Tunnistautumista edellyttävien verkkopalvelujen käyttöön liittyy sekaannuksen vaara. Sitä yritetään nyt hälventää.

Sähköinen asiointi Suomessa muuttuu. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen mukaan tavalliselle käyttäjälle tämä näkyy muun muassa tunnistautumisen yksinkertaistamisena. Tarkoituksena on parantaa turvallisuutta.

Syynä muutokseen on Traficomin määräys vahvasta sähköisestä tunnistuksesta ja luottamuspalveluista. Määräys astuu täysimääräisinä voimaan kesäkuussa tänä vuonna.

Luottamuspalvelu on sähköinen asiointipalvelu, jossa asioinnin molemmista osapuolista ja asiointitapahtumista on varmuus. Tyypillinen esimerkki tästä on esimerkiksi Kelan tai vero.fin kaltaiset viranomaispalvelut tai vakuutusyhtiössä asiointi.

Suomessa asiointipalvelut ostavat pääsääntöisesti vahvan sähköisen tunnistuksen palveluja välityspalveluilta. Lopputuloksena asiakas voi nähdä verkkopalvelussa tunnistuksen yhteydessä muita nimiä kuin itse verkkopalvelun nimen.

Tällainen välityspalvelu on esimerkiksi OP Tunnistus. Se on voinut johtaa tilanteisiin, joissa esimerkiksi OmaVeroon Nordean tunnuksilla kirjauduttaessa tunnistussivulla ja Nordean sovelluksessa lukee OP Tunnistuksen välityspalvelu.

Käyttäjälle tunnistuksen taustalla olevat käytännöt eivät yleensä ole tuttuja, ja joskus välityspalvelun mukanaolo sekoittaa loppukäyttäjän. Seurauksena käyttäjän on ollut vaikeaa varmistaa, mihin palveluun hän on oikeasti ollut kirjautumassa.

Jatkossa asioija näkee aina vain yhden pysyvän nimen.

Asiointipalveluiden ja välityspalveluiden on sovittava yhdessä nimitieto, joka yksiselitteisesti kertoo käyttäjälle, mihin palveluun hän on hyväksymässä tunnistuspyyntöä. Käyttäjän tulee pystyä helposti tarkistamaan palvelun nimi, mihin hän on kirjautumassa. Esimerkiksi niin, että käyttäjä menee selaimellaan ”Verkkokauppa Verhon” verkkokauppaan. Tunnistuksen eri vaiheissa käyttäjän tulisi nähdä tämä sama tieto ”Olet tunnistautumassa: Verkkokauppa Verho”.

Tiedon avulla on tarkoitus helpottaa käyttäjää tunnistamaan ne tilanteet, joissa hänet on mahdollisesti väärin perustein houkuteltu tunnistautumaan täysin eri palveluun.

Toinen loppukäyttäjälle näkyvä uudistus on tuttu jo joidenkin tunnistusmenetelmien kohdalla. Istuntotunniste on esimerkiksi merkkijono, jonka tulisi olla sama sekä selaimessa että tunnistusvälineessä, joka sellaisen pystyy näyttämään.

Tämä käytäntö on tuttu esimerkiksi mobiilivarmenteesta tai Nordean verkkopankista, jossa tietokoneen näytöllä tulisi sisäänkirjautumisen yhteydessä näkyä sama numerosarja kuin Nordea ID -sovelluksessa.

Jos istuntotunnisteet eivät täsmää, voi olla kyseessä oikeudeton tunnistuspyyntö, jolloin tunnistustapahtuma tulee katkaista. Tämä saattaa johtua esimerkiksi siitä, että samaan palveluun yritetään kirjautua samaan aikaan toisesta paikasta.

Istuntotunniste ei kuitenkaan estä kaikkia kalasteluyrityksiä, Kyberturvallisuuskeskus huomauttaa.