Mitkä ovat vahvimpia 2FA-menetelmiä?

Turvallisimpia toisia tekijöitä ovat ne, jotka kestävät phishingiä ja joita ei voi helposti siepata. Näitä ovat FIDO2/WebAuthn-turva-avaimet (esim. YubiKey, Titan Security Key), TOTP-pohjaiset tunnistautumissovellukset (Google Authenticator, Authy) ja Passkeyt. SMS- ja sähköposti-2FA ovat heikompia ja niitä tulisi välttää, jos mahdollista.

SMS-pohjainen 2FA on turvaton

Q: Miksi SMS-pohjainen 2FA on turvaton?

SMS-pohjainen 2FA on altis SIM-vaihtohuijauksille, SS7-haavoittuvuuksien hyödyntämiselle sekä phishingille. Hyökkääjät voivat kaapata puhelinnumerosi ja saada haltuun tunnistuskoodit, joten tämä ei ole luotettava tapa tunnistautua. Suosi sen sijaan laitteistotunnistautumista tai TOTP-sovelluksia.

Q: Mitä tapahtuu, jos menetän toisen tekijän (esim. puhelin, YubiKey)?

Jos menetät pääsyn toiseen tekijään, voit palauttaa tilisi käyttämällä varakoodeja, toista tunnistautumislaitetta tai ottamalla yhteyttä palvelun tukeen. On suositeltavaa ottaa käyttöön useampia tunnistautumisvaihtoehtoja estääksesi tilin sulkeutumisen pysyvästi.

Q: Voivatko hakkeroijat kiertää kaksivaiheisen tunnistautumisen?

Vaikka 2FA parantaa tietoturvaa merkittävästi, osa menetelmistä voidaan kiertää phishingilla, man-in-the-middle-hyökkäyksillä ja SIM-vaihtohuijauksilla. Käytä phishing-resistenttejä todennusmenetelmiä, kuten laitteistoturva-avaimia, passkey-avainkirjautumista tai laitteistoon sidottua tunnistautumista.

Miksi Psono välttää SMS-pohjaista 2FA:ta ja keskittyy vahvempiin tunnistusmenetelmiin

Kun puhutaan salasanojen ja herkän datan suojaamisesta, kaikki kaksivaiheisen tunnistautumisen (2FA) menetelmät eivät ole yhtä turvallisia. Monet palvelut tarjoavat yhä SMS-pohjaista 2FA:ta, mutta tietoturvasta tarkat alustat kuten Psono välttävät sitä kokonaan ja suosivat vahvempia vaihtoehtoja kuten WebAuthn, YubiKey ja TOTP (Time-Based One-Time Passwords).

Tämä ei ole pelkkää mieltymystä – se on välttämättömyys vahvan tietoturvan takaamiseksi. SMS-pohjaiseen 2FA:han liittyy merkittäviä haavoittuvuuksia, ja todelliset hyökkäykset ovat osoittaneet, että se on helppo kohde hakkereille. Tässä blogikirjoituksessa avaamme, miksi SMS 2FA on heikko ja tuomme esiin oikeita hyökkäysesimerkkejä, jotka osoittavat sen puutteet.

🔒 SMS-pohjaisen 2FA:n heikkoudet

SMS-tunnistautuminen on altis useille hyökkäystavoille, kuten:

SIM-vaihto (SIM Swapping) – Hyökkääjät huijaavat puhelinoperaattoria siirtämään uhrin puhelinnumeron uudelle SIM-kortille, jolloin kaikki SMS-koodit päätyvät heille.
SS7-hyökkäykset – Hyödynnetään maailmanlaajuisen Signaling System No. 7 (SS7) -protokollan haavoittuvuuksia tekstiviestien sieppaamiseksi etänä.
Phishing ja sosiaalinen manipulointi – Käyttäjiä huijataan syöttämään SMS-pohjaisia koodeja väärennetyille kirjautumissivuille.

Nämä riskit tekevät SMS-pohjaisesta 2FA:sta yhden heikoimmista tunnistustavoista.

🛡️ Miksi Psono käyttää vahvempaa 2FA:ta

Psono asettaa tietoturvan etusijalle ja tukee vain vahvoja kaksivaiheisia tunnistusmenetelmiä, kuten:

WebAuthn (FIDO2) – Hyödyntää julkisen avaimen salakirjoitusta sekä biometriikkaa tai laitteistopohjaisia avaimia (esim. YubiKey).
YubiKey & muut turva-avaimet – Fyysisiä avaimia, jotka edellyttävät fyysistä pääsyä tunnistautumiseen.
TOTP (Google Authenticator, Authy, jne.) – Kertakäyttösalasanat, jotka generoidaan laitteella, ei lähetetä viestillä.

Nämä menetelmät ovat merkittävästi turvallisempia, koska ne ovat phishing-resistenttejä, eivät riipu operaattoreista ja poistavat etäkaappausriskin.

📢 Oikeita hyökkäysesimerkkejä SMS 2FA:ta vastaan

Havainnollistaaksemme, miksi Psono ei käytä SMS-pohjaista tunnistautumista, tässä oikeita hyökkäysesimerkkejä, joissa SMS-2FA:n heikkoudet on hyödynnetty:

1. Kiinan hyökkäykset Yhdysvaltain teleoperaattoreihin (SS7-haavoittuvuudet ym.)

Helmikuussa 2024 FBI ja CISA antoivat yhteisen varoituksen kiinalaisten valtion tukemien hakkereiden hyökkäyksistä kaupallisiin teleoperaattoriverkkoihin. Näissä hyökkäyksissä hyödynnettiin SS7-protokollan haavoittuvuuksia, joiden avulla hyökkääjät pystyivät sieppaamaan tunnistusviestejä, osoittaen miten SMS 2FA voidaan murtaa järjestelmätasolla.

2. Twitterin (X) toimitusjohtaja Jack Dorseyn SIM-swap-hyökkäys (2019)

Vuonna 2019 silloinen Twitterin toimitusjohtaja Jack Dorsey menetti tilinsä SIM-vaihtohuijauksen vuoksi. Hyökkääjät saivat hänen puhelinnumeronsa siirrettyä omalle SIM-kortilleen, jolloin he pystyivät sieppaamaan 2FA-koodit tekstiviesteistä ja ottamaan haltuun hänen Twitter-tilinsä.

3. Coinbase SIM-vaihtohyökkäykset (2021) – Tuhansien dollareiden varkaudet

Vuonna 2021 Coinbase kertoi yli 6 000 asiakkaansa menettäneen varojaan laajan SIM-swap-hyökkäyksen seurauksena. Hyökkääjät nollasivat uhrien salasanat siepatuilla SMS-koodeilla, saivat täyden hallinnan tileihin ja varastivat kryptovaluuttoja.

4. Redditin tietomurto 2018 – SMS-2FA epäonnistui

Vuonna 2018 Reddit joutui tietomurron kohteeksi, missä hyökkääjät pääsivät työntekijätileihin, vaikka niissä oli SMS-2FA käytössä. Hyökkääjät käyttivät siepattuja SMS-koodeja kiertääkseen tunnistautumisen, paljastaen käyttäjätietoja.

🚀 2FA:n tulevaisuus: Mene pidemmälle kuin SMS

Jos käytät yhä SMS-pohjaista 2FA:ta, nyt on aika siirtyä vahvempaan vaihtoehtoon, kuten WebAuthn-, YubiKey- tai TOTP-pohjaiseen tunnistautumiseen. Psono on sitoutunut tietoturvaan eikä siksi tarjoa SMS-tunnistautumista.

Haluatko olla turvassa? Käytä laitetunnistautumista, TOTP-sovelluksia tai biometrista tunnistusta – älä koskaan luota pelkkään SMS-pohjaiseen tunnistautumiseen.

Suojaa tilisi oikein — jätä SMS-2FA historiaan!

Usein Kysytyt Kysymykset Kaksivaiheisesta Tunnistautumisesta (2FA)

Mikä on kaksivaiheinen tunnistautuminen (2FA) ja miksi se on tärkeää?

Kaksivaiheinen tunnistautuminen (2FA) on ylimääräinen suojauskerros, jossa tarvitaan kaksi tunnistautumistapaa ennen kuin tilille päästään. Salasanan lisäksi tarvitaan esimerkiksi:

Kertakäyttökoodi tunnistautumissovelluksesta (TOTP)
Laitteistoturva-avain (esim. YubiKey, Titan Security Key)
Biometrinen tunnistautuminen (sormenjälki, kasvojentunnistus)

Se vähentää merkittävästi luvattoman pääsyn riskiä, vaikka salasana joutuisi vääriin käsiin.

Mitkä ovat vahvimmat 2FA-tyypit?

Vahvimpia toisia tekijöitä ovat ne, jotka ovat phishing-resistenttejä ja vaikeasti siepattavia. Näitä ovat muun muassa:

✅ FIDO2/WebAuthn-turva-avaimet (esim. YubiKey, Titan Security Key)
✅ TOTP-pohjaiset tunnistautumissovellukset (Google Authenticator, Authy, Aegis)
✅ Passkeyt (salasanaton tunnistautuminen biometrian tai turvallisuusavaimen avulla)

Heikommat tavat, joita tulee välttää:

❌ SMS-pohjainen 2FA – Altis SIM-vaihtohuijauksille ja SS7-hyökkäyksille
❌ Sähköpostipohjainen 2FA – Voi vaarantua, jos sähköpostitilisi kaapataan

Miksi SMS-pohjainen 2FA on turvaton?

SMS-2FA on altis useille hyökkäyksille, mm.:

SIM-swap-hyökkäykset – Operaattoria huijataan siirtämään numerosi hyökkääjän SIM-kortille, jolloin hän saa 2FA-koodisi.
SS7-haavoittuvuudet – Hyökkääjät voivat siepata tekstiviestit hyödyntäen televerkon haavoittuvuuksia.
Phishing-hyökkäykset – Väärennetyt sivustot houkuttelevat käyttäjiä syöttämään SMS-koodeja, jolloin hyökkääjät pääsevät tilille.

🔹 Parempia vaihtoehtoja: Käytä turva-avaimia tai TOTP-sovelluksia SMS-2FA:n sijaan.

Mitä tapahtuu, jos menetän toisen tekijän (esim. puhelin, YubiKey)?

Jos et pääse toiseen tekijään, voit palauttaa tilisi seuraavin keinoin:

Käytä varakoodeja – Useimmat palvelut tarjoavat kertakäyttöisiä varakoodeja, säilytä ne turvallisesti.
Käytä varalaitetta – Joissain sovelluksissa voit lisätä useita laitteita TOTP-koodeille.
Ota yhteyttä tukeen – Joillain palveluilla on tilinpalautusprosessi, mutta se voi olla hidasta ja vaatia henkilöllisyyden todistamista.
Käytä varaturva-avainta – Jos palvelu sallii, rekisteröi useampi turva-avain (esim. pää- ja varakappale).

🔹 Vinkki: Ota käyttöön useita tunnistautumistapoja varmuuden vuoksi.

Voivatko hakkeroijat kiertää kaksivaiheisen tunnistautumisen?

Vaikka 2FA parantaa tietoturvaa huomattavasti, osa menetelmistä voidaan kiertää edistyneillä hyökkäyksillä:

🚨 Yleisimpiä hyökkäystapoja:

Phishing – Väärennetyt kirjautumissivut pyytävät käyttäjältä sekä salasanan että 2FA-koodin.
Man-in-the-Middle (MitM) -hyökkäykset – Tunnistustietojen kaappaaminen suojaamattoman verkon kautta.
SIM-vaihto – SMS-koodit ohjataan hyökkääjän puhelimeen.

✅ Näin suojaudut:

Käytä phishing-resistenttejä tunnistautumismenetelmiä (WebAuthn, passkeyt, turva-avaimet).
Ota käyttöön laitteistoon sidottu tunnistautuminen (että tunnistustunnuksia ei voi käyttää muualla).
Ole tarkkana kirjautumissivujen kanssa – Tarkista aina verkko-osoite ennen tietojen syöttämistä.

kirjoittanut Sascha Pfeiffer February 12, 2025

Etsitkö lisää?

Tutustu uusimpiin artikkeleihimme täällä!