{"id":52,"date":"2026-06-11T13:00:55","date_gmt":"2026-06-11T13:00:55","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/11\/kaksivaiheinen-tunnistautuminen-vertailu\/"},"modified":"2026-06-11T20:41:34","modified_gmt":"2026-06-11T20:41:34","slug":"kaksivaiheinen-tunnistautuminen-vertailu","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/2026\/06\/11\/kaksivaiheinen-tunnistautuminen-vertailu\/","title":{"rendered":"2FA-vertailu: 5 tapaa ja 99,9 % suoja [2026]"},"content":{"rendered":"\n

Kaksivaiheinen tunnistautuminen (2FA) on vuonna 2026 tilin t\u00e4rkein yksitt\u00e4inen suojaus, mutta kaikki menetelm\u00e4t eiv\u00e4t ole l\u00e4hesk\u00e4\u00e4n yht\u00e4 turvallisia. Microsoftin mukaan monivaiheinen tunnistautuminen est\u00e4\u00e4 yli 99,9 prosenttia automatisoiduista tilikaappauksista, ja silti tekstiviestikoodit, todennussovellukset ja laitteistoavaimet eroavat toisistaan ratkaisevasti juuri kalastelunkest\u00e4vyyden osalta. T\u00e4ss\u00e4 vertailussa k\u00e4ymme l\u00e4pi viisi yleisint\u00e4 tapaa: SMS-kertakoodit, TOTP-todennussovellukset (Google Authenticator, Microsoft Authenticator, Authy), push-hyv\u00e4ksynn\u00e4t, FIDO2-laitteistoavaimet (YubiKey) ja salasanattomat avainkoodit eli passkeyt.<\/p>\n\n\n\n

P\u00e4ivitetty 11. kes\u00e4kuuta 2026. Vertailu perustuu Microsoftin, FIDO Alliancen, NISTin, Yubicon ja Twilion julkaisemiin lukuihin sek\u00e4 Suomen Kyberturvallisuuskeskuksen suosituksiin. Jokainen luku on merkitty l\u00e4hteen kanssa, eik\u00e4 yht\u00e4k\u00e4\u00e4n spesifikaatiota ole arvioitu tai py\u00f6ristetty markkinointitarkoituksessa.<\/p>\n\n\n\n

Mik\u00e4 kaksivaiheinen tunnistautuminen on ja miksi se ratkaisee<\/h2>\n\n\n\n

Kaksivaiheinen tunnistautuminen tarkoittaa, ett\u00e4 kirjautuminen vaatii kaksi erillist\u00e4 todistetta henkil\u00f6llisyydest\u00e4. Tietoturvassa n\u00e4m\u00e4 todisteet jaetaan kolmeen luokkaan: jokin, jonka tied\u00e4t (salasana, PIN), jokin, joka sinulla on hallussasi (puhelin, laitteistoavain) ja jokin, joka olet (sormenj\u00e4lki, kasvot). Aito kaksivaiheinen tunnistautuminen yhdist\u00e4\u00e4 kaksi eri luokkaa. Salasana ja sen p\u00e4\u00e4lle kysytty turvakysymys eiv\u00e4t ole kaksivaiheinen tunnistautuminen, koska molemmat kuuluvat samaan tieto-luokkaan.<\/p>\n\n\n\n

T\u00e4m\u00e4 jako ei ole akateeminen yksityiskohta. EU:n maksupalveludirektiivi PSD2 vaatii niin sanottua vahvaa asiakastunnistusta (Strong Customer Authentication), joka edellytt\u00e4\u00e4 nimenomaan kahta eri luokan tekij\u00e4\u00e4 verkkomaksuissa ja pankkikirjautumisissa. Sama logiikka on levinnyt kuluttajapalveluihin: pelkk\u00e4 salasana ei en\u00e4\u00e4 riit\u00e4, koska tietomurroissa vuodettuja salasanoja on miljardeja ja k\u00e4ytt\u00e4j\u00e4t kierr\u00e4tt\u00e4v\u00e4t niit\u00e4 palvelusta toiseen. Toinen tekij\u00e4 katkaisee hy\u00f6kk\u00e4\u00e4j\u00e4n ketjun silloinkin, kun salasana on jo vuotanut.<\/p>\n\n\n\n

Microsoftin identiteettiturvallisuudesta vastaava johtaja Alex Weinert on toistuvasti korostanut, ett\u00e4 ratkaiseva ero ei synny siit\u00e4, k\u00e4ytet\u00e4\u00e4nk\u00f6 monivaiheista tunnistautumista, vaan siit\u00e4, mit\u00e4 toista tekij\u00e4\u00e4 k\u00e4ytet\u00e4\u00e4n. Microsoftin laajasti siteerattu arvio on, ett\u00e4 monivaiheinen tunnistautuminen est\u00e4\u00e4 yli 99,9 prosenttia automatisoiduista tilikaappauksista. Luku koskee massamaista, robottien ajamaa hy\u00f6kk\u00e4yst\u00e4, jossa vuodettuja salasanoja kokeillaan miljoonia kertoja. Kohdennettua, ihmisen tekem\u00e4\u00e4 kalastelua vastaan suoja riippuu t\u00e4ysin valitusta menetelm\u00e4st\u00e4, ja juuri t\u00e4h\u00e4n koko vertailu kiteytyy.<\/p>\n\n\n\n

Kalastelunkest\u00e4vyys (phishing resistance) on vuoden 2026 avaink\u00e4site. Sill\u00e4 tarkoitetaan, ettei todennustekij\u00e4\u00e4 voi varastaa huijaamalla k\u00e4ytt\u00e4j\u00e4\u00e4 sy\u00f6tt\u00e4m\u00e4\u00e4n se v\u00e4\u00e4rennetylle sivulle tai v\u00e4litt\u00e4m\u00e4ll\u00e4 sit\u00e4 reaaliajassa hy\u00f6kk\u00e4\u00e4j\u00e4lle. SMS-koodin ja todennussovelluksen koodin voi yh\u00e4 huijata k\u00e4ytt\u00e4j\u00e4lt\u00e4, mutta FIDO2-avaimen ja passkeyn salainen avain on sidottu kirjautumissivun osoitteeseen, joten v\u00e4\u00e4rennetty sivu ei saa siit\u00e4 mit\u00e4\u00e4n irti. T\u00e4m\u00e4 yksi ominaisuus jakaa viisi menetelm\u00e4\u00e4 kahteen leiriin.<\/p>\n\n\n\n

Viisi 2FA-menetelm\u00e4\u00e4 lyhyesti<\/h2>\n\n\n\n

Ennen taulukoita kannattaa tuntea viisi menetelm\u00e4\u00e4, jotka kattavat k\u00e4yt\u00e4nn\u00f6ss\u00e4 kaiken kuluttajan ja yrityksen kohtaaman kaksivaiheisen tunnistautumisen vuonna 2026.<\/p>\n\n\n\n

SMS-kertakoodit<\/h3>\n\n\n\n

Palvelu l\u00e4hett\u00e4\u00e4 tekstiviestill\u00e4 4-8 numeron koodin, jonka sy\u00f6t\u00e4t kirjautuessa. T\u00e4m\u00e4 on yleisin ja helpoin tapa, koska se ei vaadi sovellusta eik\u00e4 lis\u00e4laitetta. Se on my\u00f6s vertailun heikoin tekij\u00e4. NIST luokittelee SMS- ja puhelinverkon kertakoodit erikseen rajoitetuksi (restricted) todennustekij\u00e4ksi, koska puhelinverkkoa ei ole kryptografisesti todennettu ja koodi voidaan siepata tai uudelleenohjata.<\/p>\n\n\n\n

TOTP-todennussovellukset<\/h3>\n\n\n\n

Aikaperustainen kertakoodi (TOTP, RFC 6238) on todennussovelluksen luoma kuusinumeroinen koodi, joka vaihtuu 30 sekunnin v\u00e4lein. Google Authenticator, Microsoft Authenticator ja Authy ovat tunnetuimmat. Koodi lasketaan laitteessa jaetusta salaisuudesta, joten se toimii ilman verkkoyhteytt\u00e4 eik\u00e4 kulje tekstiviestin\u00e4. T\u00e4m\u00e4 poistaa SIM-kortin kaappauksen riskin, mutta k\u00e4ytt\u00e4j\u00e4n voi yh\u00e4 huijata sy\u00f6tt\u00e4m\u00e4\u00e4n koodin v\u00e4\u00e4rennetylle sivulle.<\/p>\n\n\n\n

Push-hyv\u00e4ksynn\u00e4t<\/h3>\n\n\n\n

Push-hyv\u00e4ksynn\u00e4ss\u00e4 palvelu l\u00e4hett\u00e4\u00e4 puhelimeen ilmoituksen, jonka hyv\u00e4ksyt yhdell\u00e4 napautuksella. Microsoft Authenticator ja monet pankkisovellukset k\u00e4ytt\u00e4v\u00e4t t\u00e4t\u00e4. Vanhassa muodossaan push oli altis v\u00e4sytyshy\u00f6kk\u00e4ykselle, jossa k\u00e4ytt\u00e4j\u00e4 hyv\u00e4ksyy ilmoituksen vahingossa toistuvien pyynt\u00f6jen j\u00e4lkeen. Microsoft otti vuonna 2023 oletuksena k\u00e4ytt\u00f6\u00f6n numeront\u00e4sm\u00e4yksen (number matching), jossa k\u00e4ytt\u00e4j\u00e4n on sy\u00f6tett\u00e4v\u00e4 ruudulla n\u00e4kyv\u00e4 numero, mik\u00e4 torjuu sokeat hyv\u00e4ksynn\u00e4t.<\/p>\n\n\n\n

FIDO2-laitteistoavaimet<\/h3>\n\n\n\n

Fyysinen laitteistoavain, kuten Yubicon YubiKey, sis\u00e4lt\u00e4\u00e4 salaisen avaimen, joka ei koskaan poistu laitteesta. Avain todentaa FIDO2- ja WebAuthn-standardeilla ja sitoo allekirjoituksen kirjautumissivun osoitteeseen. T\u00e4m\u00e4 tekee siit\u00e4 kalastelunkest\u00e4v\u00e4n: v\u00e4\u00e4rennetty sivu saa eri osoitteen eik\u00e4 avain allekirjoita sille mit\u00e4\u00e4n. CISA ja FIDO Alliance pit\u00e4v\u00e4t t\u00e4t\u00e4 vahvimpana kuluttajalle saatavilla olevana tekij\u00e4n\u00e4.<\/p>\n\n\n\n

Passkeyt eli salasanattomat avainkoodit<\/h3>\n\n\n\n

Passkey on sama FIDO2-tekniikka ilman erillist\u00e4 laitetta. Salainen avain tallentuu puhelimeen tai tietokoneeseen, ja kirjautuminen tapahtuu sormenj\u00e4ljell\u00e4, kasvoilla tai laitteen PIN-koodilla. Passkey korvaa salasanan kokonaan, ei vain t\u00e4ydenn\u00e4 sit\u00e4. Apple, Google, Microsoft, Amazon, PayPal ja GitHub tukevat passkeyt\u00e4, ja se synkronoituu valmistajan pilven kautta laitteiden v\u00e4lill\u00e4. Passkey on samaan aikaan kalastelunkest\u00e4v\u00e4 ja yht\u00e4 helppo kuin puhelimen avaaminen.<\/p>\n\n\n\n

Vertailutaulukko: 2FA-menetelm\u00e4t rinnakkain<\/h2>\n\n\n\n

Alla oleva taulukko kokoaa viisi menetelm\u00e4\u00e4 yhdelletoista riville. Se on artikkelin t\u00e4rkein yksitt\u00e4inen yhteenveto, ja siit\u00e4 n\u00e4kee yhdell\u00e4 silm\u00e4yksell\u00e4, miksi kalastelunkest\u00e4v\u00e4t tekij\u00e4t erottuvat.<\/p>\n\n\n\n

\n
Ominaisuus<\/th>SMS-koodi<\/th>TOTP-sovellus<\/th>Push-hyv\u00e4ksynt\u00e4<\/th>FIDO2-avain<\/th>Passkey<\/th><\/tr><\/thead>
Tekij\u00e4n luokka<\/td>Hallussa<\/td>Hallussa<\/td>Hallussa<\/td>Hallussa<\/td>Hallussa + ominaisuus<\/td><\/tr>\n
Kalastelunkest\u00e4v\u00e4<\/td>Ei<\/td>Ei<\/td>Osittain<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>\n
SIM-kaappauksen kest\u00e4v\u00e4<\/td>Ei<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>\n
Toimii ilman verkkoa<\/td>Ei<\/td>Kyll\u00e4<\/td>Ei<\/td>Kyll\u00e4<\/td>Osittain<\/td><\/tr>\n
Vaatii lis\u00e4laitteen<\/td>Ei<\/td>Ei<\/td>Ei<\/td>Kyll\u00e4<\/td>Ei<\/td><\/tr>\n
Korvaa salasanan<\/td>Ei<\/td>Ei<\/td>Ei<\/td>Voi (FIDO2)<\/td>Kyll\u00e4<\/td><\/tr>\n
Synkronoituu laitteiden v\u00e4lill\u00e4<\/td>–<\/td>Vaihtelee<\/td>Ei<\/td>Ei (sidottu avaimeen)<\/td>Kyll\u00e4<\/td><\/tr>\n
Standardi<\/td>Ei avointa<\/td>RFC 6238<\/td>Valmistajakohtainen<\/td>FIDO2 \/ WebAuthn<\/td>FIDO2 \/ WebAuthn<\/td><\/tr>\n
Hinta k\u00e4ytt\u00e4j\u00e4lle<\/td>Ilmainen<\/td>Ilmainen<\/td>Ilmainen<\/td>Noin 30-58 USD<\/td>Ilmainen<\/td><\/tr>\n
NIST\/CISA-arvio<\/td>Heikoin<\/td>Keskitaso<\/td>Keskitaso<\/td>Vahvin<\/td>Vahvin<\/td><\/tr>\n
Suositeltavuus 2026<\/td>Vain varatekij\u00e4<\/td>Hyv\u00e4<\/td>Hyv\u00e4<\/td>Paras suojaus<\/td>Paras tasapaino<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Taulukon punainen lanka on selv\u00e4. SMS on ainoa menetelm\u00e4, joka ep\u00e4onnistuu sek\u00e4 kalastelun ett\u00e4 SIM-kaappauksen suhteen. FIDO2-avain ja passkey ovat ainoat, jotka l\u00e4p\u00e4isev\u00e4t kalastelutestin. Passkey voittaa k\u00e4ytett\u00e4vyydess\u00e4, koska se ei vaadi erillist\u00e4 laitetta ja synkronoituu laitteiden v\u00e4lill\u00e4, kun taas laitteistoavain voittaa korkeimman riskin tilanteissa, koska salaista avainta ei voi koskaan kopioida pois laitteelta.<\/p>\n\n\n\n

Tietoturva ja kalastelunkest\u00e4vyys: viranomaisten asettama j\u00e4rjestys<\/h2>\n\n\n\n

T\u00e4rkein turvallisuusero ei ole se, kuinka pitk\u00e4 koodi on, vaan kest\u00e4\u00e4k\u00f6 menetelm\u00e4 reaaliaikaisen kalastelun. Yhdysvaltain kyberturvallisuusviranomainen CISA julkaisi ohjeen kalastelunkest\u00e4v\u00e4n monivaiheisen tunnistautumisen k\u00e4ytt\u00f6\u00f6notosta, ja se asettaa menetelm\u00e4t selke\u00e4\u00e4n paremmuusj\u00e4rjestykseen. K\u00e4rjess\u00e4 ovat FIDO\/WebAuthn-pohjaiset avaimet ja PKI-pohjaiset varmenteet, keskell\u00e4 sovelluspohjaiset kertakoodit ja push-ilmoitukset, ja heikoimpina tekstiviesti ja puhelu.<\/p>\n\n\n\n

Sama linja n\u00e4kyy NISTin digitaalisen identiteetin ohjeistuksessa SP 800-63B, joka k\u00e4sittelee SMS- ja puhelinverkon kertakoodeja rajoitettuna tekij\u00e4n\u00e4. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 viranomainen sallii SMS:n mutta vaatii palveluntarjoajaa arvioimaan sen riskit ja tarjoamaan vahvemman vaihtoehdon. NISTin perustelu on tekninen: puhelinverkkoa ei ole kryptografisesti todennettu, joten koodin voi siepata, ja numeron voi siirt\u00e4\u00e4 toiselle SIM-kortille sosiaalisella manipuloinnilla.<\/p>\n\n\n\n

Miksi todennussovelluksen TOTP-koodi sitten on vain keskitasoa, vaikka se ei kulje tekstiviestin\u00e4? Syy on reaaliaikainen kalastelu. Hy\u00f6kk\u00e4\u00e4j\u00e4 rakentaa pankin tai s\u00e4hk\u00f6postipalvelun n\u00e4k\u00f6isen sivun, k\u00e4ytt\u00e4j\u00e4 sy\u00f6tt\u00e4\u00e4 salasanan ja kuusinumeroisen koodin, ja hy\u00f6kk\u00e4\u00e4j\u00e4n palvelin v\u00e4litt\u00e4\u00e4 ne saman tien aitoon palveluun ennen kuin koodi vanhenee. Koodi on voimassa vain 30 sekuntia, mutta automatisoitu v\u00e4lityspalvelin tekee t\u00e4m\u00e4n millisekunneissa. TOTP nostaa riman korkealle robottihy\u00f6kk\u00e4yksi\u00e4 vastaan mutta ei pys\u00e4yt\u00e4 taitavaa ihmist\u00e4.<\/p>\n\n\n\n

FIDO2 ja passkey katkaisevat juuri t\u00e4m\u00e4n hy\u00f6kk\u00e4yksen. Kun selain pyyt\u00e4\u00e4 avainta allekirjoittamaan kirjautumisen, allekirjoitukseen sidotaan sivuston osoite. V\u00e4\u00e4rennetyll\u00e4 sivulla on eri osoite, joten avain joko kielt\u00e4ytyy tai tuottaa allekirjoituksen, joka ei kelpaa aidossa palvelussa. K\u00e4ytt\u00e4j\u00e4n ei tarvitse tunnistaa v\u00e4\u00e4renn\u00f6st\u00e4, koska kryptografia tekee sen puolesta. T\u00e4m\u00e4 on syy, miksi suuret teknologiayhti\u00f6t siirsiv\u00e4t omat ty\u00f6ntekij\u00e4ns\u00e4 laitteistoavaimiin jo vuosia sitten ja miksi passkey levi\u00e4\u00e4 nyt kuluttajille.<\/p>\n\n\n\n

SMS-koodit: miksi heikoin lenkki yh\u00e4 el\u00e4\u00e4<\/h2>\n\n\n\n

Jos SMS on viranomaisten mukaan heikoin tekij\u00e4, miksi se on edelleen yleisin? Vastaus on k\u00e4ytett\u00e4vyys ja kattavuus. Jokaisella on puhelinnumero, eik\u00e4 SMS vaadi sovelluksen asentamista. Pankit ja verkkokaupat tarjoavat sen, koska se toimii kaikilla puhelimilla ilman opastusta. SMS on silti parempi kuin ei mit\u00e4\u00e4n: se est\u00e4\u00e4 valtaosan automatisoiduista kirjautumisyrityksist\u00e4, koska hy\u00f6kk\u00e4\u00e4j\u00e4ll\u00e4 ei ole p\u00e4\u00e4sy\u00e4 uhrin puhelimeen.<\/p>\n\n\n\n

Ongelma on kohdennettu hy\u00f6kk\u00e4ys. SIM-kortin kaappaus (SIM swap) tarkoittaa, ett\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4 vakuuttaa operaattorin siirt\u00e4m\u00e4\u00e4n uhrin numeron uudelle SIM-kortille esiintym\u00e4ll\u00e4 uhrina. Sen j\u00e4lkeen kaikki tekstiviestikoodit menev\u00e4t hy\u00f6kk\u00e4\u00e4j\u00e4lle. T\u00e4t\u00e4 menetelm\u00e4\u00e4 on k\u00e4ytetty kryptovaluuttatilien ja korkean profiilin sosiaalisen median tilien kaappauksissa toistuvasti. Suomessa operaattorit ovat tiukentaneet numeronsiirron tunnistusta, mutta riski on rakenteellinen eik\u00e4 poistu kokonaan.<\/p>\n\n\n\n

Toinen SMS:n heikkous on, ett\u00e4 koodin voi kalastella aivan yht\u00e4 helposti kuin TOTP-koodin. V\u00e4\u00e4rennetty sivu pyyt\u00e4\u00e4 tekstiviestikoodin, k\u00e4ytt\u00e4j\u00e4 sy\u00f6tt\u00e4\u00e4 sen, ja hy\u00f6kk\u00e4\u00e4j\u00e4 k\u00e4ytt\u00e4\u00e4 sen sekunneissa. SMS:ll\u00e4 on siis kaikki TOTP:n heikkoudet ja p\u00e4\u00e4lle viel\u00e4 SIM-kaappauksen riski. T\u00e4m\u00e4n vuoksi suositus vuonna 2026 on yksinkertainen: pid\u00e4 SMS varatekij\u00e4n\u00e4, jos palvelu ei tarjoa muuta, mutta vaihda todennussovellukseen tai passkeyhin heti kun se on mahdollista.<\/p>\n\n\n\n

Kannattaa my\u00f6s muistaa, ett\u00e4 SMS-koodi on yht\u00e4 hyv\u00e4 kuin puhelinliittym\u00e4 sen takana. Jos numero katoaa, vaihtuu tai joutuu v\u00e4\u00e4riin k\u00e4siin, kaikki sen varassa olevat tilit ovat vaarassa. Todennussovelluksen salaisuus ja laitteistoavaimen avain eiv\u00e4t ole sidottuja puhelinnumeroon, joten ne eiv\u00e4t kaadu numeron mukana. T\u00e4m\u00e4 riippumattomuus on yksi syy siirty\u00e4 pois tekstiviesteist\u00e4.<\/p>\n\n\n\n

Google Authenticator vs Microsoft Authenticator vs Authy<\/h2>\n\n\n\n

Kolme suosituinta todennussovellusta luovat kaikki saman standardin mukaisia TOTP-koodeja, joten itse koodi on yht\u00e4 turvallinen kaikissa. Erot ovat varmuuskopioinnissa, monilaitetuessa, yritysominaisuuksissa ja siin\u00e4, miten sovellus on kest\u00e4nyt aikaa. Alla kolmikon erot tiiviisti.<\/p>\n\n\n\n

\n
Ominaisuus<\/th>Google Authenticator<\/th>Microsoft Authenticator<\/th>Authy (Twilio)<\/th><\/tr><\/thead>
TOTP-koodit<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>\n
Pilvisynkronointi<\/td>Kyll\u00e4 (2023 alkaen)<\/td>Kyll\u00e4<\/td>Kyll\u00e4<\/td><\/tr>\n
Push-hyv\u00e4ksynt\u00e4<\/td>Ei<\/td>Kyll\u00e4 (numeront\u00e4sm\u00e4ys)<\/td>Rajattu<\/td><\/tr>\n
Passkey-tuki<\/td>K\u00e4ytt\u00f6j\u00e4rjestelm\u00e4n kautta<\/td>Kyll\u00e4<\/td>Ei<\/td><\/tr>\n
Ty\u00f6p\u00f6yt\u00e4sovellus<\/td>Ei<\/td>Ei<\/td>Lopetettu 2024<\/td><\/tr>\n
Yritysintegraatio<\/td>Kevyt<\/td>Vahva (Entra ID)<\/td>Kehitt\u00e4j\u00e4-API<\/td><\/tr>\n
Hinta<\/td>Ilmainen<\/td>Ilmainen<\/td>Ilmainen<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Google Authenticator<\/h3>\n\n\n\n

Google Authenticator on yksinkertaisin kolmikosta. Pitk\u00e4\u00e4n sen suurin heikkous oli, ett\u00e4 koodit olivat sidottuja yhteen laitteeseen ja katosivat puhelimen vaihdossa. Google lis\u00e4si vuonna 2023 pilvisynkronoinnin, jossa koodit varmuuskopioidaan Google-tilille ja palautuvat uudelle laitteelle. Alkuper\u00e4inen synkronointi her\u00e4tti kritiikki\u00e4, koska se ei ollut p\u00e4\u00e4st\u00e4 p\u00e4\u00e4h\u00e4n salattu, ja Google toi my\u00f6hemmin valinnaisen lis\u00e4salauksen. Sovellus sopii k\u00e4ytt\u00e4j\u00e4lle, joka haluaa pelk\u00e4t koodit ilman ylim\u00e4\u00e4r\u00e4ist\u00e4, ja luottaa Google-tiliins\u00e4 varmuuskopiona.<\/p>\n\n\n\n

Microsoft Authenticator<\/h3>\n\n\n\n

Microsoft Authenticator on kolmikon monipuolisin. Se tekee TOTP-koodit, push-hyv\u00e4ksynn\u00e4t numeront\u00e4sm\u00e4yksell\u00e4 ja tukee passkeyt\u00e4, ja se on syv\u00e4sti integroitu Microsoft Entra ID -ymp\u00e4rist\u00f6\u00f6n, jota yritykset k\u00e4ytt\u00e4v\u00e4t. Yksi iso muutos osui vuoteen 2025: Microsoft luopui sovelluksen salasanojen automaattit\u00e4yt\u00f6st\u00e4. Automaattit\u00e4ytt\u00f6 poistui hein\u00e4kuussa 2025, tallennetut salasanat muuttuivat k\u00e4ytt\u00f6kelvottomiksi elokuun 2025 j\u00e4lkeen ja poistettiin syyskuussa 2025. Salasanat siirtyiv\u00e4t Edge-selaimeen. Itse todennus- ja passkey-toiminnot s\u00e4ilyiv\u00e4t, joten muutos koski salasanojen hallintaa, ei kaksivaiheista tunnistautumista.<\/p>\n\n\n\n

Authy (Twilio)<\/h3>\n\n\n\n

Authy oli pitk\u00e4\u00e4n suosituin monilaitteinen vaihtoehto, koska se synkronoi koodit puhelimen ja ty\u00f6p\u00f6yd\u00e4n v\u00e4lill\u00e4. Vuonna 2024 Twilio kuitenkin lopetti Authyn ty\u00f6p\u00f6yt\u00e4sovellukset, mik\u00e4 j\u00e4tti monet k\u00e4ytt\u00e4j\u00e4t pulaan. Samana vuonna Twilio raportoi tietoturvaloukkauksesta, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 p\u00e4\u00e4si k\u00e4siksi Authyyn liitettyihin tietoihin ja sai haltuunsa noin 33 miljoonaa puhelinnumeroa suojaamattoman rajapinnan kautta. Itse koodit eiv\u00e4t vuotaneet, mutta numerolista on kalastelijoille arvokas. N\u00e4m\u00e4 kaksi tapahtumaa heikensiv\u00e4t Authyn asemaa, ja moni k\u00e4ytt\u00e4j\u00e4 on siirtynyt muihin sovelluksiin.<\/p>\n\n\n\n

YubiKey ja laitteistoavaimet: vahvin suoja<\/h2>\n\n\n\n

Laitteistoavain on fyysinen pala, joka liitet\u00e4\u00e4n USB-porttiin tai luetaan NFC:ll\u00e4 puhelimen takaa. Markkinoiden tunnetuin on Yubicon YubiKey, ja sen 5-sarja on k\u00e4yt\u00e4nn\u00f6n standardi. Sarjaan kuuluu useita malleja eri liit\u00e4nt\u00f6ihin: YubiKey 5 NFC (USB-A ja NFC), YubiKey 5C NFC (USB-C ja NFC), YubiKey 5Ci (USB-C ja Lightning) sek\u00e4 pienikokoiset Nano-mallit. Yubicon verkkokaupan listahinta YubiKey 5 NFC- ja 5C NFC -malleille on vuonna 2025 noin 58 dollaria kappaleelta.<\/p>\n\n\n\n

YubiKey 5 -sarja on monik\u00e4ytt\u00f6inen: se tukee FIDO2- ja WebAuthn-todennusta, vanhempaa U2F:\u00e4\u00e4, \u00e4lykorttitoimintoja, OpenPGP:t\u00e4 ja kertakoodeja. T\u00e4m\u00e4 tekee siit\u00e4 yhden avaimen, joka kattaa kotik\u00e4yt\u00f6n, ty\u00f6paikan ja jopa salausavaimet. Jos tarvitset vain kalastelunkest\u00e4v\u00e4n FIDO2-tekij\u00e4n, Yubicon edullisempi Security Key -sarja maksaa noin 30 dollaria ja tarjoaa pelk\u00e4n FIDO2- ja U2F-tuen ilman lis\u00e4ominaisuuksia.<\/p>\n\n\n\n

Laitteistoavaimen ainutlaatuinen vahvuus on, ettei salaista avainta voi koskaan kopioida pois laitteelta. Vaikka tietokone olisi haittaohjelman saastuttama, avain ei luovuta salaisuuttaan, ja jokainen kirjautuminen vaatii fyysisen kosketuksen avaimeen. T\u00e4m\u00e4 tekee siit\u00e4 ylivoimaisen korkean riskin k\u00e4ytt\u00e4jille: toimittajille, yll\u00e4pit\u00e4jille, kryptovaluuttojen haltijoille ja kenelle tahansa, joka on kohdennetun hy\u00f6kk\u00e4yksen kohteena.<\/p>\n\n\n\n

Haittapuoli on k\u00e4yt\u00e4nn\u00f6llinen. Avain maksaa, se pit\u00e4\u00e4 kantaa mukana, ja jos se katoaa ilman varakappaletta, kirjautuminen voi esty\u00e4. Siksi vakiok\u00e4yt\u00e4nt\u00f6 on ostaa kaksi avainta, rekister\u00f6id\u00e4 molemmat t\u00e4rkeisiin palveluihin ja s\u00e4ilytt\u00e4\u00e4 toinen turvallisessa paikassa. T\u00e4m\u00e4 lis\u00e4\u00e4 kustannusta mutta poistaa yhden pisteen vikaantumisen. Laitteistoavain ei my\u00f6sk\u00e4\u00e4n synkronoidu, mik\u00e4 on samaan aikaan sen turvallisin ja k\u00f6mpel\u00f6in ominaisuus.<\/p>\n\n\n\n

Passkeyt: salasanaton tulevaisuus levi\u00e4\u00e4 nopeasti<\/h2>\n\n\n\n

Passkey on vuoden 2026 nopeimmin kasvava kirjautumistapa. Se k\u00e4ytt\u00e4\u00e4 samaa FIDO2- ja WebAuthn-kryptografiaa kuin laitteistoavain mutta tallentaa avaimen puhelimeen tai tietokoneeseen ja synkronoi sen valmistajan pilven kautta. K\u00e4ytt\u00e4j\u00e4lle kirjautuminen n\u00e4ytt\u00e4\u00e4 sormenj\u00e4ljelt\u00e4 tai kasvojentunnistukselta, eik\u00e4 salasanaa tarvita lainkaan. Passkey on samaan aikaan kalastelunkest\u00e4v\u00e4 ja helpompi kuin salasana, mik\u00e4 on harvinainen yhdistelm\u00e4 tietoturvassa.<\/p>\n\n\n\n

K\u00e4ytt\u00f6\u00f6notto on ollut nopeaa. Vuoden 2025 raporttien mukaan passkeyt\u00e4 on luotu jo yli miljardi kappaletta, ja kahdeksan kymmenest\u00e4 internetin suosituimmasta sivustosta tukee niit\u00e4. Saman datan mukaan v\u00e4hint\u00e4\u00e4n noin viidennes markkinasta on jo ottanut passkeyn k\u00e4ytt\u00f6\u00f6n ainakin yhdess\u00e4 palvelussa. Apple, Google, Microsoft, Amazon, PayPal ja GitHub kuuluvat tukijoihin, ja lista kasvaa kuukausittain. FIDO Alliance, joka kehitt\u00e4\u00e4 standardia, on tehnyt passkeyst\u00e4 yhteentoimivan eri alustojen v\u00e4lill\u00e4.<\/p>\n\n\n\n

Passkeyss\u00e4 on kaksi muotoa, jotka kannattaa erottaa. Synkronoitu passkey varmuuskopioituu pilveen (esimerkiksi iCloud-avainnippu tai Google-salasanojen hallinta) ja seuraa laitteelta toiselle, mik\u00e4 on k\u00e4tev\u00e4\u00e4 kuluttajalle. Laitesidottu passkey pysyy yhdess\u00e4 laitteessa eik\u00e4 poistu sielt\u00e4, mik\u00e4 vastaa laitteistoavainta ja sopii korkeimman turvatason k\u00e4ytt\u00f6\u00f6n. Yritykset voivat vaatia laitesidottua muotoa, kun taas kuluttajat hy\u00f6tyv\u00e4t synkronoidusta.<\/p>\n\n\n\n

Passkeyn rajat liittyv\u00e4t ekosysteemiin. Jos passkey on tallennettu Applen avainnippuun, sen k\u00e4ytt\u00f6 Android-laitteessa vaatii ylim\u00e4\u00e4r\u00e4isi\u00e4 askelia, ja siirtyminen alustalta toiselle on yh\u00e4 kehittym\u00e4ss\u00e4. T\u00e4st\u00e4 syyst\u00e4 moni pit\u00e4\u00e4 laitteistoavainta varatekij\u00e4n\u00e4 passkeyn rinnalla. K\u00e4yt\u00e4nn\u00f6ss\u00e4 passkey on silti paras yleisvalinta useimmille k\u00e4ytt\u00e4jille vuonna 2026, koska se yhdist\u00e4\u00e4 vahvan suojan ja vaivattomuuden.<\/p>\n\n\n\n

Hinnat ja kustannukset vertailussa<\/h2>\n\n\n\n

Kustannus on monelle yll\u00e4tt\u00e4v\u00e4n pieni tekij\u00e4, koska kolme viidest\u00e4 menetelm\u00e4st\u00e4 on k\u00e4ytt\u00e4j\u00e4lle ilmaisia. Maksulliseksi muuttuu vain laitteistoavain, ja sen kertaluonteinen hinta on vaatimaton verrattuna kaapatun tilin aiheuttamaan vahinkoon. Alla hintataulukko k\u00e4ytt\u00e4j\u00e4n n\u00e4k\u00f6kulmasta.<\/p>\n\n\n\n

\n
Menetelm\u00e4<\/th>Hankintahinta<\/th>Jatkuva kustannus<\/th>Huomio<\/th><\/tr><\/thead>
SMS-koodi<\/td>0 \u20ac<\/td>0 \u20ac (operaattorin sis.)<\/td>Vaatii puhelinliittym\u00e4n<\/td><\/tr>\n
Google Authenticator<\/td>0 \u20ac<\/td>0 \u20ac<\/td>Ilmainen sovellus<\/td><\/tr>\n
Microsoft Authenticator<\/td>0 \u20ac<\/td>0 \u20ac<\/td>Ilmainen sovellus<\/td><\/tr>\n
Authy<\/td>0 \u20ac<\/td>0 \u20ac<\/td>Ty\u00f6p\u00f6yt\u00e4sovellus lopetettu<\/td><\/tr>\n
Passkey<\/td>0 \u20ac<\/td>0 \u20ac<\/td>Vaatii tuetun laitteen<\/td><\/tr>\n
YubiKey Security Key<\/td>noin 30 USD<\/td>0 \u20ac<\/td>Vain FIDO2 \/ U2F<\/td><\/tr>\n
YubiKey 5 NFC<\/td>noin 58 USD<\/td>0 \u20ac<\/td>Monik\u00e4ytt\u00f6inen avain<\/td><\/tr>\n
YubiKey 5C NFC<\/td>noin 58 USD<\/td>0 \u20ac<\/td>USB-C ja NFC<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Suositus on ostaa laitteistoavaimet pareittain, joten korkeimman turvatason kustannus on k\u00e4yt\u00e4nn\u00f6ss\u00e4 noin 60-116 dollaria kahdesta avaimesta. T\u00e4m\u00e4 on kertakulu, eik\u00e4 siihen liity tilausmaksuja. Kun vertaa t\u00e4t\u00e4 esimerkiksi kaapatun pankki- tai kryptovaluuttatilin menetyksiin, hinta on l\u00e4hes merkitykset\u00f6n korkean riskin k\u00e4ytt\u00e4j\u00e4lle. Useimmille kuluttajille ilmainen passkey on kuitenkin t\u00e4ysin riitt\u00e4v\u00e4, eik\u00e4 mihink\u00e4\u00e4n tarvitse k\u00e4ytt\u00e4\u00e4 rahaa.<\/p>\n\n\n\n

Benchmarkit ja tutkimusdata kolmesta l\u00e4hteest\u00e4<\/h2>\n\n\n\n

Kaksivaiheisen tunnistautumisen vaikuttavuutta on mitattu useassa riippumattomassa l\u00e4hteess\u00e4, ja luvut tukevat toisiaan. T\u00e4rkeint\u00e4 on huomata, ett\u00e4 jokainen luku osoittaa samaan suuntaan: mik\u00e4 tahansa toinen tekij\u00e4 on valtava parannus pelkk\u00e4\u00e4n salasanaan, ja kalastelunkest\u00e4v\u00e4t tekij\u00e4t ovat luokkaa parempia kuin koodipohjaiset.<\/p>\n\n\n\n

    \n
  • Microsoft:<\/strong> monivaiheinen tunnistautuminen est\u00e4\u00e4 yli 99,9 prosenttia automatisoiduista tilikaappauksista. T\u00e4m\u00e4 on vertailun usein siteeratuin yksitt\u00e4inen luku ja koskee massamaisia robottihy\u00f6kk\u00e4yksi\u00e4.<\/li>\n
  • 1Password, passkey-katsaus 2025:<\/strong> passkeyt\u00e4 on luotu yli miljardi kappaletta, kahdeksan kymmenest\u00e4 suosituimmasta sivustosta tukee niit\u00e4, ja v\u00e4hint\u00e4\u00e4n noin viidennes markkinasta on ottanut passkeyn k\u00e4ytt\u00f6\u00f6n.<\/li>\n
  • FIDO Alliance:<\/strong> FIDO2- ja WebAuthn-pohjaiset avaimet ja passkeyt ovat suunnittelultaan kalastelunkest\u00e4vi\u00e4, koska todennus sidotaan kirjautumissivun osoitteeseen.<\/li>\n
  • CISA:<\/strong> kalastelunkest\u00e4v\u00e4n monivaiheisen tunnistautumisen ohje asettaa FIDO\/WebAuthn-avaimet ja PKI-varmenteet vahvimmiksi, sovelluspohjaiset koodit ja push-ilmoitukset keskelle ja SMS:n sek\u00e4 puhelun heikoimmiksi.<\/li>\n
  • Twilio (Authy), 2024:<\/strong> tietoturvaloukkaus paljasti noin 33 miljoonaa puhelinnumeroa, mik\u00e4 osoittaa konkreettisesti, ett\u00e4 keskitetty k\u00e4ytt\u00e4j\u00e4tietokanta on hy\u00f6kk\u00e4yspinta riippumatta itse koodien turvasta.<\/li>\n<\/ul>\n\n\n\n

    N\u00e4iden lukujen yhteisviesti on, ett\u00e4 siirtyminen pelk\u00e4st\u00e4 salasanasta mihin tahansa toiseen tekij\u00e4\u00e4n tuo suurimman hy\u00f6dyn, ja siirtyminen koodista kalastelunkest\u00e4v\u00e4\u00e4n tekij\u00e4\u00e4n tuo toisen merkitt\u00e4v\u00e4n hypp\u00e4yksen. NISTin ja CISAn ohjeistus, FIDO Alliancen tekninen suunnittelu ja Microsoftin tilastot piirt\u00e4v\u00e4t kaikki saman kuvan. Vuonna 2026 paras saatavilla oleva data tukee passkeyn ja laitteistoavaimen suosittelua kaikille, joille ne ovat saatavilla.<\/p>\n\n\n\n

    Viisi reaalimaailman esimerkki\u00e4<\/h2>\n\n\n\n

    Konkreettiset tapaukset selitt\u00e4v\u00e4t, miksi menetelm\u00e4n valinta ei ole akateeminen. Seuraavat viisi esimerkki\u00e4 havainnollistavat sek\u00e4 ep\u00e4onnistumisia ett\u00e4 onnistumisia.<\/p>\n\n\n\n

      \n
    1. Authyn tietovuoto 2024:<\/strong> Twilio raportoi, ett\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4 ker\u00e4si noin 33 miljoonaa Authyyn liitetty\u00e4 puhelinnumeroa suojaamattomasta rajapinnasta. Vaikka koodit eiv\u00e4t vuotaneet, numerolista mahdollisti kohdennetun kalastelun ja SIM-kaappauksen. Tapaus osoittaa, ett\u00e4 pilvisynkronoidun palvelun tietokanta on itsess\u00e4\u00e4n houkutteleva kohde.<\/li>\n
    2. SIM-kaappaukset kryptovaluuttatileill\u00e4:<\/strong> lukuisissa raportoiduissa tapauksissa hy\u00f6kk\u00e4\u00e4j\u00e4t ovat siirt\u00e4neet uhrin puhelinnumeron omalle SIM-kortilleen ja kaapanneet SMS-koodeilla suojatut kryptovaluutta- ja s\u00e4hk\u00f6postitilit. N\u00e4m\u00e4 tapaukset ovat suoraan syy siihen, miksi SMS:\u00e4\u00e4 ei suositella arvokkaiden tilien ainoaksi toiseksi tekij\u00e4ksi.<\/li>\n
    3. Suuryhti\u00f6iden siirtym\u00e4 laitteistoavaimiin:<\/strong> useat suuret teknologiayhti\u00f6t siirsiv\u00e4t ty\u00f6ntekij\u00e4ns\u00e4 FIDO-laitteistoavaimiin ja raportoivat tilikaappausten k\u00e4yt\u00e4nn\u00f6ss\u00e4 loppuneen sis\u00e4isesti. T\u00e4m\u00e4 oli yksi ensimm\u00e4isist\u00e4 laajan mittakaavan todisteista kalastelunkest\u00e4v\u00e4n tekij\u00e4n tehosta.<\/li>\n
    4. Push-v\u00e4sytyshy\u00f6kk\u00e4ykset:<\/strong> ennen numeront\u00e4sm\u00e4yst\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4t pommittivat uhreja push-pyynn\u00f6ill\u00e4, kunnes joku hyv\u00e4ksyi yhden vahingossa. Microsoftin vuonna 2023 oletukseksi ottama numeront\u00e4sm\u00e4ys torjui t\u00e4m\u00e4n tekem\u00e4ll\u00e4 sokeasta hyv\u00e4ksynn\u00e4st\u00e4 mahdotonta.<\/li>\n
    5. Passkeyn nousu kuluttajilla:<\/strong> kun suuret alustat lis\u00e4siv\u00e4t passkey-kirjautumisen, k\u00e4ytt\u00f6\u00f6notto ylitti miljardin luodun avaimen rajan ja kahdeksan kymmenest\u00e4 suosituimmasta sivustosta otti tuen k\u00e4ytt\u00f6\u00f6n. T\u00e4m\u00e4 osoittaa, ett\u00e4 kalastelunkest\u00e4v\u00e4 tekij\u00e4 voi my\u00f6s olla helppok\u00e4ytt\u00f6inen ja levit\u00e4 massoille.<\/li>\n<\/ol>\n\n\n\n

      Esimerkkien punainen lanka on selv\u00e4. Heikkoudet keskittyv\u00e4t SMS:\u00e4\u00e4n ja keskitettyihin tietokantoihin, kun taas kalastelunkest\u00e4v\u00e4t tekij\u00e4t ovat kest\u00e4neet sek\u00e4 massahy\u00f6kk\u00e4ykset ett\u00e4 kohdennetut yritykset. T\u00e4m\u00e4 ei tarkoita, etteik\u00f6 koodipohjaisilla tekij\u00f6ill\u00e4 olisi paikkaansa, vaan ett\u00e4 korkean riskin k\u00e4ytt\u00e4j\u00e4n kannattaa nostaa rima FIDO2-tasolle.<\/p>\n\n\n\n

      Asiantuntijoiden ja viranomaisten n\u00e4kemykset<\/h2>\n\n\n\n

      Kaksivaiheisesta tunnistautumisesta on poikkeuksellisen vahva viranomaiskonsensus, mik\u00e4 helpottaa suosituksen tekemist\u00e4. Toisin kuin monessa tietoturva-aiheessa, eri tahojen n\u00e4kemykset eiv\u00e4t ole ristiriidassa kesken\u00e4\u00e4n vaan vahvistavat toisiaan.<\/p>\n\n\n\n

      Microsoftin identiteettiturvallisuudesta vastaava Alex Weinert on toistuvasti todennut, ett\u00e4 pelkk\u00e4 monivaiheisen tunnistautumisen k\u00e4ytt\u00f6\u00f6notto torjuu valtaosan tilikaappauksista, mutta SMS on tekij\u00f6ist\u00e4 heikoin ja se kannattaa korvata sovelluksella tai avaimella. T\u00e4m\u00e4 n\u00e4kemys vastaa Microsoftin julkaisemaa lukua, jonka mukaan suoja ylt\u00e4\u00e4 automatisoituja hy\u00f6kk\u00e4yksi\u00e4 vastaan yli 99,9 prosenttiin.<\/p>\n\n\n\n

      Yhdysvaltain CISA on virallisessa ohjeessaan asettanut FIDO\/WebAuthn-pohjaiset menetelm\u00e4t k\u00e4rkeen ja kehottaa organisaatioita siirtym\u00e4\u00e4n kalastelunkest\u00e4v\u00e4\u00e4n monivaiheiseen tunnistautumiseen erityisesti korotetun uhkatason aikana. NIST puolestaan luokittelee SP 800-63B -ohjeessaan SMS-kertakoodit rajoitetuksi tekij\u00e4ksi, mik\u00e4 on viranomaiskielen tapa sanoa, ett\u00e4 se sallitaan mutta sit\u00e4 ei suositella ensisijaiseksi.<\/p>\n\n\n\n

      FIDO Alliance, joka kokoaa alan suurimmat toimijat, on rakentanut passkeyn nimenomaan ratkaisemaan salasanan ja koodien kalasteluongelman. Suomessa Liikenne- ja viestint\u00e4virasto Traficomin Kyberturvallisuuskeskus suosittelee monivaiheista tunnistautumista kaikkiin t\u00e4rkeisiin tileihin ja korostaa, ettei pelkk\u00e4 salasana riit\u00e4. Kun viranomaiset Yhdysvalloissa ja Suomessa, standardia kehitt\u00e4v\u00e4 FIDO Alliance ja suurin pilvitoimija Microsoft p\u00e4\u00e4tyv\u00e4t samaan johtop\u00e4\u00e4t\u00f6kseen, suosituksen voi tehd\u00e4 ilman ep\u00e4r\u00f6inti\u00e4.<\/p>\n\n\n\n

      Kenelle mik\u00e4kin menetelm\u00e4 sopii: viisi suositusta<\/h2>\n\n\n\n

      Paras menetelm\u00e4 riippuu k\u00e4ytt\u00e4j\u00e4st\u00e4 ja tilin arvosta. Seuraavat viisi k\u00e4ytt\u00f6tapausta kattavat valtaosan tilanteista.<\/p>\n\n\n\n

        \n
      • Tavallinen kuluttaja:<\/strong> ota passkey k\u00e4ytt\u00f6\u00f6n kaikkialla, miss\u00e4 se on tarjolla, ja k\u00e4yt\u00e4 todennussovellusta siell\u00e4, miss\u00e4 passkeyt\u00e4 ei viel\u00e4 ole. Pid\u00e4 SMS vain varatekij\u00e4n\u00e4. T\u00e4m\u00e4 yhdistelm\u00e4 on ilmainen ja torjuu valtaosan hy\u00f6kk\u00e4yksist\u00e4.<\/li>\n
      • Korkean riskin k\u00e4ytt\u00e4j\u00e4 (toimittaja, yll\u00e4pit\u00e4j\u00e4, kryptosijoittaja):<\/strong> hanki kaksi YubiKey-laitteistoavainta ja rekister\u00f6i molemmat t\u00e4rkeisiin palveluihin. Laitesidottu avain on vahvin suoja kohdennettua kalastelua vastaan.<\/li>\n
      • Yritys ja organisaatio:<\/strong> ota Microsoft Authenticator push-numeront\u00e4sm\u00e4yksell\u00e4 tai FIDO2-avaimet k\u00e4ytt\u00f6\u00f6n Entra ID:n kautta ja vaadi kalastelunkest\u00e4v\u00e4\u00e4 tekij\u00e4\u00e4 j\u00e4rjestelm\u00e4nvalvojille. Poista SMS-varatekij\u00e4 korkean oikeustason tileilt\u00e4.<\/li>\n
      • V\u00e4h\u00e4n tekniikkaa k\u00e4ytt\u00e4v\u00e4 henkil\u00f6:<\/strong> passkey sormenj\u00e4ljell\u00e4 tai kasvoilla on helpoin oppia, koska se ei vaadi koodien kopiointia. Jos passkey ei ole tuttu, Google Authenticator on yksinkertaisin todennussovellus.<\/li>\n
      • Useita laitteita k\u00e4ytt\u00e4v\u00e4:<\/strong> synkronoitu passkey tai pilvisynkronoitu todennussovellus seuraa laitteelta toiselle. V\u00e4lt\u00e4 Authyn ty\u00f6p\u00f6yt\u00e4ratkaisua, koska ty\u00f6p\u00f6yt\u00e4sovellus lopetettiin vuonna 2024.<\/li>\n<\/ul>\n\n\n\n

        Yhteinen nimitt\u00e4j\u00e4 on, ett\u00e4 jokainen n\u00e4ist\u00e4 suosituksista siirt\u00e4\u00e4 k\u00e4ytt\u00e4j\u00e4n pois pelk\u00e4st\u00e4 SMS:st\u00e4. SMS s\u00e4ilyy varatekij\u00e4n\u00e4, koska se on parempi kuin ei mit\u00e4\u00e4n, mutta yksik\u00e4\u00e4n k\u00e4ytt\u00f6tapaus ei suosittele sit\u00e4 ensisijaiseksi suojaksi vuonna 2026.<\/p>\n\n\n\n

        Siirtym\u00e4opas: n\u00e4in vaihdat turvallisempaan 2FA:han<\/h2>\n\n\n\n

        Siirtyminen vahvempaan kaksivaiheiseen tunnistautumiseen vie noin 15 minuuttia t\u00e4rkeimpien tilien osalta. Etene j\u00e4rjestyksess\u00e4 t\u00e4rkeimmist\u00e4 tileist\u00e4 v\u00e4hemm\u00e4n t\u00e4rkeisiin, jotta suurin riski katoaa ensin.<\/p>\n\n\n\n

          \n
        1. Listaa t\u00e4rkeimm\u00e4t tilit: s\u00e4hk\u00f6posti ensin, koska se on salasanojen palautuksen avain, sitten pankki, sosiaalinen media ja pilvitallennus.<\/li>\n
        2. Tarkista jokaisesta palvelusta turvallisuusasetukset ja katso, tukeeko se passkeyt\u00e4 tai FIDO2-avainta. Jos tukee, ota se k\u00e4ytt\u00f6\u00f6n ensisijaisena tekij\u00e4n\u00e4.<\/li>\n
        3. Jos passkey ei ole tarjolla, ota k\u00e4ytt\u00f6\u00f6n todennussovellus skannaamalla palvelun QR-koodi. Tallenna palvelun antamat varakoodit turvalliseen paikkaan.<\/li>\n
        4. Poista SMS ensisijaisena tekij\u00e4n\u00e4, jos palvelu sallii sen, ja j\u00e4t\u00e4 se vain varatekij\u00e4ksi tai poista kokonaan, kun vahvempi tekij\u00e4 on k\u00e4yt\u00f6ss\u00e4.<\/li>\n
        5. Rekister\u00f6i varatekij\u00e4: toinen passkey, toinen laitteistoavain tai tulostetut varakoodit. \u00c4l\u00e4 j\u00e4t\u00e4 itse\u00e4si yhden laitteen varaan.<\/li>\n
        6. Testaa kirjautuminen uloskirjautumalla ja kirjautumalla takaisin uudella tekij\u00e4ll\u00e4 ennen kuin poistat vanhan menetelm\u00e4n.<\/li>\n<\/ol>\n\n\n\n

          Todennussovelluksen taustalla toimiva TOTP-koodi on standardoitu, joten saman jaetun salaisuuden voi tarvittaessa lis\u00e4t\u00e4 mihin tahansa yhteensopivaan sovellukseen. Alla on yksinkertaistettu esimerkki siit\u00e4, miten TOTP-koodi lasketaan, mik\u00e4 auttaa ymm\u00e4rt\u00e4m\u00e4\u00e4n, miksi koodi toimii ilman verkkoyhteytt\u00e4.<\/p>\n\n\n\n

          # TOTP-koodin periaate (RFC 6238), Python-esimerkki\nimport hmac, hashlib, struct, time, base64\n\ndef totp(secret_base32, step=30, digits=6):\n    key = base64.b32decode(secret_base32, casefold=True)\n    counter = int(time.time() \/\/ step)        # aikaikkuna, 30 s\n    msg = struct.pack(\">Q\", counter)\n    h = hmac.new(key, msg, hashlib.sha1).digest()\n    offset = h[-1] & 0x0F                       # dynaaminen leikkaus\n    code = (struct.unpack(\">I\", h[offset:offset+4])[0] & 0x7FFFFFFF) % (10 ** digits)\n    return str(code).zfill(digits)\n\n# Sama salaisuus tuottaa saman koodin missa tahansa sovelluksessa\nprint(totp(\"JBSWY3DPEHPK3PXP\"))\n<\/code><\/pre>\n\n\n\n
          Esimerkki n\u00e4ytt\u00e4\u00e4, miksi todennussovellus toimii ilman verkkoa: koodi lasketaan jaetusta salaisuudesta ja kellonajasta, eik\u00e4 mit\u00e4\u00e4n l\u00e4hetet\u00e4 palvelimelle. Sama logiikka on syy siihen, ett\u00e4 koodin voi yh\u00e4 kalastella, koska valmis koodi sy\u00f6tet\u00e4\u00e4n k\u00e4sin. FIDO2 ja passkey eroavat juuri t\u00e4ss\u00e4: niiss\u00e4 laite allekirjoittaa haasteen, jota k\u00e4ytt\u00e4j\u00e4 ei voi vahingossa luovuttaa v\u00e4\u00e4r\u00e4lle sivulle.<\/p>\n\n\n\n
          Plussat ja miinukset menetelmitt\u00e4in<\/h2>\n\n\n\n
          Jokaisella menetelm\u00e4ll\u00e4 on paikkansa, mutta vahvuudet ja heikkoudet kannattaa tuntea ennen valintaa. Alla tiivistetty yhteenveto.<\/p>\n\n\n\n
          \n
          Menetelm\u00e4<\/th>Plussat<\/th>Miinukset<\/th><\/tr><\/thead>
          SMS-koodi<\/td>Toimii kaikilla, ei sovellusta<\/td>Altis kalastelulle ja SIM-kaappaukselle<\/td><\/tr>\n
          TOTP-sovellus<\/td>Ilmainen, toimii offline, ei SIM-riski\u00e4<\/td>Koodin voi yh\u00e4 kalastella reaaliajassa<\/td><\/tr>\n
          Push-hyv\u00e4ksynt\u00e4<\/td>Nopea, numeront\u00e4sm\u00e4ys torjuu v\u00e4sytyksen<\/td>Vaatii verkon, valmistajakohtainen<\/td><\/tr>\n
          FIDO2-avain<\/td>Kalastelunkest\u00e4v\u00e4, avain ei poistu laitteelta<\/td>Maksaa, pit\u00e4\u00e4 kantaa mukana<\/td><\/tr>\n
          Passkey<\/td>Kalastelunkest\u00e4v\u00e4 ja helppo, ilmainen<\/td>Ekosysteemiriippuvuus, siirto kehittyy yh\u00e4<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n
          Taulukosta n\u00e4kee, ett\u00e4 passkey on ainoa menetelm\u00e4, jonka miinukset ovat l\u00e4hinn\u00e4 k\u00e4ytett\u00e4vyyteen liittyvi\u00e4 eiv\u00e4tk\u00e4 tietoturvaan. Laitteistoavain on turvallisin mutta k\u00f6mpel\u00f6in ja maksullinen. SMS on helpoin mutta heikoin. T\u00e4m\u00e4 asetelma on syy siihen, miksi suositus kallistuu passkeyn puolelle kuluttajille ja laitteistoavaimen puolelle korkean riskin k\u00e4ytt\u00e4jille.<\/p>\n\n\n\n
          Kaksivaiheinen tunnistautuminen Suomessa ja Pohjoismaissa<\/h2>\n\n\n\n
          Pohjoismaat ovat olleet vahvan s\u00e4hk\u00f6isen tunnistautumisen edell\u00e4k\u00e4vij\u00f6it\u00e4 jo ennen kuin passkey-sana keksittiin. Suomessa pankkien verkkopankkitunnukset ja mobiilivarmenne ovat tehneet kaksivaiheisesta tunnistautumisesta arkip\u00e4iv\u00e4\u00e4, ja samaa tunnistautumista k\u00e4ytet\u00e4\u00e4n julkisissa palveluissa kuten verottajan ja Kelan asioinnissa. T\u00e4m\u00e4 tarkoittaa, ett\u00e4 suomalainen k\u00e4ytt\u00e4j\u00e4 on jo tottunut toiseen tekij\u00e4\u00e4n, vaikka ei k\u00e4ytt\u00e4isi termi\u00e4. Siirtym\u00e4 passkeyhin ja laitteistoavaimiin on siksi luonteva jatkumo, ei uusi vaatimus.<\/p>\n\n\n\n
          EU:n s\u00e4\u00e4ntely vauhdittaa kehityst\u00e4. PSD2:n vahva asiakastunnistus on jo pakottanut pankit kahteen tekij\u00e4\u00e4n verkkomaksuissa, ja eIDAS 2.0 -asetus tuo EU:n digitaalisen identiteetin lompakon, johon kansalaiset voivat tallentaa todennetun henkil\u00f6llisyytens\u00e4. Lompakon on tarkoitus toimia kaikkialla unionissa, ja sen tunnistautuminen nojaa samaan kalastelunkest\u00e4v\u00e4\u00e4n kryptografiaan kuin passkey ja FIDO2. Pohjoismainen k\u00e4ytt\u00e4j\u00e4 kohtaa siis l\u00e4hivuosina yh\u00e4 enemm\u00e4n vahvaa tunnistautumista sek\u00e4 yksityisiss\u00e4 ett\u00e4 julkisissa palveluissa.<\/p>\n\n\n\n
          Suomen Kyberturvallisuuskeskus, joka toimii Liikenne- ja viestint\u00e4virasto Traficomin alaisuudessa, suosittelee monivaiheista tunnistautumista kaikkiin t\u00e4rkeisiin tileihin ja varoittaa toistuvasti kalastelukampanjoista, jotka kohdistuvat suomalaisiin pankki- ja s\u00e4hk\u00f6postik\u00e4ytt\u00e4jiin. Keskuksen viesti on linjassa kansainv\u00e4listen viranomaisten kanssa: pelkk\u00e4 salasana ei riit\u00e4, ja kalastelunkest\u00e4v\u00e4 tekij\u00e4 on paras suoja. Suomalaiselle lukijalle t\u00e4m\u00e4 tarkoittaa, ett\u00e4 passkeyn k\u00e4ytt\u00f6\u00f6notto ei ole vain kansainv\u00e4linen trendi vaan my\u00f6s kotimaisen viranomaisen suositus.<\/p>\n\n\n\n
          K\u00e4yt\u00e4nn\u00f6n ero pohjoismaisessa arjessa on, ett\u00e4 pankkitunnistautuminen on usein sidottu pankin omaan sovellukseen, kun taas globaalit palvelut (s\u00e4hk\u00f6posti, sosiaalinen media, pilvitallennus) j\u00e4tt\u00e4v\u00e4t tekij\u00e4n valinnan k\u00e4ytt\u00e4j\u00e4lle. Juuri n\u00e4iss\u00e4 globaaleissa palveluissa kannattaa ottaa passkey tai todennussovellus k\u00e4ytt\u00f6\u00f6n, koska ne eiv\u00e4t kuulu pankin vahvan tunnistautumisen piiriin. Kahden maailman yhdist\u00e4minen, kotimainen pankkitunnistus ja kansainv\u00e4linen passkey, antaa suomalaiselle k\u00e4ytt\u00e4j\u00e4lle kattavan suojan.<\/p>\n\n\n\n
          Yleisimm\u00e4t virheet kaksivaiheisen tunnistautumisen k\u00e4yt\u00f6ss\u00e4<\/h2>\n\n\n\n
          Vahvinkin tekij\u00e4 menett\u00e4\u00e4 tehonsa, jos sit\u00e4 k\u00e4ytet\u00e4\u00e4n v\u00e4\u00e4rin. Seuraavat virheet toistuvat sek\u00e4 kuluttajilla ett\u00e4 organisaatioissa, ja ne kannattaa tarkistaa heti k\u00e4ytt\u00f6\u00f6noton j\u00e4lkeen.<\/p>\n\n\n\n