen<\/td><\/tr>
Push-kirjautumiset<\/td>Ei tuettu<\/td>Kyll\u00e4 (Microsoft-tilit)<\/td><\/tr>
Enterprise-tuki ja hallinta<\/td>Rajoitettu<\/td>Erinomainen<\/td><\/tr>
Laitevaihdon sujuvuus<\/td>Hyv\u00e4<\/td>Erinomainen<\/td><\/tr>
Tilien vienti muihin sovelluksiin<\/td>Hyv\u00e4 (QR-koodi)<\/td>Rajoitettu<\/td><\/tr>
Apple Watch -tuki<\/td>Ei<\/td>Kyll\u00e4<\/td><\/tr>
Offline-toiminta<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>
MFA-v\u00e4sytt\u00e4missuoja<\/td>Ei relevantti (ei push)<\/td>Kyll\u00e4 (numeroyhdist\u00e4minen)<\/td><\/tr>
Ekosysteemiriippuvuus<\/td>Google-painotteinen<\/td>Microsoft-painotteinen<\/td><\/tr>
Avoimen l\u00e4hdekoodin<\/td>Osittain<\/td>Ei<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Google Authenticatorin edut:<\/strong> yksinkertainen ja nopea k\u00e4ytt\u00e4\u00e4, toimii kaikilla TOTP-yhteensopivilla palveluilla, tilien vienti QR-koodina mahdollistaa helpon sovelluksenvaihdon, ei vaadi Microsoft-tili\u00e4 ja pienin hy\u00f6kk\u00e4yspinta v\u00e4h\u00e4isten ominaisuuksien ansiosta.<\/p>\n\n\n\n

Google Authenticatorin heikkoudet:<\/strong> ei push-hyv\u00e4ksynt\u00f6j\u00e4, ei salasanatonta kirjautumista, rajoitettu enterprise-integraatio, ei Apple Watch -tukea ja pilvivarmistus saapui vasta 2023.<\/p>\n\n\n\n

Microsoft Authenticatorin edut:<\/strong> push-hyv\u00e4ksynn\u00e4t tekev\u00e4t kirjautumisesta nopeampaa, salasanaton kirjautuminen Microsoft-tileille, syv\u00e4 Microsoft Entra ID -integraatio, Apple Watch -tuki ja numeroyhdist\u00e4minen suojaa MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4yksilt\u00e4.<\/p>\n\n\n\n

Microsoft Authenticatorin heikkoudet:<\/strong> monimutkaisempi k\u00e4ytt\u00f6liittym\u00e4, tilien vienti kolmansiin sovelluksiin on rajoitettu, ei avointa l\u00e4hdekoodia ja push-ilmoitusten hy\u00f6ty rajoittuu Microsoft-tileihin.<\/p>\n\n\n\n

Siirtymisopas: miten vaihdat 2FA-sovellusta<\/h2>\n\n\n\n

Sovelluksen vaihtaminen on prosessi, joka vaatii huolellisuutta mutta onnistuu k\u00e4yt\u00e4nn\u00f6ss\u00e4 tunnissa. N\u00e4m\u00e4 ohjeet koskevat siirtymist\u00e4 mist\u00e4 tahansa TOTP-sovelluksesta toiseen, my\u00f6s Authysta Google- tai Microsoft Authenticatoriin.<\/p>\n\n\n\n

Vaihe 1: Lataa kohdesovellus.<\/strong> Asenna Google Authenticator tai Microsoft Authenticator ennen kuin teet mit\u00e4\u00e4n muuta. \u00c4l\u00e4 poista vanhaa sovellusta, ennen kuin siirtyminen on valmis. Molempien sovellusten rinnakkaisasennus on mahdollista ja suositeltavaa siirtym\u00e4vaiheen ajaksi.<\/p>\n\n\n\n

Vaihe 2: Listaa kaikki tilit.<\/strong> Avaa vanha sovellus ja kirjoita yl\u00f6s kaikki siell\u00e4 olevat tilit. Priorisoi kriittisimm\u00e4t: ty\u00f6s\u00e4hk\u00f6posti, pankki, domain-rekisteri, pilvipalvelut. N\u00e4m\u00e4 tilit on k\u00e4sitelt\u00e4v\u00e4 ensin, koska niiden lukittuminen aiheuttaa eniten haittaa.<\/p>\n\n\n\n

Vaihe 3: Rekister\u00f6i tilit uudelleen palvelu kerrallaan.<\/strong> Kirjaudu jokaiseen palveluun, mene tietoturva-asetuksiin (tai “kaksivaiheinen tunnistautuminen” -valikkoon), poista vanha 2FA ja lis\u00e4\u00e4 uusi skannaamalla QR-koodi uudella sovelluksella. Testaa koodi heti ennen siirtymist\u00e4 seuraavaan tiliin. \u00c4l\u00e4 siirry eteenp\u00e4in ennen kuin koodi toimii.<\/p>\n\n\n\n

Vaihe 4: Tallenna palautuskoodit.<\/strong> Jokainen palvelu tarjoaa kertak\u00e4ytt\u00f6isi\u00e4 palautuskoodeja 2FA:n aktivoinnin yhteydess\u00e4. Tallenna ne salasananhallintaohjelmaan (Bitwarden, 1Password) tai tulosta ja s\u00e4ilyt\u00e4 fyysisesti turvallisessa paikassa. N\u00e4m\u00e4 koodit ovat ainoa pelastus, jos menetet\u00e4\u00e4n p\u00e4\u00e4sy sek\u00e4 sovellukseen ett\u00e4 puhelimeen.<\/p>\n\n\n\n

Vaihe 5: Testaa kirjautuminen.<\/strong> Kirjaudu ulos ja takaisin sis\u00e4\u00e4n jokaiselle tilille varmistaaksesi, ett\u00e4 uusi 2FA toimii ennen vanhan sovelluksen poistamista. Erityisen t\u00e4rke\u00e4\u00e4 on testata kriittisimm\u00e4t tilit, kuten ty\u00f6s\u00e4hk\u00f6posti ja pankkipalvelut.<\/p>\n\n\n\n

Vaihe 6: Poista vanha sovellus.<\/strong> Kun olet varmistanut kaikkien tilien toimivuuden, poista vanha sovellus. Jos k\u00e4yt\u00e4t Authya, poista ensin tilit Authyn palvelimelta Authyn asetuksista ennen sovelluksen poistamista laitteelta.<\/p>\n\n\n\n

Google Authenticatorista siirtyminen muihin sovelluksiin:<\/strong> k\u00e4yt\u00e4 sovelluksen sis\u00e4ist\u00e4 tilien siirtotoimintoa (Asetukset, Vie tilit), joka luo QR-koodin tai useita QR-koodeja. Toinen sovellus, joka tukee bulk-tuontia (esim. Aegis Authenticator), voi skannata kaikki tilit kerralla.<\/p>\n\n\n\n

Suositukset eri k\u00e4ytt\u00f6tilanteisiin<\/h2>\n\n\n\n

Selke\u00e4 suositus eri tilanteisiin perustuu edell\u00e4 ker\u00e4ttyyn dataan ja ominaisuusanalyysiin.<\/p>\n\n\n\n

Valitse Google Authenticator jos:<\/strong><\/p>\n\n\n\n

  • K\u00e4yt\u00e4t p\u00e4\u00e4asiassa Google-ekosysteemi\u00e4 (Gmail, Google Drive, Google Cloud)<\/li>
  • Haluat yksinkertaisen TOTP-generaattorin ilman ylim\u00e4\u00e4r\u00e4isi\u00e4 ominaisuuksia<\/li>
  • Kehit\u00e4t sovelluksia ja testaat TOTP-integraatioita eri palveluihin<\/li>
  • Haluat joustavuuden vaihtaa sovellusta my\u00f6hemmin (tilien vienti on parempaa)<\/li>
  • Tietoturvafilosofiasi suosii minimaalista hy\u00f6kk\u00e4yspintaa<\/li><\/ul>\n\n\n\n

    Valitse Microsoft Authenticator jos:<\/strong><\/p>\n\n\n\n

    • Organisaatiosi k\u00e4ytt\u00e4\u00e4 Microsoft 365:t\u00e4 tai Azure-palveluita<\/li>
    • IT-osastosi on m\u00e4\u00e4ritt\u00e4nyt sen pakolliseksi Microsoft Entra ID:n kautta<\/li>
    • Arvostat push-hyv\u00e4ksynt\u00f6jen nopeutta koodin manuaalisen sy\u00f6tt\u00e4misen sijaan<\/li>
    • K\u00e4yt\u00e4t henkil\u00f6kohtaista Microsoft-tili\u00e4 (Outlook, Xbox, OneDrive)<\/li>
    • Sinulla on Apple Watch ja haluat hyv\u00e4ksy\u00e4 kirjautumiset rannekellosta<\/li><\/ul>\n\n\n\n

      Harkitse laitteistotunnistinta (YubiKey) jos:<\/strong><\/p>\n\n\n\n

      • K\u00e4sittelet eritt\u00e4in arkaluonteista dataa (krittiinen infrastruktuuri, terveydenhuolto, rahoitusala)<\/li>
      • Olet tietoturva-ammattilainen tai CISO, joka vaatii phishing-kest\u00e4v\u00e4\u00e4 MFA:ta<\/li>
      • Organisaatiosi FIDO2-vaatimukset edellytt\u00e4v\u00e4t laitteistopohjaista todennusta<\/li>
      • Olet valmis investoimaan noin 55 euroa lis\u00e4suojaan kertamaksuna<\/li><\/ul>\n\n\n\n

        Usein kysytyt kysymykset (UKK)<\/h2>\n\n\n\n

        Kumpi on turvallisempi, Google vai Microsoft Authenticator?<\/strong><\/p>\n\n\n\n

        Tietoturvatasoltaan molemmat sovellukset ovat k\u00e4yt\u00e4nn\u00f6ss\u00e4 yht\u00e4 turvallisia, koska ne k\u00e4ytt\u00e4v\u00e4t identtist\u00e4 TOTP-algoritmia (RFC 6238). Ero on ominaisuuksissa: Microsoft Authenticatorin numeroyhdist\u00e4minen push-hyv\u00e4ksynn\u00f6iss\u00e4 suojaa paremmin MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4yksi\u00e4 vastaan. Korkeinta mahdollista tietoturvaa varten phishing-kest\u00e4v\u00e4 laitteistotunnistin (YubiKey tai Google Titan) on molemmista sovelluksista parempi vaihtoehto.<\/p>\n\n\n\n

        Voinko k\u00e4ytt\u00e4\u00e4 molempia sovelluksia samanaikaisesti?<\/strong><\/p>\n\n\n\n

        Kyll\u00e4. Voit rekister\u00f6id\u00e4 eri tilit eri sovelluksiin. Esimerkiksi ty\u00f6tilisi voivat olla Microsoft Authenticatorissa ja henkil\u00f6kohtaiset tilisi Google Authenticatorissa. T\u00e4m\u00e4 lis\u00e4\u00e4 hallinnollista monimutkaisuutta, mutta ei ole tietoturvariski. Jotkin k\u00e4ytt\u00e4j\u00e4t pit\u00e4v\u00e4t tilien jaottelun selke\u00e4n\u00e4 tapana erottaa ty\u00f6- ja henkil\u00f6kohtainen k\u00e4ytt\u00f6 toisistaan.<\/p>\n\n\n\n

        Mit\u00e4 tapahtuu, jos puhelimeni katoaa?<\/strong><\/p>\n\n\n\n

        Pilvivarmistuksen kanssa: tilit palautuvat uudelle laitteelle kirjautumalla Google- tai Microsoft-tilillesi. Ilman pilvivarmistusta: sinun on k\u00e4ytett\u00e4v\u00e4 palautuskoodeja, jotka jokainen palvelu tarjoaa 2FA:n rekister\u00f6innin yhteydess\u00e4. T\u00e4m\u00e4 on syy, miksi palautuskoodien tallentaminen turvalliseen paikkaan on kriittist\u00e4 jo rekister\u00f6intivaiheessa.<\/p>\n\n\n\n

        Onko SMS-pohjainen 2FA yht\u00e4 hyv\u00e4 kuin sovelluspohjainen?<\/strong><\/p>\n\n\n\n

        Ei. NIST SP 800-63B ei en\u00e4\u00e4 suosittele SMS:\u00e4\u00e4 ensisijaisena MFA-menetelm\u00e4n\u00e4. SIM-kloonaushy\u00f6kk\u00e4ykset, SS7-protokollan haavoittuvuudet ja SIM-vaihtohuijaukset tekev\u00e4t SMS:st\u00e4 heikoimman hyv\u00e4ksytyn 2FA-menetelm\u00e4n. Sovelluspohjainen TOTP on selv\u00e4sti turvallisempi, ja phishing-kest\u00e4v\u00e4 FIDO2-tunnistin (laitteisto- tai passkey-pohjainen) on paras vaihtoehto.<\/p>\n\n\n\n

        Toimiiko kaksivaiheinen tunnistautuminen ilman internetyhteytt\u00e4?<\/strong><\/p>\n\n\n\n

        Kyll\u00e4. TOTP-koodit lasketaan paikallisesti laitteella ilman verkkoyhteytt\u00e4. Ainoa vaatimus on, ett\u00e4 laitteen kello on tarkka, koska koodi perustuu aikaan. Lennolla, mets\u00e4ss\u00e4 tai alueilla ilman datayhteytt\u00e4 sovellus tuottaa koodeja normaalisti.<\/p>\n\n\n\n

        Onko Google Authenticator avointa l\u00e4hdekoodia?<\/strong><\/p>\n\n\n\n

        Osittain. Alkuper\u00e4inen Android-sovellus julkaistiin avoimena l\u00e4hdekoodina, mutta nykyiset versiot eiv\u00e4t ole t\u00e4ysin avointa l\u00e4hdekoodia. Avoimen l\u00e4hdekoodin TOTP-vaihtoehtoja ovat Aegis Authenticator Androidille ja Raivo OTP iOS:lle. N\u00e4m\u00e4 ovat suosittuja erityisesti tietoturvaorientoituneiden k\u00e4ytt\u00e4jien keskuudessa.<\/p>\n\n\n\n

        Tarvitsenko Microsoft-tilin k\u00e4ytt\u00e4\u00e4kseni Microsoft Authenticatoria?<\/strong><\/p>\n\n\n\n

        Ei pakollisesti. TOTP-koodien generoimiseen mink\u00e4 tahansa palvelun k\u00e4ytt\u00f6\u00f6n (GitHub, Dropbox, Amazon jne.) Microsoft-tili\u00e4 ei tarvita. Microsoft-tili vaaditaan vain pilvivarmistukseen, salasanattomaan kirjautumiseen Microsoft-tileille ja push-hyv\u00e4ksynt\u00f6ihin.<\/p>\n\n\n\n

        Onko kaksivaiheinen tunnistautuminen vaihtoehto vahvalle salasanalle?<\/strong><\/p>\n\n\n\n

        Ei. Kaksivaiheinen tunnistautuminen t\u00e4ydent\u00e4\u00e4 vahvan salasanan, mutta ei korvaa sit\u00e4. K\u00e4yt\u00e4 molempia: pitk\u00e4, satunnainen salasana salasanahallintaohjelmasta (Bitwarden tai 1Password) ja sovelluspohjainen 2FA. T\u00e4m\u00e4 yhdistelm\u00e4 on t\u00e4ll\u00e4 hetkell\u00e4 paras k\u00e4yt\u00e4nn\u00f6llinen suoja suurimmalle osalle palveluita.<\/p>\n\n\n\n

        Kuinka kauan TOTP-koodi on voimassa?<\/strong><\/p>\n\n\n\n

        RFC 6238:n oletusaika-askel on 30 sekuntia. K\u00e4yt\u00e4nn\u00f6ss\u00e4 useimmat palvelut hyv\u00e4ksyv\u00e4t my\u00f6s edellisen ja seuraavan aikajakson koodin aikasynkronoinnin virheiden varalta, joten koodi on k\u00e4ytett\u00e4viss\u00e4 k\u00e4yt\u00e4nn\u00f6ss\u00e4 noin 90 sekuntia. T\u00e4m\u00e4 on tarkoituksellinen kompromissi tietoturvan ja k\u00e4ytett\u00e4vyyden v\u00e4lill\u00e4.<\/p>\n\n\n\n

        Voinko lis\u00e4t\u00e4 saman tilin useampaan 2FA-sovellukseen?<\/strong><\/p>\n\n\n\n

        Kyll\u00e4, teknisesti se on mahdollista. Kun rekister\u00f6it 2FA:n, palvelu n\u00e4ytt\u00e4\u00e4 QR-koodin, joka sis\u00e4lt\u00e4\u00e4 TOTP-siemenen. Voit skannata t\u00e4m\u00e4n QR-koodin useammalla sovelluksella, jolloin kaikki generoivat samat koodit. T\u00e4m\u00e4 voi olla k\u00e4yt\u00e4nn\u00f6llist\u00e4 varaj\u00e4rjestelm\u00e4n\u00e4, mutta lis\u00e4\u00e4 my\u00f6s riski\u00e4: useampi kopio siemenest\u00e4 tarkoittaa useampia mahdollisia vuotokohtia. K\u00e4yt\u00e4 t\u00e4t\u00e4 harkiten.<\/p>\n\n\n\n

        Mit\u00e4 on numeroyhdist\u00e4minen (number matching) ja miksi se on t\u00e4rke\u00e4\u00e4?<\/strong><\/p>\n\n\n\n

        Numeroyhdist\u00e4minen on Microsoft Authenticatorin ominaisuus, joka n\u00e4ytt\u00e4\u00e4 push-hyv\u00e4ksynn\u00e4ss\u00e4 2-3 numeron koodin, jonka k\u00e4ytt\u00e4j\u00e4n on sy\u00f6tett\u00e4v\u00e4 manuaalisesti sovellukseen. T\u00e4m\u00e4 est\u00e4\u00e4 MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4ykset, joissa hy\u00f6kk\u00e4\u00e4j\u00e4 l\u00e4hett\u00e4\u00e4 push-pyynt\u00f6j\u00e4 toistuvasti toivoen vahingollista hyv\u00e4ksymist\u00e4. Ilman numeroyhdist\u00e4mist\u00e4 k\u00e4ytt\u00e4j\u00e4 voi vahingossa painaa “hyv\u00e4ksy” joko h\u00e4iri\u00f6nhallintasyist\u00e4 tai ajattelemattomuuttaan. Microsoft teki numeroyhdist\u00e4misest\u00e4 oletusasetuksen organisaatioille vuonna 2023.<\/p>\n\n\n\n

        K\u00e4ytt\u00f6\u00f6notto: miten lis\u00e4\u00e4t kaksivaiheisen tunnistautumisen?<\/h2>\n\n\n\n

        Kaksivaiheinen tunnistautuminen otetaan k\u00e4ytt\u00f6\u00f6n palvelu kerrallaan. Yleinen prosessi on sama l\u00e4hes kaikkialla: mene palvelun tietoturva-asetuksiin, valitse “kaksivaiheinen tunnistautuminen” tai “kirjautumisen vahvistus”, valitse “todennussovellus” (authenticator app) ja skannaa QR-koodi. Alla tarkemmat ohjeet kolmelle yleisimm\u00e4lle palvelulle.<\/p>\n\n\n\n

        Google-tilin suojaaminen Google Authenticatorilla:<\/strong> Mene osoitteeseen myaccount.google.com, valitse Turvallisuus, Kaksivaiheinen vahvistus ja valitse “Todennussovellus”. Skannaa QR-koodi Google Authenticatorilla, sy\u00f6t\u00e4 generoitu koodi vahvistaaksesi ja tallenna palautuskoodit turvalliseen paikkaan. Google-tilisi on nyt suojattu.<\/p>\n\n\n\n

        Microsoft-tilin suojaaminen Microsoft Authenticatorilla:<\/strong> Mene osoitteeseen account.microsoft.com, valitse Tietosuoja ja suojaus, Lis\u00e4suojausvaihtoehdot ja “Kaksivaiheinen vahvistus”. Valitse sovellus vaihtoehdoksi ja skannaa QR-koodi Microsoft Authenticatorilla. Voit my\u00f6s ottaa salasanattoman kirjautumisen k\u00e4ytt\u00f6\u00f6n samalta sivulta. Microsoft l\u00e4hett\u00e4\u00e4 push-ilmoituksen puhelimeesi vahvistaakseen asetukset.<\/p>\n\n\n\n

        GitHubin suojaaminen:<\/strong> Mene GitHub-profiilisi asetuksiin, valitse “Password and Authentication” ja “Two-factor authentication”. GitHub tukee TOTP-sovelluksia, SMS:\u00e4\u00e4 ja laitteistotunnistimia. Valitse “Authenticator app”, skannaa QR-koodi valitsemallasi sovelluksella ja tallenna 16 palautuskoodia. GitHub-tilin suojaaminen 2FA:lla on erityisen t\u00e4rke\u00e4\u00e4 kehitt\u00e4jille, joilla on p\u00e4\u00e4sy repositorioihin.<\/p>\n\n\n\n

        Tyypillinen k\u00e4ytt\u00f6\u00f6notto yhdelle tilille kest\u00e4\u00e4 2-5 minuuttia. Jos tilej\u00e4 on kymmeni\u00e4, kokonaisaika on muutama tunti. Investointi on kuitenkin kertaluonteinen: kun 2FA on otettu k\u00e4ytt\u00f6\u00f6n, se toimii automaattisesti jokaisessa kirjautumisessa. Kirjautuminen hidastuu noin 10-15 sekunnilla, mutta tietoturvahy\u00f6ty on t\u00e4h\u00e4n n\u00e4hden valtava. Microsoft Authenticatorin push-hyv\u00e4ksynn\u00f6ill\u00e4 lis\u00e4viive on vain 3-5 sekuntia, koska TOTP-koodia ei tarvitse kirjoittaa manuaalisesti.<\/p>\n\n\n\n

        Konkreettiset hy\u00f6kk\u00e4ysskenaariot: miten 2FA suojaa?<\/h2>\n\n\n\n

        Ymm\u00e4rt\u00e4\u00e4kseen miksi 2FA-sovelluksen valinnalla on merkityst\u00e4, on hy\u00f6dyllist\u00e4 k\u00e4yd\u00e4 l\u00e4pi konkreettiset hy\u00f6kk\u00e4ysskenaariot ja se, miten eri sovellukset niit\u00e4 k\u00e4sittelev\u00e4t.<\/p>\n\n\n\n

        Skenaario 1: Salasana vuotaa datamurrossa.<\/strong> T\u00e4m\u00e4 on yleisin tilanne. K\u00e4ytt\u00e4m\u00e4si verkkopalvelu joutuu datamurron kohteeksi, ja salasanasi p\u00e4\u00e4tyy hakkeriforumeille. Ilman 2FA:ta hy\u00f6kk\u00e4\u00e4j\u00e4 kirjautuu tilillesi minuuteissa. Google Authenticatorilla tai Microsoft Authenticatorilla tilisi on turvassa, koska hy\u00f6kk\u00e4\u00e4j\u00e4ll\u00e4 on salasana mutta ei puhelintasi. Molemmat sovellukset suojaavat yht\u00e4 hyvin t\u00e4ss\u00e4 skenaariossa.<\/p>\n\n\n\n

        Skenaario 2: Phishing-sivusto sieppaa TOTP-koodin.<\/strong> Hy\u00f6kk\u00e4\u00e4j\u00e4 l\u00e4hett\u00e4\u00e4 sinulle s\u00e4hk\u00f6postilinkin v\u00e4\u00e4renn\u00f6kselle kirjautumissivulle. Sy\u00f6t\u00e4t salasanasi ja TOTP-koodin v\u00e4\u00e4r\u00e4ll\u00e4 sivulla. Hy\u00f6kk\u00e4\u00e4j\u00e4 k\u00e4ytt\u00e4\u00e4 molemmat v\u00e4litt\u00f6m\u00e4sti oikeaan palveluun. T\u00e4ss\u00e4 skenaariossa TOTP on haavoittuvainen, koska 30 sekunnin aikaikkunassa koodilla voidaan kirjautua. Molemmat sovellukset ovat yht\u00e4 haavoittuvaisia t\u00e4ss\u00e4 skenaariossa. T\u00e4h\u00e4n auttaa FIDO2-pohjainen autentikointi, joka tarkistaa domainin automaattisesti.<\/p>\n\n\n\n

        Skenaario 3: MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4ys Microsoft-tilille.<\/strong> Hy\u00f6kk\u00e4\u00e4j\u00e4 tiet\u00e4\u00e4 salasanasi ja l\u00e4hett\u00e4\u00e4 toistuvasti push-hyv\u00e4ksynt\u00f6j\u00e4 puhelimeesi toivoen, ett\u00e4 hyv\u00e4ksyt vahingossa. Microsoft Authenticatorin numeroyhdist\u00e4minen torjuu t\u00e4m\u00e4n: push-ilmoitus n\u00e4ytt\u00e4\u00e4 numeron, joka t\u00e4ytyy sy\u00f6tt\u00e4\u00e4 manuaalisesti, eik\u00e4 vahingollinen “hyv\u00e4ksy kaikki” -painallus ole mahdollinen. Google Authenticatorilla t\u00e4t\u00e4 hy\u00f6kk\u00e4yst\u00e4 ei voi tehd\u00e4 lainkaan, koska push-ominaisuutta ei ole.<\/p>\n\n\n\n

        Skenaario 4: Google-tilin vaarantuminen pilvivarmuuskopion kautta.<\/strong> Hy\u00f6kk\u00e4\u00e4j\u00e4 murtautuu Google-tiliisi (esimerkiksi salasanan vuodon tai phishingin kautta) ja l\u00f6yt\u00e4\u00e4 Google Authenticatorin synkronoimat TOTP-siemenet. T\u00e4ss\u00e4 tilanteessa hy\u00f6kk\u00e4\u00e4j\u00e4 voi palauttaa siemenet omaan sovellukseensa ja generoida koodeja. T\u00e4m\u00e4 on pilvivarmistuksen keskeinen riski, jota voidaan pienent\u00e4\u00e4 suojaamalla Google-tili itsess\u00e4\u00e4n laitteistotunnistimella.<\/p>\n\n\n\n

        N\u00e4iden skenaarioiden valossa selkeytyy, miksi tietoturvaammattilaisten suositus on k\u00e4ytt\u00e4\u00e4 useita suojauskerroksia: vahva yksil\u00f6llinen salasana, sovelluspohjainen 2FA (mieluiten FIDO2 tai numeroyhdist\u00e4misell\u00e4 varustettu push) ja laitteistotunnistin kaikkein kriittisimmille tileille. Sovelluksen valinta on osa t\u00e4t\u00e4 kerrosturvaa, ei koko ratkaisu.<\/p>\n\n\n\n

        K\u00e4yt\u00e4nn\u00f6n tietoturvasuositus suomalaiselle k\u00e4ytt\u00e4j\u00e4lle vuonna 2026: suojaa ensin kriittisimm\u00e4t tilit (ty\u00f6s\u00e4hk\u00f6posti, henkil\u00f6kohtainen s\u00e4hk\u00f6posti, pankki, pilvipalvelut), sen j\u00e4lkeen laajenna 2FA kaikille muille tileille. Prioriteettij\u00e4rjestys perustuu siihen, mit\u00e4 kautta muiden tilien p\u00e4\u00e4sy voitaisiin palauttaa: s\u00e4hk\u00f6posti on usein salasanavaihtojen portaali, joten sen suojaaminen on ensisijaista. Google tai Microsoft Authenticator sopii t\u00e4h\u00e4n tarkoitukseen erinomaisesti ilman lis\u00e4kustannuksia.<\/p>\n\n\n\n

        Vaihtoehdot: avoimen l\u00e4hdekoodin ratkaisut<\/h2>\n\n\n\n

        Google Authenticator ja Microsoft Authenticator ovat suosituimmat vaihtoehdot, mutta ne eiv\u00e4t ole ainoita. Avoimen l\u00e4hdekoodin TOTP-sovellukset tarjoavat t\u00e4yden l\u00e4hdekoodin l\u00e4pin\u00e4kyvyyden, mik\u00e4 on t\u00e4rke\u00e4\u00e4 tietoturvatietoisille k\u00e4ytt\u00e4jille, jotka haluavat varmistaa, ettei sovellus ker\u00e4\u00e4 dataa tai sis\u00e4ll\u00e4 piilotettuja toimintoja.<\/p>\n\n\n\n

        Aegis Authenticator<\/strong> on Androidille suunnattu avoimen l\u00e4hdekoodin TOTP-sovellus, joka on saatavilla F-Droid-sovelluskaupasta. Se tukee tilien salatua varmuuskopiointia paikallisesti tai omaan pilvipalveluun, sis\u00e4lt\u00e4\u00e4 muokattavan teeman, tukee useita koodeja rinnakkain ja tarjoaa QR-koodin skannauksen sek\u00e4 manuaalisen sy\u00f6tt\u00e4misen. Monet tietoturvaorientoituneet k\u00e4ytt\u00e4j\u00e4t suosivat Aegist\u00e4, koska sen l\u00e4hdekoodi on auditointikelpoinen.<\/p>\n\n\n\n

        Raivo OTP<\/strong> on iOS:lle suunnattu avoimen l\u00e4hdekoodin vaihtoehto, joka tukee TOTP:t\u00e4 ja HOTP:t\u00e4 ja on saatavilla App Storesta. Se on minimalistinen, nopea ja tukee iCloud-varmuuskopiointia. Raivo on erityisesti Apple-ekosysteemin k\u00e4ytt\u00e4jille hyv\u00e4 vaihtoehto, jos halutaan avointa l\u00e4hdekoodia ilman Googlen tai Microsoftin ekosysteemiriippuvuutta.<\/p>\n\n\n\n

        N\u00e4m\u00e4 vaihtoehdot sopivat erityisesti k\u00e4ytt\u00e4jille, joita huolettaa Googlen tai Microsoftin datan ker\u00e4ys, jotka arvostavat l\u00e4hdekoodin avoimuutta tai jotka haluavat pit\u00e4\u00e4 kaikki tietonsa omalla palvelimellaan. Tavalliselle kuluttajalle Google tai Microsoft Authenticator on kuitenkin k\u00e4yt\u00e4nn\u00f6llisempi, koska niill\u00e4 on laajempi tuki ja aktiivinen kehitys suurten teknologiayritysten takana.<\/p>\n\n\n\n

        Yritysk\u00e4yt\u00f6ss\u00e4 avoimen l\u00e4hdekoodin sovellukset sopivat huonosti, koska niiden hallinta ja tuki on hankalampaa kuin kaupallisten ratkaisujen. Yritys, joka haluaa keskitetysti hallita ty\u00f6ntekij\u00f6idens\u00e4 MFA-menetelmi\u00e4, tarvitsee kaupallisen ratkaisun kuten Microsoft Entra ID:n tai vastaavan identiteettihallinnan alustan. N\u00e4iss\u00e4 tapauksissa Microsoft Authenticator on luonnollinen valinta, koska se integroituu osaksi olemassa olevaa infrastruktuuria ilman erillist\u00e4 asennusta tai konfigurointia.<\/p>\n\n\n\n

        TOTP vs FIDO2 vs SMS: kaksivaiheisten menetelmien turvallisuusvertailu<\/h2>\n\n\n\n

        Kaksivaiheinen tunnistautuminen ei ole yksi teknologia vaan useita eri menetelmi\u00e4, joiden tietoturva vaihtelee merkitt\u00e4v\u00e4sti. On t\u00e4rke\u00e4\u00e4 ymm\u00e4rt\u00e4\u00e4, miss\u00e4 TOTP-sovellukset asettuvat t\u00e4h\u00e4n skaalaan.<\/p>\n\n\n\n

        Menetelm\u00e4<\/th>Phishing-kest\u00e4vyys<\/th>SIM-swap-kest\u00e4vyys<\/th>Hinta<\/th>NIST-luokitus<\/th><\/tr><\/thead>
        SMS-koodi<\/td>Heikko (kalasteltavissa)<\/td>Heikko (SIM-kloonaus)<\/td>0\u20ac<\/td>Ei suositella AAL2:lle<\/td><\/tr>
        S\u00e4hk\u00f6postikoodi<\/td>Heikko (phishing)<\/td>Kohtalainen<\/td>0\u20ac<\/td>Ei suositella<\/td><\/tr>
        TOTP-sovellus (RFC 6238)<\/td>Kohtalainen (kloonattavissa ajoissa)<\/td>Hyv\u00e4<\/td>0\u20ac<\/td>AAL2<\/td><\/tr>
        Push-hyv\u00e4ksynt\u00e4 + numeroyhdist\u00e4minen<\/td>Hyv\u00e4 (numeroyhdist\u00e4minen)<\/td>Hyv\u00e4<\/td>0\u20ac<\/td>AAL2<\/td><\/tr>
        FIDO2 \/ Passkey<\/td>Erinomainen (phishing-immuuni)<\/td>Erinomainen<\/td>0\u20ac (ohjelmisto)<\/td>AAL2-AAL3<\/td><\/tr>
        FIDO2 Hardware (YubiKey)<\/td>Erinomainen<\/td>Erinomainen<\/td>~55\u20ac (kertamaksu)<\/td>AAL3<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

        TOTP-sovellukset sijoittuvat taulukossa “kohtalainen” phishing-kest\u00e4vyydess\u00e4, koska reaaliajankalasteluhy\u00f6kk\u00e4ykset voivat siepata TOTP-koodin. Hy\u00f6kk\u00e4\u00e4j\u00e4 luo v\u00e4\u00e4r\u00e4n kirjautumissivun, pyyt\u00e4\u00e4 uhria sy\u00f6tt\u00e4m\u00e4\u00e4n salasanansa ja TOTP-koodinsa, ja k\u00e4ytt\u00e4\u00e4 ne samanaikaisesti oikeaan palveluun. T\u00e4m\u00e4 hy\u00f6kk\u00e4ys vaatii tarkan ajoituksen, koska TOTP-koodi on voimassa vain 30 sekuntia, mutta se on mahdollinen.<\/p>\n\n\n\n

        FIDO2-passkeys ja laitteistotunnimet ovat phishing-immuuneja, koska ne k\u00e4ytt\u00e4v\u00e4t domain-pohjaista kryptografista todennusta: tunnistin ei vastaa, ellei domain t\u00e4sm\u00e4\u00e4 rekister\u00f6idyn palvelun kanssa. T\u00e4m\u00e4 tekee v\u00e4\u00e4r\u00e4n kirjautumissivun k\u00e4yt\u00f6st\u00e4 mahdottoman. NCSC:n ja NIST:n suositukset ohjaavatkin siirtym\u00e4\u00e4n kohti FIDO2-pohjaista tunnistautumista kaikkein kriittisimmiss\u00e4 palveluissa.<\/p>\n\n\n\n

        P\u00e4\u00e4telm\u00e4: voittaja on tilanteen mukaan eri<\/h2>\n\n\n\n

        Yksinkertaiseen kysymykseen “kumpi on parempi?” ei ole yht\u00e4 vastausta, mutta se ei tarkoita, ettei valinta olisi selke\u00e4 eri tilanteissa.<\/p>\n\n\n\n

        Microsoft Authenticator voittaa<\/strong> yritysymp\u00e4rist\u00f6iss\u00e4, Microsoft 365 -k\u00e4ytt\u00e4jille ja tilanteissa, joissa push-kirjautumiset tai salasanaton kirjautuminen ovat t\u00e4rkeit\u00e4. Sen enterprise-integraatio Microsoft Entra ID:n kanssa on kilpailijaansa merkitt\u00e4v\u00e4sti parempi, ja numeroyhdist\u00e4minen tarjoaa konkreettisen tietoturvaedun MFA-v\u00e4sytt\u00e4mishy\u00f6kk\u00e4yksi\u00e4 vastaan. Apple Watch -tuki on bonus k\u00e4ytt\u00e4jille, joilla se on k\u00e4yt\u00f6ss\u00e4.<\/p>\n\n\n\n

        Google Authenticator voittaa<\/strong> yksinkertaisuudessa, kehitt\u00e4j\u00e4k\u00e4yt\u00f6ss\u00e4 ja tilanteissa, joissa joustavuus on t\u00e4rke\u00e4\u00e4. Sen tilien vientimahdollisuudet ovat selv\u00e4sti paremmat, minimalistinen l\u00e4hestymistapa pienent\u00e4\u00e4 hy\u00f6kk\u00e4yspintaa ja sovellus on helppo oppia. Google-ekosysteemin k\u00e4ytt\u00e4jille se on luonteva valinta.<\/p>\n\n\n\n

        Kumpikaan ei kuitenkaan vastaa phishing-kest\u00e4v\u00e4n autentikoinnin tarpeeseen korkeimman tietoturvan ymp\u00e4rist\u00f6iss\u00e4. Jos tietoturvavaatimuksesi ovat korkeat, t\u00e4ydenn\u00e4 TOTP-sovellus YubiKey-laitteistotunnistimella tai siirry FIDO2-passkey-ratkaisuihin, jotka ovat phishing-immuuneja. Laitteistotunnistin maksaa kertamaksuna noin 55 euroa ja tarjoaa suojaustason, johon ohjelmistopohjainen 2FA ei pysty.<\/p>\n\n\n\n

        Kaksivaiheinen tunnistautuminen on kuitenkin paras yksitt\u00e4inen toimenpide, jolla suomalainen k\u00e4ytt\u00e4j\u00e4 voi suojata digitaaliset tilins\u00e4. Molemmat sovellukset nostavat tietoturvatasosi huomattavasti yli sen, mit\u00e4 pelkk\u00e4 salasana tarjoaa. Valitse se, joka sopii paremmin k\u00e4ytt\u00f6ymp\u00e4rist\u00f6\u00f6si, ja ota se k\u00e4ytt\u00f6\u00f6n t\u00e4n\u00e4\u00e4n. Jos hallinnoit ty\u00f6s\u00e4hk\u00f6postia tai yritystilej\u00e4, Microsoft Authenticator on selke\u00e4 ensisijainen valinta. Jos olet p\u00e4\u00e4asiassa Google-ekosysteemin k\u00e4ytt\u00e4j\u00e4 tai haluat yksinkertaisimman mahdollisen ratkaisun, Google Authenticator palvelee hyvin. Kaikki tilit, joissa se on mahdollista, hy\u00f6tyv\u00e4t kummastakin sovelluksesta.<\/p>\n\n\n\n

        Tietoturvan tulevaisuus: passkeys korvaa TOTP:n?<\/h2>\n\n\n\n

        FIDO2-passkeys ovat tulossa yh\u00e4 laajempaan k\u00e4ytt\u00f6\u00f6n, ja monet asiantuntijat ennustavat, ett\u00e4 ne korvaavat TOTP-sovellukset v\u00e4hitellen seuraavan viiden vuoden aikana. Google, Microsoft ja Apple ovat kaikki sitoutuneet passkey-tuen laajentamiseen omissa ekosysteemeiss\u00e4\u00e4n. Passkeys tallentavat kryptografisen avaimen laitteelle (tai pilveen), jota ei voida kopioida tai siepata phishing-hy\u00f6kk\u00e4yksell\u00e4.<\/p>\n\n\n\n

        K\u00e4yt\u00e4nn\u00f6ss\u00e4 passkeys ja TOTP tulevat el\u00e4m\u00e4\u00e4n rinnakkain useita vuosia. Kaikki verkkopalvelut eiv\u00e4t viel\u00e4 tue passkeyj\u00e4, ja monilla k\u00e4ytt\u00e4jill\u00e4 on olemassa olevat TOTP-rekister\u00f6innit, joita ei ole tarpeen muuttaa ennen kuin palvelut itse tarjoavat sujuvan siirtym\u00e4polun. Google Authenticator ja Microsoft Authenticator tulevat olemaan relevantteja v\u00e4hint\u00e4\u00e4n vuoteen 2030 asti.<\/p>\n\n\n\n

        Molemmat sovellukset my\u00f6s integroituvat passkey-ekosysteemiin: Google Authenticator on osa Googlen passkey-infrastruktuuria ja Microsoft Authenticator tukee Microsoft-tilien passkeyj\u00e4. Siirtyminen passkeysiin tapahtuu v\u00e4hitellen palveluja lis\u00e4tt\u00e4ess\u00e4, eik\u00e4 se vaadi vanhan TOTP-sovelluksen poistamista ennen kuin kaikki palvelut on siirretty.<\/p>\n\n\n\n

        Suomalaiselle k\u00e4ytt\u00e4j\u00e4lle k\u00e4yt\u00e4nn\u00f6n suositus vuonna 2026 on: ota TOTP-pohjainen 2FA k\u00e4ytt\u00f6\u00f6n kaikkialle, miss\u00e4 se on mahdollista, ja siirry passkeysiin sit\u00e4 mukaa, kun palvelut tukevat sit\u00e4. N\u00e4m\u00e4 kaksi askelta yhdess\u00e4 nostavat tilisi suojaustason aivan eri luokkaan kuin pelkk\u00e4 salasana. Passkeys eiv\u00e4t vaadi erillist\u00e4 sovellusta: ne toimivat selaimessa ja k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4n omassa tunnistuksessa, kuten Face ID:ss\u00e4 tai Windows Hellossa. Suuri osa merkitt\u00e4vist\u00e4 verkkopalveluista, kuten Google, Microsoft, GitHub, Apple, PayPal ja monet muut, tukevat passkeyj\u00e4 jo nyt. K\u00e4yt\u00e4nn\u00f6ss\u00e4 siirtyminen voi alkaa v\u00e4litt\u00f6m\u00e4sti niiss\u00e4 palveluissa, joissa se on mahdollista, rinnakkain olemassa olevan TOTP-2FA:n kanssa.<\/p>\n\n\n\n

        Aiheeseen liittyv\u00e4\u00e4 lukemista<\/h3>\n\n\n\n