Kaksivaiheinen tunnistautuminen parantaa tietoturvaa

Juuso Kataja

Kaksivaiheinen tunnistautuminen voi parantaa tietoturvaa merkittävästi ja varmistaa, ettei arkaluonteisia tietoja joudu vääriin käsiin. Tässä kirjoituksessa käsitellään kaksivaiheista tunnistautumista ja sen käyttöönottoa.

Mitä kaksivaiheinen tunnistus tarkoittaa?

Kaksivaiheinen tunnistautuminen (engl. two factor authentication, 2FA) on vuonna 1984 patentoitu tekniikka. Kaksivaiheinen tunnistautuminen tarkoittaa nimensä mukaisesti sitä, että identiteetin varmistamiseen hyödynnetään vähintään kahta eri tunnistusmenetelmää.

Kaksivaiheinen tunnistautuminen tarkoittaa nimensä mukaisesti, että käytetään kahta erillistä tunnistustapaa käyttäjän tunnistamiseksi.

Yleisimpiä kaksivaiheisen tunnistautumisen menetelmiä ovat:

  • Kertakäyttöisen salasanan lähetys tekstiviestillä.
  • Fyysinen esine, kuten USB-tikku, joka sisältää salausavaimen.
  • TOTP (time-base one time password) eli aikaan perustuva kertakäyttöinen salasana-algoritmi.
  • HOTP (HMAC-based one time password) eli HMAC-menetelmään pohjautuva salasana-algoritmi.

Esimerkiksi laajasti käytetty Google Authenticator hyödyntää TOTP- ja HOTP-menetelmiä.

Vahva tunnistautuminen

Jotkin sovellukset käyttävät kaksivaiheisesta vahvistamisesta hieman harhaanjohtavasti myös nimitystä vahva tunnistautuminen, vaikkei sillä ei tarkoitettaisiin EU:n toisen maksupalveludirektiivin (Payment Service Directive 2, PSD2) mukaista vahvaa tunnistautumista. Tunnistautuminen katsotaan sen mukaan vahvaksi, kun kaksi kolmesta kriteeristä täyttyy:

  • jotain, minkä vain käyttäjä voi tietää,
  • jotakin, mitä käyttäjällä on tai
  • käyttäjää yksilöivä ominaisuus.

Voit lukea lisää direktiivistä täältä: eur-lex.europa.eu

Miksi ottaa kaksivaiheinen tunnistautuminen käyttöön?

Kaksivaiheinen vahvistus auttaa suojautumaan väärinkäytöksiltä. Pelkkä käyttäjätunnus-salasana-yhdistelmä on altis erilaisille hyökkäyksille. Säännöllisesti ne päätyvät myös erilaisten tietovuotojen seurauksena vääriin käsiin.

Jos käytössä on helposti arvattava käyttäjätunnus, voidaan salasana myös pyrkiä arvaamaan väsytyshyökkäyksen (brute force) avulla. Usein käytetyt salasanat ovatkin liian heikkoja tai helposti arvattavissa. Vahvat salasanat ja salasanojen hallinta ovat myös tärkeitä tekijöitä tietoturvan kannalta.

Kaksivaiheinen kirjautuminen voi kuitenkin estää kirjautuminen myös silloin, kun salasana ja käyttäjätunnus ovat päätyneet vääriin käsiin. Ne nostavat siis merkittävästi tietoturvan tasoa etenkin erilaisia verkkopalveluita käytettäessä.

Kaksivaiheinen tunnistus voi suojata sivuston tai palvelun väärinkäytöksiltä.

GDPR ja kaksivaiheinen todennus

EU:n yleinen tietosuoja-asetus (engl. General Data Protection Regulation) eli GDPR edellyttää myös, että henkilötietojen suojauksessa tulee ottaa käyttöön kaikki järkevässä määrin mahdolliset toiminnot.

Esimerkiksi verkkokaupat ja erilaiset jäsenyyssivustot käsittelevät väistämättä henkilötietoja, joten heidän tulisi niitä myös parhaalla mahdollisella tavalla suojata. Voitaisiinkin siis ajatella, että verkkokauppojen ja vastaavien henkilötietoja käsittelevien sivustojen tulisi jo ihan tämänkin takia ottaa käyttöön kaksivaiheinen todennus sivustolle kirjautumiseen, ainakin henkilökunnan ja pääkäyttäjien osalta.

Kaksivaiheinen tunnistautuminen – käyttöönotto

Kaksivaiheisen tunnistautumisen saa nykyisin käyttöön lähes kaikkialla, kuten esimerkiksi sosiaalisen median kanavissa sekä kotisivuille kirjauduttaessa. Eri sovellukset käyttävät joskus myös hieman eri termejä, mutta esimerkiksi kaksivaiheinen vahvistus, todennus ja varmennus tarkoittavat samaa asiaa.

Kaksivaiheisen tunnistuksen käyttöönotto on todellisuudessa melko nopeaa, jota usein turhaan pidetään aikaa vievänä hankalana. Jatkossa myös sen käyttäminen on yleensä helppoa, tosin se voi vaatia, että esimerkiksi puhelin on lähistöllä kirjautumisen vahvistamista varten. Sen edut ovat kuitenkin niin merkittävät, että jokaisen kannattaisi harkita sen käyttöönottoa.

Google Authenticator -logo.

Google kaksivaiheinen tunnistus

Yksi suosituimmista kaksivaiheisen tunnistautumisen ohjelmista on ilmainen Google Authenticator. Se hyödyntää sekä TOTP- että HOTP-menetelmiä kirjautujan identiteetin varmistamiseen ja sitä voidaan käyttää esimerkiksi Google-, Facebook- ja Instagram-kirjautumisiin.

Google Authenticator -ohjelmaa varten täytyy asentaa erillinen älypuhelinsovellus, joka löytyy sekä Androidin että iPhonen sovelluskaupasta täysin ilmaiseksi. Sovelluksen yksi parhaista puolista on se, ettei sen toiminta vaadi lainkaan verkkoa eli se toimii myös silloin, kun kännykkä on offline-tilassa.

Kaksivaiheinen tunnistautuminen WordPress-sivustolle

Kaksivaiheinen todennus kannattaa ehdottomasti ottaa käyttöön myös WordPress-sivustoille, etenkin jos ne toimivat samalla myös verkkokauppoina tai tallentavat muutoin sivuston käyttäjien henkilötietoja. Löydät ohjeet sen käyttöönottoon täältä:
wpopas.fi/kaksivaiheinen-tunnistus-wordpress-ja-woocommerce-sivustolle/

Lue myös muista keinoista, joilla parannat WordPress-sivuston tietoturvaa.