Toinen blogiteksti liittyen digiasioinnin turvallisuuteen.
Yksi syy pankkihuijauksiin on suomalainen digitunnistus, joka sekoittaa kaksi tärkeää periaatetta keskenään: tunnistuksen ja allekirjoituksen. Kaikki kuitataan yhdellä ja samalla PIN-koodilla, mikä avaa mahdollisuuden huijaukseen. Uhri luulee kirjautuvansa vaikkapa Omakantaan, mutta rosvo käyttääkin saamansa tunnistuksen rahansiirtoon tai mobiilipankin asentamiseen uuteen puhelimeen.
Käyttäjän tunnistaminen (todennus) ja toimenpiteen hyväksyminen (allekirjoitus) ovat kaksi aivan eri asiaa. Perinteisessä pankkitoiminnassa asiakas tunnistetaan ensin henkilöllisyystodistuksesta ja sen jälkeen rahojen siirto varmistetaan allekirjoituksella. Harva enää asioi pankissa muutoin kuin korkeintaan lainaa nostamassa, mutta periaate pätee muuallakin. Kauppakirja tai lainasopimus on pätevä vasta, kun se on molempien osapuolten allekirjoittama ja sitä ennen osapuolten henkilöllisyydet on varmistettu.
Verkkopankin ongelma on siinä, että kaikki hoidetaan pelkällä henkilöllisyyden todentamisella. Perinteiseen tilanteeseen sovellettuna tämä tarkoittaisi sitä, että asuntokaupat voitaisiin tehdä vain todentamalla henkilöllisyys.
Jotta rahojen siirto verkkopankissa olisi turvallista, hyväksyntä pitäisi erottaa käyttäjän tunnistamisesta. Se vaatisi erillistä PIN-koodia tai kokonaan erillistä todennusohjelmaa. On helppo nähdä, miksi pankit eivät ole lähteneet tähän. Kaksi erillistä järjestelmää olisi kallis ylläpitää ja asiakkaan kannalta vaikea muistaa. Turvallisuudesta on tingitty mukavuuden ja helppokäyttöisyyden vuoksi. Se ei aikanaan ollut ongelma, mutta nyt turvallisuustilanne on aivan toinen.
Ironista on, että mobiilivarmenteessa ja varmennekortissa on erikseen allekirjoitus-PIN. Se on oikeaoppisesti pidempi (6-8 numeroa) kuin tavallinen todennus-PIN (4 numeroa), koska sitova allekirjoitus on paljon kriittisempi kuin pelkkä käyttäjän todennus.
Käsittääkseni mobiilivarmenteen allekirjoitusta ei juuri hyödynnetä, koska varmennetta käytetään asiointipalveluissa lähinnä käyttäjän todentamiseen. Mobiilivarmenteella voi kuitenkin ottaa pikavippejä ja tehdä muita taloudellisia sitoumuksia.
Mitä pankkien sitten pitäisi tehdä? Jos kaksi PIN-koodia tai erilliset ohjelmat ovat liian hankalia, eikö pankin oma todennusohjelma voisi vaikka vaihtaa väriä tai antaa erilaiset äänimerkit riippuen siitä, ollaanko kirjautumassa palveluun (todennus) vai siirtämässä rahaa (allekirjoitus)? Väristä ja äänistä käyttäjä erottaisi tapahtumat toisistaan.
Jätän tämän idean ilmaiseksi pankkien käytettäväksi, enkä tule vaatimaan siitä IPR-oikeuksia. Digiasioinnin ja pankkien verkkotoiminnan turvaaminen on yhteinen asiamme.
---
Havainnollistan tätä vielä. Nykyisellään tilanne on tämä:
 |
| Nordea kirjautuminen verkkopankkiin. |
Maksun vahvistaminen näyttää erilaiselta, mutta ei kovin paljoa:
 |
| Nordea tilisiirron vahvistaminen. |
Suunnittelija on epäilemättä ollut tyytyväinen: kirjautumisen ja maksamisen vahvistusikkunat ovat aivan erilaiset. Mutta vanhempi ihminen tai kiireinen keski-ikäinen ei jaksa aina lukea tekstejä, vaan naputtelee tottuneesti PIN-koodin (tai kuittaa ilmoituksen sormenjäljellä, katseella tms. niissä pankeissa, missä se on mahdollista).
Entä jos tilisiirron vahvistaminen olisi vaikka punaisella taustalla:
 |
| Entä jos tilisiirron vahvistus olisikin punaisella värillä? |
Käyttäjä havahtuisi paremmin, jos rahansiirto olisi eri värillä kuin tunnistaminen. OP-pankilla erot ikkunoissa ovat jo lähtökohtaisesti Nordeaa selkeämmät.
 |
| OP-mobiilikirjautuminen. |
Rahansiirron hyväksymisen ikkuna:
 |
| "Maksun hyväksyntä" on isolla fontilla, samoin summa näkyy selkeämmin. |
Silti myös OP:n maksuikkuna olisi havainnollisempi vaikkapa punaisena:
 |
| Maksuvahvistus punaisella. |
Selkeyden vuoksi myös kirjautumisikkuna voisi olla värikoodattu jollain toisella värillä.
Uhrin kannalta kaikkein vaarallisin on tilanne, jossa rosvo saa huijattua luvan asentaa mobiilipankin ohjelma omaan puhelimeensa. Sen jälkeen hän saa tilin täydellisesti hallintaansa. Voisiko tässä yhteydessä olla vielä erityinen varoitus - vaikkapa vilkkuva punainen näyttö, joka huutaisi: OLETKO NYT IHAN VARMA MITÄ OLET TEKEMÄSSÄ? On hyvin harvinaista, että mobiilipankki halutaan asentaa uuteen päätelaitteeseen. Voisi jopa vaatia, että siihen haetaan erityinen koodi puhelinpalveluun soittamalla.
Vielä yksi asia: huomasitko, mikä oli Nordean ja OP:n lähettämä koodi? Et varmaankaan, eihän sitä kukaan katso. Suunnittelija on ajatellut, että tietenkin asiakas vertaa nettisivulla näkyvää koodia Nordean todennusohjelman koodiin (vinkki: se oli XCNL, niinpä tietysti) tai OP:n koodiin (DD88), mutta kuinka moni oikeasti tekee niin?
Miksei koodien sijaan käytetä vaikka avainsanoja, kuten "possu", "lehmä", "kuorma-auto", "viisas"... Ne kiinnittäisivät ihmisen huomion paljon paremmin kuin koodit.
Insinöörin sijaan psykologiaa, sitähän ne huijauksetkin nykyään ovat.
Muokattu 3.9.2025
11 kommenttia:
Eikös siellä pankkitunnistuksessa nyt jo erotella tunnistaminen ja allekirjoitus? Se vaan tehdään tekstipohjaisesti, eli "Tunnistaudu palveluun xxx" ja "Hyväksy maksu yyy".
Jos oletetaan, että huijatuksi tuleva käyttäjä ei lue (tai ainakaan ymmärrä) näitä, en näe miten erivärinen tausta tai erilaiset äänimerkit auttaisivat tähän. Sitten vaan peruskäyttäjät oppisivat, että värit ja äänet vaihtelevat satunnaisesti (heidän mielestään). Sama juttu, vaikka tunnistus ja allekirjoitus olisivat erilliset appsit, sitten käyttäjät ihmettelisivät, että välillä käytetään appsia X ja välillä appsia Y, ehkä kiroilisivat, miksi samalla pankilla on niin monta eri appsia. 😀 (btw, itse kiroilen tätä nyt jo Nordea 3 eri appsin kanssa)
OP tekee isommissa rahansiirroissa myös lisävarmistuksen, eli pyytää naputtelemaan tekstiviestissä tulleen koodin.
Kokeilepa tehdä testisiirto toiseen pankkiin vaikka 2000 euron summalla. Ensimmäisen koodin jälkeen kännyyn tulee vielä tekstiviestinä erillinen koodi joka pitää naputella, eli "lisävahvistus".
https://www.op.fi/henkiloasiakkaat/asiakaspalvelu/ukk/tunnukset-ja-mobiiliavain#heading15
Käyttöliittymien tekeminen idioottivarmaksi on tuhon tie, koska idiootit ovat erittäin kekseliäitä. Sen sijaan pitäisi olla mahdollista sanoa tilin asetuksiin että yli x euron siirtoja et yksinkertaisesti voi laittaa eräpäivällä "HETI", vaan aikaisintaan 1-3 päivän päähän.
On aika hemmetin harvinaista tarvita tuhansien eurojen rahansiirtoja välittömästi. Edes listautumisannit ja vastaavat eivät moista tarvitse.
Jos "kirjautumistunnisteesta" generoisi varin jolla varjaisi koodin taustan tms? Sitten huomaisi nopeasti jos tunnisteet olisivat erilaiset.
Mikon huomio on hyva, ei paljon varikikkailut auta jos kayttajalle ne ovat ihan diibadaabaa.
Entapa jos olisi kaksi eri kuvaa: toisessa tyylitelty ajo/henkilokortti ja toisessa "raha-siivet-selassa"-emoji. Tajuaisi paremmin milloin rahaa on lahtemassa.
Jos viela raha-emoji moninkertaistuisi summan kasvaessa luulisi olevan hyvin selvaa mita on tapahtumassa
Ensimmäisen koodin jälkeen kännyyn tulee vielä tekstiviestinä erillinen koodi joka pitää naputella, eli "lisävahvistus".
Voiko asiakas itse vaihtaa pankkiohjelmassa puhelinnumeronsa? Silloin tekstiviestivahvistuksella ei ole mitään merkitystä.
Ylen uutisen Kokkolan-tapauksessa tili oli tyhjennetty yön aikana usealla pienemmällä siirrolla. Jos pankin järjestelmä ei reagoi tällaiseen, lisävahvistus on pelkkää teatteria.
Linkkaamani FAQ:n perusteella toi lisävahvistusnumero pitää asettaa joko konttorissa tai asiakaspalvelussa eli tarkoittanee OP:n puhelinpalvelua, eli ei ainakaan ihan suorilta onnistu. Jos onnistuu chat/viestikanavia pitkin niin ei sekään välitöntä ole ja ihminen on kuitenkin OP:n puolella vastassa.
Eli en usko että välttämättä OP:n asiakaspalvelukaan lähtisi leikkiin jos AI-tuotettu "asiakas" pyytäisi vaihtamaan lisävahvistusnumeron ulkomaille. Suomimuulin numeroon varmaan onnistuu. Joka tapauksessa, viivettä kuitenkin on.
...itse asiassa jos menet OP:n verkkopankkiin ja valitset "asiakkuus->oma profiili" niin näkyy lisävahvistusnumero erillään muista, ja sitä ei voi muuttaa, vaan vieressä on infoikoni jonka takana teksti "Lisävahvistusnumero on tunnuksiisi liitetty henkilökohtainen puhelinnumerosi. Kun verkossa tekemäsi tapahtuma vaatii lisävahvistuksen, lähetämme tapahtuman tiedot ja vahvistusohjeet tekstiviestinä ilmoittamaasi puhelinnumeroon. Jos numerosi vaihtuu, soita OP:n asiakaspalveluun tai käy osuuspankin konttorissa."
"Jos kaksi PIN-koodia tai erilliset ohjelmat ovat liian hankalia, eikö pankin oma todennusohjelma voisi vaikka vaihtaa väriä tai antaa erilaiset äänimerkit riippuen siitä, ollaanko kirjautumassa palveluun (todennus) vai siirtämässä rahaa (allekirjoitus)?"
Miten monen pankin sovelluksia on tullut kokeiltua? Ainakin omassa lukee selvästi onko kyse rahansiirrosta vai jotain myysta toimesta.
Ikkunassa lukee, kummasta on kyse, mutta annettava koodi on aina sama. Turvallisuuden vuoksi olisi parempi, jos rosvo ei saisi kaapattua tilin hallintaa yhdellä PIN-koodilla.
Linkkaamani FAQ:n perusteella toi lisävahvistusnumero pitää asettaa joko konttorissa tai asiakaspalvelussa
Hyvä, sitten se on turvallista.
Danskebankin verkkopankissa oli aikoinaan maksun hyväksyminen kertakäyttöisellä koodilla. Se muuttui pin-koodiksi (tai DB kutsuu sitä salasanaksi). Kysyin miksi muuttui ja vastaus oli selkeä valhe" asiakaat ovat valittaneet että kertakäyttöisiä koodeja menee niin paljon"
En tiedä onko väreistä mitään hyötyä, mutta jos koodeja olisi kaksi niin siihen joku huijausyritys saattaisi pysähtyä. Nythän on ollut tapauksia, että henkilöt ovat hyväksyneet kirjautumiset vaikkeivät itse juuri sillä hetkellä olekaan pankissa.
Pitäisikö niissä olla teksti "Varoitus: joku ulkopuolinen saattaa yrittää tyhjentää pankkitilisi juuri nyt!". Ehkä sekään ei soita kelloja.
Jossain pari vuotta sitten olleessa MOT:ssa joku finanssivalvonnan henkilö sanoi, että käytettävyys edellä mennään eli mielummin nopea rahansiirto kuin päivän odotus.
Lähetä kommentti