Oletko itse koskaan oikeasti käyttänyt mobiilivarmennetta?
Jos annat mobiilivarmenteen tiedot (puhelinnumero + tunnusluku), niillä ei takuuvarmasti pääse kirjautumaan minnekään pankkitilille tilisiirtoja varten.
Ja jos joku ne tiedot saakin ja niillä yrittää kirjautua jonnekin, niin sinne puhelimeenhan se kirjautumisyritys päätyy tunnusluvun kyselyyn.
Jos tuonkin jälkeen hyväksyy transaktion, niin edelleenkään ei päästä pankkitileihin kiinni.
Käytän mobiilivarmennetta ja kutakuinkin kaikkia muitakin mahdollisia varmennustapoja ihan jo työnkin puolesta päivittäin.
Taivuttelen rautalankaa mahdollisesta skenaariosta :
1.) Menet linkistä hyökkääjän sivulle, joka näyttää ihan siltä verkkopankin sivulta, jonne halusitkin mennä
2.) Syötät sivulle tarvittavat tiedot ja valitset tunnistautumistavaksi mobiilivarmenteen
3.) Taustalla hyökkääjän sivu täyttää automaattisesti samat tiedot sinne oikealle verkkopankin sivulle, josta sinulle lähetetään puhelimeen se mobiilivarmenteen pin-kysely
4.) Syötät pin-koodin ja toivot pääseväsi verkkopankkiin
5.) Pam, sinulle tulee esim. joku virheilmoitussivu, jossa pyydetään odottamaan tai tekemään jotain
6.) Samaan aikaan taustalla hyökkääjälla on käytössä sinun verkkopankkisi täysin avoimena ja siellä voi tehdä siirtoja
7.) Jos siirrot edellyttävät uusia varmennuksia, niitä voidaan hyväksyttää sinulta vaikkapa juuri sen aiemman feikkisivun kautta samalla tavalla, tai ihan vain luottamalla siihen, että hyväksyt ongelman korjaantumisen toivossa kaikki uudetkin varmennekyselyt (ikävän moni tekee niin)
Tuo oli vain yksi esimerkki. Hyväksikäyttötapoja on paljon muitakin kuin vain jonkin tunnus/salasanaparin varastaminen. Vahvan tunnistuksen heikoin lenkki on nimenomaan tyhmä ihminen, eikä sitä voi teknisesti korjata.
Ja luulisi, että vanhuksenkin on helpompi muistaa ja kirjoittaa kirjautumisikkunaan oma puhelinnumero + tunnusluku kuin muistaa verkkopankin käyttäjätunnus + tunnusluku.
Niin luulisi ja osalle ehkä onkin. Vaan jos nyt otan vaikka omat vanhemmat esimerkiksi, niin heillä ei ole ensinnäkään sellaista puhelinta, jossa voisi käyttää mitään sms-viestiä monimutkaisempaa varmennusmenetelmää (kun eivät osaa monimutkaisempia puhelimia käyttää) ja toisekseen, kun ovat oppineet joskus 20v sitten käyttämään niitä pankin koodeja, niin eivät enää osaa kuvitellakaan mitään muuta vaihtoehtoa, saati sitten että ymmärtäisivät mihin se vaikuttaa ja miksi.