Tietoturvaviranomaiset suosittelevat mobiilivarmenteen käyttöä asiointipalveluihin ja pankkitunnusten rajoittamista vain pankkikäyttöön. Ajatus on hyvä, mutta silloin mobiilivarmenteen soisi olevan pomminvarma ja kaikissa tilanteissa helppokäyttöinen. Vielä ei olla sillä tasolla.
Hyvä puoli on, että sim-kortilla oleva varmenne toimii käyttöjärjestelmästä riippumatta ja jopa vanhalla Nokian peruspuhelimella. Sitä ei tarvitse - eikä voikaan - päivittää. Huono puoli on, että toiminta Android-maailmassa voi vaihdella valmistajasta riippuen. Esimerkiksi oma Android-puhelimeni ei näytä tapahtumatunnistetta lainkaan.
Suomessa varmenteen teknisestä toteutuksesta vastaa Telia, jonka palvelua DNA ja Elisa myyvät myös omiin liittymiinsä. Peruskäyttäjä hämmentyy nähdessään toisen operaattorin kirjautumisaikkunan asioidessaan. Ehkä samasta syystä johtuvat myös ajoittaiset virheilmoitukset. Pankkitunnusten etuna on se, että ne toimivat pomminvarmasti - onhan kyse pankkien omista rahoista (no, pankkien palveluissakin on katkoksia, mutta syy ei ole tunnistamistekniikassa).
 |
| "Odottamaton virhe" - tätä ei pankkitunnuksilla tapahdu. |
Edullisiin Moi-liittymiin tai prepaid-liittymiin mobiilivarmennetta ei saa lainkaan. Telian omissa Dot-liittymissä ei puolestaan toimi mobiilivarmenteen häiriönestokoodi.
Niin, häiriönestokoodi. Sen asettaminen on tarpeettoman hankalaa. Telian ohjeen mukaan koodi asetetaan tekstiviestillä numeroon 15011 ja avainsanalla ESTO. "Koodi voi olla 3–10 merkkiä pitkä numeroista ja kirjaimista koostuva jono", mutta jättää avoimeksi ovatko numerot pakollisia. Ääkköskielto on ymmärrettävä.
DNA:n mobiilivarmenneohje neuvoo asettamaan estokoodin nettisivulta mobiilivarmenne.dna.fi. Tässä ohjeessa "Koodin tulee alkaa kirjaimella ja sen pituus voi olla 4-8 merkkiä. Loput merkit voivat olla kirjaimia tai numeroita. Isot ja pienet kirjaimet huomioidaan." - öh, siis mitä? Ovatko numerot pakollisia vai eivät? Onko isoilla ja pienillä kirjaimilla eroa? (Ilmeisesti ei)
Elisan liittymissä häirinnänestokoodin "tulee olla 3-16 merkkiä pitkä. Ensimmäisen merkin tulee olla kirjain, ja koodin tulee sisältää myös numeroita". Tämä teksti näkyy puhelimen asetuksissa. Hämmentävästi numeroita ei ole pakko syöttää, mutta silloin estokoodi ei vain toimi. Mitään tarkistusta ei ole eikä virheilmoitusta tule.
Elisan ohje kertoo lähettämään tekstiviestin "STKSPAM koodi" numeroon 18258. Koodin voi asettaa myös puhelimesta, Android-puhelimissa on sitä varten Elisa-niminen sim-kortin palvelujen hallintasovellus.
 |
| Elisan sim-palvelujen hallintasovellus. |
iPhone-puhelimissa se löytyy (jos vain osaa etsiä) puhelimen sim-asetuksista Mobiilidata > SIMit ensisijainen > SIM-sovellukset > Tunnusluvut > Häirinnänestokoodi ja sen jälkeen joko Aseta estokoodi tai Poista estokoodi. Vastaava asetuspolku pitäisi olla myös Android-puhelimissa, mutta omista malleistani en sitä löytänyt.
 |
| iPhonen SIM-sovellukset asetusvalikosta pääsee Tunnuslukuihin. |
Tunnistusta käytettäessä kirjoitetaan oma puhelinnumero, odotetaan kunnes palvelu tarkistaa onko sim-kortilla käytössä estokoodi, kysytään sitä, syötetään se ja lopuksi kirjoitetaan pin-koodi puhelimella. Ei ihme, että nopeammat ja yksinkertaisemmat pankkitunnukset ovat yhä laajassa käytössä.
Mobiilivarmenne on voimassa viisi vuotta kerrallaan. Kun aika umpeutuu, sim-kortti pitää vaihtaa, koska sille voi asentaa vain yhden varmenteen kerrallaan. Varmenteeni vanheni ja se irtisanottiin Elisan liikkeessä, mutta nyt pitää odottaa kaksi viikkoa sopimuksen irtisanomista, ennen kuin uusi varmenne alkaa toimia. Siis kaksi viikkoa ilman tunnistuspalvelua.
Jos tämä on viranomaisten suosittelema tunnistusmenetelmä, se kaipaa vielä hiomista. Ilmeisesti on niin, ettei mobiilivarmennetta juuri käytetä maailmalla ja siksi sen tuki päätelaitteissa vaihtelee, eivätkä suomalaisetkaan operaattorit ole panostaneet siihen ihan täysillä.
Aiemmin varmenteen käyttöönotto vaati asiointia myymälässä ja henkilöllisyyden varmistamista, mutta nykyisin sen voi aktivoida pankkitunnuksilla suoraan netistä. Tässä piilee iso riski. Jos rikollinen pääsee toimimaan uhrin puolesta pankkitunnuksilla, hän voi aktivoida mobiilivarmenteen omaan puhelimeensa ja sen jälkeen tunnistautua vahvasti uhrin nimissä.
Varmennetta ei ole sidottu liittymän omistamiseen. Esimerkiksi puoliso voi aktivoida toisen identiteetin omaan puhelimeensa, jos pääsee tunnistautumaan kerran tämän puolesta pankkiin. Perheen sisällä tai lähipiirissä tämä ei yleensä ole ongelma.
Käyttö on tietenkin laitonta, mutta teknisesti mahdollista. Feikkipuhelimessa on oltava liittymä, jossa varmennetta ei vielä ole. Prepaid-liittymät eivät käy, koska niihin varmennetta ei saa.
Nordealla pankkitunnistuksen voi itse valtuuttaa uuteen puhelimeen, mutta puhelimet pitää nimetä ja alkuperäinen käyttäjä näkee, että toinenkin päätelaite on valtuutettu käyttäjäksi. Muilla pankeilla saattaa olla eri käytännöt. Myös mobiilivarmenteeseen tarvittaisiin toiminto josta näkisi, mihin sim-kortteihin oma identeetti on asennettu.
Kesällä 2022 S-pankilla oli tietoturvakatastrofi, jossa nuoret miehet pääsivät mellastamaan asiakkaiden tileillä eikä pankki aluksi uskonut saamiaan vikailmoituksia. Samassa yhteydessä tekijät onnistuivat ilmeisesti myös luomaan uusia mobiilivarmenteita ja siten varastamaan muiden identiteettejä. He tyytyivät nostamaan 60 000 euroa lainoja, mutta tilanteessa oli aineksia paljon pahempaankin.
Vahvan tunnistuksen huijaaminen tällä tavalla olisi pitänyt soittaa hälytyskelloja viranomaisissa, mutta jostain syystä asia meni ohi tavanomaisena huijausuutisena.
Lisäys 3.9.2025: Varmenteen päivittämisestä tuli parin päivän operaatio, kun myymälän asiantuntija tai chatin tekninen tuki eivät osanneet auttaa. Tieto 14 vrk odotuksesta oli virheellinen, tietokannan päivittämiseen kuluu normaalisti noin vuorokausi. Lopulta varmenne lähti toimimaan, kun valmis kuusinumeroinen PIN-koodi syötettiin puhelimen omalla Elisa-ohjelmalla eikä ohjeiden mukaan nettisivulta.
3 kommenttia:
Itse käytän mobiilivarmennetta paljon mieluummin niihin "kahteenkymmeneen tuhanteen" palveluun kirjautumisessa kuin pankin tunnuslukusovellusta. En varmasti ole ainoa.
Häiriönestokoodi: en ole sitä - ainakaan vielä - ottanut käyttöön. Aika hankalasti ohjeistettu toiminto operaattoreilla. Varmistan aina, että 5-numeroiset tapahtumatunnisteet ovat samoja. Jos huijari yrittää huijata, niin tätä ei voi tehdä.
"Mobiilivarmenne on voimassa viisi vuotta kerrallaan. Kun aika umpeutuu, sim-kortti pitää vaihtaa, koska sille voi asentaa vain yhden varmenteen kerrallaan."
Ainakaan Telian liittymässä SIM-korttia ei tarvitse vaihtaa. Mobiilivarmenne uusitaan yksinkertaisesti ottamalla se uudelleen käyttöön samalla tavalla kuin ensimmäiselläkin kerralla.
Itse käytän kaikessa tunnistautumisessa ensisijaisesti Hightrust.id-digilompakkoa ja siellä olevaa kansalaisvarmennetta. Se on ehdottomasti kaikkein nopein ja helpoin tapa tunnistautua niin mobiili- kuin muillakin alustoilla, aina kun sisäänkirjattava palvelu vaan sitä tukee. Myös kortinlukija löytyy kotoa ja tietokoneissa on DVV:n kortinlukijaohjelmisto asennettuna vihoviimeisenä fallbackina. :-)
Seuraava vaihtoehto on mobiilivarmenne. En ole ottanut käyttöön häirinnänestokoodia lyhyen kokeilun jälkeen, koska se on todella kömpelö mekanismi, enkä sitä paitsi koskaan ole saanut yhtään tunnistuspyyntöä, jota en olisi itse tehnyt. Tapahtumatunnisteen tarkastaminen on rutiinia kaikissa tunnistautumisissa.
Kolmas ja viimesijainen tunnistautumiskeino on pankkini mobiilisovelluksen tarjoama tunnistautuminen QR-koodilla tai asiakasnumerolla. Sitä tulee käytettyä todella harvoin - käytännössä vain silloin, kun jostain syystä pitää mennä verkkopankkiin (kun kaikkea ei voi tehdä pankin mobiilisovelluksessa).
Lähetä kommentti