Elektroninen Kela-kortti kaikille tunnistautumiseen

Radiouuti­sis­sa ker­rot­ti­in muu­ta­ma päivä sit­ten, että Suo­mi pyrkii yhtä hyvään julkiseen verkkoa­sioiti­in kuin Viro. Avainase­mas­sa on tun­nistau­tu­mi­nen verkos­sa. Siinä ei kuitenkaan voi­da men­nä yhteen tun­nistau­tu­mistapaan, kuten Virossa on epäortodok­sis­es­ti tehty, vaan sähköisen henkilöko­rtin, pankki­tun­nusten käytön ja muiden vas­taavien tapo­jen on voita­va kil­pail­la keskenään!

Mitä ihmettä! Toiv­ot­tavasti ymmärsin väärin. Pitäisikö myös raideleveyk­sien kil­pail­la keskenään?

Mitä tuo kil­pailu tarkoit­taa? Kumpi val­it­see tun­nistau­tu­mis­ta­van, asi­akas vai palvelu­jen tar­joa­ja? Jos asi­akas val­it­see, palvelun tar­joa­jal­la pitää olla käytössää kaik­ki tun­nistau­tu­mis­ta­vat, eli on mak­set­ta­va moninker­tais­es­ti. Jos taas palvelu­jen tar­joa­ja val­it­see, asi­akkaal­la on olta­va käytössään kaik­ki tavat. Jos ei päätetä, että kumpi val­it­see, sekä asi­akkail­la että palvelu­jen tar­joa­jil­la on olta­va käytössään kaik­ki tavat. Kil­pailu on joskus hyvä asia, mut­ta se on perustel­tu vain, jos se tuot­taa hyötyä. 

Entä kumpi mak­saa, kos­ka eri tavat ovat eri­hin­taisia? Jos palvelun tar­joa­ja mak­saa, suurin osa tyy­tyy pankkien tar­joa­maan tun­nis­tuk­seen, kos­ka se ei vaa­di asi­akkaal­ta mitään. Se on kuitenkin tolkut­toman kallis. Pankit veloit­ta­vat tietääk­seni 80 sent­tiä ker­ta. Jollekin vero­hallinnolle tästä tulisi mon­en miljoo­nan euron lasku vuosittain.

Noin vuon­na 2001, kun käsit­telin tätä asi­aa perus­palve­lu­min­is­ter­inä, Suomeen puuhat­ti­in elek­tro­n­ista henkilöko­rt­tia, joka kortin­luk­i­jan kanssa toimii tietokoneessa tun­nis­ti­me­na. Min­ul­la on sel­l­ainen väestörek­isterin hallinnoima kort­ti, kos­ka Helsin­gin kaupun­ki käyt­tää sitä luot­ta­mus­mi­esten tun­nistau­tu­mises­sa. Kätevä, eikä ilmeis­es­ti investointi­na, kort­ti + luk­i­ja, ole mikään kohtu­ut­toman kallis. Kalli­im­mak­si tulisi mak­saa joka ker­ran niistä pankki­tun­nis­tei­den käytöstä.

Sil­loin vuon­na 2001 VM ilmoit­ti, että tässä ei tehdä mitään mas­sa­hank­in­taa, vaan markki­nat hoita­vat. Jokainen han­kkii sen oma­l­la rahal­laan. Huusin kuin palosireeni, mut­ta ei aut­tanut. Siinä kävi niin kuin jokaisen piti ymmärtää, että tulisi käymään. Kukaan ei han­kkin­ut kort­tia ja luk­i­jaa, kos­ka ei ollut mitään palvelu­ja, joi­ta sil­lä olisi voin­ut käyt­tää, eikä kukaan tehnyt mitään palvelu­ja, kos­ka juuri kenel­läkään ei ollut kort­tia eikä lukijaa.

Tästä ei päästä eteen­päin kuin tekemäl­lä kollek­ti­ivi­nen päätös jostain tun­nistau­tu­mis­tavas­ta tai emme pääse vuosi­in eteen­päin. Suo­sisin elek­tro­n­ista henkilöko­rt­tia. Val­tio voisi han­kkia sen kaikille suo­ma­laisille, kos­ka han­kki­ihan val­tio kaikille kela-kortinkin. Mak­saisi paljon vähem­män kuin se, että jokainen val­tion vira­nomainen joutuu varautu­maan lukuisi­in kil­paile­vi­in tunnistautumistapoihin.

81 vastausta artikkeliin “Elektroninen Kela-kortti kaikille tunnistautumiseen”

  1. Syyl­lis­ten kärkipaikalla on Sisämin­is­ter­iön sil­loinen kansli­apääl­likkö, jos­ta e‑tunnistautuminen oli tapa saa­da rahaa omi­in kas­soi­hin ja asi­akkai­ta poli­isin palvelupisteisiin. 

    Pankit taas halu­si­vat sil­loin rahaa Tupas-tunnustamisesta. 

    Eduskun­nan liikenne- ja viestin­tä­valiokun­nan sankar­it sil­lonkin hoiti­vat mökkitei­den­sä sil­tarumpu­ja eikä muu kiinnostanut. 

    Kort­ti oli ihan hyvä. Kortin­luk­i­joi­ta taas ei myynyt kukaan. 

    Kukaan ei ajatel­lut käyt­töä kokon­aisuute­na eikä eteenkään käyt­täjän näkökul­mas­ta. Vira­nomainen ajoi omaa asi­aansa, ei kansalaisten. 

    Lop­putu­los kallis hyödytön palvelu. Veron­mak­sa­ja kiittää. 

    Sit­ten tässä ihme­tel­lään mik­si Suo­mi putosi e‑palveluiden kehityksestä.

  2. Erit­täin hyvä puheen­vuoro! Kil­pailu­tuk­sen tarkoi­tus on muutenkin pahasti hämär­tynyt julkisel­la sek­to­ril­la. Sen pitäisi aina tuot­taa oikeasti edullisem­pia ratkaisu­ja kuin suo­ra­hank­in­ta. Muuten se on turha toimenpide.

  3. Pankkien tun­nistau­tu­mishin­nat ovat neu­voteltavis­sa ja huonot on sopimuk­set, jos lähellekään 80 sent­tiä pitää mak­saa. Kallista se kaikissa tapauk­sis­sa on.

    Eduskun­nas­sa parhail­laan käsit­telyssä tähän liit­tyvä lakiehdo­tus joka muut­taa asi­aa, mut­ta lisää myös iden­ti­teet­ti­varkaus­riske­jä. Tuskin kukaan kansane­dus­ta­ja osaa ajatel­la kuitenkaan lop­pukäyt­täjää — valitet­tavasti. Eten­emme huonoon suun­taan. Osmon ehdo­tus olisi parempi.

  4. Mielestäni tur­valli­nen ja luotet­ta­va tun­nistau­tu­misen pitäisi olla kansalaisen peru­soikeus. Siitä ei saisi erik­seen veloit­taa, eikä tun­nistau­tu­mis­es­ta sinän­sä saisi rak­en­taa ainakaan yhteiskun­nan tuke­maa rahastusmekanismia. 

    Nykyti­lanteessa en lähtisi romut­ta­maan nyt käytössä ole­va hst-infra­struk­tu­uria. Päin vas­toin, sen käyt­töä tulisi edesaut­taa kaikin käytet­tävis­sä olevin keinoin, vaikka­pa hin­taa alen­ta­mal­la. Sama teknolo­gia­han on käytössä myös vira­nomais­puolel­la sekä sote-puolella.

    Kelan, aptreekkkien yms pitäisi Kela-kortin tilal­la hyväksyä myös kansalaisen sähköi­nen hst-kort­ti. Nykyte­knolo­gi­ol­la siihen ei pitäisi olla mitään (teknistä) estettä.

    En kuitenkaan usko yhden tun­nistau­tu­mis­mekanis­min poli­ti­ikkaan. Joitakin vai­h­toe­hto­ja pitää olla, mon­es­takin syys­tä. Esimerkik­si tele­op­er­aat­tor­ei­den puuhaa­ma mobi­ili­var­menne olisi ok jos se raken­netaisi­in riit­tävän tur­val­lisek­si ja sen käytöstä ei syn­ty­isi rahas­tus­mekanis­mia. Pankki­tun­nis­tei­den ongel­mat lienevät hyvin tiedos­sa ja sik­si niiden tilalle pitäisi saa­da kor­vaa­vat luotet­tavam­mat mekanismit.

  5. Val­tion tavoite on kai paran­taa yhteiskun­nan toimivu­ut­ta yleis­es­ti (tai ei kai useinkaan ole, mut­ta pitäisi olla). Tuol­lainen tun­nistau­tu­mis­palvelu kan­nat­taisi sik­si rak­en­taa val­tion toimes­ta joka tapauksessa.

    Kil­pailu toimisi hyvin niin, että val­tio ei pakot­taisi jär­jestelmää kenellekään, eikä pakot­taisi suo­ma­laisia sen käyt­täjäk­si val­tion asios­sa, mut­ta antaisi sen men­estyä, jos se olisi hyvä ja men­esty­isi. Jos se olisi susi (val­tion ollessa kyseessä tämä ris­ki on kohta­lainen), jär­jestelmä kui­h­tusi pois ilman sen isom­paa dra­mati­ikkaa. Val­tio voisi halutes­saan perus­taa uuden pienen, mut­ta nyt vähän viisaam­man projektin.

    Parhaim­mil­laan yri­tyk­set ja kukaties jopa pankit siir­ty­i­sivät käyt­tämään tuo­ta val­tion tar­joa­maa palvelua. Val­tio itse voisi käyt­tää omis­sa palveluis­saan sekä tuo­ta omaansa, että joitain vai­h­toe­htoisia jär­jestelmiä. Jos jär­jestelmä olisi toimivin, muista voisi jopa ajan myötä luop­ua, kun käyt­täjät luopuisi­vat niistä.

    Tuol­laisen tun­nistau­tu­mis­palvelun ylläpi­to olisi val­ti­olle (joka joutuu pitämään kansalai­sista rek­istere­itä joka tapauk­ses­sa) jok­seenkin hal­paa. Tun­nistau­tu­mi­nen voisi olla vaik­ka ilmaista kaikille käyt­täjille tai fir­moille. Tai sit­ten katet­taisi­in kulu­ja yri­tyk­siltä kerä­ty­ilä pie­nil­lä maksuilla.

  6. Miten tuo kortti+lukija toimii iPadin tai puhe­li­men kanssa?

  7. Elek­tro­n­ises­sa henkilöko­r­tis­sa, jon­ka käyt­tö vaatii eril­lisen kortin­luk­i­jan, ei ole use­assa tapauk­ses­sa yhtään mitään järkeä; en ainakaan itse halua työpöy­däl­leni yhtään ylimääräistä johdon päässä roikku­vaa härveliä. Puhu­mat­takaan jengistä, jol­la ei työpöytää ole lainkaan. Siis nämä tule­vaisu­u­den uut­ta Noki­aa rak­en­ta­vat tieto­työläiset, joiden työ­paik­ka on lähikahvi­las­sa, olo­huoneessa, tai ihan mis­sä tahansa. Siis se poruk­ka, jolle tätä sähköistä yhteiskun­taa ollaan rakentamassa.

    Mut­ta eikö meil­lä jo ole mais­traatin (vai väestörek­isterikeskuk­sen?) ylläpitämä tun­nistau­tu­mis­ra­jap­in­ta, joka yhdis­tää pankkien tar­joa­mat tun­nistau­tu­mis­ta­vat ja sähköisen henkilöko­rtin yhdek­si palveluk­si? Ainakin itse olen omas­ta mielestäni tör­män­nyt täl­laiseen palvelu­un use­assakin eri yhteydessä. 

    Täl­lainen val­tion ylläpitämän verkkopalvelun nyt pitäisi olla sekä asi­akkaan että myyjän kannal­ta paras vai­h­toe­hto: myyjän ei tarvitse olla yhtey­dessä kuin tähän yhteen (julkiseen) palvelun­tar­joa­jaan, eikä asi­akkaan tarvitse välit­tää mitä tun­nistau­tu­miskeinoa käyt­tää, kun kaik­ki käy. Sit­ten vain joku avoin min­imis­peksi kehi­in minkä pitää täyt­tyä että saa oman menetelmän­sä liitet­tyä julkiseen rajap­in­taan, ja kil­pailu käyntiin. 

    Tai sit­ten jokaiselle oikeus käy­dä kytkemässä rajap­in­nas­ta oma­l­ta kohdal­taan pois päältä kaik­ki ei-hyväksyt­tävät tun­nistau­tu­miskeinot (tai kään­teinen opt-in vai­h­toe­hto): täl­löin tun­nistau­tu­misen vahvu­us jäisi jokaisen oman harkin­nan varaan, ja teo­ri­as­sa vaik­ka mon­es­sa verkkopalvelus­sa jo nyt käytössä ole­va face­book-tun­nistau­tu­mi­nen voisi riittää.

    Argu­ment­ti pankkien tun­nis­tus­palvelu­iden kalleud­es­ta on aika heikko: kyl­lähän EU on saanut tele­op­er­aat­toritkin luop­umaan törkeästä roam­ing-rahas­tuk­ses­ta, ei pankki­tun­nistau­tu­misen hin­noit­telun saami­nen järkevälle tasolle pitäisi lain­säädän­nöl­lis­es­ti olla yhtään vaikeampaa.

  8. Min­ulle myön­net­ti­in kuvalli­nen Kela-kort­ti vuon­na 1997 ja tuol­la olen osoit­tanut henkilöl­lisyyteni vuo­den 2014 lop­pu­un asti. Tuona aikana on hyristy kansalaisen id-kortista (Lip­posen kort­ti oli nr1), henkilöko­rtista (id-kort­ti) ja sor­men­jälkipas­sista. Että noin hyvin on men­nyt, työkkäris­sä, sos­sus­sa, muis­sa vira­nomai­sis­sa, pankissa, postis­sa ja koti­maan lennol­la kuvalli­nen kela-kort­ti­ni. Tosin henkikir­joit­ta­ja kesäl­lä ei olisi myön­tänyt min­ulle virka­todis­tus­ta, mut­ta kun vetosin passin ja henkilöko­rtin myön­tämisen viipeeseen, vira­nomainen armahti min­ut ja kir­joit­ti min­ulle virka­todis­tuk­sen — heti.

    PS. Vosiko pas­si­in yhdis­tää kaikkia noi­ta em. vira­nomais­ten omia tun­nis­tu­vinkeitä siten, että yksi tun­nis­tusvä­line riit­täisi heille kaikille yhteensä.

  9. Ja tietysti jos oikeasti halu­taan dig­i­taal­ista yhteiskun­taa kehit­tää, pitäisi julkisen avoimen rajap­in­nan olla vähin­tään EU:n laajuinen.

  10. Mitä sel­l­aista kort­ti + luk­i­ja tuo mikä ei hoi­tu­isi vain tun­nuk­sel­la ja salasanal­la (ja mah­dol­lis­es­ti avain­lukulistal­la kuten pankeis­sa tehdään)? Kortin toim­intamekani­ikka­han on suur­in­pi­irtein se, että henkilön iden­ti­fioi­va salasana on tal­letet­tu bit­teinä kor­tille jos­ta kortin­luk­i­ja sen lukee. Lisää vaikeut­ta vain seu­raa jos jokaisen sähköistä tun­nistau­tu­mista käyt­tävän täy­tyy sitä varten hom­ma­ta koti­in­sa kortinlukija.

    Tietysti kort­ti voi olla ole­mas­sa niin että sitä voi käyt­tää esimerkik­si kivi­jalka­vi­ras­tois­sa asioidessa, mut­ta kotikäytössä hom­man pitäisi toimia ilman mitään lisälaitteistoa.

  11. Vetu­ma on ollut jo ole­mas­sa vuosia ratko­mas­sa tuo­ta usei­den tun­nis­tustapo­jen käyttöä. 

    Viras­ton ei tarvitse rak­en­taa inte­graa­tio­ta erik­seen joka vai­h­toe­htoon vaan ker­ran vetu­maan. Sitä on käytet­tykin paljon. 

    Uuden tun­nis­tus­ta­van lisäämi­nen tehdään vain vetu­maan eikä kaikki­in palveluihin. 

    Pitäisi pohtia voisiko vetu­man ava­ta myös yksi­ty­is­ten palvelu­iden tunnistukseen.

  12. Janne:
    Miten tuo kortti+lukija toimii iPadin tai puhe­li­men kanssa? 

    Niiden kanssa pitäisi käyt­tää NFC-kort­tia tai Bluetooth-lukijaa?

  13. Muuten, apteek­it ovat sähköisen reseptin myötä siir­tyneet sähköiseen Kela-kort­ti­in. Tämä tarkoit­taa sitä, että apteekkari voi hakea henkilö­tun­nuk­sen perus­teel­la asi­akkaan sähköiset resep­tit ja tiedon siitä, onko asi­akas sairaus­vaku­u­tuk­sen piiris­sä vai ei.

    (Ruotsinkielisille on tar­jol­la elek­tron­i­nen resep­ti ja elek­tron­i­nen Kela-kort­ti. Eppii.)

  14. Itse asi­as­sa viral­lises­sa henkilöko­r­tis­sa on jo kaik­ki tarvit­ta­va (ja se käy myös matkus­tusasi­akir­jana ja Kela-kort­ti­na). Mihin tarvi­taan muuta?

    Käsi­tyk­seni mukaan Virossa kaik­ki toimii juuri sil­lä henkilöko­r­tilla, mitään pankki­tun­nuk­sia ei tarvi­ta, käyt­täkööt pankit niitä — ja kortin­luk­i­ja ei ole eri­tyisen kallis ja jos ei sel­l­aista kat­so tarvit­se­vansa, sitä ei ole pakko hankkia.

  15. Janne:
    Miten tuo kortti+lukija toimii iPadin tai puhe­li­men kanssa?

    Tämä on yksi syy mik­si olisi hyvä että olisi vai­h­toe­hto­ja kort­tipo­h­jaiselle tun­nista­tu­miselle, esimerkik­si mobiilivarmenne.

    Eril­lisiä mobi­ililait­tei­denkin lisälait­teena toimivia luk­i­jalait­tei­ta ja ‑ohjelmis­to­ja on markki­noil­la. Esimerkik­si Espan­jalaisille id-kor­tille viafirma.com. Teknolo­gia käsit­tääk­seni kutakuinkin sama kuin mei­dän hst-kortissa.

  16. Janne:
    Miten tuo kortti+lukija toimii iPadin tai puhe­li­men kanssa?

    NFC:llä tai kort­ti­in paine­tul­la QR-kood­il­la, voisin kuvitella.

  17. Sähköi­nen tun­nis­tus sös­sit­ti­in Suomes­sa pahim­man ker­ran. Sen lisäk­si, että pankkien jär­jestelmät ovat kalli­ita, ne eivät ole kovin turvallisia.

    Ehkä ei ole järkevää pakot­taa pankke­ja mukaan yteiseen sys­teemi­in, mut­ta onko liikaa vaa­dit­tu, että eri vira­nomaiset pelaisi­vat yhdel­lä kor­tilla? Tori antaisi mah­dol­lisu­u­den ede­tä siihen suun­taan, mut­ta on toiv­ot­tavaa, ettei kort­tia anneta amatöörien tehtäväk­si. Esimekik­si LVM:ssä ei kaik­il­ta osin ymmär­retä toim­intaym­päristöä, vaan ollaan aivan liian sinisilmäisiä.

  18. Toivelista:

    Tun­nista­ja on olta­va mah­dol­lista tunnistaa.

    Käyt­täjän on kyet­tävä kon­trol­loimaan, mitä tieto­ja jae­taan. Esim. jos joku kysyy ajo-oikeuk­sia, min­un ei tarvitse ker­toa nimeäni ja sotu­ani, vaan voin pelkästään osoit­taa ole­vani henkilö, jol­la on B‑kortti. (Kuva tai jokin bio­metri­nen tapa tietenkin tarvi­taan tähän.)

    On pystyt­tävä luo­maan ker­takäyt­töisiä iden­ti­teet­te­jä, joi­hin voi lisätä oikeuk­sia ym. henkilöti­eto­ja anonyymisti.

    Infra toteutet­ta­va mah­dol­lisim­man han­kalasti sormeil­taval­la taval­la. Ei tehdä lelua poliiseille.

    EU tekemään ja toteut­ta­maan. Ainakin standardi.

  19. Onko iden­ti­teet­ti­varkauk­sia koske­va lain­säädän­tömme asian vakavu­u­den edel­lyt­tämäl­lä taval­la jär­jestet­ty? Yhteiskun­nan dig­i­tal­isoi­tu­misen lisään­tymi­nen tekee asi­as­ta vuosi vuodelta tärkeämmän. 

    Maail­ma, jos­sa et enää henkilöko­htais­es­ti tapaa esim. pankissa, apteekissa tai kaupois­sa ketään, joka oppisi sin­ut (juuri sin­una itsenäsi) tun­temaan, et ehkä suurkaupun­gin ker­rostalois­sa tunne edes naa­pure­itasikaan (tai he sin­ua!), on aika ankea paik­ka sel­l­aiselle, joka on sen elek­tro­n­isen tun­nistau­tu­misko­rt­tin­sa (taval­la tai toisel­la) kadottanut/menettänyt, tai jon­ka ao. kortin tieto­ja, ts. henkilöl­lisyyt­tä peräti väärinkäytetään.

    Elek­tro­n­iset jär­jestelmät ovat (aina?) aika haavoit­tuvaisia, minkä olemme mm. viime päiv­inä voineet havai­ta. Miten tun­nistau­tu­misko­rt­ti­jär­jestelmästä voisi tehdä sel­l­aisen, että sitä ei voi käyt­tää väärin? Yksi, ‘vah­vak­si’ tehty ja uskot­tu jär­jestelmä, jon­ka joku (kuitenkin) kaikesta huoli­mat­ta kyke­nee joskus mur­ta­maan, voi olla seu­rauk­sil­taan ikävämpi kuin sel­l­ainen, jos­sa kaik­ki, siis ‘koko elämä’ ja merkit­tävä osa sen edel­ly­tyk­sistä, ei ole “yhden kortin varassa”.

  20. Janne:
    Miten tuo kortti+lukija toimii iPadin tai puhe­li­men kanssa? 

    Se voisi toimia, mikäli kort­ti­in lisätään NFC-lukukelpoisu­us. Sit­ten vielä ohjelmis­tot käytössä oleville puhe­lin- ja tablettikäyttöjärjestelmille.

  21. Hyvä puheen­vuoro! Tun­nistau­tu­misen (ja tun­nistamisen) pitäisi olla kansalaisen peru­soikeuk­sia ja val­tion pitäisi tar­jo­ta se mak­sut­ta asukkailleen. Onhan kum­mallista, että nyt luotet­tavin tun­nistau­tu­mistapa on pankkien ylläpitämä. 

    Raha taitaisi ratkaista asian: val­tion kehit­tämä tun­nistau­tu­mistapa (mikä lie­neekin, luul­tavasti mon­ta eri­laista?) on mak­su­ton käyt­täjille ja yksi­ty­is­ten ylläpitämien (pankit, oper­aat­torit yms.) tapo­jen käyt­täjiltä perit­täisi­in mak­su joka ker­ras­ta, kun niitä käyttää.

    Voisiko tun­nistau­tu­misen liit­tää nykyiseen henkilöko­rt­ti­in, onhan siinä jo Kela-kort­tikin ja Schen­gen-alueen pas­si­tiedot mukana? Ja val­tio hyväksy­isi viral­lisik­si muitakin, yksi­ty­is­ten ylläpitämiä (pankit, puhe­lin­op­er­aat­torit yms.)

  22. Kalle:
    Sähköi­nen tun­nis­tus sös­sit­ti­in Suomes­sa pahim­man ker­ran. Sen lisäk­si, että pankkien jär­jestelmät ovat kalli­ita, ne eivät ole kovin turvallisia.
    ‘snip’

    No itse asi­as­sa pankkien jär­jestelmä, jos­sa on vai­h­tu­vat tun­nus­lu­vut paper­il­la, on erit­täin tur­valli­nen — jos vain pidät tun­nus­lu­vuis­tasi huolta.

  23. Tavalli­nen Teknikko:
    Min­ulle myön­net­ti­in kuvalli­nen Kela-kortti…

    Kuval­lisen kela- kortin ongel­ma oli se, että sen sai kenen tahansa kuval­la. Aika monel­la oli pikku­vel­jen kuva kor­tis­sa tai ennem­minkin pikku­vel­jel­lä oli isovel­jen tiedot kortissaan. 

    Se on aika sääli, että nyky­isin nuoret eivät saa armoa mis­sään asi­as­sa ja kaik­ki ongel­mat seu­raa­vat hau­taan saak­ka. Syr­jäytämme aika tehokkaasti ihmisiä sil­lä, että tieto on ikuista. Vielä 90- luvul­la tor­spoilun, rankankin sai anteek­si ja se ei nous­sut esteek­si nor­maalis­sa elämässä

  24. -J-: NFC:llä tai kort­ti­in paine­tul­la QR-kood­il­la, voisin kuvitella.

    Pelkkä QR-koo­di on visuaa­li­nen ja kopi­oitavis­sa hel­posti. Tun­nistau­tu­mi­nen vaatii 2‑suuntaista datali­iken­net­tä. Sik­si NFC tai fyysi­nen kon­tak­ti älysiruun.

  25. Janne:
    Miten tuo kortti+lukija toimii iPadin tai puhe­li­men kanssa?

    Niin­pä. Palvelu­iden käyt­tö on nykyaikana niin mobi­il­ia että erilli­nen kortti+lukija on aut­ta­mat­tomasti van­hen­tunut ratkaisu. Sama ongel­ma on nykyisessä HST-kor­tis­sa jopa desk­top-ympäristössä kun käyt­tis­valmis­ta­jat suo­si­vat omia ratkaisujaan.

    Kil­pailut­tamises­sa on tässä tapauk­ses­sa puolen­sa, kun­han väl­tetään avoimen piikin ansat. Käytän­nössä siis julk­ispalvelu­iden tun­nis­tus­palvelun run­gon tulee olla val­tion hallinnas­sa ja pankkien, mobi­il­i­op­er­aat­to­rien yms. siihen näh­den ali­hankki­ja­suh­teessa. Tun­nis­tus­palvelus­sa olisi valit­tavis­sa vain edullisim­mat, kil­pailut­ta­mal­la val­i­tut tun­nis­tu­sop­er­aat­torit, ja niiden lisäk­si val­tion hin­tahäirikkö­op­er­aat­tori joka samal­la määrit­telee perus­palve­lu­ta­son eli viime kädessä paperikir­jeenä toimitet­ta­van tun­nus­lukulis­tan. Nykyis­es­tä Vetu­ma-käytän­nöstä poiketen tun­nis­tus­palvelu­un liit­tyjä tek­isi vain yhden sopimuk­sen tun­nis­tus­palvelun kanssa.

    Tietysti val­tion olisi mah­dol­lista ilkeil­lä, ja määritel­lä mobi­ili­var­menteesta lak­isääteinen perus­palvelu joka mobi­il­i­op­er­aat­torin tulee tar­jo­ta transak­tiokus­tan­nuk­sil­taan mak­sut­ta tun­nistau­tu­misen molem­mille osa­puo­lille mobi­ilili­it­tymä­sopimuk­sen yhtey­dessä. Tämä olisi luul­tavasti kokon­aiskus­tan­nuk­sil­taan edullisin ratkaisu.

  26. Tääl­lä puidaan kaiken maail­man teknisiä ongelmia joi­ta liit­tyy kortin­luk­i­joi­hin. Mielestäni tämä teknis­ten onglmie puimi­nen on aivan turhaa. Enne­minkin pitäisi ensin lausua ääneen mil­laisia vaa­timuk­sia tun­nistau­tu­miselle on.

    Tämän jäl­keen voimme miet­tiä, että onko kort­ti tarpeelli­nen ja milainen luk­i­jan sit­ten muka tulisi olla.

    Mitä tähän tekni­ikkaan tulee, niin tässä oma ratkaisuni: Käytetään nykyisenkaltaisia taval­lisia kuval­lisia kort­te­ja. Luk­i­jana toimii pääte­lait­teessa ole­va kam­era, jolle kort­tia tai pas­sia näytetään. Kuva syötetään hah­mon­tun­nis­tusal­go­rit­mile (tms.) ja voila: Olemme saa­neet fyy­siseen doku­ment­ti­in perus­tu­van tun­nistau­tu­misen ilman minkään­laisia investoin­te­ja uusi­in kojeisi­in tai lait­teisi­in tai sirui­hin tai mihinkään muuhunkaan rahanieluun.

    Mikäli taas joku laite on ihan pakko saa­da, niin suosit­te­len tutus­tu­maan miten Nordean yri­tys­ten verkkopank­ki toimii. Kortin­luk­i­ja ei ole varsi­nais­es­ti yhtey­dessä tietokoneeseen vaan hom­ma hoise­taan seuraavasti:
    1. Verkko­sivu auki
    2. Käyt­täjä­tun­nus verkkosivulle
    3. Verkko­sivu näyt­tää KOODIn
    4. Kort­ti lukijaan
    5. PIN lukijaan
    6. KOODI lukijaan
    7. Luk­i­ja näyt­tää PALUUKOODIn
    8. PALUUKOODI verkkosivulle
    9. Olet sisällä!

    Että sen ver­ran noista ipad-yhteen­sopivista luk­i­joista ja Blue­tooth­ista ja NFC-hifis­te­ly­istä: Ne ovat aivan turhia.

  27. Applen lait­teis­sa ei ole kol­man­sille osa­puo­lille suun­nat­tua rajap­in­taa NFC-omi­naisuuk­sille. Tilanne on ollut tämä jo jonkun aikaa, eikä Applen suun­nitelmista ole ulkop­uolisille tietoa.

    Palvelu­iden käyt­tö mobi­ililait­teil­la on jo niin merkit­tävää, että mikään tar­jot­tu ratkaisu joka vaatii vain tietokoneeseen kytket­tävän kortin­luk­i­jan tulee ole­maan fiasko. 

    Eikö julkisel­la puolel­la ollut joku han­ke, mis­sä eri tun­nistau­tu­mis­ta­vat keskitetään yhden palvelun taakse. Täl­löin eri organ­isaa­tioiden ei kunkin tarvitse inte­groitua yksitellen jokaiseen TUPAS-kikkareisi­in vaan riit­tää nait­taa palvelun­sa tähän yhteen sys­teemi­in. Sopimuk­set pankkien kanssa tapah­tu­vat myös keskite­tysti. Tässä olisi se etu, että rin­nal­la voisi­vat kulkea sekä nykyiset että kaik­ki lukuisat tule­vaisu­u­den tun­nistau­tu­mis­menetelmät ilman että siitä aiheu­tu­isi lisä­vaivaa palvelun tuot­ta­jille tai käyttäjille.

    Lain­säätäjälle luulisi ole­van mah­dol­lista asetel­la TUPAS:lle joku perus­palvelun sta­tus ja määritel­lä hin­takat­to mitä pank­ki saa siitä per­iä. Todel­lisia kus­tan­nuk­sia vas­taa­va oikea sum­ma on ehkä 2 sent­tiä per tun­nistau­tu­mi­nen. Siinä saisi val­tion kus­tan­ta­maa HST-kort­tia hinka­ta huolel­la kunnes tul­taisi­in voiton puolelle.

    Yksi ikävä ske­naario tulee mieleen: jostain syys­tä kuvitel­laan ratkaista­van tun­nistamisongel­ma uudel­la jär­jestelmäl­lä, pois­te­taan TUPAS:lta se “vah­van tun­nistau­tu­misen” sta­tus ja jostain syys­tä uusi tapa ei yleistykään. Sil­loin Suo­mi jäisi entistä kauem­mas jäl­keen. TUPAS on mitä on, mut­ta ainakin se toimii.

  28. Kort­ti­han vas­taisi puhe­lin­var­men­net­ta, SecurID-tikkua tai salasanal­is­taa nyky­i­sis­sä jär­jestelmis­sä: salasana on jotain mitä käyt­täjä tietää, kort­ti on jotain mitä käyt­täjäl­lä on hal­lus­saan. Kol­mas mah­dolli­nen var­menne olisi jotain mitä käyt­täjä on, eli bio­metri­nen tunniste.

    Ainakin kak­si täl­laista olisi hyvä vaa­tia luotet­tavaan tun­nistau­tu­miseen, mut­ta olisi muka­va jos tun­nistau­tu­mises­sa olisi vai­h­toe­hto­ja kortin­luk­i­joille. Ylimääräisel­lä lait­teis­tol­la on taipumus pää­tyä his­to­ri­al­lisek­si pain­o­lastik­si joka vaikeut­taa päivityksiä.

  29. Vähän ihmette­len, mikä tässä on ongelma. 

    Olen pari­na viime vuon­na etäa­sioin­ut usei­den vira­nomais­ten kanssa pankki­tun­nuk­sia ja ker­takäyt­töisiä salasano­ja käyt­täen ja myös asioin­ut kas­vokkain hei­dän kanssaan ajo‑, KELA- tai hlöko­rt­tia näyt­täen, jol­loin naa­ma kai toimii vaikeasti kopi­oita­vana salasanana.

    Vetu­ma näyt­tää toimi­van hyvin.

  30. -J-: NFC:llä tai kort­ti­in paine­tul­la QR-kood­il­la, voisin kuvitella. 

    QR koo­di on vain 2 ulot­teinen viivakoo­di, niitä voi luo­da hel­posti itse. Samoin NFC:n välit­tämän datan voi lukea. Paras keino iPadeille yms. on yksilöidä itse laite, esim. pankki­tun­nistau­tu­misel­la, tai val­tion viras­tossa, jol­loin mitään
    eril­listä kort­tia ei jatkos­sa tarvitse. Oman salatun­nuk­sen tarvit­sisi toki edelleen.

  31. Tapio: Vähän ihmette­len, mikä tässä on ongelma.

    Lyhyesti: Pankkien oli­gop­o­li, joka yhdessä julk­ishallinnon häl­läväliä-asen­teen kanssa johtaa kohtu­ut­tomi­in kus­tan­nuk­si­in veron­mak­sajille. Onnek­si nykyään on edes mobi­ili­var­menne luo­mas­sa kilpailua.

  32. Siis: Kela-kort­ti on jo elek­tron­i­nen, samoin henkilöko­rt­ti. Mitä vielä halutaan?
    Pankki­tun­nuk­sil­la tun­nistau­tu­mi­nen toimii myös hyvin ja on turvallinen.

    Se mitä puut­tuu, on elek­tron­i­nen asioin­ti, sitähän tässä pitäisi kehit­tää eikä sekaan­tua lil­lukan­var­si­in. Päätöksiä!

  33. Kor­tit ja niiden luk­i­jat, tun­nus­lu­vut, nfc:t ja muut ovat koh­ta his­to­ri­aa. Liian tur­vat­to­mia, tai kankei­ta ja help­po­ja väärinkäytöksille.

    Bio­metri­nen tun­nist­a­mi­nen on nykypäivää ja ennen kaikkea tule­vaisu­ut­ta. Suomes­sa sor­men­jälk­iä on jo pitkään kerät­ty pas­sirek­isteri­in. Siitä vaan käyt­töön kaik­keen tun­nistamiseen. Kän­nyköis­säkin alkaa jo ole­maan sormenjälkitunnistimet.

    Ja san­ot­takoon nyt samal­la, että poli­isin pitää saa­da rek­isteri­in käyt­töoikeus rikosten selvit­tämisek­si. Eikö tämän nyt pitäisi olla kaik­lle rehellisille itses­tään selvää. Tästä vaik­ka direk­ti­ivi vireille.

  34. Nykyi­nen pankki­tun­nussys­tee­mi on ihan ok. Pankkien hin­to­jaa saa alaspäin siten, että VM menee pankkien puheille ja sanoo, että tästä lähin tun­nistau­tu­mi­nen mak­saa 10 snt/kerta tai tehdään val­tion id-kort­ti ja sääde­tään se pakolliseksi.

  35. Pankki­tun­nistau­tu­misen vahvu­us on siinä, että käyt­täjä on aset­tanut rahal­lisen vaku­u­den henkilöl­lisyyten­sä oikeel­lisu­ud­es­ta. – Tilin sal­don ver­ran rahaa. – Kuin­ka moni käyt­täjä mah­taisikaan ja miten helpol­la, laina­ta pankki­tun­nuk­si­aan kaverille!

    Teknis­es­ti on help­po toteut­taa “idioot­ti­var­mo­ja” ratkaisu­ja, mut­ta heikoin lenk­ki on aina tuo “idioot­ti” siel­lä käyt­täjän päässä.

  36. Joulun alla valiokun­takäsit­telystä valmis­tuneessa lakiesi­tyk­sessä esitetään säädet­täväk­si vah­van tun­nistamisen toim­i­joiden väli­nen luot­ta­musverkos­to, joka tar­joit­taa, että toim­i­joiden tulisi jatkos­sa välit­tää verkkopalvelui­hin myös tois­t­en­sa liik­keel­le­laskemia tun­nis­tei­ta. Verkkopalvelun tar­joa­jalle riit­tää, että tekee sopimuk­sen minkä tahansa tun­nis­tus­palvelun tar­joa­jan kanssa ja sinne kel­paa­vat kaikkien luot­ta­musverkos­ton jäsen­ten tun­nis­teet. Kil­pailu tarkoit­taa siis tässä yhtey­dessä sitä, että olisi mah­dol­lista syn­tyä markki­nae­htois­es­ti usei­ta eri­laisia tun­nistamisvä­lineitä (vaikka­pa kon­tak­till­i­nen siru, NFC-tun­niste, mobi­ili­var­menne), jot­ka toimi­si­vat tois­t­en­sa kanssa ris­ti­in, ja oli­si­vat kytket­tynä henkilön yhteen ja samaan sähköiseen iden­ti­teet­ti­in. Kansal­lises­sa palvelu­arkkite­htu­u­ri­o­hjel­mas­sa tätä myös laa­jen­netaan roolipo­h­jaisek­si, jol­loin oma­l­la sähköisel­lä iden­ti­teetil­lä tulee mah­dol­lisek­si asioi­da julk­i­sis­sa palveluis­sa myös esim. huolta­jan, edun­valvo­jan tai yri­tyk­sen nimenkir­joit­ta­jan roolis­sa. Myöhem­mässä vai­heessa mah­dol­lis­tuu myös sähköis­ten val­takir­jo­jen antaminen.

  37. Ei nyt her­ra jes­tas enää täl­lä vuosikymmenel­lä mitään jär­jestelmiä, jot­ka vaa­ti­vat eril­lisen luk­i­jalait­teen ja sen ohjelmis­ton asentamista.

    Ihmiset ovat nykyään liikku­via, eivät he halua kan­taa mukanaan jotain kortin­luku­laitet­ta että saisi­vat verkko-ostok­set tehtyä.

    En usko, että Suomes­sa pystytään ihan yhteen jär­jestelmään siir­tymään, mut­ta jos edes kaksi:
    1) Pankkien tun­nis­tus­palvelu, joka on aika kökkö ja usein jopa bis­nek­sen este, mut­ta on kaikille tut­tu ja toimii.
    2) Mobi­ili­var­menne, joka on mah­dolli­nen sik­si että läh­es kaikil­la on jo tähän kykenevä kän­nykkä taskus­sa, SIM-kort­ti pitää vain vaihtaa.

    Itse han­kin HST-kortin vuon­na 2000 ja totesin että pieleen meni kun kak­si IT-alan ammat­ti­laista ähertää päivän saadak­seen luk­i­jan ja ohjelmis­ton asen­net­tua. No, tuli sil­lä sen­tään muut­toil­moi­tus tehtyä.

  38. Salailu ja salailun varmis­t­a­mi­nen ovat men­neet vain­o­harhaisu­u­den asteelle. Otan­pa esimerkin.

    Lääkäri määräsi min­ut veriko­keeseen. Hän kir­joit­ti lähet­teen tieto­jär­jestelmään. Minä sain puhe­lin­nu­meron, jos­ta sain tila­ta ajan.

    Soitin ajan­va­rauk­seen. Sain ajan ja kysyin pitääkö olla syömät­tä miten mon­ta tun­tia ennen koetta?

    Virkail­i­ja vas­tasi, että hän ei voi ker­toa, kos­ka hänel­lä ei ole oikeuk­sia nähdä, mitä veriko­keel­la mitataan.

    Sanoin TÄH! Veriko­keeni on val­tios­alaisu­us. Puolestani sen voisi julka­ista val­takun­nan uutisissakin. 

    Sain tiedot tulok­sista ihan puhe­limes­sa ilman tun­nistau­tu­mista. Henkilö joka ker­toi ne, taisi olla sama henkilö, jol­ta kokeesta yritin kysellä.

  39. Tun­nistau­tu­miseen ei tarvitse kaikille sähkövim­paimia. Pankit sen­tään ovat tajun­neet, että paper­i­nen salasanal­ista riit­tää. Jos kaikille vaa­di­taan joku uusi sähkövim­pain tun­nistau­tu­miseen, se ei tule onnis­tu­maan ainakaan Suomen val­tion käytet­tävis­sä ole­val­la tietoteknisil­la kyvyillä. 

    Paper­it­u­losteil­la pääsee yllät­tävän pitkälle — dig­i­taa­li­nen allekir­joi­tus, henkilötiedot ja bio­metriset tun­nis­teet (kuva, sor­men­jäl­ki) voidaan lait­taa koo­dat­tuna paper­ille, jon­ka voi luotet­tavasti aidok­si todis­taa dig­i­taalisel­la allekirjoituksella. 

    Ongel­ma on lähin­nä vira­nomais­ten kyky ja halu kehit­tää palvelu­jaan ja jär­jestelmiään. Ei tarvi­ta uuta mega pro­jek­tia, jos­sa jokaiselle kansalaiselle toimite­taan joku laite ja lisenssi sul­jet­tuun jär­jestelmään, jota voidaan sit­ten kor­jail­la vuosikym­meniä… yksinker­taisem­pi sys­tee­mi voisi toimia paremmin.

  40. Viro sai kortin levitet­tyä kaikille tekemäl­lä siitä pakol­lisen oikein lain voimalla

    Eli Viro ei tässä luot­tanut markki­noiden voimaan vaan sääntelyyn.

    Suomes­sa oli vuon­na 2001 val­tion­va­rain­min­is­ter­inä Sauli Niin­istö, joka tuki pankke­ja asiassa.

    Eikä nykyään tarvi­ta kortin­luk­i­jaa, pc-ssä on USB reik­iä, mihin voi työn­tää tun­nistamistikun, jos mekaaniseen ratkaisu­un tun­nistamises­sa päädytään.

    Tavalli­nen Kela-kort­tikin lue­taan apteekissa ja sairaalas­sa viivakood­il­la , ei siis tarvi­ta elek­tro­n­ista korttia.
    Nykyään ilmoit­tau­tu­mi­nenkin toimii viivakood­ia lukemalla.

    Kun tilanne on karan­nut käsistä niin yhteen jär­jestelmään tuskin päästään.Niinpä paras­ta olisi tyy­tyä jär­jestelmään, jos­sa asi­akas voi vali­ta ja kulut per­itään asiakkaalta

    Euro ohjaa asi­akkaat halvim­man palvelun piirin

  41. Hei, tän­nekö sai esit­tää niitä toivei­ta kansal­lis­es­ta sähköis­es­tä tunnistautumisjärjestelmästä?

    Saisiko sel­l­aisen palvelun, että mais­traat­ti (tms taho) allekir­joit­taisi (vaik­ka mak­sua vas­taan) jol­lain “val­tion viral­lisel­la avaimel­la” oman julkisen GPG-avaimeni ja vaik­ka nimeni ja naa­maku­vani. Sit­ten mun oma GPG-avain toimisi suo­raan teknis­es­ti vah­vana sähköisenä allekir­joituk­se­na mis­sä­vaan ja vira­nomais­ten pitäisi suo­raan hyväksyä min­ut minuk­si ilman pili­pali käsinkir­joitet­tu­ja allekir­joituk­sia niin kauan kuin allekir­joi­tan vies­ti­ni oma­l­la avaimel­lani enkä ole perunut avaintani.

  42. Onko KELA muuten oikea paik­ka yleen­säkään han­kkia mitään kort­tia = iden­ti­teet­tiä? Tulisiko siitä vain uusi tapa han­kkia väärä suo­ma­lainen identiteetti?

  43. spot­tu: Kil­pailut­tamises­sa on tässä tapauk­ses­sa puolen­sa, kun­han väl­tetään avoimen piikin ansat.

    Ja onhan se, kuten lakiesi­tyk­sessä HE 272/2014 vp todetaan: 

    Sähköisen tun­nis­tus­palvelun tar­joa­jan lähet­täessä sähköiseen tun­nis­tusvä­li­neeseen liit­tyvää tietoa toiselle sähköisen tun­nis­tus­palvelun tar­joa­jalle edelleen välitet­täväk­si, välitet­tävästä tun­nis­tetiedos­ta tulee suorit­taa lähet­täjälle kor­vaus. Välitet­tävästä tun­nis­tetiedos­ta perit­tävä kor­vaus voi olla enin­tään 10 sent­tiä. Kor­vauk­sen tasoa tul­laan arvioimaan vuosittain.

    Konkreet­tis­es­ti, Vetu­ma (Val­tori) on sähköisen tun­nis­tus­palvelun tar­joa­ja, ja mak­saa toiselle tun­nis­tus­palvelun tar­joa­jalle, siis pankille tai mobi­il­i­op­er­aat­to­rille max 10 sent­tiä tun­nis­tustapah­tu­maa kohden. Tämä on nyky­ta­sol­la ihan sop­uhin­ta, ja kuten lakiehdo­tuk­ses­sa san­o­taan, vuosit­tain arvioita­va asia.

    Val­torin tekemät tekniset ratkaisut mah­dol­lis­ta­vat uusien tun­nis­tus­palvelun­tar­joa­jien tulon markki­noille kun­han liit­tymis­es­tä ja tieto­tur­va-audi­toin­nista ei tule epä­tarkoituk­sen­mukaisen raskas ja kallis kon­sult­tive­toinen rahastusoperaatio.

    Alku­peräisen väit­teen­sä osalta:

    Tästä ei päästä eteen­päin kuin tekemäl­lä kollek­ti­ivi­nen päätös jostain tun­nistau­tu­mis­tavas­ta tai emme pääse vuosi­in eteenpäin.

    Osmo on minus­ta oike­as­sa sikäli että (julkis)palveluntarjoajan kannal­ta sopimus- ja teknisiä osa­puo­lia pitääkin olla vain yksi, mut­ta se on jo de fac­to valit­tu eli Val­tori Vetuma-palveluineen. 

    2000-luvun alus­ta maail­ma on kuitenkin muut­tunut sikäli että suo­ranais­es­ta tieto­tur­vahys­te­ri­as­ta on päästy eroon, eli pankkien TUPAS kel­paa myös vira­nomaisille, mobi­il­i­op­er­aat­torit tar­joa­vat mobi­ili­var­men­net­taan joka sekin kel­paa vira­nomaisille, eli suuren yleisön tun­nis­tevä­line­markki­noil­la on kak­si blokkia ja kym­menkun­ta toim­i­jaa joka mah­dol­lis­taa aidon kil­pailun. Val­tori tarvit­see nyt vain selkäno­jak­seen lain joka mah­dol­lis­taa sopimus­by­rokra­t­ian selkeyttämisen.

  44. Raimo K: No itse asi­as­sa pankkien jär­jestelmä, jos­sa on vai­h­tu­vat tun­nus­lu­vut paper­il­la, on erit­täin tur­valli­nen – jos vain pidät tun­nus­lu­vuis­tasi huolta.

    Käsit­tääk­seni tämä myös on hyvin edelli­nen, sil­lä omat apnkkiku­lu­ni ovat muu­ta­ma tai ehkä 10 euro /kk. (pitää tarkistaa)

  45. Markku af Heurlin: Käsit­tääk­seni tämä myös on hyvin edelli­nen, sil­lä omat apnkkiku­lu­ni ovat muu­ta­ma tai ehkä 10 euro /kk. (pitää tarkistaa)

    Tark­istin: 3,02 e /kk. Ja käytän tun­nuk­sia päivittäin.

    En tiedä, mitä pankit veloit­ta­vat muus­ta käytöstä muil­ta toim­i­joil­ta, esimö AKE:lta, kun pankki­tun­nuksin teen käytöstäpoistoilmoituksen.

  46. Janne Viskari:
    ‘snip’
    Kansal­lises­sa palvelu­arkkite­htu­u­ri­o­hjel­mas­sa tätä myös laa­jen­netaan roolipo­h­jaisek­si, jol­loin oma­l­la sähköisel­lä iden­ti­teetil­lä tulee mah­dol­lisek­si asioi­da julk­i­sis­sa palveluis­sa myös esim. huolta­jan, edun­valvo­jan tai yri­tyk­sen nimenkir­joit­ta­jan roolis­sa. Myöhem­mässä vai­heessa mah­dol­lis­tuu myös sähköis­ten val­takir­jo­jen antaminen. 

    Siis myöhem­mässä vai­heessa… ja se myöhempi vai­hekin on jo ajat sit­ten men­nyt. Näistä on puhut­tu jo vuosia.

    Mitä lie­nee mak­sanut ja mak­saa jatkos­sakin — eikä mitään tapahdu.

  47. Lea Vil­ja­nen:
    Ei nyt her­ra jes­tas enää täl­lä vuosikymmenel­lä mitään jär­jestelmiä, jot­ka vaa­ti­vat eril­lisen luk­i­jalait­teen ja sen ohjelmis­ton asentamista.

    Ihmiset ovat nykyään liikku­via, eivät he halua kan­taa mukanaan jotain kortin­luku­laitet­ta että saisi­vat verkko-ostok­set tehtyä.
    ‘snip’

    No kyl­lä verkko-ostok­si­in jonkin­lainen laite pitää olla, että pääsee verkkoon… vaik­ka kuin­ka liikku­vainen olisi.

    Tun­nistau­tu­miseen riit­tää — sus siu­nakkoon — luot­toko­rtin numero.

  48. Jos se tupas kel­paa niin val­tio voisi ihan hyvin jakaa omat itse tulosta­mansa salasalal­i­s­tat paper­il­la ja lait­taa posti­in, osoitekin tun­tuu ole­van tiedos­sa ainakin vero­hallinnol­la. Jän­nä­paik­ka onkin siinä että mak­saako se val­tion tuot­ta­mana enem­män kuin 80 sent­tiä per tunnistautuminen. 

    Kor­tit ja mobi­ili­var­menteet yms saa uno­htaa, jos kansalaiselta vaa­di­taan jotain akti­ivi­su­ut­ta siihen että pitää tun­nistau­tua julk­isi­in palvelui­hin niin min­un ja mon­en muunkin osalta voitte tun­nistau­tu­mishaaveet uno­htaa. Aina uno­htuu että kansas­ta kol­ma­sosa on niitä joi­ta asia ei kiin­nos­ta, ja kol­ma­sosa niitä jot­ka ei ymmär­rä ongel­maa tai tarvet­ta ja lop­ut niitä jot­ka ei ymmär­rä mis­tään mitään.

  49. Tuo­ta noin: Mik­si ihmeessä siinä kil­pailus­sa on jotain ongel­maa? Mik­si ihmeessä se ei voi men­nä niin, että kansalainen itse päät­tää mil­lä tun­nistau­tuu? Eihän sen palvelun­tar­joa­jan tarvitse sitä tun­nistau­tu­mis­palvelua tar­jo­ta, vaan tun­nistau­tu­mis­palvelun tar­joaa joku taho jon­ka kanssa asi­akkaal­la on sopimus sen tun­nistau­tu­misen suh­teen. Niinkuin pankeil­la ja asi­akkail­la on nyt. Tämän rin­nalle voi aivan hyvin tar­jo­ta vaik­ka mitä vas­taavia palveluita. 

    En tajua tätä suo­ma­laista mie­len­maise­maa yhtään.

  50. Harvem­min tulee lain­säätäjää kehut­tua mut­ta tämä lakiehdo­tus HE 272/2014 vp vaikut­taa kyl­lä poikkeuk­sel­lisen hyvältä. Esimerkik­si kohta:

    Luot­ta­musverkos­tossa on tun­nis­tet­tavis­sa kak­si eri­laista tun­nis­tus­palvelu­iden tar­joamisen roo­lia, jot­ka on määritel­ty sähköis­es­tä tun­nistamis­es­ta ja sähköi­sistä allekir­joituk­sista annetun lain 2 pykälän 1 momentin 4 kohdas­sa. Tun­nis­tus­palvelun tar­joa­jal­la voi olla rooli, jos­sa se las­kee liik­keelle tun­nis­tusvä­lineitä lop­pukäyt­täjille tai jos­sa se edelleen välit­tää toisen tun­nis­tus­palvelun tar­joa­jan tekemiä käyt­täjien tun­nis­tustapah­tu­mia sähköis­ten palvelu­iden tar­joa­jille tai sil­lä voi olla molem­mat roolit.

    hei­jas­taa suo­raan sitä vuosien var­rel­la arkkite­htu­ureis­sa tapah­tunut­ta kehi­tys­tä jos­sa on ihan kelpo stan­dard­e­ja (SAML, OAuth, OpenID) tun­nis­tusvä­liner­i­ip­pumat­tomaan aut­en­tikoin­ti­in ja auk­torisoin­ti­in, ja joiden imple­men­toin­ti luul­tavasti onnis­tuu parem­min sel­l­aisil­ta jot­ka tekevät sitä pää­työk­seen eikä varsi­naisen liike­toimin­nan sivutuotteena.

    Ilmeis­es­ti pankit sai­vat lobat­tua ensi­tun­nistau­tu­misen kohtu­ulliset kus­tan­nuk­set pois lakiesityksestä:

    Ensi­tun­nistamisen ketjut­tamisen vaa­timus­ta ja etenkin sen hin­noit­telua pidet­ti­in ongel­mallise­na useis­sa lausun­nois­sa. Lausun­topalaut­teen perus­teel­la ensi­tun­nistamisen hin­noit­telun kohtu­ullisu­ut­ta koske­va vaa­timus pois­tet­ti­in esityksestä.

    mut­ta tuo on lop­ul­ta mobi­il­i­op­er­aat­tor­eille aika pieni hidaste, suurin osa pankeista (pait­si ei tietenkään viivy­tys­tais­telua käyvä Nordea) on päässyt mobi­il­i­op­er­aat­to­rien kanssa sopimuk­seen järkevästä kus­tan­nus­ta­sos­ta. Tähän lain­säätäjän pitää tule­vaisu­udessa pala­ta jos markki­noille yrit­tää joku uusi ja mullis­ta­va tun­nis­tusvä­lineitä tar­joa­va oper­aat­tori jon­ka markki­noil­letu­lon etabloituneet toim­i­jat pyrkivät yhteisvoimin estämään.

  51. Hyvä nos­to Odelta! Liityn mukaan siihen joukkoon, joka huu­taa naa­ma punaise­na, että nyt se val­tion sähköi­nen henkilöko­rt­ti kaikille ja heti! 

    Olen­naista asi­as­sa on se, että sähköi­nen tun­nistau­tu­mi­nen on sel­l­ainen liike­toimin­nan perustek­i­jä, jon­ka hin­nan alhaisu­us edesaut­taa uuden liike­toimin­nan kehit­tämistä. Lisäk­si hyvälaa­tu­inen julki­nen palvelu motivoi pankke­ja kehit­tämään nyky­isiä heikko­laa­tu­isia tun­nis­tus­palvelui­ta parem­mik­si niin käytet­tävyy­den kuin tieto­tur­vankin osalta.

  52. Raimo K: Tun­nistau­tu­miseen riit­tää – sus siu­nakkoon – luot­toko­rtin numero.

    Ei nyt onnek­si sen­tään (ainakaan suo­ma­lai­sis­sa tun­ne­tuis­sa verkkokaupois­sa). Kun olet näpytel­lyt luot­toko­rtin tiedot verkkokaup­paan, joudut vielä kaiva­maan pankki­tun­nuk­sesi esiin.

    Pelkkään luot­toko­rtin numeron tietämiseen perus­tu­va mak­sami­nen on his­to­ri­aa (pait­si ehkä jenkkien takapajulassa).

  53. Vesa: Kor­tit ja niiden luk­i­jat, tun­nus­lu­vut, nfc:t ja muut ovat koh­ta his­to­ri­aa. Liian tur­vat­to­mia, tai kankei­ta ja help­po­ja väärinkäytöksille.
    Bio­metri­nen tun­nist­a­mi­nen on nykypäivää ja ennen kaikkea tule­vaisu­ut­ta. Suomes­sa sormenjälkiä

    Sor­men­jälkikö sit­ten on mielestäsi tur­valli­nen tunnistautumistapa?
    Medi­as­sa on jatku­vasti uutisia sen ja tämän uuden hiedon sor­men­jälk­isys­teemin men­estyk­sel­li­sistä huijauksista.

  54. aivoitus:
    Tun­nistau­tu­miseen ei tarvitse kaikille sähkövim­paimia. Pankit sen­tään ovat tajun­neet, että paper­i­nen salasanal­ista riittää. 

    Sähkövim­paimes­sa on se hyvä puoli, että sil­lä voi havai­ta välikä­den. Pankkipalveluis­sa ei voi tietää, syöt­tääkö paper­ilistal­ta luet­ta­van tun­nuk­sen pankille vai nsa:lle vai jollekin mulle kräkker­ille, joka on korkan­nut yhden 70:stä juuris­ertin haltijasta.

  55. Mika:
    ‘snip’
    Kor­tit ja mobi­ili­var­menteet yms saa uno­htaa, jos kansalaiselta vaa­di­taan jotain akti­ivi­su­ut­ta siihen että pitää tun­nistau­tua julk­isi­in palvelui­hin niin min­un ja mon­en muunkin osalta voitte tun­nistau­tu­mishaaveet uno­htaa. Aina uno­htuu että kansas­ta kol­ma­sosa on niitä joi­ta asia ei kiin­nos­ta, ja kol­ma­sosa niitä jot­ka ei ymmär­rä ongel­maa tai tarvet­ta ja lop­ut niitä jot­ka ei ymmär­rä mis­tään mitään. 

    Kyl­lä tun­nistau­tu­mi­nen on aika tärkeää…

    Oli­han taan­noin (siis ennen näitä nyky­isiä kom­mer­venkke­jä) tapaus, että eräs espoolainen juristi haki vai­mon­sa nimis­sä avio­eroa, jon­ka oikeus myön­sikin, kun ko. juristi ei sitä vas­tus­tanut. Vaimo oli melko hämmästynyt…

  56. Ei ole mitään estet­tä säätää henkilöko­rt­ti pakol­lisek­si kaikille ja samal­la siihen liitetään sähköi­nen iden­ti­teet­ti. Samainen ID tulee voi­da myös irroit­taa kortista johonkin toiseen luotet­tavaan tekni­ikan lait­teeseen kuten nyky­isin SIM-kort­tei­hin tai liikku­van lait­teen tur­vasiru­un. Sähköi­nen allekir­joi­tus vira­nomais­toim­inteisi­in ja pienel­lä transak­tiomak­sul­la myös yksi­tyisen sek­torin käyt­töön. Kortin­luk­i­jat tms lait­teet markki­noil­ta, kus­tan­nus maks. 5 eur/kansalainen.

  57. Raimo K: No itse asi­as­sa pankkien jär­jestelmä, jos­sa on vai­h­tu­vat tun­nus­lu­vut paper­il­la, on erit­täin tur­valli­nen – jos vain pidät tun­nus­lu­vuis­tasi huolta. 

    Kun tein töitä muu­ta­ma vuosi sit­ten tietotekni­ikan paris­sa, pankkien jär­jestelmät oli­vat teknis­es­ti esimerk­ki siitä miten asioi­ta ei saa hoitaa. Salauk­sek­si ostet­ti­in aina se halvin. Toimin­nal­lis­es­ti ne ovat yhä sitä, enkä oikein usko tekni­ikankaan paran­tuneen kovin huimin harppauksin.

  58. pekka:
    ‘snip’
    Pelkkään luot­toko­rtin numeron tietämiseen perus­tu­va mak­sami­nen on his­to­ri­aa (pait­si ehkä jenkkien takapajulassa). 

    Amerikkalaiselle verkkokau­palle riit­tää luot­toko­rtin numero ja varmis­tus­nu­mero. Eräs suo­ma­lainen kir­jakaup­pa lähet­tää vain posti­en­nakol­la — sekö on edistystä?

  59. pekka: Ei nyt onnek­si sen­tään (ainakaan suo­ma­lai­sis­sa tun­ne­tuis­sa verkkokaupois­sa). Kun olet näpytel­lyt luot­toko­rtin tiedot verkkokaup­paan, joudut vielä kaiva­maan pankki­tun­nuk­sesi esiin.

    Pelkkään luot­toko­rtin numeron tietämiseen perus­tu­va mak­sami­nen on his­to­ri­aa (pait­si ehkä jenkkien takapajulassa). 

    Ei nyt sen­tään (ainakaan), jos pitää itsel­lään ainakin yhden kortin, johon ei ole liitet­ty vas­taa­van pankin muu­ta asi­akku­ut­ta. Ei ole kood­e­ja, joi­ta kysyä.
    (ainakin jotain hyö­tyä näistä eri­lai­sista kanta-asiakasohjelmista)

  60. Lakiehdo­tuk­sen HE 272/2014 vp 12 a § on vähän epäselvä:

    Luot­ta­musverkos­toon kuu­lu­van tun­nis­tus­palvelun tar­joa­jien on nou­datet­ta­va sel­l­aisia hallinnol­lisia käytän­töjä, jot­ka mah­dol­lis­ta­vat tun­nis­tus­palvelui­ta tar­joavien ja niitä hyö­dyn­tävien sähköis­ten palvelun­tar­joa­jien tar­joamien palvelu­iden yhteen­toimivu­u­den sekä tar­jot­ta­va tekniset rajap­in­nat, jot­ka luo­vat edel­ly­tyk­set tun­nis­tus­palvelui­ta tar­joavien ja niitä hyö­dyn­tävien toim­i­joiden väliselle toiminnalle.

    Tuos­sa minus­ta puhutaan vain tun­nis­tus­palvelu­iden tar­joa­jien ja palvelun­tar­joa­jien väli­sistä yhteyk­sistä, eikä suo­raan velvoite­ta tun­nis­tus­palvelun tar­joa­jia tar­joa­maan riit­tävät tekniset rajap­in­nat myös toisilleen myöhem­min määritel­tyä 10 sentin kor­vaus­ta vas­taan. Kieltäy­tymis­mah­dol­lisu­us tor­pe­doisi hyvin tehokkaasti Val­torin tapais­ten tun­nis­tus­palvelu­ag­gre­goi­jien toimin­nan ja uusien toim­i­joiden markkinoilletulon.

    Lain peruste­lutek­stis­sä todetaan:

    Tun­nis­tus­palvelun tar­joa­jal­la voi olla rooli, jos­sa se las­kee liik­keelle tun­nis­tusvä­lineitä lop­pukäyt­täjille tai jos­sa se edelleen välit­tää toisen tun­nis­tus­palvelun tar­joa­jan tekemiä käyt­täjien tun­nis­tustapah­tu­mia sähköis­ten palvelu­iden tar­joa­jille tai sil­lä voi olla molem­mat roolit. 

    Yhteis­toimin­nas­ta kieltäy­tymis­mah­dol­lisu­us tarkoit­taisi että jälkim­mäisen roolin toim­i­jat voisi­vat olla ole­mas­sa vain niin pitkään kuin se ensim­mäisen roolin toim­i­joille sopii, joka romut­taisi oikeas­t­aan koko lain idean eli tehokku­u­teen perus­tu­van kil­pailun hel­posti oli­gop­o­li­in johtavil­la markkinoilla.

    Jos sana­muo­to:

    ..tar­jot­ta­va tekniset rajap­in­nat, jot­ka luo­vat edel­ly­tyk­set tun­nis­tus­palvelui­ta tar­joavien ja niitä hyö­dyn­tävien toim­i­joiden väliselle toiminnalle. 

    tulk­i­taan s.e. luot­ta­musverkos­toon kuu­lu­van toim­i­jan A tulee tar­jo­ta tekniset rajap­in­nat luot­ta­musverkos­toon kuu­lu­valle toim­i­jalle B jot­ta toim­i­jal­la B on ylipäätään edel­ly­tyk­set toimia asi­akkaiden­sa suun­taan, ei ongel­maa ole.

  61. Kalle: Kun tein töitä muu­ta­ma vuosi sit­ten tietotekni­ikan paris­sa, pankkien jär­jestelmät oli­vat teknis­es­ti esimerk­ki siitä miten asioi­ta ei saa hoitaa. Salauk­sek­si ostet­ti­in aina se halvin. Toimin­nal­lis­es­ti ne ovat yhä sitä, enkä oikein usko tekni­ikankaan paran­tuneen kovin huimin harppauksin. 

    Van­hakin tekni­ik­ka toimii.

    Kun nyt olet pere­htynyt tähän asi­aan, niin ker­ropa, miten hakkeri kaap­paa sin­ul­ta taskus­sasi ole­van ker­takäyt­töisen avainluvun?

  62. Raimo K: Kun nyt olet pere­htynyt tähän asi­aan, niin ker­ropa, miten hakkeri kaap­paa sin­ul­ta taskus­sasi ole­van ker­takäyt­töisen avainluvun?

    Ajatuk­se­na oli kai pikem­minkin käyt­tää TUPAS-speksis­sä pitkään sal­lit­tuina kum­mitellei­ta tur­vat­to­mia MD5- ja SHA‑1 ‑algo­rit­me­ja väären­netyn vas­tauk­sen toimit­tamiseen (selaimelta) palvelun­tar­joa­jalle, joka luulee vas­tauk­sen tule­van pankista.

    Näis­sä tekni­sis­sä detal­jeis­sa on yleen­sä kyse siitä että halu­taan min­i­moi­da hyökkäyspin­ta, ja tur­vat­tomien algo­rit­mien käyt­tö on tarpee­ton­ta provosoin­tia vaik­ka ajateltaisi­inkin että oletet­tu hyökkäysvek­tori on jos­sain muual­la. Mik­si tehdä huonos­ti kun samal­la vaival­la voi tehdä hyvin ilman että lop­pukäyt­täjän käyt­täjäkoke­mus siitä kärsii?

  63. Raimo K: Van­hakin tekni­ik­ka toimii.
    Kun nyt olet pere­htynyt tähän asi­aan, niin ker­ropa, miten hakkeri kaap­paa sin­ul­ta taskus­sasi ole­van ker­takäyt­töisen avainluvun?

    Jos käyt­tämäs­sisi tietokoneessa on hait­tao­hjelmia, et voi tietää mitä koneel­lasi on oikeasti tapah­tu­mas­sa. Kun luulet ostavasi vaik­ka eurol­la krääsää tutus­ta verkkokau­pas­ta ja koneen ruudul­la kaik­ki näyt­tää ole­van ok, oikeasti hait­tao­hjel­ma on taustal­la tyh­jen­tämässä pankki­til­iäsi ja odot­taa vain että syötät tun­nus­lukusi listasta. 

    Et voi luot­taa että kone tekee mitä odotat, vaan se voi pyytää sin­ul­ta sanasana ja näyt­tää juuri ne asi­at ruudul­la mitä tarvi­taan sin­ul­ta sen salasanan saamiseen. Mak­su­ta­pah­tu­ma voi ede­tä aivan nor­maal­isti kuten aina ennenkin, mut­ta koneen ja pankin väli­nen liikenne on jotain aivan muu­ta kuin sen pitäisi olla. Pankkien salasanal­is­tan, älyko­rtin ja securid:n mur­tamiseen kaikki­in käy tämä man-in-a-brows­er hyökkäys. Parem­pi huole­htia, että koneel­lasi ei ole hait­tao­hjelmia, äläkä syötä salasano­jasi koneel­la, jon­ka tieto­tur­vas­ta et voi olla varma.

    Kos­ka tyyp­il­lisen sähköis­ten tun­nis­tusvim­painten suo­jaus mur­tuu samankaltaisel­la hyökkäyk­sel­lä, on turha niistä mak­saakaan enem­pää kuin siitä paperis­es­ta salasanalistasta.

  64. aivoitus:

    Kos­ka tyyp­il­lisen sähköis­ten tun­nis­tusvim­painten suo­jaus mur­tuu samankaltaisel­la hyökkäyk­sel­lä, on turha niistä mak­saakaan enem­pää kuin siitä paperis­es­ta salasanalistasta.

    Kän­nykkään jonkin­lainen hard­warel­la toteutet­tu kova tun­nistau­tu­mis- ja allekir­joit­tamisym­päristö, jos­sa esim. näk­isi mak­set­ta­vat laskut?

  65. aivoitus:
    Raimo K: Van­hakin tekni­ik­ka toimii.
    Kun nyt olet pere­htynyt tähän asi­aan, niin ker­ropa, miten hakkeri kaap­paa sin­ul­ta taskus­sasi ole­van ker­takäyt­töisen avainluvun?

    Jos käyt­tämäs­sisi tietokoneessa on hait­tao­hjelmia, et voi tietää mitä koneel­lasi on oikeasti tapah­tu­mas­sa. Kun luulet ostavasi vaik­ka eurol­la krääsää tutus­ta verkkokau­pas­ta ja koneen ruudul­la kaik­ki näyt­tää ole­van ok, oikeasti hait­tao­hjel­ma on taustal­la tyh­jen­tämässä pankki­til­iäsi ja odot­taa vain että syötät tun­nus­lukusi listasta. 

    Et voi luot­taa että kone tekee mitä odotat, vaan se voi pyytää sin­ul­ta sanasana ja näyt­tää juuri ne asi­at ruudul­la mitä tarvi­taan sin­ul­ta sen salasanan saamiseen. Mak­su­ta­pah­tu­ma voi ede­tä aivan nor­maal­isti kuten aina ennenkin, mut­ta koneen ja pankin väli­nen liikenne on jotain aivan muu­ta kuin sen pitäisi olla. Pankkien salasanal­is­tan, älyko­rtin ja securid:n mur­tamiseen kaikki­in käy tämä man-in-a-brows­er hyökkäys. Parem­pi huole­htia, että koneel­lasi ei ole hait­tao­hjelmia, äläkä syötä salasano­jasi koneel­la, jon­ka tieto­tur­vas­ta et voi olla varma.

    Kos­ka tyyp­il­lisen sähköis­ten tun­nis­tusvim­painten suo­jaus mur­tuu samankaltaisel­la hyökkäyk­sel­lä, on turha niistä mak­saakaan enem­pää kuin siitä paperis­es­ta salasanalistasta. 

    Miten ihmeessä tavalli­nen tietokoneen, äly­puhe­li­men tms. käyt­täjä voi tietää, onko kaik­ki hänen koneel­laan OK? Mis­tä hän voi tietää, onko koneessa haittaohjelmia?

    Joskus aiem­min tuo (hait­tao­hjelmien etsimi­nen, tun­nist­a­mi­nen ja pois­t­a­mi­nen) saat­toi olla vielä mah­dol­lista tietokoneen­sa ja sen ohjel­mat parem­min tun­teville, mut­ta nyky­isin lie­nee jo pitkään ollut mah­doll­s­ta luo­da käyt­täjälle sel­l­ainen lume­todel­lisu­us, jon­ka oikeaksi/vääräksi selvit­tämi­nen ei nor­maa­likansalaiselle ole enää mah­dol­lista, tietoteknisiltä ym. kyvy­iltään tai ymmär­ryk­seltään tai jär­jestelmien edel­lyt­tämän ajankäytön osalta vajavaisille se tuskin sitä koskaan on ollut. Näistä, ja monista muis­takin ikävistä mah­dol­lisuuk­sista keskustelti­in jo 15–20 vuot­ta sit­ten, var­maan aiem­minkin, mut­ta onko tieto­tur­vamme taso parantunut?

    Vaa­timuk­set tieto­tur­vas­ta on asetet­ta­va jär­jestelmien ja ohjelmis­to­jen kehit­täjille, ei niiden käyttäjille! 

    Mis­tä esim. käyt­täjä voi tietää, onko jonkin ohjelmis­ton jokin päiv­i­tys­paket­ti todel­lakin ‘kotoisin’ oikeas­ta läh­teestä, jos vaik­ka siltä ehkä parhaas­sa(?) tapauk­ses­sa näyt­täisikin? Pahim­mil­laan saatamme olla kuin kär­päsiä hämähäkin verkos­sa, jos­sa lisäpyris­te­lymme saa­vat mei­dät kiin­ni, verkon “vangeik­si”, aiem­paakin pahemmin.

    Mitä enem­män meistä on tietoa netin piiris­sä ole­vis­sa eri jär­jestelmis­sä, sitä pahem­mak­si tilanne voi muut­tua, kun niitä kaikkia tieto­ja ale­taan yhdis­telemään. Kaik­ki tuo­hon kykenevät eivät vält­tämät­tä toi­mi vil­pit­tömin mielin, tai asian­mukaisin val­tuuksin. Onko yhteiskun­tamme eden­nyt digiaikaan päätä pahkaa, (kuin) päät­täjien silmät sidottuina/sokaistuneina? Ovatko edut paina­neet ohjelmiso­jen ja jär­jestelmien sekä päät­täjien vaakakupis­sa enem­män kuin mah­dol­liset (ehkä tiedos­sa olleet) hai­tat? Onko tilanne OK, jos vaakakupit ovat yhteiskun­nan kannal­ta tasois­sa, jos ne eivät sitä ole käyt­täjien, ja kaikkien käyt­täjäryh­mien kannalta?

  66. Tiedemies:
    Tuo­ta noin: Mik­si ihmeessä siinä kil­pailus­sa on jotain ongel­maa? Mik­si ihmeessä se ei voi men­nä niin, että kansalainen itse päät­tää mil­lä tun­nistau­tuu? Eihän sen palvelun­tar­joa­jan tarvitse sitä tun­nistau­tu­mis­palvelua tar­jo­ta, vaan tun­nistau­tu­mis­palvelun tar­joaa joku taho jon­ka kanssa asi­akkaal­la on sopimus sen tun­nistau­tu­misen suh­teen. Niinkuin pankeil­la ja asi­akkail­la on nyt. Tämän rin­nalle voi aivan hyvin tar­jo­ta vaik­ka mitä vas­taavia palveluita. 

    En tajua tätä suo­ma­laista mie­len­maise­maa yhtään.

    Juuri noin. Hiukan asian vier­estä nyt kuumana käyvästä DDoS ilmiöstä kohdistuen esimerkik­si pankkei­hin. Tarvit­taisi­in globaalia “tun­nistau­tu­mis­palvelua” joka yksinker­tais­es­ti välit­täisi tietoa lop­pu­palvelun­tar­joa­jalle (vaikka­pa pankille)tikettiä joka ker­too onko sen halti­ja ihmi­nen vai kone/skripti. Pääsy pankin verkkopalvelu­un olisi (tänään) vain ihmisil­lä. “Tun­nistau­tu­mis­palvelu” voisi pyöriä hajautet­tuna hyö­dyn­täen tyhjäkäyn­ti­aiko­ja vrt.Seti.

  67. Anonu­u­mi: Kän­nykkään jonkin­lainen hard­warel­la toteutet­tu kova tun­nistau­tu­mis- ja allekir­joit­tamisym­päristö, jos­sa esim. näk­isi mak­set­ta­vat laskut?

    Ei se tarvi olla kän­nykässä (erik­seen) se voi olla siinä samas­sa liit­tymässä kuin se toim­intakin. Olen­naista on kään­tää haaste tois­in­päin ennen mak­sua eli vastapuoli/pankki laite­taan piirtämään se lasku (kuten ehdotitkin) vaikka­pa käyt­täen poh­jana aiem­min pankki­in toimitet­tua iloista kuvaasi per­heal­bu­mista. Man-in-the-brows­er on asee­ton. Selaimeen lävähtävä kuva ker­too yksiselit­teis­es­ti mitä pankin mielestä olet aikeis­sa mak­saa ja myös kuka pankin mielestä on mak­sa­jana (jos sel­l­ainen on joskus tule­vaisu­udessa kyseenalaista).

  68. aivoitus: Kun luulet ostavasi vaik­ka eurol­la krääsää tutus­ta verkkokau­pas­ta ja koneen ruudul­la kaik­ki näyt­tää ole­van ok, oikeasti hait­tao­hjel­ma on taustal­la tyh­jen­tämässä pankki­til­iäsi ja odot­taa vain että syötät tun­nus­lukusi listasta. 

    Ilmeis­es­ti tämän takia (monil­la) pankeil­la on viimeisenä varmis­tuk­se­na tek­stivi­estiky­se­ly kän­nykkääsi, jos mak­sun koko ja/tai saa­ja on epä­tavalli­nen. Raha läh­tee tililtäsi vas­ta vas­tat­tuasi viestiin.

    AI-hoitaa kyse­lyn ja se näyt­tää toimi­van ihan hyvin. Kymp­pi­ton­nin mak­su tun­netun raken­nus­li­ik­keen tilille ei vält­tämät­tä aiheuta kyse­lyä, mut­ta kol­menkympin ostos jostakin oudos­ta verkkokau­pas­ta tai tilisi­ir­to yksi­ty­ishenkilölle sel­l­aisen aiheuttaa.

  69. Pankkikood­eil­la tun­nistau­tu­mi­nen on sikäli var­maa että kood­e­ja joil­la pääsee henk. kohtaisi­in rahati­etoi­hin käsik­si ei kukaan täysjärki­nen anna kenellekään muulle, ei edes omille perheenjäsenilleen.

  70. Vesa: Bio­metri­nen tun­nist­a­mi­nen on nykypäivää ja ennen kaikkea tule­vaisu­ut­ta. Suomes­sa sor­men­jälk­iä on jo pitkään kerät­ty pas­sirek­isteri­in. Siitä vaan käyt­töön kaik­keen tun­nistamiseen. Kän­nyköis­säkin alkaa jo ole­maan sormenjälkitunnistimet. 

    Ongel­ma vain on siinä, että bio­metrisiä tun­nis­tei­ta on niin kovin vaikea vai­h­taa. Ja sem­moisia tilantei­ta tulee väk­isinkin eteen.

    Ja san­ot­takoon nyt samal­la, että poli­isin pitää saa­da rek­isteri­in käyt­töoikeus rikosten selvit­tämisek­si. Eikö tämän nyt pitäisi olla kaik­lle rehellisille itses­tään selvää. 

    Ei tule antaa. Sen taas pitäisi olla itses­tään selvää kaikille älykkäille ihmisille.
    Se, mik­si esimerkik­si sor­men­jäl­ki toimii rikos­tutkin­nas­sa tun­nis­teena niin hyvin, johtuu siitä, että sor­men­jälkien alku­peräiseen keräämiseen ja tun­nistamiseen löy­tyy yleen­sä joku syy kuten se, että on uhrin läheinen, voi muuten liit­tyä rikok­seen tai löy­tyy aikaisem­pi rikos­rek­isteri. Kukaan ei suuresti hyödy siitä, että saa jostain sat­un­naisen sor­men­jäl­jen ja lavas­taa sen riko­spaikalle, kos­ka henkilöä tuskin voidaan tun­nistaa sil­lä tämä ei osu noi­hin kategorioihin.

    Sor­men­jälkimuotin tekem­i­nen onnis­tui esimerkik­si Myyt­in­mur­ta­jis­sa eikä se lop­ul­takaan liene eri­tyisen vaikea­ta, jos vain löy­tyy moti­vaa­tio­ta, tai ainakaan, jos muot­tien tekemiselle ja myymiselle alkaa löy­tyä markki­noi­ta. Tilanne muut­tuu täl­laisek­si, mikäli jokaisen sor­men­jäl­jet aje­taan tietokan­taan, sil­lä a) sat­un­naisia sor­men­jälk­iä saa otet­tua käytän­nössä jokaiselta julkisen pinnal­ta ja b) kaik­ki niistä voidaan tun­nistaa. Täl­löin niiden käyt­tämisessä lavas­tuk­ses­sa alkaa olla jo järkeä — varsinkin jos käyt­tää aina samaa tai samo­ja. En vält­tämät­tä luot­taisi siihen, että poli­isi tai tuo­mar­it, jot­ka molem­mat ovat tot­tuneet sor­men­jälkien merk­it­sevän jotain, osaisi­vat ajatel­la toisin, joten vähin­täänkin resursse­ja tuh­lat­taisi­in tarpeet­tomasti. Jos taas osaisi­vat, sor­men­jälkien tutkin­nalli­nen merk­i­tys taas vähenisi, mikä sekään ei ole eri­tyisen hyvä asia.

    Ja noin ihan peri­aat­teessakaan ei pitäisi kerätä eikä antaa minkään tahon käyt­töön tieto­ja ilman hyvää syytä.

    Juha S.: Kortin­luk­i­jat tms lait­teet markki­noil­ta, kus­tan­nus maks. 5 eur/kansalainen.

    Saat­taisi olla järkeväm­pää lait­taa henkilöko­rt­ti­in suo­raan sem­moi­set USB-lipok­keet kuin pienis­sä USB-muis­teis­sa niin ei tarvit­sisi miet­tiä tuom­moisia luk­i­joi­ta ja elim­i­noitaisi­in tarve luot­taa taas yhteen ylimääräiseen, pahantek­i­jän hel­posti vai­hdet­tavis­sa ole­vaan laitteeseen.

  71. Sakke: Miten ihmeessä tavalli­nen tietokoneen, äly­puhe­li­men tms. käyt­täjä voi tietää, onko kaik­ki hänen koneel­laan OK? Mis­tä hän voi tietää, onko koneessa haittaohjelmia?

    Ei voikaan tietää. Asiantun­ti­jatkaan eivät pysty havait­se­maan kaikkia haittaohjelmia. 

    Pankitkaan eivät luo­ta että kaik­ki transak­tiot ovat lail­lisia. Pankit vain laske­vat, että kun­han lait­toman toimin­nan osu­us pysyy riit­tävän pienenä, niin toim­inta on edelleen kan­nat­tavaa tai lait­to­muuk­sien kus­tan­nus vieritetään pankin asi­akkaille. Lait­to­muuk­sien vaiku­tus­ta pyritään myös pienen­tämään analysoimal­la mak­suli­iken­net­tä — oudot ja poikkea­vat tapah­tu­mat aiheut­ta­vat ylimääräisiä tark­istuk­sia. Lop­ul­ta joku ihmi­nen saat­taa soit­taa sin­ulle ja kysyä oletko oikeasti nyt mak­samas­sa jotain laskua. 

    Julkisenkaan puolen ei tulisi liiak­si luot­taa verkos­sa toim­imiseen. Ei pidä olla hyväuskoinen hölmö joka luo­taa liikaa jär­jestelmän toim­intaan, vaan jo valmi­ik­si varautua sen väärinkäyttöön.

  72. Toiv­ot­tavasti muuten tämä uusi laki johtaa jonkin­laiseen HST-kortin rene­sanssi­in, on nimit­täin nichejä jois­sa fyy­siseen viral­liseen doku­men­taa­tioon liitet­ty sähköi­nen ID on ylivoimainen.

    Henkkari­in liit­tyvää HST-kort­tia eli jätetä loju­maan jon­nekin, laina­ta kavereille, eikä avain­ta voi kopi­oi­da. Lisäk­si se on pankki­tun­nuk­sia ja mobi­ili­var­men­net­ta nopeampi käyt­tää desk­top-ympäristössä kun luk­i­jan voi sijoit­taa tarkoituksenmukaisesti.

  73. Taas ker­ran: joku (Ode) kir­joit­taa vaku­ut­tavasti, mik­si kil­pailu on tässä asi­as­sa turhaa ja val­tion tulee sosial­is­tisel­la tuot­teel­laan kor­va­ta kil­pailu. Kun luen kom­ment­te­ja, tajuan, että sit­tenkin kil­pailu on parem­pi. Emmekä edes tiedä, mitä kaikkia uusia ratkaisu­ja tule­vaisu­udessa kehit­ty­isi eri tarpeisi­in, jos emme näin lan­nistaisi vapaa­ta kil­pailua, tai mitä hyö­tyjä nykyratkaisu­ista on tilanteis­sa, joi­ta emme osaa tul­la ajatelleiksi.

  74. tavis:
    Taas ker­ran: joku (Ode) kir­joit­taa vaku­ut­tavasti, mik­si kil­pailu on tässä asi­as­sa turhaa ja val­tion tulee sosial­is­tisel­la tuot­teel­laan kor­va­ta kil­pailu. Kun luen kom­ment­te­ja, tajuan, että sit­tenkin kil­pailu on parem­pi. Emmekä edes tiedä, mitä kaikkia uusia ratkaisu­ja tule­vaisu­udessa kehit­ty­isi eri tarpeisi­in, jos emme näin lan­nistaisi vapaa­ta kil­pailua, tai mitä hyö­tyjä nykyratkaisu­ista on tilanteis­sa, joi­ta emme osaa tul­la ajatelleiksi. 

    Ja mitähän kil­pailu on tässä asi­as­sa meille tuot­tanut? Tun­nistau­tu­misen pankkitunnuksilla.

    Jos val­tio halu­aa ede­tä sähköisessä asioin­nis­sa, sil­lä on tietenkin sekä oikeus että velvol­lisu­us määrätä, miten tun­nistau­tu­mi­nen tapah­tuu. Ja kun­nat voisi määrätä samaan systeemiin.

    Ratkaisut eivät tietenkään ole ikuisia. Se että emme tiedä, mitä ratkaisu­ja tule­vaisu­udessa käytetään, ei saa johtaa siihen, että nyt ei tehdä mitään.

  75. Pankki­tun­nuk­set ovat olleet mielestäni ihan toimi­va tapa tun­nistau­tua, vaik­ka voisi­han se käytt­täjäys­täväl­lisem­pääkin olla.
    Yksi huomio tähän asi­aan. Jostain silmi­i­ni on osunut tieto, että luot­toti­eton­sa menet­täneelle net­ti­pankki­tun­nuk­sia ei ehkä anneta. En ole var­ma, voiko tämä pitää paikkaansa?

    Lisäk­si on kai ihmisiä, jot­ka eivät halua olla minkään pankin asiakkaita.

    Näillekin ihmisille pitäisi olla jokin tun­nistau­tu­mistapa verkos­sa. Varsinkin kun yhteiskun­nan tar­joa­mat palve­lut yhä enem­män siir­tyvät verkkoon.

  76. En kek­si mik­si tarvi­taan fyysi­nen laite. Mik­sei val­tio voi vain lähet­tää veroko­rtin yhtey­dessä tam­miku­us­sa avain­lukulis­taa jol­la ihmiset voivat kir­jau­tua tunnistus-palveluun?

  77. “Minä tääl­lä!” ja “Mis­sä olet?”
    – Tässä ehkä yleisim­mät sähköisen kom­mu­nikoin­nin tunnistautumismenetelmät. –
    Pitäisikö näi­den lau­sei­den käyt­tämi­nen kieltää kansalaisil­ta ja hyväksyä vain val­tion hyväksymä menetelmä.

    Kun ihmi­nen tun­nistau­tuu toiselle on kyse sanan­va­pau­den käyt­tämis­es­tä. Myös dig­i­taalises­sa maail­mas­sa. Tässä keskustelus­sa hel­posti uno­htu­vat perusasi­at. Se mis­tä tun­nistau­tu­mises­sa oikeas­t­aan on kyse. Kyse on siitä oletko sinä sinä; eikä oikea vas­taus tuo­hon riipu mitenkään kol­mannes­ta osapuolesta.

    Olen kohdan­nut tilantei­ta, jos­sa virkail­i­ja on ollut erit­täin kiin­nos­tunut henkilöl­lisyys­todis­tuk­sen muodol­lis­es­ta pätevyy­destä. Vaikka­pa passin voimas­saolon päät­tymis­es­tä. Tilantei­ta, jois­sa virkail­i­jaa ei mitenkään kiin­nos­ta kysymys olenko minä minä?, jois­sa tutk­i­taan yhden jär­jestelmän tuot­ta­man doku­mentin vas­taavu­ut­ta toisen jär­jestelmän tuot­ta­maan ohjesään­töön. – Silti ihmi­nen tekee lop­ul­takin (virka)päätöksen, arvo­valin­nan, toisen ihmisen henkilöl­lisyy­destä, ei kone tai järjestelmä.

    Tun­nistau­tu­misen tuot­ta­ja vääjäämät­tä käyt­tää omaa ase­maansa hyväk­seen. – Pank­ki ottaa rahaa, val­tio tekee vale­henkilöl­lisyyk­siä (kansal­lisen tur­val­lisu­u­den nimis­sä), jne. Vain jär­jestelmien väli­nen kil­pailu voi min­i­moi­da keskitet­ty­jen tun­nista­jien tuot­ta­man väärän tiedon määrän (* laadun); min­i­moi­da yhteiskun­nalle, tarkoi­tan kansalle, aiheutu­van vahingon.

  78. Verot­ta­ja on luonut yri­tys­ten ja yhteisö­jen käyt­töön Kat­so-tun­nis­tepalvelun, joka vas­taa toimin­nal­lisu­udeltaan verkkopankkien tapaa (tun­nus­lukuli­s­tat ym.):
    http://www.vero.fi/fi-FI/katso_etusivu

    Mik­sei tätä palvelua voisi laa­jen­taa tar­jolle myös yksi­ty­ishenkilöille, jos joku ei ole tai ei halua olla pankkien tun­nistau­tu­mis­palvelun piiris­sä? Ja täl­lä voisi kuvitel­la hoitu­van myös julk­ishallinnon eri­laiset tun­nistau­tu­mis­tarpeet viras­tois­sa ja luot­ta­muste­htävis­sä. Toimi­va jär­jestelmä on jo ole­mas­sa, se täy­ty­isi vain tar­jo­ta ihmis­ten käyttöön.

  79. Näyt­tää suomi.fi tun­nistau­tu­mi­nen ole­van tuotan­nos­sa, ja hyvältä vaikut­taa. Voi olla että näin on ollut jo jonkin aikaa, mut­ta ainakin min­ulle tuo on uutinen.

    Kokeil­la voi vaik­ka tääl­lä.

    Nyt voinee viral­lis­es­ti tode­ta että pro­tokol­lien ja toim­inta­mallien vaki­in­tu­mi­nen, Shib­bo­leth, SAML 2.0 ja mitä tuol­la lie­neekään on pois­tanut Osmon huole­nai­heet tun­nistau­tu­misen osalta ja asi­as­sa voidaan vih­doin siir­tyä eteen­päin varsi­naisi­in ongelmiin.

    Ratkaisu mah­dol­lis­taa myös tun­nis­tuk­sen laa­jen­tamisen mar­gin­aaliryh­mille jot­ka eivät ole tai halua olla pankkien tun­nistau­tu­mis­palvelun piiris­sä, mobi­il­i­op­er­aat­tor­ei­den palvelu­jen varas­sa, eivätkä halua olla riip­pu­vaisia fyy­sis­es­tä HST-luk­i­jas­ta, mut­ta tuo on jo melkoisen pieni mar­gin­aaliryh­mä joten käytän­nön kat­tavu­us tun­nis­tus­palvelul­la lähe­nee 100%.

  80. Nyt kun suomi.fi on ollut tukev­asti tuotan­nos­sa jo vuosia, Kat­so-palvelun alasajo lop­pusuo­ral­la ja oletet­tavasti koronati­lanne lisän­nyt merkit­tävästi etä­tun­nistau­tu­mis­ten määrää ja kokon­aiskus­tan­nuk­sia, olisi var­maan oikea aika tarkastel­la mihin tässä asi­as­sa on kuudessa vuodessa päästy tai jouduttu.

    Käytän­nössä: onko tun­nistau­tu­misen kus­tan­nus­ta­so sel­l­ainen että olisi tilaus­ta suomi.fi ‑mobi­il­isovel­luk­selle jol­la voisi siirtää esimerkik­si HST-kortin tai henkilöko­htaisen tun­nistau­tu­misen luot­ta­muskom­po­nentin mobi­il­isovel­luk­seen, samaan tyyli­in kuin pankkien mobiilitunnistusjärjestelmissä.

    Vai onko niin että täl­lainen sovel­lus (Finnish Authen­ti­ca­tor) on jo ole­mas­sa, sitä pitäisi vaan laa­jen­taa vahvan(kin) tun­nistau­tu­misen väli­neek­si ja myös Suomen kansalais­ten käyt­töön sovel­tuvak­si. Käyt­täjäkom­ment­tien perus­teel­la sovel­luk­sen kehi­tys on vielä vähän vaiheessa.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Notify me of followup comments via e-mail. You can also subscribe without commenting.