Disclaimer: Olin aiemmin töissä Elisalla ja tutkin tuolloin mobiilivarmenteen käytettävyyteen liittyviä asioita ja olin mukana määrittelemässä Elisan ja operaattoreiden yhteisiä mobiilivarmenteen käytettävyysohjeistuksia, mutta tässä tekstissä ei tietenkään käsitellä mitään sen salaisempaa.
Mistä on kyse?
Mobiilivarmenne tarkoittaa puhelimen SIM-kortille turvallisesti tallennettuja henkilötietoja. Sen avulla käyttäjä voi todistaa henkilöllisyytensä verkossa tai puhelimessa asioidesaan samaan tapaan kuin verkkopankkitunnuksilla sillä erolla, että järjestelmä on turvallisempi ja vaivattomampi käyttää. Lisäksi mobiilivarmenteen avulla voidaan ainakin teoriassa allekirjoittaa sopimuksia ja korvata perinteinen fyysinen allekirjoitus.
Varmenneprojekteilla on Suomessa jo pitkä historia. Operaattorien yhteisellä mobiilivarmenteella ei ole sinänsä suoraa tekemistä surullisenkuuluisan kansalaisvarmenneprojektin kanssa, mutta jo varmenne-sana tuo monille assosiaatioita eeppisestä epäonnistumisesta. Tämä saattaa olla syy, miksi Sonera on brändännyt oman mobiilivarmenteensa Sonera ID:ksi. DNA:lla on DNA Mobiilivarmenne, Elisa on näemmä osin muuttanut nimen Elisa Varmenteesta Elisa Mobiilivarmenteeksi.
Operaattorien yhteistyö tarkoittaa, että jos jokin palvelu tukee mobiilivarmennetta, se toimii samalla tavalla riippumatta siitä, minkä operaattorin asiakas käyttäjä on. Tässä se poikkeaa pankkitunnistautumisesta, jossa joka pankilla on oma logonsa palvelun kirjautumissivulla.
Mistä sen saa?
Mobiilivarmenteen voi aktivoida operaattorin myymälässä. Elisalla on tarjolla myös itsepalvelurekisteröityminen, mutta sen ensitunnistautuminen toimii vain muutaman pankin tunnuksilla. Voi myös olla, että käyttäjän SIM-kortti on niin vanhaa mallia, että se joudutaan vaihtamaan.
Siirtyessäni vuosi sitten Soneran asiakkaaksi työpaikkaa vaihdettuani kysyin samalla, voiko liittymään saada mobiilivarmenteen. Joko myyjä ei tiennyt, mistä on kyse tai tuote ei ollut oikeasti saatavilla, joten se jäi sillä erää hankkimatta.
Nyt huomasin, että Sonera mainostaa varmenteen olevan saatavilla myös yritysliittymiin vieläpä ilman ylimääräisiä kustannuksia. Aktivointi onnistui kätevästi ymmärrettyäni, ettei kannata kinata myyjän kanssa, että kyseessä on tosiaan mobiilivarmenne ja Sonera ID on vain sen markkinointinimi.
Sain uuden SIM-kortin, jonka kannan raaputuspinnan alla mobiilivarmenteeni tunnusluku piili. Myyjä kehotti vaihtamaan salasanan heti liikkeessä, mutta ei kertonut tarkemmin, kuinka se tapahtuu. Mitään esitettä en myöskään saanut, pelkän kehotuksen käydä lukemassa netistä lisää.
iPhonella mobiilivarmenteen tunnusluku vaihdetaan seuraavasti: Asetukset: Puhelin: Sim-Sovellukset: Sonera ID [riippuu operaattorista]: Asetukset: Vaihda tunnuslukusi
Varmenne oli valmis käyttöön saman tien.
Missä se toimii?
No, tässä se juju on: ei vielä paljon missään. Mobiilivarmenne.fi-sivuilla on pitkä lista palveluita, joissa varmenne käy, mutta valtaosa niistä on kunnallisia virastoja, jotka eivät ainakaan minua liiemmin lämmitä.
Yrityspuolelta mukana on vakuutusyhtiöitä If etunenässä, mutta pankit loistavat poissaolollaan.
Kuinka se toimii?
Kirjaudutaan ensin tietokoneella If:n itsepalveluun, If-kansioon.
Kirjautumistavoista valitaan pankin sijaan Mobiilivarmenne ja poiketaan If:n ylimääräisellä ohjesivulla.
Päästään kirjautumissivulle. Syötetään puhelinnumero oikeaan luukkuun ja painetaan Jatka.
Tämä ei ole varsinaisesti mobiilivarmenteen oma sivu, vaan Elisan mobiilivarmennetta hyödyntävä tunnistautumispalvelu. Käyttäjälle tällä ei ole merkitystä, mutta tunnistautumista tarvitseva yritys on näin säästynyt omalta mobiilivarmenteen integroinnilta ja liittänyt palveluunsa Elisan tarjoaman tunnistautumisen samaan tapaan kuin yksittäisen pankin verkkopankkitunnistautumisen.
Mobiilivarmenne.fi-sivuston palvelulistausta tutkiessaan huomaa, että useimmat palvelut hyödyntävät Elisan tunnistautumispalvelua. Soneralla toki on käytössään oma toteutus kirjauduttaessa mobiilivarmenteen avulla asiakkaiden itsepalvelusivustolle.
Selain siirtyy seuraavalle sivulle ja antaa tarkat ohjeet jatkotoimenpiteistä. Käyttäjän tulee ottaa puhelin käteensä ja odottaa sinne saapuvaa viestiä.
Viesti ei ole tavallinen tekstiviesti, vaan aukeaa suoraan puhelimen näytölle. Turvallisuuden kannalta tärkeää on varmistua, että viestissä näkyvä lähettäjä ja tapahtumatunniste vastaavat selaimessa näkyviä tietoja.
Vaikka kuvakaappaukset näyttävät jonkin verran iPhonen natiivisovellukselta, kyse ei ole varsinaisesta sovelluksesta, vaan iPhonen tavasta näyttää SIM-kortilla toimiva sovellus. Käyttöliittymä on eri puhelimissa vähän eri näköinen, mutta varmenne toimii lähes missä tahansa GSM-puhelimessa.
Puhelimen päässä käyttäjälle kerrotaan, mitä tietoja hänestä välitetään palveluntarjoajalle. Tavallisissa kirjautumisissa käyttäjästä välitetään sähköinen asiointitunnus, joka on kuin henkilötunnus, mutta ei paljasta ikää eikä sukupuolta. Tarkkaa henkilöllisyyttä ei aina tarvita; palveluntarjoajan olisi mahdollista tehdä myös anonyymi tunnistautuminen, jossa vaikkapa varmistettaisiin, että henkilö on täysi-ikäinen, mutta muuta tietoa ei välitettäisi.
Lopulta käyttäjä syöttää mobiilivarmenteensa salaisen tunnusluvun. Tunnusluku ei poistu laitteelta, vaan SIM-kortti tarkistaa, onko tunnusluku oikein ja lähettää kirjautumistiedon takaisin palvelimelle.
Hetken raksutettuaan verkkoselain näyttää tunnistautuneen käyttäjän tiedot. Painetaan Hyväksy-nappia ja ollaan palvelussa.
Monta näyttöä, mutta käytännössä tarvittiin siis puhelinnumero ja itse määritettävä tunnusluku sekä muutama lakisääteinen entterin painallus välissä.
Kirjautumisen voisi tehdä myös pelkällä puhelimella.
If:n sivut toimivat huonosti puhelimessa, mutta kun siitä on selvitty, tunnistuspalvelu on sovitettu puhelimen näytölle. Ulkoasu on varsin pelkistetty, mutta sivu sentään toimii myös vanhoissa Nokioissa.
Toisessa vaiheessa on tällä kertaa vähemmän ohjeita, sillä puhelin on jo valmiiksi kädessä. Yksi tekninen haaste on, että tunnistusviestin saavuttua puhelimeen useimmilla puhelinkäyttöjärjestelmillä ei pääse enää takaisin selaimeen varmistamaan, että tapahtumatunnus todella täsmää.
Yhteenvetonäkymä näytetään samaan tapaan kuin tietokoneella kirjauduttaessa, ja palvelu on valmis käytettäväksi.
Entä puhelun aikainen tunnistautuminen?
En tiedä, onko näitä palveluita vielä käytössä missään, mutta kuten mobiilivarmenteen tietosivuilla mainostetaan, sen avulla voitaisiin ratkaista tietosuojaongelmat esimerkiksi lääkärille soitettaessa. Käytännössä puhelimeen vastaavalla henkilöllä olisi tällöin käytössään tunnistautumispalvelun kaltainen verkkosivu, johon hän syöttäisi asiakkaan puhelinnumeron. Asiakas saisi tunnistuspyynnön puhelimeensa kesken puhelun ja tunnistaisi itsensä lennosta.
Tällöin tapahtuman tunnistekoodi tulisi ainakin periaatteessa sanoa ääneen puhelimessa, jotta käyttäjä voisi verrata sitä tunnistuspyyntöviestissä näkyvään ja varmistua, että pyyntö on oikea.
Eikö tässä ole aika houkutteleva paikka kalasteluun?
Saattaa olla. Jos puhelimeen tulee yhtäkkiä tunnistautumispyyntö, jota ei ole itse tilannut, siihen ei pitäisi tietenkään mennä vastaamaan.
Tätä tarkoitusta varten speksiin on määritelty kuvakaappauksissa vilahtanut erityinen häirinnänestokoodi. Pari vuotta sitten minua huvitti ajatus, että jos en elämässäni vaikka mitää muuta saisi aikaan, ainakin voisin olla mukana istuttamassa miljoonan suomalaisen päähän häirinnänestokoodi-sanahirviötä. No, ihan vielä se ei ole onneksi levinnyt.
Tunnistautumispalvelussa on puhelinnumerokentän alla toinen kenttä, johon häirinnänestokoodin voi syöttää. Jos käyttäjä on kytkenyt koodin käyttöön, tunnistuspyyntöä ei voi lähettää puhelimeen ilman oikean koodin syöttämistä. Näin ulkopuoliset eivät voi lähettää puhelimeen kalastelumielessä tunnistuspyyntöjä.
Operaattorit ovat päättäneet, ettei koodia kytketä oletusarvoisesti päälle. Tässä on potentiaalisesti se huono puoli, että ne henkilöt, jotka eniten koodin suojasta hyötyisivät, eivät myöskään tule kytkeneeksi sitä käyttöön. Koodin voi kytkeä päälle tekstiviestillä, mahdollisesti myös puhelimen SIM-valikosta.
Oma lukunsa on koodin nimitys. Sen on alun perin ajateltu suojaavan tarpeettomien pyyntöjen aiheuttamalta häiriöltä, ei niinkään tuovan turvaa. Jokin turvakoodi-henkinen sana voisi viestiä paremmin, minkä tyyppisestä asiasta on kyse.
Luonteeltaan koodi on salasanan kaltainen, mutta jos sitä kutsuu salasanaksi, käyttäjien tekee kovasti mieli syöttää luukkuun mobiilivarmenteensa tunnusluku.
Elisan tunnistuspalveluun on näemmä sittemmin tullut tuki myös ruotsille ja englannille. Ruotsiksi koodi on suomen tapaan muodossa störningsspärrkod, mutta englanniksi se on saanut muodon security code. Tämä on sikäli ironista, että ainakin yllä kuvatussa Soneran SIM-kannassa tunnusluku/säkerthetskod on englanniksi myös security code.
Mitä seuraavaksi tapahtuu?
Toivoa sopii, että palvelu pääsisi käyttöön Viron tapaan. Suomessa on monta tilannetta, jossa olisi tarpeen tunnistautua sähköisesti nykyistä vaivattomammin. Alku näyttää kyllä valitettavan hitaalta.
Yksi ongelma lienee raha. Operaattorit kokevat tarjoavansa käyttäjille lisäpalvelua, joten ne haluaisivat siitä mieluusti maksun. Tällä hetkellä Elisa tarjoaa varmennetta ilmaiseksi tutustumistarjouksena vuoden loppuun asti – kuten on tehnyt palvelun julkaisusta saakka. Sonera taas ei enää ilmoita palvelulle mitään hintaa.
Operaattorit yrittävät tietty rahastaa myös palvelua käyttäviä yrityksiä. Yksi hyöty yritykselle on, että yksi mobiilivarmennesopimus riittää monen pankkisopimuksen sijaan. Kestää sittenkin aikansa ennen kuin yritykset voivat luopua pankkitunnistautumisesta, joten mobiilivarmennetuki on vain ylimääräinen kulu.
Kuluttajaa vaivaa sama hankaluus. Vaikka mobiilivarmenteen ottaisi käyttöön, pankille pitää yhä maksaa verkkopankkitunnuksista. Joidenkin uutisten mukaan tunnistautumispalvelujen tarjoaminen ei ole kaikille pankeillekaan mikään kultakaivos vaan ennemmin riesa.
Minä avaisin kyllä heti tilin pankissa, joka tarjoaa kunnollisen mobiilisovelluksen ja mahdollistaa tunnistautumisen mobiilivarmenteella.
Matias Pietilä 
”Missä se toimii? No, tässä se juju on: ei vielä paljon missään.”
Vinkki niille innokkaille, joiden sormet syyhyävät päästä käyttämään varmennetta. OP tarjoaa pankkitunnistuspalvelussaan pankkitunnisteiden vaihtoehtona varmennetunnistautumisen. Varmennetta voi siis käyttää missä tahansa palvelussa, jossa on tarjolla OP pankkitunnistus riippumatta siitä minkä pankin tai operaattorin asiakas sattuu olemaan (harmillisesti poislukien itse nettipankki).
Kiitos tiedosta, Arto. Tuohan on hieno juttu!
Paluuviite: Helppo tunnistautuminen on tärkeämpää kuin koskaan – näillä vinkeillä onnistut | Köyttöliittymä