torstai 13. elokuuta 2015

Nordea Tunnusluvut - vihdoin eroon salasanalistoista

Verkkopankkien kertakäyttöiset salasanat (ns. TUPAS) olivat kehityksen huippua 20 vuotta sitten, mutta nykyään ne vaikuttavat säälittävän vanhanaikaisilta. Listaa täytyy kuljettaa lompakossa, käytetyt tunnusluvut yliviivata ja lista vaihtaa uuteen säännöllisesti. Lisäksi sitä on helppo monistaa digikameralla tai valokopiokoneella.

Nordea on kehittänyt näppärän Tunnusluvut-sovelluksen, joka siirtää salasanalistan historiaan. Vihdoin!

Ohjelma on kaikessa yksinkertaisuudessaan mainio. Se asennetaan älypuhelimeen (iOS, Android, Windows Phone) ja käynnistetään, kun verkkopankissa halutaan maksaa jotain. Pankkiin kirjautuminen ja maksun hyväksyminen kuitataan kirjoittamalla nelinumeroinen PIN-koodi puhelimeen. Koodin saa itse valita ja se on vakio -- ei siis vaihtuvaa koodia, kuten esimerkiksi Microsoft, Google ja Facebook käyttävät omassa todennuksessaan.

Jos puhelin varastetaan tai katoaa, kyseisen laitteen voi poistaa käytöstä verkkopankin asetuksista.

Ainoa kummallisuus on siinä, että puhelinta nimettäessä ei voi käyttää numeroita tai erikoismerkkejä. SamsungS6 tai iPhone6 eivät siis kelpaa. Mikä ihme estää numeroiden käytön laitenimissä?

Puhelimella kirjautumista varten verkkopankissa on oma välilehti. Käyttäjän pitää muistaa oma asiakasnumeronsa, mutta se tarvitaan myös perinteisessä TUPAS-tunnistuksessa.

Kirjautuminen puhelimella verkkopankkiin.
Sen jälkeen verkkosivu odottaa, kunnes käyttäjä on naputellut 4-numeroisen PIN-koodinsa älypuhelimella -- ja pankki aukeaa.

Koodin kyselysivusta ei ole kuvaa, sillä ainakin Androidissa ruutukaappauksen ottaminen näytöstä on estetty. Mutta eipä siinä mitään näkemistä olekaan, vain neljä isoa ruutua numeroita varten.

Maksut vahvistetaan samalla tavalla. Pankki lähettää sovellukselle summan ja maksun saajan, jonka jälkeen ne hyväksytään PIN-koodilla.

Sama periaate toimii verkkokaupoissa, jotka hyväksyvät E-maksun:

E-maksun hyväksyminen puhelimella.
Googlen Play-kaupan kommenttien perusteella ohjelma ei toimisi rootatuissa puhelimissa. Onko muutenkaan järkevää asioida verkkopankissa puhelimella, josta on tahallisesti poistettu käyttöjärjestelmän turvaominaisuudet?

Toivottavasti kaikki pankit siirtyvät todennuksessa 2010-luvulle. Jos ei halua maksaa operaattorille mobiilivarmenteesta, pitää kehittää Nordean tavoin oma sovellus.

17 kommenttia:

  1. Kuka yliviivaa käytetyt tunnusluvut? Ei ehkä kovin järkevää, kun lopulta on vain yksi jäljellä!

    VastaaPoista
  2. Sehän on vähän niin kuin idea noissa kertakäyttötunnuksissa : -)

    VastaaPoista
  3. Ehkäpä numerot laitenimissä estetty sen vuoksi, että joku neropatti laittaisi pin-koodinsa laitenimeen. Ei pidä aliarvioida ihmisten "näppäryyttä" :)

    VastaaPoista
  4. Noita systeemejä on erilaisia. Nordea taitaa olla ainoa, jossa yliviivataan. Muissa nettipankki pyytää lukua numeron perusteella. Minä pidän listan kopiointimahdollisuutta hyvänä. Voi pitää listaa lompakossa ja koneen lähellä.

    Miten tämä systeemi toimii, kun asioidaan puhelimen kanssa. Tuntuisi kovalta riskiltä, jos joku katsoo koodin olan yli ja varastaa puhelimen.

    VastaaPoista
  5. Jos urkkii olan yli, pitää selvittää asiakasnumero, pin-koodi ja varastaa puhelin. On siinä tekemistä.

    Puhelin on aina mukana, joten lista ei unohdu mihinkään. Lisäksi puhelimen varkauden huomaa helpommin kuin listan varkauden (jos koko lompakkoa ei viedä).

    Nämähän ovat aina kompromisseja. Mukavuus * turvallisuus = vakio.

    VastaaPoista
  6. Puhelimessa on kyllä hyvä pitää sitä puhelimen omaa - oikeastaan hyvinkin vahvaa salasanaa (lukitusruutua) päällänsä. Eli siis androidin kuvasalasanaa tai Windows phonen näppäiltävää pin-koodia. Iphoneissa on jopa sormitunnistusta. Tulee myös muistaa, että tämä nordean tunnuslukusysteemi toimii myös sähköisessä tunnistuksessa. Eli se toimii siis kaikkialla sielä missä aikaisemmin toimi pahvilapulla. Tästä seurauksena voi siis ajatella tämän toimivan myös aika vahvana kilpailijana operaattoreiden mobiilivarmenteelle. Pahimmassa tapauksessa jopa mobiilivarmenteen jyräävä palvelu. Tämä meinaan toimii kertaluokkaa näppärämmin ja JOKA paikassa. Toisin kuin mobiilivarmenne. Mobiilivarmenteessa ainakin Windows phonessa on ensimmäinen kökkö asia, että se tekstari tulee sinne luurin yläkulmaan hyvin pienellä. Toisekseen luurin lukitus pitää muistaa pois päältä ennen tätä. Sitten kun avaa sen kirjoituskentän. Tulee esille KIRJAIN näppämistö. Mikä siis erikseen pitää vaihtaa numeronäppämistöksi. Aika kökkö käyttöliittymä. Hyvin epävarma myös. Nordean tunnuslukusovellus toimii paljon paremmin. Se osaa käynnistyä automaattisesti kun sitä "kutsutaan". Siinä on HETI numeronäppäin isokokoisena päällä. Toimii paljon nopeammin ja varmemmin kuin mobiilivarmenne.

    VastaaPoista
  7. Ja tosiaan, turvallisuudesta epävarmoille. Kyllä ne varkaat todennäköisemmin vie luottokortin kuin tämän mobiilivarmenne-kännykän. Varmaan muutenkin huomaat jos joku kurkkii sun olkasi yli? Tuskin tätä nyt tulee mieleen käyttää jossain kahviossa. Kotona tätä useimmiten käytetään? Luottokortilla taasen pystyy tekemään verkkokauppa-ostoksia samantien ilman monimutkaisia ongelmia. Tilisiirroista taasen jää aina jäljet. Ei siis kovin realistinen turvallisuusuhka.

    VastaaPoista
  8. Mobiilivarmenne on rahalaitoksesta ja sovelluskaupasta riippumaton ratkaisu, jonka soisin yleistyvän mielummin kuin pankkikohtaisten sovellusten. Ei se ole mobiilivarmenteen vika jos toiminne on toteutettu huonosti jossain tietyssä käyttöjärjestelmässä. Pankeille TUPAS ja sen johdannaiset ovat bisnestä ja siinä on yksi syy miksi mobiilivarmenne on yleistynyt niin hitaasti.

    VastaaPoista
    Vastaukset
    1. Pitää paikkansa. Itse käytin aikaisemmin mobiilivarmennetta kaikkialla sielä missä sai käyttää. Kököstä käyttöliittymästä huolimatta. Jostain syystä kuitenkaan, esimerkiksi valtionhallinnossa vieläkään kaikissa paikoissa ei moista käytetä. Vaikka sama valtio peräänkuuluttaa lisää vahvan tunnistuksen toimijoita. Luulisi, että ottaisivat ne sitten kaikkialla käyttöön. Mobiilivarmenne laahaa nyt jotenkin niinku horrostilassa. Minkäänlaista kehitystä - mainontaa yms en ole nähnyt aikoihin! Saisivat nyt tehdä työtäkin asian eteen! Missä on mobiilivarmenne-sovellus? Se voisi korjata nämä kökön käyttöliittymän ongelmat. Jos nordea siihen pystyi, luulisi nyt puhelinoperaattoreidenkin pystyvän? Noh tällä hetkellä nordea-asiakkaille, tuo nordean tunnuslukusovellus on huomattavasti mobiilivarmenteen edellä. Se korjaa ne kaikki kökön käyttöliittymän ongelmat, sekä toimii varmemmin ja nopeammin. En minä asiakkaana sille mitään voi, että toinen kilpaileva tarjonta on käytännöllisesti katsoen heittänyt rukkaset naulaan. Minäkään en kyllä haluaisi olla mitenkään sidonnainen johonkin tiettyyn pankkiin, joten toivon että ryhdistäytyvät!

      Poista
  9. Roottauksessa on riskinsä, mutta antaa sitä haluavien ottaa riskinsä itse.

    Tunnusluvut saa toimimaan rootatuissa laitteissa, vaatii sopivat ja yleisesti "luotetut" ohjelmistot. Google Playn pilipalisovellukset kannattaa kiertää kaukaa.

    VastaaPoista
  10. Ei sitä tunnusnumerolappua tartte pitää lompakossa tai takataskussakaan. Lapun skannaus ja tallennus salasanasuojattuna pdf:nä Dropbox:iin hoitaa homman suojatusti kaikilla laitteilla. lapun voi pitää kotona varuilta.

    VastaaPoista
    Vastaukset
    1. Minä pidin Nordean ylivedettäviä tunnuksia ennen Evernotessa, jossa ne käytetyt voi myös vetää yli. Toimi niin mobiilisti että pöytäkoneella. Ja tietenkin Evernotessa käytössä kaksivaiheinen kirjautuminen, joten aika turvassa on.

      Poista
    2. Ei oikein tunnu kätevältä tuollainen. Minulla oli lista ihan normaalina kuvana kännykässä, kun yritin käyttää sitä, lensin pois selaimesta ilmeisesti muistin puutteen takia. Lopulta ainoa vaihtoehto oli ottaa kameralla kuva puhelimen näytöllä olevasta listasta. Tämän vuoksi pidän hyvänä,m että lista on erikseen.

      Poista
    3. No eihän nämä käteviä ollutkaan nämä viritykset, vaikkei tuo oma Evernote käytäntö niin hankala ollutkaan. Vaan siksipä on hyvä asia että Nordea toi mainion Tunnusluku ohjelman käyttöön. :)

      Poista
  11. On tossa sovelluksessa riskinsäkin verrattuna tunnuslukulistaan. Jos haittaohjelma onnistuu kaappaamaan puhelimen kokonaan haltuunsa. Se voi tehdä nettipankissa mitä haluaa, kunhan se on kerran saanut kaapattua käyttäjän käyttäjätunnuksen ja tunnuslukusovelluksen pin koodin.

    Sellainen yksityiskohta myös sovelluksesssa on, että useamman maksun vahvistuksessa ei eritellä maksuja, vaan ilmoitus on tyyliin "vahvista 4 maksua". Jos on erehtynyt huijarin sivuille ja hän on matkalla muuttanut maksut vääriksi, niin sitä ei huomaisi tunnuslukusovelluksesta.

    Kokonaisuudessaan toi varmaan parantaa turvallisuutta pitkällä tähtäimellä ainakin, jos tunnuslukulistoista pystyttäisiin luopumaan kokonaan. Sen jälkeen ei enää voisi antaa huijarille tunnuksia, kun niitä kysellään sähköpostilla.

    VastaaPoista
  12. Hyvä juttu tämä NORDEAN tunnuslukusov.
    Alkuun hiukan epäilin kun oli monta vaihetta asennuksessa, mutta käyttö on tosiaan helppoa ja kätevää. Suosittelen :)

    VastaaPoista
  13. Tottakai konnat on jo koodanneet viruksen joka asentuu androidille ja IOS:lle tietämättäsi --- koska puhelimesi on täynnä pelejä joille olet hyväksynyt pääsyn kaikkeen puhelimessa ja netissä, ja jotka päivitää itseään kun haluaa ja millä haluaa. Ja näin helposti pahis pääsee sisään tietämättäsi ja nappaa käyttäjätunnuksen + pin koodin heti eka pankkikäynnillä. Ja ainoa toivosi on vahtia puhelintasi koko ajan, ja käydä vähän väliä tarkastamassa vieläkö rahat on pankissa. Tai sitten laita 20€ päivittäinen nostoraja ettei sen enempää päivässä päästä viemään. Voi se tosin vähän elämää vaikeuttaa, mutta eipähän maksa niin paljoa... elämä on.

    VastaaPoista