Mobiilivarmenne ja verkkopankkitunnukset - erilaiset käyttötilanteet

Jos minä menen huijaus sivustolle, joka on pankin näköinen. Menen sisään tunnusluku laitteella. Se sivu kysyy numerot ja yksi on sign-näppäimellä, kun maksu pitää hyväksyä, sivunhan pitää näyttää koodi joka syötetään tunnusluku laitteeseen ja se antaa varsinaisen numeron, jolla maksu vasta hyväksytään. Miten huijaussivu pystyy antamaan tämän koodin.

Samahan se on sillä tunnunnumero paperillakin, sivusto antaa kirjaimen jonka kohdasta löytyy numerot, joilla saa maksut hyväksyttyä.

Jospa niissä huijauksissa on mukana pankin väkeä. Jos menee esim. Omakantaan, sinnehän mennään tunnusluku laitteen ID-painikkeellla, eikä millään rahan nosto nappulalla. Miten sieltäkin kautta voi tili tyhjentyä, niinkuin eräs sanoi käyneen.

Minulla on mobiilivarmenne käytössä. Se on helppo ja nopea enkä luopuisi siitä millään. 😃

Tätä periaatetta olen noudattanut, eli mobiilivarmennetta käytän kaikkeen muuhun vahvaan tunnistautumiseen ja verkkopankkitunnuksia ainoastaan pankkiasiointiin. Joihinkin pankkipalveluihinkin pääsee mobiilivarmenteella, mutta ei kaikkiin. Suomessa käytetään paljon turhaan pankkitunnuksia eri verkkopalveluihin kirjautumiseen ja tunnistautumiseen. Telian puhelinliittymässäni mobiilivarmenne on ilmainen, mutta maksaisin siitä lisäpalveluna sen pari euroa, mitä muut operaattorit veloittavat.

On kyllä sen verran kätevä, että käytän aina kun mahdollista kun ei tarvitse erillisiä sovelluksia availla itse. Kyllä sillä mobiilivarmenteellakin saa tehtyä vaikka mitä pikavippisopimuksia yms, ettei senkään kanssa kannata alkaa uskomaan yhteenkään roskapostiin.

Mies välissä hyökkäyksellä.

Eli otat yhteyden huijaussivustolle. Huijaussivusto ottaa yhteyden pankkiin ja välittää kirjautumissivun sinulle. Luulet kirjautuvasi pankkiin, mutta huijaussivusto seuraa koko ajan ”vieressä” ja muuttaa sinun ja pankin välisiä viestejä.

Tunnuslukulaite tekee tästä toki hieman hankalampaa kuin muista kirjautumistavoista. Huijaussivustoilta onkin usein jätetty pois osa kirjautumisvaihtoehdoista, jotta huijarin olisi helpompi toimia.

Kannattaa siis painaa mieleen, mitä kirjautumisvaihtoehtoja aito sivusto käyttää. Näin huijaussivusto paljastuu helposti. Esimerkiksi, jos Kelaan kirjauduttaessa varmennekortti ja mobiilivarmenne puuttuvat listalta, olet huijaussivustolla.

Mobiilivarmenteella ei kai pääse pankkiin, MUTTA sen huolimattomaan käyttöön liittyy riski. Korjatkaa, jos olen väärässä. Esimerkkitilanne:

1. Henkilö A (liittymä 040xxxxxx1) on asentanut omalle puhelimelle mobiilivarmenteen X
2. Henkilö B (liittymä 040yyyyyy3) on asentanut omalle puhelimelle mobiilivarmenteen Y
3. A on kirjautumassa esim. Kanta.fi palveluun
4. A syöttää puhelinnumeron kohdalle vahingossa väärin B:n numeron
5. Tällöin B saa vahvistuspyynnön ja syöttää siihen huolimattomasti oman varmenteen Y itse valitun vahvistuskoodin.

Tämän jälkeen A:n selaimeen avautuu Kanta.fi sivu ja siellä näkyykin B:n datat.

Olenko oikeassa vai väärässä? Siis, vaikka pankkiin ei pääsekään, niin onnistuu kurkkimaan toisen henkilön tietoja mobiilivarmennetta tukevissa palveluissa (Kanta, Vero, Trafi, Suomi.fi, MML jne). Jos vahvistuspyyntöjen tullessa ei ole tarkkana.

Omat riskinsä mobiilivarmennekin tarjoaa, jos huolimattomasti käyttää. Vai mitä?

Vaatii useiden epäonnisten sattumien ja huolimattomuuksien ketjun. Erityisesti henkilö B jos syöttää varmenteen, vaikka ei ole kirjautumassa mihinkään, ja ehtii tehdä sen ennen aikakatkaisua. Teoriassa tuo on kuitenkin mahdollista. Huolimattomuudessa on riskinsä.

Mobiilivarmenteessa onkin vahinkojen tai häirinnän estämiseksi häirinnänestokoodi. Tällöin pitää puhelinnumeron lisäksi olla siihen liitetty häirinnänestokoodi syötetty oikein, jotta tunnistuspyyntö lähtee eteenpäin.

Häirinnänestokoodi kannattaakin ottaa käyttöön, jos jostain syystä ei jo ole.

https://www.telia.fi/asiakastuki/palvelut/mobiilivarmenne#hairinnanestokoodi

Häirinnänestokoodi on valitsemasi salasana, joka syötetään puhelinnumeron lisäksi tunnistuksen yhteydessä. Kun häirinnänestokoodi on käytössä, puhelimeesi ei voi lähettää tunnistuspyyntöä ilman koodia, joten et saa aiheettomia tunnistuspyyntöjä. Koodi auttaa myös varmistamaan, ettet vahingossakaan valtuuta ulkopuolisia kirjautumaan palveluihin henkilöllisyydelläsi.

Häirinnänestokoodin käyttöönotto ja hallinnointi onnistuvat helposti tekstiviestein, jotka lähetetään numeroon 15011:

Ota häirinnänesto ensimmäistä kertaa käyttöön lähettämällä viesti ESTO valitsemasi koodi (esim. ESTO veturi1). Koodi voi olla enintään 10 merkkiä pitkä, eikä se saa sisältää ääkkösiä.

Kyllä, näin voi tapahtua. Käytännössä A:n ja B:n tulisi lisäksi tunnistautua mobiilivarmenteella samanaikaisesti. Mikäli B ei ole tunnistautumassa minnekään, hän todennäköisimmin hylkää odottamatta saapuneen vahvistuspyynnön.

Raportoidusti samankaltainen tilanne on tapahtunutkin Nordean tunnuslukusovelluksessa. Kaksi asiakasta yritti kirjautua verkkopankkiin samanaikaisesti ja toinen näppäili asiakasnumeronsa väärin. Näin väärän numeron oikea käyttäjä tuli vahingossa vahvistaneeksi väärän käyttäjän kirjautumisen verkkopankkiinsa.

Uutinen hymyilytti aikoinaan minua kovasti. Nordea on markkinoinut tunnuslukusovellustaan asiakkailleen kyllästymiseen saakka. Ja sitten paljastuikin, että heidän sovelluksensa turvallisuus on jopa tunnuslukulistaa huonompi.

Tämän jälkeen Nordea paransi sovelluksensa turvallisuutta. Mikäli kirjautumisen tekee päivitetyssä sovelluksessa asiakasnumeron sijaan 2D-viivakoodilla, näppäilyvirheen mahdollisuus eliminoituu.

─═─

Jos samanaikaisten kirjautumisten sekaantuminen mobiilivarmenteella huolettaa, kannattaa ottaa häirinnänestokoodi käyttöön. Mutkikkaasta termistään huolimatta kyse on yksinkertaisesti salasanasta.

Häirinnänestokoodia käytettäessä esittämäsi sekaannus olisi mahdollinen ainoastaan siinä harvinaisessa tapauksessa, että sekä A että B käyttävät mobiilivarmenteissaan samaa häirinnänestokoodia.

Onko muilla kadonnut se varmennekoodi tunnistautuessa? Ennen muistelisin, että ilmoitti alkuun sen koodin, jota piti vertailla palvelun antamaan. Nyt menee suoraan tunnusluvun kyselyyn. Itse toki pidän tästä, joten en ole jaksanut asiaa tarkemmin miettiä, mutta nyt kun oli muutakin häiriöitä niin tuli taas mieleen kysäistä. Ajattelin sen olevan vain palvelun parantamista asikkaiden toiveesta, mutta jos ei näin ole niin sitten pitää varmaan nollata puhelin.

Kyllä minulla tulee tunnistuspyynnössä ensin numero, eli tuo vertaaminen palvelussa olevaan tapahtumatunnisteeseen, joka on hyväksyttävä ennen jatkamista tunnusluvun syöttämiseen.

Näemmä selvisi tuokin että on, vaikka en jaksanut enää tuon jälkeen asiaa pohtia. Järkeilin itse sen johtuvan säännöllisestä käytöstä joko pelkästään samalla puhelimella tai sen lisäksi samassa IP-osoitteessa olevalla tietokoneella. Eipä ole noin vuodessa ehtinyt mitään ongelmiakaan aiheuttaa niin itse jatkan sillä kantilla että hyvä näin, kun säästyy yksi ylimääräinen vaihe. 

https://www.verkkouutiset.fi/a/mobiilivarmenteessa-vakava-puute-huijaus-voi-onnistua-ilman-valesivua/

Tapahtumatunniste näkyy kyllä puhelimessa, ja voit verrata sitä verkkopalvelun näyttämään tunnisteeseen. Tämä on yksi keskeinen turvatoimi, jolla varmistetaan, että tunnistus liittyy oikeaan tapahtumaan. Me myös aktiivisesti ohjeistamme aina tarkistamaan tapahtumatunnisteen ennen tunnistautumisen hyväksymistä.

Mobiilivarmenne on edelleen erittäin turvallinen tunnistautumisväline, ja siihen kohdistuneet huijausyritykset ovat harvinaisia. Huijaukset perustuvat suurilta osin käyttäjän erehdykseen, ei tekniseen puutteeseen. Esimerkiksi tunnistuspyyntö hyväksytään vahingossa, vaikka se ei liittyisi omaan asiointiin. Häirinnänestokoodi on suositeltu lisäturva, joka estää väärien tunnistuspyyntöjen läpipääsyn.
 

Otin tästä vielä kuvankaappaukset, tältä se tosiaan näyttää iPhonessa:

Chromessa ja Android-puhelimessa tälläinen näkymä :

Eli näkee kolmessa kohtaa saman tunnistuspyynnön 😉

Toihan on todella hyvä toi Androidin toteutus 👌 Kiitos, kun jaoit ​@kiisseli67 

Sitä voi kertoa vaikka tuhat kertaa, että sellainen pitäisi olla ja näyttää miltä pitäisi näyttää, mutta kun se ei muuta sitä tosiasiaa, ettei se ole noin vuoteen tullut enää minulle eikä uutisen perusteella nyt Petteri Järvisellekään. Menee suoraan tunnusluvun kyselyyn edelleen. Alkuun tuli, sitten se loppui mistä tänne kommentoin ja nyt se Järvisen mukaan on joku ongelma. 

https://pjarvinen.blogspot.com/2025/08/mobiilivarmenne-ilman.html

Mobiilivarmenne ilman häirinnänestokoodia on turvaton
...
(EDIT: Seuraava ilmiö johtuu puhelimesta tai sim-kortista, eikä koske käyttäjien enemmistöä)
...
Lisäys: Palautteesta päätellen osalla käyttäjistä mobiilivarmenne toimii eri tavalla ja näyttää tapahtumatunnisteen, vaikka häiriönestokoodia ei olisi asetettu. Olisiko niin, että uudemmat mobiilivarmenteet ovat tässä suhteessa parempia? Omani ovat vanhoja, koska hankin ne kauan sitten. Joka tapauksessa häirinnänestokoodi kannattaa asettaa sen tuomasta lisävaivasta huolimatta, sillä on varmaa että huijarit oppivat uusia kikkoja myös varmennekäyttäjien huijaamiseen.
…
Muokattu 1.9.2025, lisätty maininta puhelimen tai sim-kortin rajoituksesta kun tapahtumatunniste ei näy oikein.

Näetkö kätevästi sim-korttisi vuosimallin? Eli sim-kortin kaksi ensimmäistä numeroa kertoo kortin iän. Jos katsot tiedot Minun Telian kautta, niin siellä vuosimallin saa 8935801 -numeroiden jälkeen kaksi seuraavaa numeroa ovat vuosilukua. Tai oletko kokeillut jo rekisteröidä Mobiilivarmennetta uudelleen?

17 vuodelta näyttää olevan kortti. En ole kokeillut mitään, kun toimii paremmin ilman säätämistä. 

Minulla on 2015 vuodelta sim-kortti, lukee vielä Sonera-ID 😁

Mutta Mobiilivarmenne toimii, yhden kerran on pitänyt rekisteröidä uusiksi kun se on aina 5 vuotta voimassa 😉

​@elo420 Vuoden 2017 kortilla pitäisi kyllä mobiilivarmenne toimia vielä normaalisti. Jossain lukikin että jos kortti on vanhempi kuin 2016-vuoden malli niin sitten id ei enää pelaisi. Nyt kun lukee ​@kiisseli67kokemuksia aiheesta niin näköjään se noinkin vanha kortti vielä toimii ID:n kanssa yhteen. 😄

Tuo on kyllä mystistä ettei varmennekoodia tule kaikille. Omiin korviin ei tästä ole kantautunut sen enempää tarinaa, että mistä voisi olla kysymys. Vanha SIM-kortti tuli itselläkin ensiksi mieleen mutta ei se nyt välttämättä niinkään sitten taida olla. 

Puhelin voi olla se toinen syypää mitä Järvinen veikkaili. Itsellä on vähän harvinaisempi Asuksen luuri. En muista milloin otin varmenteen käyttöön, mutta se tosiaan toimi normaalisti pitkään, kunnes noin vuosi sitten muuttui ehkä jonkun päivityksen toimesta. Pitää katsoa muuttaako varmenteen uusiminen toimintaa sitten joskus kun se lakkaa toimimasta kokonaan. 

Vai onkohan sitten ollut 2 varmennetta päällekkäin, kun kerran sen uusimisesta pitää muistuttaakin 2 kertaa. No kohta sen näkee vaikuttaako toimintaan mitenkään. Joka tapauksessa ohjeet vievät sivulle, jossa voi tunnistautua vain pankkitunnuksilla eli yksi huijaussivuston tunnusmerkeistä. Hyvin olisi voinut 30 päivää vielä voimassa olevalla varmenteellakin tunnistautua edelleen. Sitten pitäisi vielä jostain kumman syystä vaihtaa varmenteen tunnusluku, eikä vaan pysyä samassa jota on jo 5 vuotta käytetty ja jonka muistaa. Eikä muuttunut toiminta mitenkään, edelleen menee suoraan tunnusluvun kyselyyn näyttämättä varmistuskoodeja. 

Yhdellä liittymällä voi olla vain yksi varmenne aktiivisena. Tässä on todennäköisesti lähtenyt virheellisesti kaksi tiedotetta varmenteen vanhentumisesta.

Tämä on täysin totta, että yksi huijaus-sivuston tunnusmerkeistä täyttyy, jos sivusto ei tarjoa mahdollisuutta mobiilivarmenteen käytölle tai sen valitseminen johtaa virheeseen. Hyvä pointti tämä vanhalla mobiilivarmenteella uuden rekisteröinti. En osaa sanoa miksi tätä mahdollisuutta ei tarjota samalla tavalla kuin esimerkiksi tunnistautumista varmennekortilla, mutta vien palautteesi eteenpäin. 
 

Voit tietenkin käyttää samaa tunnuslukua kuten aiemminkin. Suosittelemme käyttämään sellaista tunnuslukua, joka ei ole käytössä muissa palveluissa. Testasin juuri tätä viestiä kirjoittaessa miten varmenteen rekisteröinti toimii. 

Tarkoitatko nyt aktivoidun mobiilivarmenteen käyttöä? Tunnistekyselyn tullessa laitteellesi tulisi laitteen ilmoittaa uudesta tunnistuspyynnöstä jossa lukee lisänä viisinumeroinen tapahtumatunnus. Voit tässä kohdin perua tai hyväksyä tunnistepyynnön laitteellasi, jonka jälkeen sinut ohjataan syöttämään 4-8 numeroinen koodisi. 

Testasin juuri omalla Galaxy s22 laitteellani varmenteen toimintaa ja tunnistautuminen eteni juuri samalla tavalla kuin kirjoitin yläpuolella. Oletko testannut tuleeko tapahtumatunniste näkyviin toista laitetta käyttäessä? Mikä laite sinulla on tällä hetkellä käytössäsi?  

Näin teinkin, mutta miksi varmennetta uusittaessa pitää käyttäytyä kuin olisi hankkimassa sitä ihan ekaa kertaa? Kun pankkikorttini vanhenee, saan uuden postissa ja siinä toimii sama tunnusluku ihan ilman, että minun täytyy se erikseen asettaa. Tutkimukset osoittavat, että mitä useammin pitää vaikka salasanaa uusia täysiin turhaan, sitä helpommin ihmiset vaan käyttävät todella helposti arvattavia samoja salasanoja joka paikassa.

Juuri sitä tismalleen samaa tilannetta, josta olen nyt jo yli vuoden ajan tänne kertonut. Kun ei tule tapahtumatunnusta niin ei tule, vaikka kuinka pitäisi. En jaksa toisia laitteita testailla, kun edelleen itse en halua täysin turhaa välivaihetta ylimääräisen klikkauksen kanssa eikä sen vuoksi ole ilmentynyt yhtäkään ongelmaa. 

Tällä hetkellä on käytössä Asus Zenfone Flip 8, viimeisiä puhelimia ehjällä näytöllä. Testaan sitten uudestaan, jos ikinä jaksan ja onnistun hankkimaan Sony Xperia 10 VII jostain Suomeen asti. Tai joku muu valmistaja herää ja tekee puhelimen ilman täysin turhaa etukameraa rikkomassa näyttöä.