Mobiilivarmenteen suosio on kasvanut räjähdysmäisesti viime aikoina. Mobiilivarmennetta on markkinoitu turvallisena tunnistautumistapana, sillä siihen ei tarvita verkkopankkitunnuksia. Samalla tämän on uskottu olevan tehokas suoja lisääntyviä verkkohuijauksia vastaan, joissa on pyritty kalastelemaan ihmisten pankkitunnuksia.

Tästä huolimatta tunnistautumistapa ei ole täysin ongelmaton. Asian nostaa esille tietoturva-asiantuntija ja tietokirjailija Petteri Järvinen blogissaan. Hänen mukaansa teknisessä mielessä mobiilivarmenteessa on omat puutteensa ja sen käytettävyyskin voisi olla parempi.

– Mobiilivarmenteen suurin ongelma on siinä, ettei käyttäjä voi tietää, mihin tapahtumaan tunnistuspyyntö liittyy. Nettipalvelu näyttää kyllä tapahtumatunnisteen, mutta se ei näy puhelimessa, Järvinen huomauttaa.

Järvinen erittelee yksityiskohtaisesti, miten ongelmat ilmenevät. Hän ottaa esimerkiksi tunnistautumisen viranomaisten käyttämään Suomi.fi-palveluun. Tunnistus palveluun mobiilivarmenteella alkaa puhelinnumeron kysymisellä.

– Kun palvelun tunnistuspyyntö lähtee puhelimeen, SIM-kortille upotettu toiminta ottaa puhelimen haltuunsa ja kysyy mobiilivarmenteen PIN-koodia.

Samalla alkuperäinen palvelu näyttää nettisivulla tapahtumatunnisteen. Siinä kerrotaan, että tunnistautuminen palveluun on käynnissä. Järvinen huomauttaa, että käyttäjän on kuitenkin mahdotonta tietää, mihin hän on tunnistautumassa. Tapahtumatunniste ei kerro sitä.

– Nettisivulla tehdyn aloituksen ja puhelimella annetun koodin välillä on vain ajallinen yhteys. Kriittisin vaihe, PIN-koodin syöttö puhelimella, ei kerro mihin palveluun koodi liittyy. Tämä on vakava puute, Järvinen huomauttaa.

Hänen mukaansa tapahtumatunniste voisi nimensä mukaisesti sitoa tapahtumat yhteen, mutta se pitäisi näyttää nettisivulla jo aloituksen yhteydessä ja myös puhelimessa, jotta käyttäjä voisi verrata koodeja keskenään.

– Tällaisena järjestelmä mahdollistaa helpon huijauksen. Jos uhri saadaan houkuteltua valesivulle ja kirjautumaan sieltä mobiilivarmenteella, hän tuleekin antaneeksi oikean PIN-koodinsa huijarin taustalla käyttämään palveluun, Järvinen huomauttaa-

Järvisen mukaan varmenne on teknisesti turvallinen, mutta puolitiehen jääneen toteutuksen vuoksi uhrin huijaaminen sillä on helppoa.

– Etenkin, kun media ja viranomaiset ovat suositelleet sen käyttöä juuri turvallisuuden vuoksi.

Julkisuudessa mobiilivarmenteeseen liittyvät puutteet eivät ole olleet laajasti esillä. Kesällä poliisi kertoi kuitenkin tiedotteessaan, että ihmisiä on huijattu mobiilivarmenteen avulla. Tiedotteen perusteella huijaustapa on yksinkertainen: rikollinen lähettää uhrille ilmoituksen, että varmenne on vanhentumassa ja pitää uusia kirjautumalla.

– Jos uhri saadaan aktivoimaan tunnistus pelkän tekstiviestin tai sähköpostin perusteella, edes valesivua ei tarvita.

Tietoturvaa voi parantaa yksinkertaisella keinolla

Vaikka mobiilivarmenteen kehitys näyttää jääneen puolitiehen, käyttäjä pystyy parantamaan turvallisuuttaan helposti. Järvisen mukaan turvallisuutta voi parantaa merkittävästi ottamalla puhelimessa käyttöön häirinnänestokoodin. Sen jälkeen kirjautumisen aluksi puhelinnumeron ohella pitää syöttää erillinen lisäkoodi. Tunnistuspyyntö puhelimeen lähtee vasta, kun oikea koodi on syötetty. Sen jälkeen puhelin ilmoittaa saapuvasta tunnistuspyynnöstä ja silloin näkyy myös tapahtumatunniste.

Tunnistautuminen ei ole ongelmatonta edes häirinnänestokoodin kanssa. Järvinen ihmettelee, miksi tunnistuspyyntö tulee käyttäjälle tunnistautumista tarjoavalta palvelulta (esimerkiksi ”Telia Tunnistus”) eikä siltä palvelulta, johon hän on kirjautumassa.

– Mobiilivarmenteen toteutus on kovin tekninen. Näytöllä on numeroita ja outoja sanoja, mutta käyttäjän kannalta tärkein informaatio (palvelu nimi) puuttuu, tietoturva-asiantuntija huomauttaa.

Järvisen mukaan Suomi oli joskus sähköisen asioinnin pioneeri, mutta ei ole enää.

– Kuvaavaa onkin, että DNA ja Elisa ilmoittivat äskettäin sovelluspohjaisen mobiilivarmenteen kehityksen viivästymisestä. On epävarmaa, jatketaanko kehitystä enää lainkaan.

Järvinen kertoo saaneensa bloginsa julkaisun jälkeen palautetta, että mobiilivarmenne toimii osalla käyttäjistä eri tavalla. Osalla mobiilivarmenne näyttää tapahtumatunnisteen, vaikka häiriönestokoodia ei olisi asetettu.

– Olisiko niin, että uudemmat mobiilivarmenteet ovat tässä suhteessa parempia? Omani ovat vanhoja, koska hankin ne kauan sitten. Joka tapauksessa häirinnänestokoodi kannattaa asettaa sen tuomasta lisävaivasta huolimatta, sillä on varmaa, että huijarit oppivat uusia kikkoja myös varmennekäyttäjien huijaamiseen, Järvinen sanoo.

Poimintoja videosisällöistämme