Jo jonkin aikaa varmasti suurin osa suomalaisista on hoitanut päivittäiset pankkiasiansa verkossa, omasta pankistaan hankkimiensa pankkitunnusten avulla. Viimevuosina pankit ovat laajentaneet palveluitaan, mutta pankkitunnuksia on voinut alkaa käyttää tunnistautumisvälineinä moniin muihinkin palveluihin. Tämä tekee näiden tunnusten huolelllisesta säilyttämisestä sekä omien henkilötietojen suojaamisesta tietysti entistäkin tärkeämpää. Sähköiseen tunnistautumiseen on kehitetty ja tullaan varmasti jatkossa kehittämään muitakin mahdollisia vaihtoehtoja pankkitunnusten rinnalle, mutta ainakin tällä hetkellä nämä hiukan pankkikohtaisesti eroavat tunnukset ovat kuitenkin varmasti yleisin sähköinen ”henkkari”.
Vahva ja heikko tunnistuatuminen
Netissä on pääpiirteissään mahdollista tunnistautua kahdella eri keinolla – heikolla tai vahvalla tunnistautumisella. Niin sanottuun heikkoon tunnistautumiseen liittyy muun muassa suurempi riski siitä, että käyttäjätilille tai palveluun kirjautuva ei olekaan se joka väittää olevansa. Heikoksi tunnistautumiseksi kutsutaan niitä palveluja, joihin kirjaudutaan itse valitun käyttäjätunnuksen ja salasanan yhdistelmällä. Vahvaan sähköiseen tunnistautumiseen kuuluu puolestaan jonkinlainen yhteys käyttäjän viralliseen identiteettiin. Näinollen vahvassa tunnistautumisessa tunnuksilla on aina yhteys väestötietojärjestelmän tietoihin. Näin toimivat muun muassa jo alussa mainitut pankkitunnukset, joiden saamista varten henkilön on tullut tunnistautua paikan päällä. Pankkitunnusten lisäksi vahvan tunnistautumisen välineitä ovat kansalaisvarmenne sekä mibiilivarmenne.
Missä vahvaa verkkotunnistautumista käytetään?
Jokaiselle on varmasti selvää, että verkkopankkitunnusten takana oleva verkkopankki on tietysti yksi niistä paikoista, joissa vahvaa verkkotunnistautumista käytetään. Myös suurin osa julkishallinnon palveluista on avannut viime vuosina monenlaisia verkkopalveluita, joihin pääsee käsiksi pankkitunnisteilla, kansalaistunnisteella tai mobiilivarmenteella. Näihin palveluihin kuuluvat muun muassa Kela ja Väestöreksiterikeskus. Tosin vuoden 2019 alusta voi olla, että kaikkien pankkien tunnukset eivät enää kelpaakaan tunnistatumisvälineiksi julkishallinnon palveluihin.
Vaikka saattaa tuntua siltä, että ainoastaan valtiolliset tai valtioon vahvasti sidotut instituutiot tarjoavat vahvan tunnistautumisen palveluja, ei näin suinkaan ole. Usein, kun kyse on rahasta, vaatii palvelu vahvan tunnistautumisen. Esimerkiksi erilaiset sijoituspalvelut, kuten Nordnet ovat esimerkkejä näistä. Myös viihteen puolelta on esimerkkejä, kuten vaikkapa Speedy Casino, johon pelaaja kirjautuu Trustly-palvelun kautta omilla pankkitunnuksillaan. Myös esimerkiksi ikärajojen seuraaminen netissä olisi vahvan tunnistautumisen vaatimalla ehkäpä helpompaa – tämän toteuttaminen voi tosin olla vielä hyvinkin kaukana. Esimerkiksi kaikkiin suosituimpiin sosiaalisen median palveluihin on asetettu ikärajaksi minimissään 13 vuotta, mutta ikä tarkastetaan vain käyttäjän omasta ilmoituksesta.
Tunnisteet ja tunnistautuminen mahdollisimman turvalliseksi
Kaikenlaisten sähköisten tunnistustapojen tehtävänä on tietysti turvata käyttäjänsä yksityisyys ja yksityiset tedot. Siispä, niiden käytössä ja säilytyksessä tulee olla tarkkana. Otetaan ensimmäiseksi käsittelyyn pankkitunnukset, joita siis voi käyttää tunnistautuessaan niin omaan verkkopankkiinsa kuin muihinkin palveluihin. Yleensä näihin tunnuksiin kuuluu käyttäjätunnuksen ja salasanan lisäksi myös turvalukukortti tai -sovellus. Kuten aina, ei salasanaa tulisi olla missään ylhäällä, eikä se tulisi olla kenenkään muun kuin itse tunnusten omistajan tiedossa. Tämä turvaa jo paljon, mutta on myös tärkeää, että pitää aina käyttämänsä tietokoneen tai mobiililaitteen tietoturvan ajan tasalla. Aina on myös tärkeää pitää mielessä jopa itsestäänselvältä tuntuvat seikat, kuten se, että verkkopankkiin kirjautuessa yhteys on salattu ja että ei koskaan jätä verkkopankkia tai muuta sivustoa jolle on tunnuksillaan tunnistautunut, auki ilman, että käyttää itse kyseistä laitetta. Verkkopankkitunnuksia koskevat myös kalasteluvaroitukset, sillä yhä vaan kalastelua tapahtuu niin puhelimitse kuin sähköpostinkin välityksellä. Näihin tilanteisiin löytyy reagointiohjeita pankin omista ohjeista, mutta yleisesti voidaan sanoa, ettei pankki koskaan kysy pankkitunnuksia puhelimitse tai sähköpostitse, eikä niitä tule näin myöskään koskaan antaa.
Mobiilivarmenne on kaksivaiheinen tunnistautumiskeino, jossa verkkopalveluun tunnistautuminen vahvistetaan omalla mobiililaitteella. Tässäkin tunnistautuminen on pankkitunnusten tapaan vahvempi kuin pelkästään kätyttäjätunnuksella ja salasanalla kirjautuminen. Turvallisuuden puolesta on kuitenkin huolehdittava siitä, että puhelimen suojaus on kunnossa eli siihen pääsee kirjautumaan joko sormenjäljellä tai pelkästään käyttäjän tiedossa olevalla pin-koodilla. Eikä mobiilivarmenteenkaan tapauksessa kannata silti unohtaa vahvan salasanan käyttöä.
Kolmas vahvan verkkotunnistautumisen keino, josta olemme puhuneet, on kansalaisvarmenne. Tämä toimii henkilön omalla henkilökortilla, jolla olevan sirun lukemalla ja kahta pin-koodia käyttämällä pääsee kirjautumaan tiettyihin tunnistautumista vaativiin palveluihin. Tässä tapauksessa käyttöön tarvitaan myös kortinlukija. Turvallisuuden näkökulmasta hommassa pätee samat neuvot kuin muissakin tunnistautumisvälineissä ja tietysti kortin huolellinen säilyttäminen. Pin-koodeja ei myöskään tule luovuttaa kenellekkään muulle.
Vastuullinen käyttö helpottaa asiointia
Verkkotunnistautumisvälineiden – oli käytössä sitten mikä tahansa mainituista – käyttö helpottaa asiointia monissa palveluissa ja tehostaa ajankäyttöä arjessa, kun virastoihin ja konttoreihin ei tarvitse enää fyysisesti jonotella. Kaikki tämä tehokkuus kuitenkin vesittyy, jos ei pidä huolta oman sähköisen identiteettinsä turvallisuudesta, joten kaikki ohjeet kirjautumistunnusten säilytyksene ja käyttöön on hyvä lukea huolella. Ja jos jokin asia kummastuttaa, kannattaa ottaa yhteyttä tunnukset myöntäneeseen tahoon.