Mitä eroa on ohjelmistotokenilla ja laitteistotokenilla VPN-todennuksessa?

Ohjelmistotokenit ovat todennussovelluksen, kuten Google Authenticatorin, luomia koodeja, jotka näytetään puhelimellasi ja vaihtuvat joka 30. sekunti. Laitteistotokenit taas ovat fyysisiä laitteita, kuten YubiKey, jotka luovat salauksellisen vastauksen napauttamalla tai liittämällä laite tietokoneeseen. Laitteistotokeneita pidetään yleensä turvallisempina, koska ne eivät ole alttiita haittaohjelmille tai tietojenkalastelulle samalla tavalla kuin puhelimeen perustuvat ratkaisut.

Voiko VPN-tokenin todennuksen ohittaa, jos kadotan tokenilaitteeni tai puhelimeni?

Useimmat VPN-järjestelmät tarjoavat varamenetelmiä, kuten varmuuskoodeja, jotka luodaan asennuksen yhteydessä, tai mahdollisuuden ottaa yhteyttä IT-järjestelmänvalvojaan tilin palauttamiseksi. Yrityskäytössä järjestelmänvalvojat voivat yleensä tilapäisesti poistaa MFA:n käytöstä tiettyä tiliä varten. On kuitenkin tärkeää säilyttää varmuuskoodit turvallisessa paikassa jo ennen kuin tokenisi katoaa tai rikkoutuu.

Hidastaako tokenin todennus VPN-yhteyden muodostamista?

Käytännössä tokenin todennus lisää vain muutaman sekunnin viiveen yhteyden muodostamiseen, sillä sinun on syötettävä koodi manuaalisesti. Itse VPN-yhteyden nopeuteen tai suorituskykyyn sillä ei ole vaikutusta — lisävaihe tapahtuu ainoastaan kirjautumisvaiheessa, ei tiedonsiirron aikana.

Tukevatko kaikki VPN-palveluntarjoajat tokenin todennusta?

Eivät kaikki, mutta tuki on yleistymässä. Monet yritystason VPN-ratkaisut, kuten Cisco AnyConnect ja GlobalProtect, sisältävät MFA-tuen natiivisti. Kuluttajille suunnatut VPN-palvelut vaihtelevat tässä suhteessa — jotkut tarjoavat TOTP-tuen, toiset eivät. Jos käytät itse isännöityä VPN-ratkaisua, kuten OpenVPN:ää tai WireGuardia, voit yleensä lisätä tokenin todennuksen kolmannen osapuolen MFA-lisäosilla tai -moduuleilla.

VPN Token Authentication

VPN-tokenin todennus: Toisen suojauskerroksen lisääminen VPN-yhteyteesi

Kun muodostat VPN-yhteyden, pelkkä käyttäjätunnuksen ja salasanan syöttäminen ei usein riitä pitämään tiliäsi turvassa. VPN-tokenin todennus lisää ylimääräisen vahvistusvaiheen — se edellyttää, että todistit henkilöllisyytesi jollain, mitä fyysisesti omistat, tai reaaliajassa luodulla koodilla. Tämä vaikeuttaa luvattoman pääsyn saamista merkittävästi, vaikka joku varastaisi salasanasi.

Mitä se on

VPN-tokenin todennus on monivaiheisen todennuksen (MFA) muoto, jota sovelletaan erityisesti VPN-yhteyden muodostamiseen. Sen sijaan, että luotettaisiin pelkästään salasanaan, käyttäjien on myös annettava token — lyhyt, aikarajoitettu koodi tai fyysisen laitteen lähettämä salausviesti. Tämä token toimii todisteena siitä, että kirjautuva henkilö on todella se, ksi hän väittää olevansa.

Tokeneita on muutamaa eri tyyppiä:

Ohjelmistotokenit – Puhelimellasi olevan todennussovelluksen, kuten Google Authenticatorin tai Authyn, luomat koodit
Laitteistotokenit – Fyysiset laitteet, kuten YubiKey tai RSA SecurID -avaimenperä, jotka tuottavat tai lähettävät kertakäyttöisen koodin
SMS-tokenit – Puhelimeesi tekstiviestillä lähetettävä koodi (vähemmän turvallinen, mutta edelleen laajalti käytetty)
Push-ilmoitukset – Sovellus kehottaa sinua hyväksymään kirjautumisen mobiililaitteellasi

Kuinka se toimii

Prosessi seuraa suoraviivaista järjestystä. Ensin syötät VPN-tunnistetietosi (käyttäjätunnus ja salasana) tavalliseen tapaan. VPN-palvelin pyytää sinua sen jälkeen antamaan voimassa olevan tokenin. Jos käytät ohjelmistotokenia, todennussovelluksesi näyttää aikaperusteisen kertakäyttöisen salasanan (TOTP), joka päivittyy joka 30. sekunti. Syötät tämän koodin, ja palvelin tarkistaa, että se vastaa odotettua arvoa, joka perustuu asennuksen aikana luotuun jaettuun salaisuuteen.

Laitteistotokenit toimivat hieman eri tavalla. Laitteet, kuten YubiKey, luovat salauksellisen vastauksen, kun niitä napautetaan tai liitetään tietokoneeseen. Palvelin vahvistaa tämän vastauksen lähettämättä koskaan uudelleenkäytettävää salasanaa. Tämä lähestymistapa on erityisen kestävä tietojenkalastelulle, koska tokenin vastaus on sidottu tiettyyn sivustoon tai palvelimeen, johon ollaan yhteydessä.

Kulissien takana useimmat tokenijärjestelmät käyttävät avoimia standardeja, kuten TOTP (määritelty RFC 6238:ssa) tai FIDO2/WebAuthn, jotka on suunniteltu salauksellisesti turvallisiksi ja uusintahyökkäyksiä vastaan kestäviksi — toisin sanoen yhdestä istunnosta varastettu koodi ei ole käytettävissä toisessa istunnossa.

Miksi se on tärkeää VPN-käyttäjille

VPN-yhteydet ovat usein portti arkaluonteisiin verkkoihin — yrityksen järjestelmiin, yksityisille palvelimille tai henkilökohtaisiin tietoihin. Jos VPN-tili vaarantuu tunnistetietojen täyttöhyökkäyksen, tietojenkalastelun tai tietomurron kautta, hyökkääjä pääsee käsiksi kaikkeen sen takana olevaan. Tokenin todennus sulkee tämän aukon.

Vaikka salasanasi paljastuisi tietomurrossa, hyökkääjä ei silti pysty kirjautumaan sisään ilman fyysistä tokenia tai pääsyä todennussovellukseesi. Tämä on erityisen tärkeää:

Etätyöntekijöille, jotka käyttävät yrityksen infrastruktuuria VPN:n kautta
Yksityishenkilöille, jotka suojaavat arkaluonteisia tilejään kohdennetuilta hyökkäyksiltä
IT-järjestelmänvalvojille, jotka hallinnoivat sisäverkkoihin pääsyä

Yrityksen VPN-käyttöönotossa tokenin todennus on usein pakollinen vaatimus SOC 2:n, ISO 27001:n ja HIPAA:n kaltaisten vaatimustenmukaisuuskehysten mukaan. Se on perustason tietoturvatoimenpide jokaiselle organisaatiolle, joka suhtautuu kulunvalvontaan vakavasti.

Käytännön esimerkkejä ja käyttötapauksia

Yrityksen etäkäyttö: Kotoa yrityksen VPN-yhteyteen kirjautuva työntekijä avaa todennussovelluksensa, kopioi kuusinumeroisen koodin ja syöttää sen salasanansa ohella. Ilman kyseistä koodia VPN-palvelin hylkää yhteyden — vaikka salasana olisi oikein.

IT-järjestelmänvalvojan käyttöoikeus: Arkaluonteisia palvelimia hallinnoiva järjestelmänvalvoja käyttää fyysistä YubiKey-avainta. Hän napauttaa laitetta todentautuakseen, jolloin kukaan ei pysty etänä jäljittelemään kirjautumista ilman avaimen fyysistä hallintaa.

Henkilökohtainen yksityisyys: Yksityisyydestään huolta pitävä henkilö pystyttää oman itse isännöidyn VPN-palvelimensa TOTP-todennuksen ollessa käytössä. Näin varmistetaan, että vaikka palvelimen IP-osoite paljastuisi, ulkopuoliset eivät pysty muodostamaan yhteyttä ilman oikeaa tokenia.

VPN-tokenin todennus on yksi yksinkertaisimmista ja tehokkaimmista tavoista vähentää merkittävästi luvattoman pääsyn riskiä. Jos VPN-palveluntarjoajasi tai -asetuksesi tukevat sitä, sen käyttöönotto on askel, jota ei kannata ohittaa.

VPN Token AuthenticationKeskitaso

VPN-tokenin todennus: Toisen suojauskerroksen lisääminen VPN-yhteyteesi

Mitä se on

Kuinka se toimii

Miksi se on tärkeää VPN-käyttäjille

Käytännön esimerkkejä ja käyttötapauksia

// FAQ