Kirjoitukseni mobiilivarmenteen ongelmista herätti paljon keskustelua, joten pitää palata vielä aiheeseen. Joku saattoi saada käsityksen, ettei mobiilivarmenne ole lainkaan turvallinen, kun kyse oli vain siitä, että huijari voi erehdyttää uhria antamaan luvan oman varmenteensa asentamiseen rosvon puhelimeen.
Varmennetta ei varsinaisesti "kaapata", se vain otetaan vieraan henkilön käyttöön luvatta. Tämä kuitenkin edellyttää, että uhri käyttää pankkitunnuksiaan väärällä sivulla ja on muutenkin huolimaton.
Mobiilivarmenne on turvallisempi kuin pankkitunnus lähinnä siksi, ettei se ole pankkitunnus ts. turvallisuudessa itsessään ei ole eroa, mutta mobiilivarmenteella ei pysty vahingossa avaamaan kalastelusivulle pääsyä omaan pankkiinsa.
Keksintönä mobiilivarmenne on vanha, mutta se alkoi levitä toden teolla vasta kun kohu verkkopankkihuijauksista alkoi. Syntyi käsitys, että mobiilivarmenne on lähtökohtaisesti turvallisempi kuin pankkitunnukset. Viranomainenkin suositteli käyttämään tunnuksia vain pankkiasiointiin ja kirjautumaan kaikkialle muualle mobiilivarmenteella.
Pankit, joille tunnistuskertojen myynti on pienimuotoinen bisnes, eivät olleet hyvillään tällaisesta rinnastuksesta. Julkisesti ne eivät voineet kritisoida mobiilivarmennetta.
Vaikkei varmenteella pääse isoihin pankkeihin (pieniin kylläkin), niillä voi ottaa pikavippejä, tehdä rekisterimerkintöjä (VTJ, PRH ym) ja esimerkiksi poistaa omaehtoisen luottokiellon, mikä helpottaa tilauspetosta uhrin nimissä.
Kun käyttäjien määrä kasvoi, rosvot löysivät mobiilivarmenteen. Samalla huomattiin, että operaattorit olivat varsin huolettomasti kehuneet varmennetta unohtaen, että silläkin voitiin huijata. Poliisin tiedote toi huijaukset julkisuuteen kesällä 2025:
 |
| Poliisin tiedote 25.6.2025 |
Vieläkin monelle tulee yllätyksenä tieto häirinnänestokoodista ja sen tarpeellisuudesta. Ilman koodia uhria on helpompi erehdyttää vääriin kirjautumisiin.
Ei ihme, etteivät operaattorit oma-aloitteisesti maininneet häirinnänestokoodista. Puhelinnumeron kirjoittaminen ja kaksi muistettavaa koodia tekevät varmenteesta kömpelömmän kuin pankkitunnisteista. Kirjoitettavia numeroita ja muistettavaa on enemmän. Tässäkin mukavuus kertaa turvallisuus on vakio.
Kaikkein turvallisin kirjautumistapa on varmennekortti (se alkuperäisen HST-kortin vm. 1999 nykyinen versio) eli virallinen sirullinen henkilökortti. Sitä ei voi kaapata eikä hakea vahingossa, eikä sillä pääse mihinkään pankkeihin. Siinä on käsittääkseni sama DVV:n myöntämä varmenne kuin mobiilivarmenteessa, mutta upotettuna fyysiselle kortille.
Varmennekortti on jäänyt sivuraiteille, koska hankkeista huolimatta sitä ei laitettu toimimaan mobiililaitteilla eikä sillä ollut takana kaupallista tahoa joka olisi huolehtinut markkinoinnista. Kortti vaatii usb-lukulaitteen, jonka saa marketista muutamalla kympillä. Joissakin bisnesläppäreissä (erityisesti Dell) lukija on valmiina.
 |
| Prisman hyllyssä kortinlukijan hinta 19,95 euroa. |
Kortinlukijassa on tietenkin asentamisen vaiva, mutta sellaiselle, joka käyttää palveluita kotona oikean tietokoneen tai läppärin ääressä, kortti on mainio ratkaisu. Sen voi jättää lukijaan pysyvästi ja se vaatii vain yhden nelinumeroisen PIN-koodin.
Lähivuosina tunnistus menee entistä sekavammaksi, koska jo syksyllä on luvassa EU:n digilompakko tunnistamista varten ja ensi vuonna tulee eIDAS-sääntely. Sen jälkeen digitaalisten palveluiden - myös pankkien - on tuettava euroopanlaajuista tunnistustapaa.
Saapa nähdä, millaisia sotkuja siitä saadaan aikaan. Tunnistaminen on verkkopalvelujen kulmakivi ja siksi jatkossakin nettirosvojen tärkein kiinnostuksen kohde.
5 kommenttia:
Eikö hightrust.id ole tavallaan mobiililaitteessa toimiva varmennuskortti? Onko sinulla käsitystä sen turvallisuudesta. Itse olen alkanut käyttää sitä aina kun mahdollista. Ehkä senkin yleistymiseen vaikuttaa hankalahko asennus, jota jouduin itsekin yrittämään pari kertaa ennen kuin onnistui.
Hightrust.id on tosiaan helppokäyttöinen, mobiililaitetta käytettäessä ei tarvita edes koodeja, pelkkä painikkeen tökkääminen sormella riittää kirjautumiseen. Asentaminen vaatii kuitenkin sirullisen henkilökortin eikä itseltä onnistunut Android-puhelimeen: pjarvinen.blogspot.com/2025/03/uusi-tunnistustapa-sahkoiseen.html. Hieman arveluttaa, ettei ohjelman käyttö vaadi mitään PIN-koodia vaan nojaa täysin puhelimen omaan lukitukseen. Entä jos puhelin jää auki ja joku nappaa sen pöydältä? Lisäksi ohjelma on kerran antanut virheilmoituksen, mitä tunnistusohjelman tapauksessa herättää heti epäluottamusta.
Mobiilivarmenteella sekä puhelinnumeron että häirinnänestokoodin voi lisätä selaimen automaattitäyttöön, jolloin ne täyttyvät parilla klikkauksella. Pankkien mobiilisovelluksia käytettäessä käyttäjätunnuksen voi usein vastaavasti lisätä automaattitäyttöön.
Mobiilivarmenteen automaattitäyttö on toki sidottu tunnistussivustoon, mutta useimmat kulkevat Telia Tunnistuksen kautta. Joitakin poikkeuksia on kuten Elisan verkkoasiointi, eli siellä tunnistus alkaa Elisan omalta sivulta, eikä Teliaan kytketty automaattitäyttö toimi.
Hightrust.id taitaa vaatia aina uuden tunnistautumisen, vaikka laite olisi auki. Androidilla sovellus saa määrätä, hyväksytäänkö tunnistautumiseen laitteen avauskoodi tai biometrinen tunniste ja pitääkö biometrisen tunnisteen olla ns. vahva menetelmä.
Lähetä kommentti