MFA - Monivaiheinen tunnistautuminen - Usein kysytyt kysymykset

Puhelintunnistautuminen ei onnistu

Puhelintunnistuksen yrittäminen antaa ilmoituksen "Request failed due to exceeding the number of allowed attempts". Puhelintunnistus sallii viisi epäonnistunutta yritystä tunnin sisällä, jonka jälkeen tunnistusmuoto menee lukkoon 24 tunnin ajaksi. Ainoa keino kirjautua tänä aikana on käyttää muita tunnistusmenetelmiä, kuten Authenticator-sovellusta.

Suosittelemme lisäämään vähintään kaksi erilaista tunnistautumistapaa eri laitteilla. Puhelintunnistautuminen voi olla vaihtoehtoinen tapa. Valitse joku toimintavarmempi tapa. Katso ohje oletusarvoisen tunnistautumistavan vaihtamiseen käyttöönottosivulta.

Minulla ei ole enää pääsyä käyttämääni tunnisteeseen. Mitä teen?

Huom! Muista rekisteröidä vähintään kaksi erillistä tunnistustapaa kahdella erillisellä laitteella, jolloin yhden hukkuessa toinen on edelleen käytettävissä.

• Voit palauttaa kaikki tunnisteet osoitteessa https://mfa.it.helsinki.fi, jossa vahvistat henkilöllisyytesi Suomi.fi -tunnistuksella (Lue lisää Suomi.fi -tunnistuksesta). Tämän jälkeen sinulta vaaditaan tunnistusmenetelmän rekisteröinti seuraavalla kirjautumiskerralla yliopiston MFA-tunnistautumista vaativaan palveluun.
• Jos sinulla ei ole mahdollisuutta Suomi.fi -tunnistukseen, ota yhteyttä IT-Helpdeskiin tunnisteiden palautusta varten.
• Tunnisteiden palauttamisen jälkeen vanhat tunnisteesi näkyvät edelleen Turvatieto-sivulla, mutta ne eivät enää toimi. Voit ottaa tunnisteet uudelleen käyttöön valitsemalla tunnisteen kohdalla “Enable two-step verification” tai rekisteröimällä tunnisteen muuten uudelleen.
• Huom! Tunnisteiden palautus ei kirjaa sinua ulos ohjelmista tai käyttäjäsessioista. Jos tunnisteesi on joutunut vääriin käsiin, tulee sessiot kirjata ulos erikseen Turvatieto-sivustolla osoitteessa https://mysignins.microsoft.com/security-info.

Rekisteröityminen tai kirjautuminen ei onnistu, koska selain jää odottamaan johonkin kohtaan eikä mitään tapahdu

Kokeile selaimen yksityisyystilassa (privacy, incognito) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat. 

• Lue IT-Helpdeskin ohjeet välimuistin tyhjennykseen.

Palvelu ilmoittaa, ettei puheluun vastattu, vaikka puhelin ei soinut ollenkaan

Tarkista puhelulokista oletko saanut puhelua ja että numero ei ole estolistalla.
MFA-pyynnöt tulevat yhdysvaltalaisista numeroista +1 866 539 4191, +1 855 330 8653 ja +1 877 668 6536.

Joissain Tupla-SIM-puhelimissa on ongelmana, että toinen SIM-kortti tipahtaa välillä pois puhelinverkosta ja puhelu ohjautuu vastaajaan. Nämä ovat yleensä älypuhelimia, joissa tunnistautumiseen kannattaa ensisijaisesti käyttää Microsoft Authenticator-sovellusta.

Tilanteeseen voi auttaa myös käyttämällä sen liittymän numeroa tunnistautumiseen, jossa puhelimen mobiilidata on aktiivisena.

• Lue lisää puhelintunnistuksen ongelmista Microsoftin omasta ohjeesta.

Palvelu valittaa väärästä TOTP-koodista, vaikka koodi on oikein

TOTP-koodit ovat aikaperusteisia, joten jo muutaman sekunnin heitto estää koodia toimimasta koko puolen minuutin voimassaoloaikaansa. Tarkista koodin antavan laitteen kellonaika.

Tunnistusmenetelmän rekisteröinti antaa virheilmoituksen "You are blocked from performing this operation. Please contact your administrator for help"

Tunnistusmenetelmien hallinta on estetty epäilyttävän käytöksen vuoksi, joka johtuu yleensä useista epäonnistuneista yrityksistä rekisteröidä tunnistusmenetelmä. Ole yhteydessä Helpdeskiin esteen poistamiseksi.

En ole kirjautumassa mihinkään, mutta saan silti ilmoituksia Authenticator-sovelluksesta

Mikäli et ole kirjautumassa mihinkään palveluun ja saat kehotuksen kirjautua sisään Microsoft Authenticator -sovelluksesta toimi seuraavasti:

• Tarkista kaikilta käytössäsi olevilta laitteilta sovellukset, joille olet kirjautunut yliopiston tunnuksellasi (mobiililaitteet, kannettavat). Tunnistautumisesta johonkin sovellukseen on saattanut kulua 90 päivää edellisestä tunnistautumisesta ja se haluaa nyt uutta tunnistautumista.

Huomaa, ettei sinun tarvitse tehdä tunnistautumista pakolla, eli voit myös sulkea Microsoft Authenticator -sovelluksen vastaamatta. 

Mikäli kävit laitteillasi olevat sovellukset läpi, mutta et löytänyt tunnistautumista odottavaa laitetta tai sovellusta, valitse Ei, se en ole minä (No, it's not me). Tällöin asiasta lähtee ilmoitus eteenpäin. Tämä ilmoitus yksistään ei aiheuta mitään toimia, mutta jos epäilet, että olet joutunut kalastelun uhriksi, niin ole välittömästi yhteydessä IT-Helpdeskiin.

Sähköpostisovellus antaa MFA:n käyttöönoton jälkeen viestin "Saat tämän viestin, koska IT-osastosi on estänyt sähköpostisi käytön."

Sovellus ei tue MFA:n vaatimaa OAuth2/Modernia kirjautumistapaa tai ei pysty vaihtamaan siihen automaattisesti. Jos sovelluksen pitäisi tukea tätä kirjautumistapaa (esim. iOS Mail) voi ongelmaan auttaa tilin poistaminen ja määrittäminen uudelleen. Muussa tapauksessa joudut käyttämään toista sovellusta. Suosittelemme Microsoft Outlook-sovelluksen käyttöä sähköpostin lukuun kännykällä.

Muut kuin edellä mainitut ongelmat

Kokeile selaimen yksityisyystilassa (private, incognito, InPrivate) ja/tai toisella selaimella. Jos tämä toimii, johtuu ongelma joko selaimen lisäosasta tai välimuistissa olevista tiedoista. Tällöin selainlisäosien poisto käytöstä tai selaimen välimuistin tyhjennys todennäköisesti auttavat.
Jos tämäkään ei auta, ole yhteydessä IT-Helpdeskiin ongelman selvittämiseksi.

Kuinka usein monivaiheista tunnistautumista kysytään?

• Monivaiheista tunnistautumista kysytään aina uudella laitteella tai sovelluksella kirjautuessa.
• Sovelluksilla kuten Microsoft Outlook tai Teams kirjautuessa tieto tunnistautumisesta muistetaan automaattisesti 30 vuorokautta.
• Kirjautuessasi Web-palveluihin kuten Outlook for Web voit vahvaa tunnistautumista kysyttäessä asettaa selaimen muistamaan kirjautumisesi. Tieto muistetaan käytetyn selaimen evästeessä.
  • Kirjautuminen muistetaan opiskelijoilla enintään 30 vrk, henkilökunnalla 5 vrk. Riskiperusteisesti sitä voidaan kysyä myös useammin.
  • Huom. jos poistut M365-palvelusta "Kirjaudu ulos" -linkillä, poistetaan tämä eväste muiden kirjautumistietojen mukana ja monivaiheinen tunnistautuminen kysytään uudestaan seuraavalla kerralla kirjautuessa.

Miksi lisätunnistautumista kysytään koko ajan monivaiheisen tunnistautumisen käyttöönoton yhteydessä?

Monivaiheisen tunnistautumisen tarkoitus on estää vääriin käsiin joutuneella tunnuksella kirjautuminen. Tästä johtuen lisävahvistus kysytään aina uudella sovelluksella kirjautuessa. Alussa kyselyitä tulee enemmän, koska eri selaimet, älypuhelinten tai tietokoneiden sähköpostisovellukset tai muut tunnistautumista vaativat sovellukset vaativat oman kirjautumisensa. Lisävahvistus muistetaan jokaisen sovelluksen osalta erikseen enintään 30 vuorokautta.

Tieto lisävahvistuksesta tallennetaan selaimissa evästeeseen, jolloin yksityisyystilaa käytettäessä tai selaushistorian tyhjennyksen jälkeen vahvistus kysytään uudelleen. Samoin M365-palvelusta poistuminen "Kirjaudu ulos" -linkillä johtaa tunnistautumistiedon poistamiseen ja vahvistuksen kysymiseen uudelleen seuraavalla kirjautumiskerralla. Jos sama sovellus kysyy lisävahvistusta jatkuvasti uudelleen, olethan yhteydessä IT-Helpdeskiin ongelman ratkaisemiseksi.

Onko sähköpostisovellus X tuettu?

Suositeltu sovellus sekä mobiililaitteilla että työpöytäkäytössä on Microsoft Outlook ja selaimella Outlook for Web.

Monivaiheinen tunnistautuminen vaatii sähköpostisovellukselta tukea OAuth2-kirjautumiselle (käytetään myös termiä Modern Authentication). Tätä tukevat vaihtelevasti myös monet muut sähköpostisovellukset. Tiedossa on, että sähköposti on saatu toimimaan esim. seuraavilla sovelluksilla:

• Thunderbird, Evolution, Alpine: erityisesti Cubblille ohjeita Cubbli-wikissä (sivu vain englanniksi) 

Huom! Monissa tilanteissa sähköpostitili pitää poistaa ja asentaa uudelleen, jotta se siirtyy käyttämään uutta kirjautumistapaa.

Kuinka voin vaihtaa oletusmenetelmän?

Suosittelemme vahvasti käyttämään Microsoft Authenticator -sovellusta oletusmenetelmänä. Oletusmenetelmän voi vaihtaa Turvatieto-sivustolla.

Valinta oletusmenetelmän vaihtamiseen ilmestyy Add method (Lisää menetelmä)-napin päälle, kunhan olet lisännyt toisen tunnistusmenetelmän ja ladannut sen jälkeen Turvatieto-sivuston uudelleen (paina F5). Ohjeet tunnistusmenetelmien lisäämiseen löydät sivulta: MFA - Monivaiheisen tunnistumisen käyttöönotto.

Mitä tunnistautumismenetelmiä tuetaan?

Minulla on käytössäni vanha työpuhelin, jolle ei enää voi asentaa uusinta Microsoft Authenticator -sovellusta. Mitä minun täytyy tehdä?

Jos käytössäsi on vanha työpuhelin, jonka käyttöjärjestelmää ei enää tueta (vanhempi kuin Android 8 tai iOS 14), etkä voi siten asentaa puhelimelle sovelluskaupastasi uusinta Microsoft Authenticator -sovellusta, tee hankintapyyntö uudesta työpuhelimesta puhelinten hankintaohjeiden mukaisesti (linkki Flammaan, vaatii kirjautumisen). 

• Suosittelemme uuden puhelimen hankkimista, mutta voit myös käyttää muita tunnistautumismenetelmiä jolloin puhelinta ei tarvitse vaihtaa.

Minulla ei ole työpuhelinta, kuinka saan monivaiheisen tunnistautumisen käyttööni?

• Ohjeet työpuhelimen hankintaan löytyvät Flammasta (vaatii kirjautumisen).
• Jos et halua työpuhelinta, voit käyttää Microsoft Authenticator-sovellusta ja soittotunnistautumista myös omalla puhelimellasi.
• Katso myös kohta "Minulla ei ole puhelinta, mitä muita vaihtoehtoja tunnistautumiseen on?".

Minulla ei ole puhelinta, mitä muita vaihtoehtoja tunnistautumiseen on?

Monivaiheinen tunnistautuminen tarvitsee aina teknisen apuvälineen. Suositeltu väline on älypuhelimella käytettävä Microsoft Authenticator -sovellus. Jos älypuhelinta ei ole tai sen käyttö on esimerkiksi terveydellisistä syistä mahdotonta, tunnistautuminen on mahdollista myös henkilökohtaisen matkapuhelimen puhelinnumeroon tulevalla vahvistussoitolla. Mikäli puhelinta ei ole käytössä, se voidaan korvata esimerkiksi edullisella FIDO2-standardin mukaisella USB-avaimella.

Lisäksi on saatavilla TOTP-koodeja tarjoavia sovelluksia eri käyttöjärjestelmille. Näille ei ole yliopiston puolelta virallista tukea, ja käyttö on käyttäjän omalla vastuulla. 

Tällaisia sovelluksia ovat esimerkiksi:

• Mobiililaitteille löytyy useita erilaisia TOTP-sovelluksia, kuten andOTP (Android), FreeOTP (Android/iOS) ja Google Authenticator.
• KeepassXC salasanojen hallintasovellus, joka on saatavilla eri käyttöjärjestelmille ml. Linux, macOS ja Windows.
  • Esimerkki käytöstä ulkopuolisella sivustolla.
  • Saatavilla myös Software Centeristä.
• Authenticator-lisäosa selaimeen.
  • Varoitus: Jos tyhjennät välimuistin käyttämästäsi selaimesta, tämä tunnistusmenetelmä poistuu käytöstä. Tästä syystä sitä voi käyttää lähinnä vain väliaikaisena kirjautumismenetelmänä.

TOTP-koodia käyttävä sovellus lisätään Turvatieto-sivustolla valitsemalla Add method > Authenticator App > I want to use a different authenticator app.

Yliopisto ei korvaa opiskelijoille kirjautumisessa vaadittavia teknisiä apuvälineitä, vaan ne tulee hankkia itse.

Mitkä ovat turvallisimmat tunnistautumismenetelmät?

Turvallisimpina menetelminä pidetään Passkey/FIDO2 -tekniikoita eli Passkey Microsoft Authenticatorissa ("Passkey in Microsoft Authenticator") tai FIDO2-yhteensopiva USB-turva-avainta PIN-koodin kanssa. Nämä välineet täyttävät yksinään monivaiheisen tunnistautumisen määritelmän, ja niillä saatetaan sallia kirjautuminen ilman salasanaa tulevaisuudessa.