Skip to main content
Mobiilivarmenne

Mobiilivarmenne ja usein kysytyt kysymykset

  • 21. marraskuuta 2023
  • 37 kommenttia
  • 21247 katselukertaa
Mobiilivarmenne ja usein kysytyt kysymykset
Näytä ensimmäinen kirjoitus

37 kommenttia

jokeri59
Meilaaja
Forum|alt.badge.img+4
  • 276 kommenttia
  • 9. helmikuuta 2025
kustaa1967 kirjoitti:

No mistä esim. Nordean pankkitunnistus tietää mihin puhelimeen se varmennuspyyntö lähetetään. Elisalla on jo tekeillä puhelinappi joka toiminee suurinpiirtein samalla periaatteella. Kannattaisiko teidänkin miettiä koko varmenteen käyttö uusiksi??

Eikö Telia hallitse mobiilivarmennejärjestelmää?

Jos minä kirjaudun mobiilivarmenteella johonkin palveluun, ei kirjautumissivu vielä tiedä kuka minä olen. Vasta kirjoittamalla puhelinnumeron tapahtuu tunnistus puhelimen kautta. Minkälainen nappi tunnistaisi kuka tietokoneen ruudun takana on.

Nordeaan ei taida edes päästä mobiilivarmenteella. Itse joudun ainakin aina käyttämään Nordean omaa ID sovellusta varmistuksiin ja sisäänkirjautumiseen käyttäjätunnusta + ID sovellusta tai sormenjälkeä kännykällä.

Tuo ​@Merja_J :n esiintuoma häirinnänestokoodi on minulle ainakin täysin tuntematon asia.

Hyvä asia, jos tuntee olevansa huolimaton.

Olen itsekin semihuolimaton. Siksi käytän kaksivaiheista tunnistautumista aina kun se on mahdollista.

 


lasselusse
Meilaaja
Forum|alt.badge.img+3
  • Meilaaja
  • 374 kommenttia
  • 9. helmikuuta 2025
kustaa1967 kirjoitti:
jokeri59 kirjoitti:

 Mielestäni tässä ei ole kuitenkaan kysymys tietoturvasta, vaan huolimattomuudesta.

Huolellisuus on tietysti hyve , mutta tosiasia on , että niitä näppäilyvirheitä sattuu ja jos se avaa ulkopuoliselle väärinkäyttömahdollisuuden , niin se on tietoturvapuute.

Parempi olisi , että se oma puhelinnumero tallennettaisiin vain kerran puhelimeen ja appi hakisi sen sieltä. Se vähentäisi näppäilyvirheitä ja helpottaisi sovelluksen käyttöä muutenkin.

tuo toimii vain jos palvelua käytetään samalla laitteella kuin sim korttikin, eli älypuhlimella jossa on kyseisen liittymän sim-kortti.

ideahan mobiilivarmenteessa on että kirjautuminen voidaan tehdä eri laitteella ja varmistus tulee sim-kortin perusteella sinne laitteeseen. esim kirjaus tietokoneella ja varmistus puhelimeen.

vaikka nykypäivän älypuhelimet tallentaa vaikka mitä tietoja lähettää minne lie. niin useimmiten sim-kortti ja laite ei tiedä omaa puhelinnumeroa. tosin olen nähnyt joissakin maston lähettämissä tiedoissa oman puh numeron. vaikka puh numero olisi tiedoissa niin käyttöjärjestelmän oikeudet ei anna sitä ohjelmille, esim selain.

 

kustaa1967 kirjoitti:
Merja_J kirjoitti:
kustaa1967 kirjoitti:

 

Siis ehdotin ratkaisua , joka tekisi mahdottomaksi varmennusviestin lähettämisen väärään numeroon eli et voisi lähettää sitä kuin omaan numeroosi.


Entä jos kirjautuisin tunnistusta vaativalle sivulle tietokoneen selaimella. Jos valitsen sieltä tunnistautumistavaksi mobiilivarmenteen, mistä sivusto tietää mikä on minun oma numeroni. 🤔

No mistä esim. Nordean pankkitunnistus tietää mihin puhelimeen se varmennuspyyntö lähetetään. Elisalla on jo tekeillä puhelinappi joka toiminee suurinpiirtein samalla periaatteella. Kannattaisiko teidänkin miettiä koko varmenteen käyttö uusiksi??

mobiilivarmenne lähetetään sim-kortin perusteella, ja jos multi-sim niin pää sim-kortille. mobiilivarmenteessa ei käytetä julkista nettiä millään tavalla.

tosin elisa tekee uudistusta ja ilmeisesti sim-kortti kytkös poistetaan ja netti tarvitaan.

 


jokeri59
Meilaaja
Forum|alt.badge.img+4
  • 276 kommenttia
  • 9. helmikuuta 2025

Koska tämän ketjun viestejä ei voi muokata, täytyy spämmätä 😀

Eikö Telia hallitse mobiilivarmennejärjestelmää? Varmasti hallitsee, mutta tarkoitin hallinnoi.


jarith69 kirjoitti:

Itse käytän Kansalaisvarmenteen (eli henkilökortti läppärin sisälle rakennettuun älykortin lukijaan) lisäksi (Telian) Mobiilivarmennetta.

Tuosta mobiilivarmenteesta tuli mieleen, että siinä ON teoriassa siis TEORIASSA tietoturvariski.

Ja minkäkö takia tietoturvariski?!?

Kun menee jollakin sivustolle missä vaaditaan vahvaa tunnistautumista ja valitsee Mobiilivarmenteen.

Sekä syöttää jonkun toisen henkilön puhelinnumeron. Niin tämä joku toinen henkilö SAA puhelimeensa ilmoituksen (kaikki mobiilivarmennetta käyttävät tietävät mitä tarkoitan).

NYT JOS tämä joku toinen henkilö EI OLEKAAN tarkkana vaan ajattelemattomuuttaan menee näppäilemään puhelimellaan sen numero salasanan, niin tämä ulkopuolinen henkilö pääseekin sisälle toisen henkilön tietoihin ja juuri sille sivulle missä syötti sen puhelinnumeron.

Tämä siis TEORIASSA mutta on täysin mahdollista. Koska puhelimeen ei tule sen jälkeen mitään ilmoitusta, että ON kirjaantunut sisälle vahvalla tunnistautumisella!

Tuolla toisaalla oli puhetta, että kun oli lainannut tätä yo. viestiä niin omaa kommenttia ei päässyt enää jälkeenpäin muokkaamaan. Kokeillaan.

 


kustaa1967
Irkkaaja
  • 1565 kommenttia
  • 10. helmikuuta 2025

Hmmmm…

Minä oikeastaan kritisoin vain sitä , että kun tässä ketjussa on tullut esille potentiaalinen turva-aukko mobiilivarmenteessa , niin siihen tarjotaan korjaukseksi taas lisää koodeja. No tämä ei ole käyttäjäystävällistä ja esitin , että yritettäisiin mieluummin estää varmennuspyynnön lähettäminen muualle kuin omaan puhelimeen. Mallia voisi katsoa vaikkapa pankkitunnistautumisesta.

Olen kyllä tietoinen siitä , miten mobiilivarmenne toimii.


AaTanja
Moderaattori
Forum|alt.badge.img+5
  • Moderaattori
  • 710 kommenttia
  • 10. helmikuuta 2025
lasselusse kirjoitti:

pistän näitä kysyyksiä tännekin, eli siis telian osalta.

mobiilivarmenteen yksi hyvä puoli on ollut se että se ei sido suljettuihin käyttöjärjestelmiin, vaan käyttää yleisiä tekniikoita, tässä tapauksessa "sim card toolkit". sim card toolkit toimii myös peruspuhelimissakin eräänlaisilla piilo tekstiviesteillä.

kun tuo uudistus etenee niin muutama kysymys jos on tietoa asiasta.

tuleeko älypuhelin appi pakolliseksi? siis ainoaksi vaihtoehdoksi?

poistuuko sim kortti kytkös?

käytetäänkö jatkossa "sim card toolkit" ominaisuutta? eli sim kortille tehdään jokin kysely ja se tarvitaan? vai voiko käyttää laitteessa jossa sim kortti on poistettu?

voi olla jotain muutakin jota en nyt ajattele joka voi tulla eteen, mutta olisi hyvä mainita?
 

SIM-korttikytkös säilyy ennallaan, se ei tule muuttumaan. Eli meidän asiakkaat jatkavat nykyisen SIM-korttipohjaisen varmenteen käyttöä, kuten tähän asti on totuttu. SIM-kortti on siis jatkossakin edellytys Mobiilivarmenteelle. Emme ole toistaiseksi tuomassa sovelluspohjaista Mobiilivarmennetta valikoimaan. 

Meidän Mobiilivarmmenne-sivulta löytyy hyvää tietoa tähän aiheeseen, kun skrollaa kohtaan “Usein kysyttyä Mobiilivarmenteesta”. 


Satapuu
Meilaaja
Forum|alt.badge.img+3
  • Meilaaja
  • 266 kommenttia
  • 11. helmikuuta 2025

Minkä takia pitäisi kajota mobiilivarmenteeseen kun on hyväksi havaittu. Muistaako kukaan sitä kun piti pankkiin tunnistautua tunnuslukulaitteen avulla. Elikkä ensin omat tiedot erilapulla ja lopuksi tunnuslukulaitteesta valittiin tilanteeseen sopiva tunnusluku 3 eri valikosta. Laite oli noin 5mm vahva 5cm leveä ja suurinpiirtein 10 cm korkea rajaa noita mukana. Ei kiitos. Nykyinen kehitys ei johda kuin ongelmiin. Nii kuin tänään oli että tekoälysovellus ryöstöt räjähtävät käsiin. Ei kuulosta hyvältä. 


kustaa1967
Irkkaaja
  • 1565 kommenttia
  • 11. helmikuuta 2025
Satapuu kirjoitti:

Minkä takia pitäisi kajota mobiilivarmenteeseen kun on hyväksi havaittu.

Ei se mobiilivarmenne ole mikään 100% varma ja tässäkin ketjussa on tuotu esille sen haavoittuvuus. No mikään palvelu ei ole koskaan täysin valmis ja turvallinen , joten palvelua on syytä kehittää koko ajan.


Forum|alt.badge.img+8
  • Moderaattori
  • 1670 kommenttia
  • 11. helmikuuta 2025

Mobiilivarmenteen kuten muidenkin vahvojen tunnistustapojen turvallinen käyttö edellyttää huolellisuutta. Leväperäisesti tunnuksiaan säilövä ja käyttävä henkilö on aina suuremmassa riskissä väärinkäytökselle kuin huolellisesti ja tarkkaavaisesti toimiva henkilö. 

Jokainen tunnistetapahtuma identifioidaan omalla tunnisteella, joka ilmoitetaan tunnistusnäkymässä selaimessa sekä puhelimella mobiilivarmenteen näkymässä ennen PIN-tunnuksen syöttämistä. Jos tunnisteet eivät täsmää keskenään, käyttäjän ei tällöin tule vahvistaa tapahtumaa puhelimensa PIN tunnusta syöttämällä.

Muiden osapuolien aiheuttamia tarpeettomia tunnistuspyyntöjä voi estää häirinnänestokoodin avulla. Tunnistetapahtumaa ei tule puhelimelle hyväksyttäväksi ellei kolmas osapuoli osaa syöttää numeroa sekä häirinnänestokoodia mobiilivarmenteen tunnistetapahtumassa selaimella.

 


jarith69 kirjoitti:

Itse käytän Kansalaisvarmenteen (eli henkilökortti läppärin sisälle rakennettuun älykortin lukijaan) lisäksi (Telian) Mobiilivarmennetta.

Tuosta mobiilivarmenteesta tuli mieleen, että siinä ON teoriassa siis TEORIASSA tietoturvariski.

Ja minkäkö takia tietoturvariski?!?

Kun menee jollakin sivustolle missä vaaditaan vahvaa tunnistautumista ja valitsee Mobiilivarmenteen.

Sekä syöttää jonkun toisen henkilön puhelinnumeron. Niin tämä joku toinen henkilö SAA puhelimeensa ilmoituksen (kaikki mobiilivarmennetta käyttävät tietävät mitä tarkoitan).

NYT JOS tämä joku toinen henkilö EI OLEKAAN tarkkana vaan ajattelemattomuuttaan menee näppäilemään puhelimellaan sen numero salasanan, niin tämä ulkopuolinen henkilö pääseekin sisälle toisen henkilön tietoihin ja juuri sille sivulle missä syötti sen puhelinnumeron.

Tämä siis TEORIASSA mutta on täysin mahdollista. Koska puhelimeen ei tule sen jälkeen mitään ilmoitusta, että ON kirjaantunut sisälle vahvalla tunnistautumisella!

Teen uuden testilainauksen, ja kokeilen muokata kommenttiani julkaisemisen jälkeen.

--

Muokkaus: Toimiiko muokkaaminen nyt?


kustaa1967
Irkkaaja
  • 1565 kommenttia
  • 12. helmikuuta 2025
TeroRe_testitili kirjoitti:

Teen uuden testilainauksen, ja kokeilen muokata kommenttiani julkaisemisen jälkeen.

--

Muokkaus: Toimiiko muokkaaminen nyt?

Testausta , testausta.

Näyttäisi toimivan taas minulla. 😉


Purnipsi
Somettaja
Forum|alt.badge.img+7
  • Somettaja
  • 6505 kommenttia
  • 12. helmikuuta 2025
TeroRe_testitili kirjoitti:
jarith69 kirjoitti:

Itse käytän Kansalaisvarmenteen (eli henkilökortti läppärin sisälle rakennettuun älykortin lukijaan) lisäksi (Telian) Mobiilivarmennetta.

Tuosta mobiilivarmenteesta tuli mieleen, että siinä ON teoriassa siis TEORIASSA tietoturvariski.

Ja minkäkö takia tietoturvariski?!?

Kun menee jollakin sivustolle missä vaaditaan vahvaa tunnistautumista ja valitsee Mobiilivarmenteen.

Sekä syöttää jonkun toisen henkilön puhelinnumeron. Niin tämä joku toinen henkilö SAA puhelimeensa ilmoituksen (kaikki mobiilivarmennetta käyttävät tietävät mitä tarkoitan).

NYT JOS tämä joku toinen henkilö EI OLEKAAN tarkkana vaan ajattelemattomuuttaan menee näppäilemään puhelimellaan sen numero salasanan, niin tämä ulkopuolinen henkilö pääseekin sisälle toisen henkilön tietoihin ja juuri sille sivulle missä syötti sen puhelinnumeron.

Tämä siis TEORIASSA mutta on täysin mahdollista. Koska puhelimeen ei tule sen jälkeen mitään ilmoitusta, että ON kirjaantunut sisälle vahvalla tunnistautumisella!

Tuolla toisaalla oli puhetta, että kun oli lainannut tätä yo. viestiä niin omaa kommenttia ei päässyt enää jälkeenpäin muokkaamaan. Kokeillaan.

 

Samalla lailla verkkopankkitunnukset ovat haavoittuvia. Jos sattuu kirjoittamaan tunnuksen väärin ja se onkin jonkun toisen verkkopankkitunnus ja tuo toinen henkilö vahvistaa sisäänkirjauksen, pääset hänen verkkopankkiin sisälle. Mikään järjestelmä ei ole täysin aukoton.