Pääsyavaimet eli avainkoodit helpottavat verkkopalveluihin kirjautumista ja lisäävät samalla niiden tietoturvaa. Pääsyavaimia voi jo hyödyntää useissa palveluissa ja nyt myös Metan yritysportfolioon on tulossa mahdollisuus vaatia pääsyavaimen käyttöä. Tässä blogissani kerron, mitä digimarkkinoijan tulee pääsyavaimista tietää.
Salasanoista ei pidä kukaan. Salasanat ovat hankalia keksiä ja vielä hankalampia muistaa, etenkin jos niihin vaaditaan numeroita ja erikoismerkkejä. Nordpassin tutkimuksen mukaan keskivertokäyttäjällä saattaa olla muistettavanaan jopa 250 salasanaa, joista kolmannes liittyy työkäyttöön. Salasanaähkyä voi pyrkiä helpottamaan salasananhallintaohjelmistoilla ja kertakirjautumisratkaisuilla (engl. Single Sign-On, SSO), mutta yhä useampi kierrättää salasanoja tai käyttää samaa salasanaa useassa eri palvelussa, mikä heikentää tietoturvaa. Salasanojen tietoturvan puutteita on pyritty paikkaamaan kaksivaiheisella tunnistautumisella.
Pääsyavaimet (engl. passkeys) muuttavat pelin ja ne ovat nousemassa yhä useammassa palvelussa ensisijaisesti suositelluksi kirjautumistavaksi. Mainitsin pääsyavaimet jo viimesyksyisessä tietoturvaan keskittyvässä blogissani, tosin tällöin käytin niistä Googlen nimitystä avainkoodi. Tällä kertaa käyn tarkemmin läpi pääsyavainten käyttöä ja niiden etuja etenkin sosiaalisen median näkökulmasta, joten termiksikin on vaihtunut pääsyavain, jota mm. Meta, Apple ja Microsoft käyttävät.
Mikä on pääsyavain?
Pääsyavaimet on suunniteltu korvaamaan salasanat standardoidulla tunnistautumistavalla (FIDO2). Pääsyavaimella kirjauduttaessa perinteinen käyttäjätunnuksen ja salasanan syöttäminen sekä kaksivaiheinen tunnistautuminen jäävät historiaan. Kirjautumisen yhteydessä käyttäjän oma luotettavaksi tiedetty laite (puhelin tai tietokone) tunnistaa käyttäjän esimerkiksi sormenjäljen tai kasvojentunnistuksen avulla.
Biometrisen tunnistuksen avulla kirjautuminen on paitsi nopeampaa ja helpompaa, myös turvallisempaa. Tietoturva on toki jokaisen mielestä tärkeää, mutta kirjautumisen vaivattomuus ja etenkin kaksivaiheisen tunnistautumisen kanssa käytetyn ajan säästäminen on kuitenkin pääsyavainten näkyvin hyöty käyttäjän arjessa.
Pääsyavaimella kirjautumista ei tarvitse erikseen miettiä, kaikki vain toimii.
Kuinka pääsyavain lisää tietoturvaa?
Pääsyavain on kytketty kryptografisesti sen myöntävään palveluun, eli se toimii ainoastaan kyseiseen palveluun kirjauduttaessa. Pääsyavainta ei näin ollen pysty kaappaamaan eivätkä parhaatkaan tietojenkalastelu- ja huijaussivustot pysty harhauttamaan käyttäjää. Mikäli käyttäjä klikkaa huijaussivuston linkkiä, hän saa eteensä perinteisen salasanakyselyn. Tässä kohtaa käyttäjän tulisi huomata, että jossain on mätää, sillä hänellähän on käytössä pääsyavain eikä salasanaa pitäisi tarvita!
Perinteisen salasanalla kirjautumisen voi useissa palveluissa poistaa kokonaan käytöstä ja käyttää jatkossa kirjautumiseen ainoastaan pääsyavainta. Tämä lisää tietoturvaa entisestään, sillä tällöin ei edes vahingossa voi luovuttaa tunnuksiaan huijareille.
Mikäli pääsyavain on ainoa kirjautumistapa, se täytyy pitää tiukasti tallessa, sillä luotetun laitteen kadotessa tai hajotessa pääsy palveluun saattaa vaikeutua tai pahimmassa tapauksessa estyä kokonaan. Useimmat salasananhallintaohjelmistot osaavat hallita myös pääsyavaimia ja parhaat sisältävät myös varmuuskopioinnin. Salasananhallintaohjelmistot osaavat myös siirtää pääsyavaimia laitteelta toiselle, jolloin ei tarvita erikseen pääsyavainta matkapuhelimelle ja toista tietokoneelle.
Pääsyavaimet sosiaalisen median palveluissa
Pääsyavainten laaja käyttöönotto alkoi vuonna 2022 Applen, Googlen ja Microsoftin aloitteesta. Nyt useat verkkopalvelut tarjoavat pääsyavaimen yhtenä kirjautumistapana muiden joukossa. Yhä useammat palvelut myös tyrkyttävät pääsyavainta ensisijaiseksi kirjautumistavaksi ja pyrkivät aktiivisin toimenpitein ohjaamaan käyttäjiä sen käyttöönottoon. Pääsyavaimet ovatkin varsin hyvä keino sosiaalisen median tietoturvan parantamiseen.
Metan palveluissa pääsyavainta on voinut käyttää Facebook- ja Messenger-kirjautumiseen kesästä 2025 lähtien. Nyt Meta on tuomassa yritysportfolioon toimintoa, jolla ylläpitäjät voivat vaatia muilta yritysportfolion käyttäjiltä pääsyavaimen käyttöä. Metalle tyypilliseen tapaan tämäkin toiminto tulee vaiheittain käyttöön eri käyttäjille. Toiminto löytyy yritysportfolion tietoturvakeskus-välilehdeltä.
LinkedIn toimii osana Microsoftin ekosysteemiä ja hyötyy Microsoftin passwordless-strategiasta.
Snapchat kehottaa päivitetyissä tietoturvasuosituksissaan käyttäjiä luomaan pääsyavaimen ja suojautumaan luvattomilta kirjautumisyrityksiltä.
TikTok julkaisi maaliskuussa 2025 ”Security Checkup” -näkymän, jossa myös pääsyavaimen voi ottaa käyttöön. TikTok aloitti pääsyavainten tuen asteittaisen rullauksen iOS-laitteille jo vuonna 2023, mutta päivitys toi ne osaksi keskitettyä ja helppokäyttöisempää turvatarkastusnäkymää.
X on tukenut pääsyavaimia vuodesta 2024 lähtien. Syksyllä 2025 X:n käyttäjien piti uusia vanhaan twitter.com osoitteeseen sidotut pääsyavaimensa, kun X siirsi loputkin palvelunsa x.com verkkotunnuksen alle.
YouTube on Googlen palveluna tukenut pääsyavaimia jo pitkään. Joihinkin kriittisimpiin toimintoihin kuten käyttäjätilien linkittämiseen Google alkaa jo edellyttää pääsyavaimen käyttöä. Tietoturvaa lisätään myös aikaviiveellä, sillä uutta pääsyavainta voi käyttää näihin toimintoihin vasta 7 päivän kuluttua sen rekisteröinnistä. Muutokset kannattaa siis pyrkiä ennakoimaan ja ottaa pääsyavain käyttöön jo hyvissä ajoin.
Kuinka saan pääsyavaimen käyttöön?
1. Selvitä, onko organisaatiollasi ohjeistusta pääsyavainten käyttöön. Keskustele tiimisi kanssa yhteisistä käytännöistä. Kysy myös tietohallinnon mielipidettä.
2. Mieti, mihin haluat tallentaa pääsyavaimesi.
- Android-puhelimen käyttäjälle luontevin säilytyspaikka on Google Password Manager, joka toimii myös tietokoneen Chrome-selaimessa.
- iPhonella vastaava paikka on iCloud Keychain, joka toimii myös muilla Applen laitteilla.
- Jos käytössäsi on kolmannen osapuolen salasananhallintaohjelmisto, kuten Bitwarden tai 1Password, voit käyttää myös sitä.
Suosittelen valitsemaan tavan, jolla saat pääsyavaimet päivittymään kaikille käyttämillesi laitteille. Todennäköisesti voit käyttää pääsyavaimille samaa paikkaa, jota jo käytät salasanojen tallentamiseen. Jos salasanasi ovat levällään, nyt on aika valita yksi paikka ja keskittää kaikki sinne.
3. Tarkista käyttämiesi verkkopalveluiden ja sosiaalisen median palveluiden valmiudet pääsyavainten käyttöön.
- Löydät tiedon palvelun tietoturva- tai kirjautumisasetuksista. Noudata palvelun ohjeita pääsyavaimen käyttöönottoon.
- Usein pääsyavaimen voi ensin ottaa käyttöön perinteisen salasanan rinnalle. Myöhemmin voit päättää, haluatko jättää salasanalla tapahtuvan kirjautumisen kokonaan pois käytöstä.
4. Nauti vaivattomasta kirjautumisesta ilman salasanan syöttämisen ja kaksivaiheisen tunnistuksen häslinkiä!
Mietityttääkö sosiaalisen median tietoturva? Saat meiltä räätälöityä apua käyttämiesi palveluiden tietoturvan auditointiin ja kehittämiseen. Varaa aika Minnalta ja jutellaan lisää!
