Tietoturvaviranomaiset suosittelevat mobiilivarmenteen käyttöä asiointipalveluihin ja pankkitunnusten rajoittamista vain pankkikäyttöön. Ajatus on hyvä, mutta silloin mobiilivarmenteen soisi olevan pomminvarma ja kaikissa tilanteissa helppokäyttöinen. Vielä ei olla sillä tasolla.
Hyvä puoli on, että sim-kortilla oleva varmenne toimii käyttöjärjestelmästä riippumatta ja jopa vanhalla Nokian peruspuhelimella. Sitä ei tarvitse - eikä voikaan - päivittää. Huono puoli on, että toiminta Android-maailmassa voi vaihdella valmistajasta riippuen. Esimerkiksi oma Android-puhelimeni ei näytä tapahtumatunnistetta lainkaan.
Suomessa varmenteen teknisestä toteutuksesta vastaa Telia, jonka palvelua DNA ja Elisa myyvät myös omiin liittymiinsä. Peruskäyttäjä hämmentyy nähdessään toisen operaattorin kirjautumisaikkunan asioidessaan. Ehkä samasta syystä johtuvat myös ajoittaiset virheilmoitukset. Pankkitunnusten etuna on se, että ne toimivat pomminvarmasti - onhan kyse pankkien omista rahoista (no, pankkien palveluissakin on katkoksia, mutta syy ei ole tunnistamistekniikassa).
 |
| "Odottamaton virhe" - tätä ei pankkitunnuksilla tapahdu. |
Edullisiin Moi-liittymiin tai prepaid-liittymiin mobiilivarmennetta ei saa lainkaan. Telian omissa Dot-liittymissä ei puolestaan toimi mobiilivarmenteen häiriönestokoodi.
Niin, häiriönestokoodi. Sen asettaminen on tarpeettoman hankalaa. Telian ohjeen mukaan koodi asetetaan tekstiviestillä numeroon 15011 ja avainsanalla ESTO. "Koodi voi olla 3–10 merkkiä pitkä numeroista ja kirjaimista koostuva jono", mutta jättää avoimeksi ovatko numerot pakollisia. Ääkköskielto on ymmärrettävä.
DNA:n mobiilivarmenneohje neuvoo asettamaan estokoodin nettisivulta mobiilivarmenne.dna.fi. Tässä ohjeessa "Koodin tulee alkaa kirjaimella ja sen pituus voi olla 4-8 merkkiä. Loput merkit voivat olla kirjaimia tai numeroita. Isot ja pienet kirjaimet huomioidaan." - öh, siis mitä? Ovatko numerot pakollisia vai eivät? Onko isoilla ja pienillä kirjaimilla eroa? (Ilmeisesti ei)
Elisan liittymissä häirinnänestokoodin "tulee olla 3-16 merkkiä pitkä. Ensimmäisen merkin tulee olla kirjain, ja koodin tulee sisältää myös numeroita". Tämä teksti näkyy puhelimen asetuksissa. Hämmentävästi numeroita ei ole pakko syöttää, mutta silloin estokoodi ei vain toimi. Mitään tarkistusta ei ole eikä virheilmoitusta tule.
Elisan ohje kertoo lähettämään tekstiviestin "STKSPAM koodi" numeroon 18258. Koodin voi asettaa myös puhelimesta, Android-puhelimissa on sitä varten Elisa-niminen sim-kortin palvelujen hallintasovellus.
 |
| Elisan sim-palvelujen hallintasovellus. |
iPhone-puhelimissa se löytyy (jos vain osaa etsiä) puhelimen sim-asetuksista Mobiilidata > SIMit ensisijainen > SIM-sovellukset > Tunnusluvut > Häirinnänestokoodi ja sen jälkeen joko Aseta estokoodi tai Poista estokoodi. Vastaava asetuspolku pitäisi olla myös Android-puhelimissa, mutta omista malleistani en sitä löytänyt.
 |
| iPhonen SIM-sovellukset asetusvalikosta pääsee Tunnuslukuihin. |
Tunnistusta käytettäessä kirjoitetaan oma puhelinnumero, odotetaan kunnes palvelu tarkistaa onko sim-kortilla käytössä estokoodi, kysytään sitä, syötetään se ja lopuksi kirjoitetaan pin-koodi puhelimella. Ei ihme, että nopeammat ja yksinkertaisemmat pankkitunnukset ovat yhä laajassa käytössä.
Mobiilivarmenne on voimassa viisi vuotta kerrallaan. Kun aika umpeutuu, sim-kortti pitää vaihtaa, koska sille voi asentaa vain yhden varmenteen kerrallaan. Varmenteeni vanheni ja se irtisanottiin Elisan liikkeessä, mutta nyt pitää odottaa kaksi viikkoa sopimuksen irtisanomista, ennen kuin uusi varmenne alkaa toimia. Siis kaksi viikkoa ilman tunnistuspalvelua.
Jos tämä on viranomaisten suosittelema tunnistusmenetelmä, se kaipaa vielä hiomista. Ilmeisesti on niin, ettei mobiilivarmennetta juuri käytetä maailmalla ja siksi sen tuki päätelaitteissa vaihtelee, eivätkä suomalaisetkaan operaattorit ole panostaneet siihen ihan täysillä.
Aiemmin varmenteen käyttöönotto vaati asiointia myymälässä ja henkilöllisyyden varmistamista, mutta nykyisin sen voi aktivoida pankkitunnuksilla suoraan netistä. Tässä piilee iso riski. Jos rikollinen pääsee toimimaan uhrin puolesta pankkitunnuksilla, hän voi aktivoida mobiilivarmenteen omaan puhelimeensa ja sen jälkeen tunnistautua vahvasti uhrin nimissä.
Varmennetta ei ole sidottu liittymän omistamiseen. Esimerkiksi puoliso voi aktivoida toisen identiteetin omaan puhelimeensa, jos pääsee tunnistautumaan kerran tämän puolesta pankkiin. Perheen sisällä tai lähipiirissä tämä ei yleensä ole ongelma.
Käyttö on tietenkin laitonta, mutta teknisesti mahdollista. Feikkipuhelimessa on oltava liittymä, jossa varmennetta ei vielä ole. Prepaid-liittymät eivät käy, koska niihin varmennetta ei saa.
Kesällä 2022 S-pankilla oli tietoturvakatastrofi, jossa nuoret miehet pääsivät mellastamaan asiakkaiden tileillä eikä pankki aluksi uskonut saamiaan vikailmoituksia. Samassa yhteydessä tekijät onnistuivat ilmeisesti myös luomaan uusia mobiilivarmenteita ja siten varastamaan muiden identiteettejä. He tyytyivät nostamaan 60 000 euroa lainoja, mutta tilanteessa oli aineksia paljon pahempaankin.
Vahvan tunnistuksen huijaaminen tällä tavalla olisi pitänyt soittaa hälytyskelloja viranomaisissa, mutta jostain syystä asia meni ohi tavanomaisena huijausuutisena.
Ei kommentteja:
Lähetä kommentti