Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiftsaef7kofzen23l5whfndsgagr4ocqbnsz46unpdmvymhzs3noe",
    "uri": "at://did:plc:bqfuadisaldfoubuchcbexlr/app.bsky.feed.post/3mi6cl7jxmaw2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreidyi4plprttc6pfeghplnx7n4qllyqyja7errtws4z72litgair6a"
    },
    "mimeType": "image/webp",
    "size": 79576
  },
  "path": "/blogi/2026/mika-suojaa-kun-salasanat-paatyvat-vaariin-kasiin/",
  "publishedAt": "2026-03-28T14:52:00.000Z",
  "site": "https://saaste.net",
  "tags": [
    "Eduardo Soares on Unsplash",
    "YubiKey",
    "yleiseen standardiin",
    "Aegis",
    "2FAS",
    "Tofu"
  ],
  "textContent": "Kaksivaiheinen tunnistautuminen suojaa tehokkaasti tietomurtojen haittavaikutuksilta, mutta vain jos sitä käyttää oikein.\n\n\n\n Kuva: \n Eduardo Soares on Unsplash\n \n\n### Mikä on kaksivaiheinen tunnistautuminen?\n\nTunnistautuminen vaatii yleensä yhden tai useamman seuraavista tiedoista:\n\n  * Jotain, mitä tiedät\n  * Jotain, mitä omistat\n  * Jotain, mitä olet\n\n\n\nPerinteinen salasanasuojaus nojaa näistä ensimmäiseen, sillä sinun on tiedettävä oikea salasana. Sitä voi pitää yksivaiheisena tunnistautumisena, sillä salasanan lisäksi sinulta ei vaadita muita tietoja.\n\nPankkikortti on esimerkki kaksivaiheisesta tunnistautumisesta. Se vaatii, että omistat jotain (pankkikortti) ja tiedät jotain (kortin tunnusluvun). Kaksivaiheisen tunnistautumisen etuna on se, että jos pankkikorttisi varastetaan, sillä ei voi nostaa rahaa tietämättä tunnuslukua. Toisaalta pelkällä tunnusluvullakaan ei tee mitään. Kaksivaiheisesta tunnistautumisesta käytetään usein myös lyhennettä **2FA** (Two-Factor Authentication).\n\nOnline-palveluissa harvemmin törmää tunnistautumiseen, jossa vaaditaan jotain, mitä olet (ja hyvä niin). Sen sijaan kännyköissä ja läppäreissä varsin yleiset sormenjälkitunnistimet menevät tähän kategoriaan, sillä ne vaativat sormenjäljen, jollainen vain sinun kehostasi löytyy.\n\n### Miten kaksivaiheinen tunnistautuminen toimii?\n\nKaksivaiheinen kirjautuminen estää tehokkaasti tietomurtoja ja suojaa niiden haittavaikutuksilta. Vaikka murtautuja saisikin salasanasi selville, hän ei pääse kirjautumaan palveluun, koska hänellä on oltava myös tunnistautumisen toinen osa.\n\nUsein se on kännykkä tai USB-väylään kytkettävä tunnistautumisavain, kuten YubiKey. YubiKeyn käyttäminen voi tehdä tunnistautumisesta kolmivaiheisen, sillä joissakin avainmalleissa on mukana myös sormenjälkitunnistin. Näin sinun on tiedettävä salasana, sinulla on oltava fyysinen laite ja sitä laitetta on lisäksi käytettävä sinun sormillasi.\n\nKun kyse on online-palveluista, toisen vaiheen toteuttamiseen on yleensä kaksi tapaa. Turvattomampi ja harmillisen yleinen tapa on lähettää satunnainen numerosarja sähköpostilla tai tekstiviestillä. Turvattoman siitä tekee se, että arkaluontoinen tieto lähetetään suojaamattomia kanavia pitkin. Hulluinta on, että jotkut palvelut ovat korvanneet näillä koodeilla salasanan. Tunnistautuminen jää tällöin käytännössä yksivaiheiseksi, jossa “jotain, mitä tiedät” on korvattu “jollain, mitä omistat”.\n\nParempi tapa on käyttää erillistä tunnistussovellusta, joita kutsutaan usein myös 2FA-sovelluksiksi. Sovellusta käytettäessä palvelun ei tarvitse lähettää mitään, sillä koodi generoidaan suoraan sovelluksessa.\n\nTunnistussovellukset pohjautuvat yleiseen standardiin ja tästä syystä voit käyttää mitä tahansa 2FA-sovellusta. Harmillisen usein palvelut kehottavat käyttämään jättikorporaatioiden, kuten Microsoftin tai Googlen, sovellusta, jotka eivät ole avoimia ja pyrkivät sitomaan käyttäjänsä yrityksen pilvipalveluihin. Itse suosittelen valitsemaan jonkin avoimen lähdekoodin sovelluksen. Android-käyttäjille löytyy esimerkiksi Aegis ja iPhonelle 2FAS sekä Tofu.\n\n2FA-sovelluksen perusidea on varsin yksinkertainen. Kun otat kaksivaiheisen tunnistautumisen online-palvelussa käyttöön, sinun on usein skannattava 2FA-sovelluksella QR-koodi. Koodi sisältää _salaisuuden_ , jonka palvelu ja puhelimesi pistävät talteen. Salaisuuden sekä aikaleiman avulla sovellus laskee 30 sekunnin välein kuuden numeron sarjan. Tunnistautuessa näppäilet numeron sille annettuun kenttään ja samaan aikaan palvelu tekee saman. Mikäli kumpikin saa saman tuloksen, tunnistautuminen on onnistunut.\n\nUsein palvelut hyväksyvät aktiivisen numerosarjan lisäksi myös edellisen numerosarjan, joten koodia ei tarvitse näppäillä kiireellä, vaikka se olisikin vaihtumassa muutaman sekunnin kuluttua. En mene sen syvemmälle koodin generointiin, mutta mainitsen sen, että koodi generoidaan sellaisella algoritmilla, että koodista ei ole mahdollista päätellä salaisuutta.\n\n### Kaksivaiheisen tunnistautumisen haasteet\n\nLuonnollisesti kaksivaiheisen tunnistautumisen käyttäminen luo kitkaa. Sen sijaan, että annat salasanamanagerin täyttää kirjautumistiedot, nyt sinun on lisäksi kaivettava kännykkä esiin ja näppäiltävä numerosarja.\n\nKaksivaiheista tunnistautumista käytettäessä on hyvä muistaa pari asiaa.\n\nEnsimmäinen on se, että se toimii vain silloin, kun tunnistautumisen vaiheet ovat erillään toisistaan. Jos kirjoitat pankkikorttisi tunnusluvun korttiin, koko idea menee hukkaan, koska kortin löytäjä saa samalla tunnusluvun ja voi nostaa kortilla rahaa.\n\nTästä syystä olen ihmetellyt sitä, kuinka monet ihmiset käyttävät salasanamanageria sekä salasanojen tallentamiseen että numerosarjojen generointiin. Vaikka tämä ei suoraan vertaudukaan pankkikorttiesimerkkiin, munat ovat silti samassa korissa. Mikäli pahantekijä saa salasanamanagerin pääsalasanan käsiinsä, hän saa käyttöönsä sekä salasanat että generoidut koodit.\n\nItse suosittelen, että tunnistautumisen vaiheet ovat selkeästi erillään toisistaan. Tällöin yhden pettäminen ei rampauta toista.\n\nMuista myös, että mikäli menetät pääsyn koodigeneraattoriin, päädyt helposti lukitsemaan itsesi ulos. Kun otat kaksivaiheisen tunnistautumisen käyttöön, saat useimmiten jonkinlaisen palautusavaimen tai kourallisen kertakäyttöisiä numerosarjoja, joiden avulla voit kirjautua hätätilanteessa sisään. Muista laittaa nämä talteen sellaiseen paikkaan, jossa ulkopuoliset eivät pääse niihin helposti käsiksi. Mikäli 2FA-sovellus mahdollistaa varmuuskopioiden ottamisen, sitä kannattaa käyttää.\n\nJos törmäät joskus tilanteeseen, jossa koodi ei kelpaa vaikka näppäilet sen oikein, tarkasta puhelimesi tai tietokoneesi kellonaika. Koska koodin generoiminen hyödyntää aikaleimaa, laitteesi on oltava samassa ajassa kohdepalvelimen kanssa.\n\nItse olen ottanut kaksivaiheisen tunnistautumisen käyttöön kaikissa palveluissa, joissa se on mahdollista. Mikäli et vielä käytä kaksivaiheista tunnistautumista, suosittelen sen käyttöönottoa ainakin sellaisissa palveluissa, joissa tunnuksen joutuminen vääriin käsiin voisi aiheuttaa suurta haittaa tai mielipahaa.",
  "title": "Mikä suojaa kun salasanat päätyvät vääriin käsiin?"
}