maanantai 11. elokuuta 2014

Viestintävirasto näyttää huonoa esimerkkiä

Palveluun kirjautumisen voi tietoturvan varjolla tehdä turhan hankalaksi. Hankala kirjautuminen tuottaa omat ongelmansa myös palveluntarjoalalle. Ihan mit

Useimpiin verkkopalveluihin kirjaudutaan ihan käytönnön syistä sähköpostiosoitteella ja salasanalla. Salasanoissa on jo tarpeeksi muistamista itsessäänkin, muistelepa sitten niiden lisäksi vielä käyttäjätunnuksiakin. Jokainen muistaa kuitenkin yleensä sähköpostiosoitteensa (tosin joillakin niitä on useita ja se toki aiheuttaa välillä sählinkiä). VR esimerkiksi huomasi aikoinaan että ei ollutkaan niin fiksua antaa asiakkaille käyttäjätunnukseksi pitkää numerosarjaa, kuka muistaa sellaisen? Hankala kirjautuminen ei ole hyväksi lipunmyynnille, joten hallintoalamaisille annettiin armopala.

Jos salasana unohtuu, sen saa yleensä pyydettyä mukavasti sähköpostiinsa. Tai nykyään useimmiten saa linkin jolla voi luoda itselleen uuden salasanan, joka sitten taas hetkeä myöhemmin unohtuu. Varsinkin jos salasanalle on asetettu muistamisen kannalta mahdottomat vaatimukset kuten DNA:n verkkopalvelussa, jossa ei kuitenkaan voi edes tehdä juuri mitään hyödyllistä.

Tietoturvan kannalta sähköpostiosoite on kuitenkin huono. Se kun ei ole yleensä mitenkään salaista tietoa vaan sitä jaetaan julkisesti. Moni esimerkiksi osallistuu kilpailuihin antamalla sähköpostiosoitteensa. Kilpailut ovatkin mainio väline tiedon keruuseen. Toki pelkällä sähköpostiosoitteella ei vielä päästä pitkälle mutta se on kuitenkin avuksi.

Viestintävirasto on päätynytkin käyttämään sivustollaan varmuuden vuoksi erillistä käyttäjätunnusta. Mikäli käyttäjätunnus pääsee unohtumaan, saa sen palautettua kunhan antaa sähköpostiosoitteen ja salasanan. Jos taas salasana on hukassa, voi antaa käyttäjätunnuksen ja sähköpostin. Mutta mitäpä jos ei muista käyttäjätunnusta eikä salasanaa? Verkkotunnuksen voi maksaa kerralla 1–3 vuodeksi eli käyttäjätunnusta ja salasanaa tarvitsee yleensä 1–3 vuoden välein. 3 vuotta on pitkä aika, vaikka laittaisi tiedot lapulle, ehtii se lappukin hukkua.

domain.fi:n kirjautuminen
Moni lienee joutunut ottamaan yhteyttä asiakaspalveluun.

Kyseisessä tilanteessa Viestintävirasto kehoittaa ottamaan yhteyttä asiakaspalveluun. Kyllä sen kestää 1–3 vuoden välein. Viestintävirastossa on kuitenkin ilmeisesti huomattu että unohtuneet tunnukset ja salasanat työllistävät asiakaspalvelua turhan paljon. Asiaan onkin keksitty sangen näppärä ratkaisu.

Sain Viestintävirastolta sähköpostin jossa kerrottiin, että voin uusia tunnuksen myös kirjautumatta verkkopalveluun. Näppärästi heidän tarjoamastaan linkistä, kunhan vain annan ensin nimeni, osoitteeni, puhelinnumeroni ja sähköpostiosoitteeni. Ja sen jälkeen pankkitunnukseni.


Kuulostaako muuten ihan pikkuisen kalasteluviestiltä. Ei tarvitse kirjautua, kunhan antaa tiedot ja pankkitunnarit. Onneksi kaupallisella puolella ei yleensä olla noin hölmöjä. Kun minulla on uusi lasku S-Pankissa, saan tällaisen viestin:

Hei
sinulla on 1 uusi e-lasku verkkopankissasi.
Ystävällisin terveisin                              
S-Pankki

Ei mitään linkkejä eikä epämääräisiä allekirjoituksia todistelemassa aitoutta tai hienoa salausta. Sellaisia ei tarvita. Kirjaudun verkkopankkiini kuten aina ennenkin ja näen sieltä että viesti ei ollut huijausta. Ja miksi se olisikaan, ilman linkkejä valesivustolle tai liitetiedostoja viestin avulla ei voida tehdä mitään pahaa.

Hieman alkaisi epäilyttää jos saisin sähköpostiviestin jossa lukisi: Sinulla on yksi uusi lasku, siirry maksamaan tämän linkin kautta. Sellaista linkkiä ei ehkä kannata klikata. Ei vaikka viestissä olisi joku hieno digitaalinen allekirjoitus josta et ole ikinä kuullutkaan.

Huijausviestejä olisi paljon vaikeampi tehdä, jos ihmiset tottuisivat siihen että palvelussa asioidaan vain ja ainoastaan sen oman sivun kautta kulkien, ei sähköpostiviesteissä olevia linkkejä klikkaillen. Viestintäviraston pitäisi opastaa toimimaan siten, että huijaukset vähenisivät. Ei näyttää itse huonoa esimerkkiä.

Esimerkiksi vaikka laittamalla sähköpostin tai tekstiviestin jossa lukee: Hei, verkkotunnuksesi voimassaoloaika päättyy 10.10.2014. Uusi verkkotunnus verkkopalvelussamme. Ystävällisin terveisin Viestintävirasto. Tietysti asiakas joutuu olemaan hieman omatoimisempi ja etsimään verkkopalvelun itse, mutta se on pieni hinta turvallisuudesta.

Se tosin vaatisi sen, että Viestintävirasto joutuisi muuttamaan kirjautumistaan. Tai ainakin hyväksymään sen, että asiakaspalvelu työllistyy vähän enemmän. Miksi esimerkiksi henkilöasiakas ei voisi kirjautua palveluun pankkitunnuksillaan? Se on kysymys mihin vain Viestintäviraston virkamies osaa vastata.

Systeemissä on ongelma ja ongelmaa on yritetty ratkoa melko onnettomalla keinolla. Haluaisin nähdä jonkun Viestintäviraston henkilön julkisuudessa selittämässä että miksi heidän kalasteluviestin näköiseen mailiinsa pitäisi luottaa. Siksi kun siinä on se hieno merkkijono perässä?

Mikäli kyseessä on verkkopalvelu, minne pitää kirjautua, sähköpostissa voisi olla aina vain ympäripyöreä maininta saapuneesta viestistä tai vaadittavasta toimenpiteestä. Viestin loppuun varoitusteksti: Emme koskaan lähetä linkkejä joissa pyydetään kirjautumistietojasi, henkilötietojasi tai pankkitunnuksiasi. Palvelua käytetään aina vain sen kotisivun kautta. Salasananvaihtolinkit eivät osu noihin määreisiin, koska niissä yleensä kysytään vain uutta salasanaa. Ja sillä uudella salasanalla ei tee mitään jos se ei oikeasti vaihdu sinne palveluun. Paitsi tietysti jos se uusi salasana on sama kuin jossakin muussa palvelussa. Ja sähköpostiosoitehan olikin jo tiedossa...

Valitettavasti Viestintävirasto ei halua esimerkillään johdattaa meitä kohti parempaa internetiä, ennemminkin päinvastoin. Sen mielestä on ihan ok tapa pyytää sähköpostissa toimitetulla linkillä ihmisen henkilötietoja ja pankkitunnuksia.


Ei kommentteja:

Lähetä kommentti

Jätä toki kommentti tai kysymys.