Criipto on nyt Idura. Lue täältä, miksi →

Monivaiheinen tunnistautuminen eli MFA: Mikä se on ja milloin sitä kannattaa käyttää?

Kirjoittanut Tobias Marshall-Heyman päivänä 16. joulukuuta 2024

3 min lukuaika

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Monivaiheinen tunnistautuminen eli MFA: Mikä se on ja milloin sitä kannattaa käyttää?</span>

Perinteiset tunnistautumistavat, kuten käyttäjätunnus ja salasana, ovat yhä alttiimpia kyberhyökkäyksille. Monivaiheinen tunnistautuminen eli MFA (Multi-Factor Authentication) on yksi tehokkaimmista tavoista suojata käyttäjätilejä ja vähentää tietomurtojen riskiä.

Heikot salasanat ja vuotaneet kirjautumistiedot ovat edelleen yksi yleisimmistä syistä tietoturvaloukkauksiin. IBM:n vuoden 2024 raportin mukaan vääriin käsiin joutuneet tunnukset ovat edelleen tietomurtojen merkittävimpiä syitä.

Tässä artikkelissa käymme läpi:

  • Mitä MFA tarkoittaa
  • Miten se toimii
  • Millaisia tunnistautumistekijöitä käytetään
  • Missä tilanteissa MFA:ta kannattaa käyttää
  • Mitä hyötyjä ja haasteita siihen liittyy

Mitä monivaiheinen tunnistautuminen tarkoittaa?

Monivaiheinen tunnistautuminen (MFA) tarkoittaa tunnistautumisprosessia, jossa käyttäjän henkilöllisyys varmennetaan useammalla kuin yhdellä tavalla.

Perinteisen käyttäjätunnus-salasana-yhdistelmän lisäksi käyttäjältä voidaan pyytää esimerkiksi:

  • Kertakäyttöinen vahvistuskoodi
  • Biometrinen tunniste
  • Passkey-tunnistautuminen
  • Vahvistus toisella laitteella

Kun tunnistautumisessa käytetään kahta tekijää, puhutaan usein kaksivaiheisesta tunnistautumisesta (2FA). Kolme tunnistautumistekijää muodostaa puolestaan kolmivaiheisen tunnistautumisen (3FA). Kaikki nämä kuuluvat MFA:n eli monivaiheisen tunnistautumisen piiriin.

Lisävarmennukset vaikeuttavat merkittävästi tilien väärinkäyttöä, vaikka yksi tunnistautumistekijä päätyisi vääriin käsiin.

Eri tunnistautumistekijät 

MFA perustuu eri tunnistautumistekijöiden yhdistämiseen. Näitä tekijöitä on neljä päätyyppiä:

1. Tietoon perustuva tunnistus

Käyttäjä varmentaa henkilöllisyytensä tiedolla, jonka vain hänen pitäisi tietää. Näitä ovat esimerkiksi kaikille tutut salasana, PIN-koodi ja turvakysymykset.

2. Laitteen hallussapitoon perustuva tunnistus

Hallussapitoon perustuva tunnistus varmistaa käyttäjän henkilöllisyyden jonkin käyttäjän omistaman laitteen tai välineen avulla.

Käytännössä tämä voi tarkoittaa esimerkiksi puhelimeen lähetettävää kertakäyttökoodia (OTP), sähköpostivahvistusta, tunnistautumissovellusta, turva-avainta tai passkeyta. Myös esimerkiksi Googlen ja Microsoftin tunnistautumissovellukset toimivat hallussapitoon perustuvina tunnistautumistekijöinä.

3. Biometrinen eli ominaisuuksiin perustuva tunnistus

Biometrinen tunnistus perustuu käyttäjän yksilöllisiin fyysisiin ominaisuuksiin. Yleisiä esimerkkejä ovat sormenjälkitunnistus, kasvojentunnistus ja silmän iiriksen tunnistus.

4. Toimintaan tai sijaintiin perustuva tunnistus

Toimintaan perustuva tunnistus analysoi käyttäjän normaalia toimintaa ja tunnistaa siitä poikkeavia tilanteita.

Järjestelmä voi esimerkiksi arvioida käyttäjän tavallista IP-osoitetta, sijaintia tai laitetta, jolla tunnistautuminen yleensä tapahtuu. Jos kirjautumisyritys tehdään poikkeavasta sijainnista tai tuntemattomalla laitteella, järjestelmä voi tulkita tilanteen riskiksi ja pyytää lisävahvistusta tai estää kirjautumisen kokonaan.

Miten monivaiheinen tunnistautuminen toimii käytännössä?

Monivaiheinen tunnistautuminen yhdistää useita tunnistautumistekijöitä turvallisuuden parantamiseksi.

Esimerkki MFA-kirjautumisesta:

  1. Käyttäjä syöttää käyttäjätunnuksen ja salasanan
  2. Palvelu pyytää vahvistamaan henkilöllisyyden esimerkiksi kasvojentunnistuksella
  3. Käyttäjä saa puhelimeensa kertakäyttökoodin
  4. Kun kaikki vaiheet on hyväksytty, käyttäjä pääsee palveluun

Vaikka yksi tunnistautumistekijä pettäisi, hyökkääjän täytyy silti ohittaa muut suojauskerrokset.

Yhdysvaltain kansallisen kyberturvallisuusjohtajan mukaan MFA voi estää jopa 80–90 % kyberhyökkäyksistä. Microsoft puolestaan raportoi, että 99,99 % murretuista käyttäjätileistä ei käyttänyt MFA:ta.

Erilaiset MFA-mallit

Yritykset voivat toteuttaa monivaiheisen tunnistautumisen eri tavoin riippuen turvallisuusvaatimuksista ja käyttäjäkokemuksesta.

1. Jatkuva MFA

Käyttäjän on tunnistauduttava MFA:lla jokaisella kirjautumiskerralla. Tämä menettely tarjoaa korkean turvallisuustason, mutta voi tehdä varsinkin arkisemmasta asioinnista tarpeettoman vaivalloista.

2. Valinnainen MFA

Käyttäjä voi itse päättää, ottaako MFA:n käyttöön. Ratkaisu tarjoaa joustavuutta, mutta turvallisuus riippuu käyttäjän omista valinnoista. 

3. Step-up-varmennus

Lisävahvistus pyydetään vain korkeamman riskin tilanteissa. Esimerkiksi:

Tilin saldon tarkistus → normaali kirjautuminen
Rahansiirto → lisävahvistus

Tällä tavalla turvallisuus ja käytettävyys pysyvät paremmin tasapainossa.

4. Aikaan ja laitteeseen perustuva uudelleenvarmennus

Käyttäjän ei tarvitse tunnistautua uudelleen jokaisella käyttökerralla, jos hän käyttää samaa laitetta lyhyen ajan sisällä. Tämä vähentää ylimääräisiä tunnistautumispyyntöjä säilyttäen samalla turvallisuuden

Mitä mukautettu MFA tarkoittaa?

Mukautettu eli riskiperusteinen MFA arvioi kirjautumistilanteen riskitasoa reaaliaikaisesti.

Järjestelmä voi huomioida esimerkiksi:

  • Sijainnin
  • Laitteen
  • IP-osoitteen
  • Käyttäjän normaalin toiminnan

Jos kirjautuminen tapahtuu tutusta ympäristöstä, käyttäjältä ei välttämättä pyydetä lisävahvistuksia. Poikkeava kirjautumisyritys voi kuitenkin käynnistää lisätarkistuksia tai estää pääsyn kokonaan.

Monivaiheisen tunnistautumisen hyödyt

Monivaiheinen tunnistautuminen on yrityksille ja yksityishenkilöille tärkeää monista syistä:

  1. Parempi tietoturva
    Useampi tunnistautumistekijä pienentää väärinkäytön riskiä merkittävästi.
  2. Sääntelyn noudattaminen
    MFA auttaa organisaatioita täyttämään tietoturva- ja tietosuojavaatimuksia.
  3. Nopeampi reagointi poikkeaviin tilanteisiin
    Epäilyttävät kirjautumiset voidaan havaita aikaisemmin.
  4. Turvallisempi etätyö
    MFA suojaa käyttäjätilejä myös silloin, kun työntekijät kirjautuvat eri verkoista ja sijainneista.

Mitä haasteita MFA:n käyttöön liittyy

Vaikka MFA parantaa turvallisuutta merkittävästi, siihen liittyy myös haasteita.

Käyttäjäkokemus: Useat tunnistautumisvaiheet voivat tuntua käyttäjästä hitailta tai vaivalloisilta. Jos käyttäjä kokee monivaiheisen tunnistautumisen turhauttavaksi, hän saattaa vältellä sen käyttöönottoa viimeiseen asti. On siis myös tunnistautumispalveluita tarjoavien yritysten etu tehdä MFA-kokemuksesta mahdollisimman sujuva. Siten mahdollisimman moni ottaa MFA:n käyttöön aikaisemmassa vaiheessa, mikä puolestaan auttaa osaltaan hillitsemään tietoturvariskejä. Vapaaehtoinen käyttöönotto pätee kuitenkin vain valinnaisen MFA:n tapauksessa.

Laitteiden katoaminen: Jos tunnistautuminen perustuu fyysiseen laitteeseen, sen katoaminen voi aiheuttaa suuria ongelmia palveluun kirjautumisessa.

Kustannukset: Kehittyneiden MFA-ratkaisujen käyttöönotto ja ylläpito voivat olla organisaatioille merkittävä investointi.


Monivaiheisen tunnistautumisen tulevaisuus

Kyberrikollisuuden lisääntyessä ja sen aiheuttamien kustannusten kasvaessa organisaatiot ottavat yhä useammin MFA:n osaksi identiteetin- ja pääsynhallintaratkaisujaan (IAM).
MFA-markkinoiden odotetaan kasvavan merkittävästi tulevina vuosina. Markkinan arvon arvioidaan nousevan noin 40 miljardiin dollariin vuoteen 2030 mennessä, ja vuosittaisen kasvun arvioidaan olevan keskimäärin 18 % vuosien 2021–2030 välillä.

MFA:n käyttöönotossa on kuitenkin edelleen suuria eroja yritysten koon mukaan. Yli 10 000 työntekijän yrityksistä noin 87 % käyttää MFA:ta, kun taas keskisuurissa yrityksissä (26–100 työntekijää) käyttöaste on noin 34 % ja pienissä yrityksissä (alle 26 työntekijää) noin 27 %. Jotta MFA:n käyttö yleistyisi laajemmin, kaiken kokoisten organisaatioiden tulisi sitoutua sen käyttöönottoon.

MFA:n tulevaisuus perustuu turvallisuuden ja käyttömukavuuden tasapainottamiseen. Tekoäly tulee näyttelemään yhä suurempaa roolia riskien arvioinnissa ja käyttäytymismallien analysoinnissa, jotta normaali toiminta voidaan erottaa poikkeavasta toiminnasta. Tämä parantaa sekä tietoturvaa että käyttökokemusta.

Samalla tunnistautumismenetelmät, kuten biometrinen tunnistus, kehittyvät edelleen ja tekevät tunnistautumisesta aiempaa helpompaa ja sujuvampaa. Lopulta turvallisempi digitaalinen ympäristö edellyttää parempaa ymmärrystä MFA:n hyödyistä. Mitä useampi ottaa MFA:n käyttöön mahdollisimman monessa palvelussa, sitä paremmin tärkeät tiedot ja käyttäjätilit voidaan suojata.

Yhteenveto

Monivaiheinen tunnistautuminen on yksi tehokkaimmista tavoista suojata käyttäjätilejä ja ehkäistä tietomurtoja.

Pelkkä salasana ei enää riitä suojaamaan käyttäjiä nykyaikaisilta kyberuhilta. Mitä useampi palvelu ottaa MFA:n käyttöön ja mitä useampi käyttäjä hyödyntää sitä, sitä turvallisemmaksi digitaalinen ympäristö muuttuu.
Table of contents

Näytä kaikki
Pelkkä digilompakko ei riitä digitaalisen henkilöllisyyden käyttöön Euroopassa
Pelkkä digilompakko ei riitä digitaalisen henkilöllisyyden käyttöön Euroopassa
Tunnistautuminen

Pelkkä digilompakko ei riitä digitaalisen henkilöllisyyden käyttöön Euroopassa

7. lokakuuta 2025 2 min lukuaika
Viisi syytä, miksi digitaalisten todistusten käyttöönotto on hidasta
Viisi syytä, miksi digitaalisten todistusten käyttöönotto on hidasta
Tunnistautuminen

Viisi syytä, miksi digitaalisten todistusten käyttöönotto on hidasta

9. heinäkuuta 2025 2 min lukuaika
Passkey – uusi helpompi tapa kirjautua ilman salasanoja
Passkey – uusi helpompi tapa kirjautua ilman salasanoja
Tunnistautuminen

Passkey – uusi helpompi tapa kirjautua ilman salasanoja

13. joulukuuta 2024 3 min lukuaika