Mobiilivarmenteen olisi voinut tehdä paremmin, Petteri Järvinen arvioi.
Pankkitunnusten tilalle vahvaan tunnistautumiseen suositeltu mobiilivarmenne on käyttäjän kannalta kovin tekninen ja vaikeaselkoinen, tietokirjailija ja tietotekniikan asiantuntija Petteri Järvinen pohtii.
Mobiilivarmenteen turvallisuutta voi tehostaa niin sanotulla häirinnänestokoodilla, mutta se tuo taas uuden koodin muistettavaksi mobiilivarmenteen tunnusluvun lisäksi.
Lue lisää: Käytätkö mobiilivarmennetta? Harkitse vakavasti tätä turvakeinoa – ei maksa mitään
– Elisalla koodissa pitää olla 3–16 merkkiä, joista ainakin ensimmäinen on kirjain. Ehkä tämänkin olisi voinut tehdä helpommaksi? Järvinen kysyy blogissaan.
Tunnistuspyyntö puhelimeen lähtee vasta, kun oikea koodi on syötetty. Sen jälkeen puhelin ilmoittaa saapuvasta tunnistuspyynnöstä ja esittää tapahtumatunnisteen – mutta ei tunnistusta pyytävän palvelun nimeä.
Ruudulla voi lukea esimerkiksi ”Telia Tunnistus”, mutta Järvisen mielestä se on turha tieto. Kyseessä on vain tunnistuksen tekninen toteuttaja.
– Käyttäjän ajatuksissa tunnistuspyyntö tulee oikealta palvelulta, ei tunnistuspalvelulta. ”Telia Tunnistuksen” sijaan pitäisi lukea Suomi.fi, KELA, Vero tai muuta sellaista, Järvinen sanoo.
Järvisen mielestä ”Telia Tunnistus” on tässä näkymässä turha tieto. Kuva: Petteri Järvinen
Tämä on mobiilivarmenne
-
Vahvan tunnistautumisen väline, kuten pankkitunnukset tai varmennekortti.
-
Mobiilivarmenne tilataan teleoperaattorilta ja on joissain tapauksissa maksullinen.
-
Varmenne liitetään puhelimen sim-siruun, ja se toimii kaikilla puhelimilla, joilla onnistuu tekstiviestien vastaanottaminen. Telialla se toimii myös sim-kortin korvaavalla sähköisellä eSimillä, DNA:lla ja Elisalla ei.
-
Tunnistautuminen tapahtuu puhelinnumerolla ja omavalintaisella tunnusluvulla. Sitä pyydetään puhelimen ruudulla palveluun kirjauduttaessa.
-
Mobiilivarmenteen turvallisuutta voi parantaa ilmaisella häirinnänestokoodilla, joka tilataan omalta teleoperaattorilta.
Järvisen mukaan Suomi ei enää ole sähköisen asioinnin pioneeri, mistä mobiilivarmenne on yksi esimerkki.
– Mobiilivarmenteen toteutus on kovin tekninen. Näytöllä on numeroita ja outoja sanoja, mutta käyttäjän kannalta tärkein informaatio (palvelun nimi) puuttuu.
Samaan aikaan verkkorikolliset ovat jo ottaneet mobiilivarmenteen omakseen. Vaikka mobiilivarmenne ei päästä rikollista uhrin verkkopankkiin tilejä tyhjentämään, rahan huijaaminen on silti mahdollista.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus kertoo lastensuojelun nimissä tehdyistä huijauksista, joissa käyttäjälle on saatettu ensin lähettää tekstiviesti. Siinä ilmoitetaan kohta saapuvasta mobiilivarmenteen tunnistuksesta.
Lue lisää: Tämä häijy viesti on valetta alusta loppuun – älä tee vakavaa virhettä
Tämän jälkeen rikollinen hyödyntää käyttäjän puhelinnumeroa kirjautuakseen mobiilivarmenteella johonkin palveluun, kuten ohjelmistoyhtiö Visma Solutionsin Netvisoriin.
Mikäli käyttäjä erehtyy antamaan mobiilivarmenteen pin-koodinsa, rikollinen pääsee sisään palveluun. Myös pankkitunnuksia on kalasteltu.
Visman mukaan yksittäisiä Netvisorin asiakkaita on onnistuttu huijaamaan tietojenkalastelulla. Rikolliset ovat päässeet tekemään tilisiirtoja suoraan heidän yrityksensä Netvisor-palveluissa. Rahalliset menetykset ovat vaihdelleet tuhansista euroista aina sataan tuhanteen euroon saakka.