Monivaiheinen tunnistautuminen (MFA) ei ole enää vain suuryrityksille suunnattu tietoturvasuositus. Se on yrityksille yksi käytännöllisimmistä tavoista vähentää tilien haltuunoton riskiä ja tehdä varastetuista salasanoista vähemmän hyödyllisiä. Kun pääsy yritysjärjestelmiin laajenee pilvisovelluksiin, etätiimeihin, jaettuihin laitteisiin ja ulkopuolisten tahojen alustoille, MFA:sta on tulossa yhä hyödyllisempi työkalu.

Käyttöönoton aikana IT-päälliköt kohtaavat kuitenkin haasteen arvioida, onko MFA hyödyllinen tai tehokas. MFA:n saaminen toimimaan koko organisaatiossa vaatii runsaasti päätöksiä: Mitkä tilit tarvitsevat sitä ensin? Mitkä MFA-menetelmät tulisi sallia? Miten voitte välttää työntekijöiden vastustuksen? Miten varmistatte, että MFA:ta todella edellytetään eikä sitä vain suositella?

Tämä opas on kirjoitettu auttamaan yritystänne MFA:n käyttöönoton onnistumisessa. Siinä selitetään, mikä MFA on, miksi pelkät salasanat eivät enää riitä, miten yleiset MFA-menetelmät vertautuvat yrityskäytössä ja miten MFA otetaan käyttöön siten, että tiiminne voi omaksua sen. Se myös näyttää, miten sisäänrakennetulla 2FA-tuella varustettu yritysten salasananhallinta voi helpottaa vahvempien tunnistautumiskäytäntöjen hallintaa laajassa mittakaavassa.

Mikä on monivaiheinen tunnistautuminen?

Miksi pelkät salasanat eivät enää riitä

MFA-tyypit ja kompromissit yrityksille

Missä MFA:n käyttöönotto epäonnistuu

Työntekijöiden vastustuksen ongelma

Miten MFA otetaan käyttöön yrityksessänne

Miten Proton Pass for Business tekee MFA:sta hallittavan

Mikä on monivaiheinen tunnistautuminen?

MFA on tietoturvamenettely, joka vaatii useamman kuin yhden tavan vahvistaa henkilöllisyys tilille kirjautumiseksi. Sen sijaan, että luotettaisiin vain perinteiseen salasanaan, MFA edellyttää lisätekijää, joka vaikeuttaa luvatonta pääsyä.

Kolme yleistä tunnistautumistekijää ovat:

  • Jotakin, mitä tiedätte, kuten salasana tai PIN-koodi.
  • Jotakin, mitä teillä on, kuten puhelin, tunnistautumissovellus, laitteistopohjainen suojausavain tai luotettu laite.
  • Jotakin, mitä olette, kuten sormenjälki tai kasvojentunnistus.

Käytännössä MFA tarkoittaa yleensä sitä, että työntekijä syöttää salasanan ja vahvistaa sitten kirjautumisen toisella menetelmällä, kuten kertakäyttöisellä aikapohjaisella koodilla (tai TOTP-koodilla), push-hyväksynnällä, pääsyavaimella tai laitteistoavaimella. Tavoite on yksinkertainen: jos salasana varastetaan, arvataan, kalastellaan tai sitä käytetään uudelleen, hyökkääjä tarvitsee silti toisen tekijän päästäkseen sisään.

Monivaiheinen tunnistautuminen yritysympäristöissä

Yrityksille MFA:n käyttöönotto on tapa vahvistaa tilien tietoturvaa ylimääräisellä pääsynvalvonnalla, ei vain korvata salasanoja. Yritysympäristöissä haasteena on päättää, missä näitä menetelmiä tarvitaan eniten ja miten ne otetaan johdonmukaisesti käyttöön eri järjestelmissä, rooleissa ja riskitasoilla.

Kaikki MFA-toteutukset eivät kuitenkaan ole yhtä vahvoja. SMS-viestillä lähetetty koodi on tyhjää parempi, mutta se ei tarjoa samanlaista suojaa kuin laitteistopohjainen suojausavain tai hyvin toteutettu pääsyavain. Oikea valinta riippuu riskistä, käytettävyydestä, laitteiden käytöstä, vaatimustenmukaisuusvaatimuksista ja siitä, kuinka paljon hallinnollista valvontaa yrityksenne voi ylläpitää.

Miksi pelkät salasanat eivät enää riitä

Vahvat salasanat ovat edelleen tärkeitä, mutta ne eivät enää yksin riitä. Työntekijät hallitsevat useampia tilejä kuin koskaan ennen, ja hyökkääjät tietävät, että pääsy yrityksen tietoihin alkaa usein yhdestä vaarantuneesta kirjautumistiedosta.

Salasana voi paljastua tietojenkalastelun, haittaohjelmien(uusi ikkuna), tietomurtojen, kirjautumistietojen täytön (credential stuffing), salasanojen uudelleenkäytön tai turvattoman jakamisen vuoksi. Kun hyökkääjillä on voimassa oleva käyttäjätunnus ja salasana, heidän toimintansa voi näyttää tavalliselta kirjautumisyritykseltä, ellei vaadita toista vahvistustasoa.

Tästä syystä yritysten tietomurtosuojauksen on sisällettävä kirjautumistietojen hallintaa, päätepisteiden suojausta ja työntekijöiden koulutusta. Vahva salasanakäytäntö auttaa, mutta se ei voi estää jokaista varastettua salasanaa tulemasta testatuksi sähköpostia, pilvitallennustilaa, taloustyökaluja, ylläpitoportaaleja tai asiakasjärjestelmiä vastaan.

Taloudelliset panokset ovat suuret. IBM:n vuoden 2025 Cost of a Data Breach -raportti(uusi ikkuna) arvioi tietomurron maailmanlaajuiseksi keskihinnaksi 4,4 miljoonaa dollaria. MFA ei voi poistaa murron riskiä, mutta se vähentää yhtä yleisimmistä pääsyreiteistä yrityksen järjestelmiin: luvatonta pääsyä altistuneiden kirjautumistietojen kautta.

MFA on erityisen tärkeä tileille, jotka hallitsevat muita tilejä. Sähköpostia, identiteetintarjoajia, salasananhallintoja, ylläpitokonsooleja, kehitysalustoja, palkanlaskentatyökaluja ja talousjärjestelmiä tulisi pitää erittäin tärkeinä, koska pääsyn saaminen niihin voi avata pääsyn muuallekin.

MFA-tyypit ja kompromissit yrityksille

Hyvä MFA-käyttöönotto alkaa oikeiden menetelmien valitsemisesta. Paras vaihtoehto ei aina ole sama jokaiselle yritykselle, tiimille tai järjestelmälle. Esimerkiksi IT-päälliköiden on tasapainotettava tietoturvan vahvuus, työntekijöiden käytettävyys, laitteiden saatavuus, hallinnollinen vaivannäkö ja tukitarpeet.

Kertakäyttöiset salasanat tekstiviestillä (SMS)

Tekstiviestillä (SMS) lähetettävät kertakäyttöiset salasanat (OTP) lähettävät koodin puhelinnumeroon kirjautumisen aikana. Tämä on työntekijöille yksi helpoimmin ymmärrettävistä MFA-menetelmistä, ja se voi olla hyödyllinen tilanteissa, joissa parempia vaihtoehtoja ei ole saatavilla.

Haittapuolena on tietoturva. SMS-viestit voivat altistua SIM-kortin vaihdolle (SIM swapping), kaappaukselle, sosiaaliselle manipuloinnille ja puhelinnumeron palautushyökkäyksille. Se aiheuttaa myös toiminnallisia ongelmia, kun työntekijät vaihtavat numeroaan, matkustavat ulkomailla, kärsivät huonosta kuuluvuudesta tai käyttävät omia puhelimiaan työkäyttöön.

Yrityksille SMS-pohjaiset OTP-koodit ovat parhaimmillaan varavaihtoehtona ensisijaisen MFA-menetelmän sijaan. Se on silti parempi vaihtoehto kuin pelkät salasanat, mutta sen ei pitäisi olla oletusarvo korkean riskin tileille.

Tunnistautumissovellukset ja TOTP-koodit

Työntekijät avaavat tunnistautumissovelluksen, kuten Proton Authenticatorin, kopioivat koodin, joka on luotu palveluun, johon he ovat kirjautumassa, ja syöttävät sen kirjautumisen yhteydessä.

Tämä on yleensä vahvempi vaihtoehto kuin SMS, koska koodi luodaan laitteessa eikä se ole riippuvainen matkapuhelinverkosta. Se on myös laajasti tuettu yritystyökaluissa, mikä tekee siitä käytännöllisen lähtökohdan monille MFA-käyttöönotoille.

Kompromissina ovat käytettävyys ja palautus. Työntekijöiden on määritettävä sovellus oikein, säilytettävä pääsy laitteeseensa ja ymmärrettävä, miten palautus toimii, jos puhelin katoaa tai vaihdetaan. IT-tiimien on myös luotava selkeät käytännöt varmuuskopiokoodeille, laitemuutoksille ja työntekijöiden poistamiselle.

TOTP-koodit toimivat hyvin yleisenä yrityksen MFA-menetelmänä, etenkin kun ne yhdistetään vahvaan salasananhallintaan ja selkeisiin ylläpitoprosesseihin.

Laitteistopohjaiset suojausavaimet

Laitteistopohjaiset suojausavaimet, kuten YubiKeyt, tarjoavat vahvan tunnistautumisen, koska työntekijän on hallittava avainta fyysisesti päästäkseen yritystileille. Monet suojausavaimet suojaavat myös tietojenkalastelulta, sillä ne varmistavat itse verkkosivuston luotettavuuden ennen tunnistautumisen viimeistelyä.

Korkean riskin tehtävissä laitteistoavaimet voivat olla yksi vahvimmista MFA-vaihtoehdoista. Ne ovat erityisen hyödyllisiä ylläpitäjille, johtajille, taloustiimeille, kehittäjille ja kaikille, joilla on pääsy arkaluontoisiin järjestelmiin.

Kompromissina on käyttöönoton monimutkaisuus. Yritysten on ostettava avaimia, jaettava niitä, koulutettava työntekijöitä, hallittava varmuuskopioita ja käsiteltävä kadonneita tai vaurioituneita laitteita. Laitteistoavainstrategia vaatii myös palautusprosessin, joka ei heikennä tietoturvaetua.

Pääsyavaimet

Pääsyavaimet käyttävät kryptografista tunnistautumista perinteisen salasanan sijaan. Monissa tapauksissa työntekijät avaavat pääsyavaimen sormenjäljellä, kasvojentunnistuksella, PIN-koodilla tai laitteen hyväksynnällä. Yksityinen avain pysyy laitteessa, mikä tekee pääsyavaimista vastustuskykyisempiä tietojenkalastelulle kuin monet vanhemmat tunnistautumismenetelmät.

Yrityksille pääsyavaimet voivat parantaa sekä tietoturvaa että käytettävyyttä. Ne vähentävät riippuvuutta jaetuista salaisuuksista ja voivat nopeuttaa työntekijöiden kirjautumista. Suurin haaste on ekosysteemin valmius. Kaikki yritystyökalut eivät vielä tue pääsyavaimia, ja IT-tiimit tarvitsevat käytäntöjä laitteiden rekisteröintiä, palautusta, jaettuja työpisteitä ja työntekijöiden poistamista varten.

Monille organisaatioille käytännöllinen ratkaisu on hybridimalli: käyttää pääsyavaimia siellä, missä niitä tuetaan, säilyttää vahvat salasanat ja MFA siellä, missä niitä edelleen vaaditaan, ja hallita molempia selkeiden pääsykäytäntöjen avulla.

MFA-menetelmäTietoturvan vahvuusSopivuus yrityksilleParas käyttötilanne
SMS OTPPerustasoHelppo ottaa käyttöön, mutta heikompi kuin muut MFA-menetelmätVaravaihtoehto, kun vahvempaa MFA-menetelmää ei ole saatavilla
TunnistautumissovelluksetKohtalainen tai vahvaKäytännöllinen oletus monille tiimeillePäivittäiset yritystilit ja SaaS-työkalut
Laitteistopohjaiset suojausavaimetErittäin vahvaParas korkean riskin tehtäviin, mutta vaatii laitehallintaaYlläpitäjät, johtoryhmät, taloustiimit ja arkaluonteiset järjestelmät
PääsyavaimetErittäin vahvaTurvallinen ja käyttäjäystävällinen siellä, missä sitä tuetaanModernit sovellukset, salasanattomat työnkulut ja tietojenkalastelun kestävä pääsy

Missä MFA:n käyttöönotto epäonnistuu

MFA voi silti epäonnistua, vaikka yritys olisi ottanut sen käyttöön. Käyttöönoton laadulla on itse asiassa yhtä paljon merkitystä kuin itse MFA-menetelmällä. Epäonnistumisen syitä voivat olla muun muassa:

  • Heikko palautus. Jos työntekijät voivat ohittaa MFA:n helpon tilin palautuksen, tukipalvelun oikoteiden tai huonosti suojattujen varmuuskopiokoodien avulla, hyökkääjät voivat ottaa kohteekseen palautusprosessin kirjautumisnäytön sijaan.
  • Epäjohdonmukainen pakottaminen. MFA saatetaan ottaa käyttöön joissakin työkaluissa, mutta jättää valinnaiseksi sähköpostille, ylläpitäjien tileille, talousjärjestelmille, jaetuille toiminnallisille tileille tai tietyille työntekijöille. Tällaisessa tilanteessa MFA:sta tulee pikemminkin tavoite kuin valvontakeino, ja hyökkääjät voivat silti etsiä heikoimman käytettävissä olevan reitin.
  • Huono käytettävyys. Jos työntekijöiden työnteko keskeytyy jatkuvasti, heidän pääsynsä lukitaan tai heille ei ole selvää, mitä heidän pitäisi hyväksyä, he voivat turhautua ja tehdä helpommin virheitä. Push-väsymys on tästä yksi esimerkki: toistuvat hyväksymispyynnöt voivat opettaa ihmiset hyväksymään pyynnöt ajattelematta.

Vahva MFA:n käyttöönotto vaatii pakottamista, valvontaa ja tukea. Työntekijöille tulisi olla helppoa toimia oikein ja vaikeaa jättää tärkeät tilit suojaamattomiksi.

Työntekijöiden vastustuksen ongelma

Työntekijöiden vastustus on yksi suurimmista esteistä MFA:n käyttöönotolle. Työntekijät voivat pitää sitä ylimääräisenä vaiheena, tuottavuuden esteenä tai jälleen yhtenä uutena turvallisuussääntönä, joka on lisätty ilman asiayhteyttä.

Tämä reaktio on ymmärrettävä, erityisesti silloin, kun MFA otetaan käyttöön äkillisesti tai epäselvien ohjeiden kera. Vastustus johtuu usein huonosta käyttöönotosta, ei itse tietoturvan vastustamisesta.

Ratkaisu tähän ongelmaan on tehdä MFA:sta ennakoitava ja helppokäyttöinen. Selittäkää työntekijöille, että se suojaa yrityksen tilejä, vaikka salasana varastettaisiin, aloittakaa tutuista työkaluista, kuten sähköpostista ja jaetuista yritysalustoista, tarjotkaa selkeät asennusvaiheet ja tukekaa työntekijöitä laitevaihtojen yhteydessä.

Välttäkää esittämästä MFA:ta rangaistuksena tai epäluottamuksen osoituksena. Sen pitäisi tuntua käytännölliseltä suojakeinolta yritykselle, sen asiakkaille ja työntekijöiden omille työtileille.

Myös oman laitteen käyttöä koskeva käytäntö (BYOD) auttaa. Jos työntekijät käyttävät henkilökohtaisia laitteita työhön, selkeät säännöt tunnistautumissovelluksille, laiteturvallisuudelle, kadonneista laitteista ilmoittamiselle ja pääsyn peruuttamiselle tekevät MFA:n käyttöönotosta sujuvampaa.

Miten MFA otetaan käyttöön yrityksessänne

MFA:n onnistunut käyttöönotto on muutosjohtamisprojekti. IT-päälliköiden on päätettävä, mikä suojataan ensin, miten pakottaminen toimii, miten poikkeukset käsitellään ja miten käyttöönottoa mitataan.

Vaihe 1: Kartoittakaa tilinne ja riskitasonne

Aloittakaa käyttöoikeuksien kartoituksesta. Tunnistakaa järjestelmät, joista yrityksenne on riippuvainen, ja tilit, jotka aiheuttavat suurimman riskin, jos ne vaarantuvat.

Priorisoikaa:

  • Sähköposti- ja identiteetintarjoajien tilit.
  • Ylläpitäjätilit ja etuoikeutetut roolit.
  • Salasananhallinnan tilit.
  • Talous-, palkanmaksu- ja laskutustyökalut.
  • Pilvitallennus ja tiedostonjako.
  • Kehittäjä-, infrastruktuuri- ja tuotantojärjestelmät.
  • Asiakastietoalustat ja CRM-järjestelmät.

Tämä luo yrityksellenne käyttöönottojärjestyksen, joka perustuu riskiin mukavuuden sijaan.

Vaihe 2: Valitkaa hyväksytyt MFA-menetelmät

Päättäkää, mitkä MFA-menetelmät yrityksenne sallii. Monille tiimeille tunnistautumissovelluksista tai pääsyavaimista voi tulla oletusarvo, kun taas laitteistotietoturva-avaimet varataan korkean riskin tehtäviin. SMS voi tarvittaessa säilyä varavaihtoehtona, mutta sen ei pitäisi olla ensisijainen menetelmä arkaluonteisissa järjestelmissä.

Dokumentoikaa päätös selkeästi. Työntekijöiden tulisi tietää, mitkä menetelmät on hyväksytty, mitä ei suositella ja mitä tehdä, jos he kadottavat laitteen.

Vaihe 3: Pilotoikaa ennen pakottamista kaikkialla

Suorittakaa pilottihanke IT-osaston, toiminnan, talousosaston, johdon tai muun sellaisen ryhmän kanssa, joka voi antaa hyödyllistä palautetta. Tavoitteena on testata asennusprosessia, tukidokumentaatiota, palautusvirtoja ja käytäntöasetuksia ennen kuin käyttöönotto laajenee koko organisaatioon.

Pilotti auttaa myös tunnistamaan, missä MFA-pyynnöt ovat liian yleisiä, missä työntekijät tarvitsevat selkeämpiä ohjeita ja mitkä järjestelmät vaativat erityistä käsittelyä.

Vaihe 4: Pakottakaa MFA ensin korkean riskin tileille

Pelkkä rohkaisu ei riitä kriittisille järjestelmille. Kun pilottihanke on valmis, ottakaa MFA pakollisena käyttöön niillä tileillä, jotka aiheuttavat suurimman riskin.

Näihin kuuluvat ylläpitäjätilit, sähköposti, identiteettijärjestelmät, salasananhallintaohjelmat ja taloustyökalut. Jos nämä tilit jätetään valinnaisiksi, hyökkääjät voivat silti löytää reitin yrityksen järjestelmiin.

Avainasemassa on pakottaminen yhdessä tuen kanssa. Antakaa työntekijöille ennakkoilmoitus, asennusoppaat, päivystysajat ja palautusohjeet. Pakottaminen toimii parhaiten, kun se ei tule ihmisille yllätyksenä.

Vaihe 5: Laajentakaa muuhun organisaatioon

Kun korkean riskin tilit on suojattu, laajentakaa MFA muihin yrityksen työkaluihin. Tämä voi tapahtua osastoittain, työkaluluokittain tai riskitason mukaan.

Seuratkaa käyttöönoton edistymistä prosessin aikana:

  • Millä tileillä MFA on käytössä?
  • Ketkä työntekijät eivät ole vielä rekisteröityneet?
  • Mitkä järjestelmät sallivat edelleen pääsyn pelkällä salasanalla?
  • Mitkä poikkeukset ovat avoinna ja kuka vastaa niistä?

Yrityksen salasananhallinta voi tukea tätä prosessia antamalla tiimeille näkyvyyden siihen, millä tileillä MFA on jo käytössä ja mitkä tarvitsevat vielä vahvempaa tunnistautumista.

Tässä vaiheessa monet käyttöönotot hidastuvat tai epäonnistuvat. MFA vaatii jatkuvaa hallintaa ja valvontaa käyttöönottopäivän jälkeen.

Vaihe 6: Tarkastelkaa poikkeuksia ja palautuspolkuja

Jokaisella poikkeuksella tulisi olla vastuuhenkilö, syy ja päättymispäivä. Jos MFA:ta ei voida ottaa käyttöön jossakin työkalussa, dokumentoikaa syy ja päättäkää, tarvitaanko korvaavia suojatoimia.

Myös palautusta on syytä arvioida säännöllisesti. Varmuuskopiokoodit, tilin palautusprosessit, ylläpitäjän ohitukset ja laitteiden nollaukset voivat muodostua heikoiksi kohdiksi, jos niitä ei valvota. MFA:n käyttöönoton tulisi tehdä palauttamisesta turvallista, ei pelkästään vaivatonta.

Miten Proton Pass for Business tekee MFA:n hallinnasta helppoa

MFA:n käyttöönotto helpottuu, kun kirjautumistietojen hallinta on jo hallinnassa. Jos salasanoja käytetään uudelleen, jaetaan epävirallisesti, tallennetaan selaimiin tai hajautetaan laskentataulukoihin, MFA:n johdonmukainen valvonta vaikeutuu.

Proton Pass for Business -yritysversion kaltainen salasananhallinta auttaa tekemällä muutakin kuin vahvistamalla salasanatasoa. Se voi myös tukea toista vaihetta suoraan. Sisäänrakennettu 2FA-tuki tarkoittaa, että tiimit voivat tallentaa TOTP-koodeja turvallisesti ja käyttää itse salasananhallintaa MFA-laitteena, mikä tekee vahvemman tunnistautumisen käyttöönotosta ja turvallisesta jakamisesta helpompaa tarvittaessa. Työntekijät voivat luoda vahvoja, yksilöllisiä salasanoja, tallentaa ne salattuihin holveihin, käyttää kirjautumistietojen automaattitäyttöä, hyödyntää sisäänrakennettua 2FA-tukea TOTP-koodeille ja hallinnoida pääsyavaimia niitä tukevissa palveluissa.

Tämä parantaa myös näkyvyyttä. Ylläpitäjien on tiedettävä paitsi se, onko työntekijöillä vahvat salasanat, myös se, millä tileillä 2FA on jo käytössä ja mitkä tilit tukeutuvat edelleen pelkkään salasanaan. Proton Pass voi auttaa IT-ylläpitäjiä tuomaan nämä tiedot esiin, jolloin MFA:n käyttöönottoa on helpompi seurata koko organisaatiossa.

Myös pääsyavaimet ovat keskeinen tekijä. Kun yritykset siirtyvät kohti vahvempaa, tietojenkalastelulta suojaavaa tunnistautumista, pääsyavaimia tukeva salasananhallinta, kuten Proton Pass, auttaa tiimejä hallitsemaan sekä perinteisiä MFA-prosesseja että uudempia salasanattomia menetelmiä yhdessä paikassa. Tämä tekee käyttöönotosta käytännöllisempää sekaympäristöissä, joissa osa järjestelmistä käyttää edelleen salasanoja ja TOTP-koodeja, kun taas toiset ovat valmiita pääsyavaimille.

IT-tiimeille Proton Pass for Business tarjoaa keskitetyn hallinnan, käytännöt, turvallisen jakamisen sekä näkyvyyden raporttien ja lokien avulla. Tämä tekee MFA:sta toiminnallisesti realistisempaa, sillä tiimit voivat vähentää salasanojen hallitsematonta leviämistä ja samalla helpottaa vahvemman tunnistautumisen käyttöönottoa ja hallintaa koko organisaatiossa.

Yrityksen salasananhallinta ei korvaa MFA:ta. Se tekee MFA:n käyttöönotosta huomattavasti helpompaa, sillä se vahvistaa ensimmäistä vaihetta, tukee toista vaihetta ja tarjoaa yritykselle helpommin hallittavan polun kohti yleisesti vahvempaa tunnistautumista.