Kaksitekijäinen – ja miksi SMS-koodit ovat heikko lenkki
25. kesäkuuta 2026 · 3 min luettavaa · Kommentit
Tämä artikkeli sisältää affiliate-linkkejä. Jos ostat niiden kautta, voimme ansaita palkkion – ilman lisäkustannuksia.
Kaksivaiheinen todennus on yksi tehokkaimmista tietoturvapäivityksistä, joita voit tehdä. Mutta kaikki kaksitekijät eivät ole samoja – ja yleisimmässä versiossa, jossa useimmat palvelut ovat oletuksena, on erityinen, hyvin dokumentoitu haavoittuvuus, jota useimmat ihmiset eivät tiedä.
Kaksivaiheinen todennus toimii vaatimalla jotain, jonka tiedät (salasanasi) ja jotain, joka sinulla on (yleensä koodi). Vaikka joku varastaisi salasanasi, hän ei voi kirjautua sisään ilman toista tekijää. Se on todella hyvää. Kysymys kuuluu, mitä "jotain sinulla on" tarkoittaa.
Ongelma SMS-koodeissa
Tekstiviestikoodit lähetetään puhelinnumeroosi. Operaattorisi hallitsee puhelinnumeroasi. Ja operaattoreita voidaan manipuloida – joskus manipuloinnilla, joskus työntekijöiden suoralla lahjonnalla – siirtämään numerosi hyökkääjän hallitsemalle SIM-kortille. Tätä kutsutaan SIM-kortin vaihdoksi.
Kun numerosi on siirretty, jokainen "puhelimeesi" lähetetty tekstiviestikoodi menee hyökkääjän laitteeseen. Salasanasi ja kaikki tekstiviestipohjaiset kaksitekijät ovat nyt heidän. Arvokkaat kohteet – ihmiset, joilla on merkittävä kryptovaluutta, johtajat, toimittajat – vaarantuvat säännöllisesti tällä tavalla.
Mitä käyttää sen sijaan
Todennussovellus luo aikaperusteisia koodeja laitteellesi. Niitä ei lähetetä puhelinverkon kautta – mikään SIM-kortin vaihto ei voi siepata niitä. Sovellukset, kuten Google Authenticator tai Authy, toimivat tällä tavalla. NordPass sisältää myös sisäänrakennetun autentikaattorin, mikä tarkoittaa, että 2FA-koodisi ja salasanasi ovat samassa suojatussa holvissa.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Kaksitekijäinen kannattaa ottaa heikoimmassakin muodossaan. SMS 2FA on huomattavasti parempi kuin ei 2FA. Mutta jos aiot käyttää sitä, kestää noin kaksi minuuttia tiliä kohden päivittää tekstiviestistä todennussovellukseksi – ja suojausvaje on merkittävä.
Usein kysytyt kysymykset
What is credential stuffing?+
Tunnistetietojen täyttäminen tarkoittaa sitä, että hyökkääjät ottavat yhden tietomurron yhteydessä paljastuneet sähköposti- ja salasanayhdistelmät ja kokeilevat niitä automaattisesti muita palveluita vastaan. Jos käytät salasanoja uudelleen, yhden sivuston tietomurto antaa hyökkääjille pääsyn jokaiselle tilille samoilla tunnistetiedoilla.
Is it safe to store all your passwords in one place?+
Kyllä, kun käytät hyvämaineista salasananhallintaohjelmaa. Salattu holvi on paljon turvallisempi kuin uudelleenkäytetyt tai heikot salasanat. Salasanojen hallintaohjelmat, kuten NordPass, käyttävät nolla-tietoarkkitehtuuria, mikä tarkoittaa, että edes yritys ei näe tallennettuja salasanojasi.
What is two-factor authentication and should I use it?+
Kaksivaiheinen todennus (2FA) vaatii toisen vahvistusvaiheen salasanasi jälkeen – yleensä koodin sovelluksesta. Käytä todennussovellusta (Google Authenticator, Authy) SMS-koodien sijaan, koska ne ovat alttiina SIM-vaihtohyökkäyksille.
