Nordea

Kohteesta DigiWiki
Versio hetkellä 2. maaliskuuta 2022 kello 12.05 – tehnyt TUOMALA JUHA 10000350X (keskustelu | muokkaukset)
(ero) ← Vanhempi versio | Nykyinen versio (ero) | Uudempi versio → (ero)
Siirry navigaatioon Siirry hakuun
Nordean keskitetty TUPAS-tunnistusjärjestelmä kaatui palvelunestohyökkäykseen kun Suomessa kerättiin kannatusta kansalaisaloitteisiin Nato-jäsenyydelle ja Ottwan-sopimuksesta irtautumiselle Ukrainan sodan aikaan.

Nordea on pohjoismaiden ja Suomen suurin finannssialan yritys ja pankki. Suomessa se on merkittävä vaikuttaja sähköisessä asioinnissa ja on tottunut rooliinsa jo ajoista jolloin kuvallinen pankkikortti kävi materiaalisesta henkilötunnisteesta.

Nykyinen TUPAS (Tunnistuspalvelu Standardi) perustuu suurelta osin Nordean kehitystyöhön Suomessa ja nykyään pankki vaikuttaa siihen FKL:n kautta. Pankkipalveluiden ollessa eniten käytettyjä arkipalveluita, niiden tunnistusmenetelmillä on suuri vaikutus millä asiointia tehdään muutenkin. Nordealle tunnistamisen kuukausimaksuihin- ja tapahtumiin (0,50€ tunnistaminen) perustuva laskutus on merkittävä tulovirta.

Koska pankkitunnukset eivät ole varmenteita, ei niillä voi allekirjoittaa eikä sähköinen allekirjoitus ole siksi levinnyt Suomessa.


Sisällysluettelo

Tunnisteet

 
Vuodesta 2000 asti Nordealta on pyydetty henkilökortilla tunnistautumisen sallimista verkkopankissa, mutta se ei ole mahdollista logistisista syistä, mitä ne ovatkaan. Siitä huolimatta pankki vaatii lähettämään samasta kortista valokopioita/kuvia pankkiin.

Pankki ilmoitti 5.8.2016 luopuvansa paperisista OTP-tunnuslukulapuista ja siirtävänsä älypuhelinta käyttävät asiakkaansa oman tunnistussovelluksen käyttäjiksi. Muille asiakkaille toimitetaan elektroninen laite joka suojaa nelinumeroiset tunnusluvut yhden pysyvän, muuttumattoman tunnusluvun taakse[1]. Paperisten tunnuslukujen käyttö loppuu vuoden 2017 aikana[2].

Tunnuslukukortti

Tunnuslukulaite

Pysyvä salansana

Tunnuslukusovellus

Tunnuslukusovellus uusin tunnistusväline. Niitä on aktiivsena toiminnassa 515 718 kpl ja uusia tulee noin 1500 päivässä (tilanne 2017-01-26)[3].

Sovellus toimii verkkoyhteydellä kommunikoiden verkkopankin käyttämän TUPAS-palvelun kanssa kanssa samalla kun kirjautuminen on käynnissä.

Offline-tila on vähemmän tunnettu tila jolloin sovellus mahdollistaa kymmenen sisäänkirjautumista ilman, että sillä on verkkoyhteyttä pankkiin. Kymmenen kerran jälkeen sovelluksen tulee saada yhteys pankkiin josta se voi ladata uudet kymmenen offline-tilaan vaadittavat koodit seuraavaa käyttöä varten.

Allekirjoitukset

 
Nordean petosviestinnästä vastaava Anukka Multanen kertoi Twitterissä, että Nordea käyttää sähköisiä allekirjoituksia myös asiakkaiden kanssa.

Nordea on kertonut asiakkailleen, että yhtiö käyttää sähköisiä allekirjoituksia talon sisäisesti. Ilmeisesti allekirjoitukset tehdään käyttäen jotain allekirjoituspalvelua ja mahdollisesti PDF-tiedostomuotoa.

On myös tapauksia jossa pankki on pyytänyt asiakkaita toimittamaan asiakirjoja allekirjoitettuna, mutta ei ole hyväksynyt henkilökortilla allekirjoitettua DigiDoc-muotoa.

Kritiikkiä

  • Henkilöä tunnistettaessa tunnistetaan rooli eikä henkilöä: palvelut jotka vaativat tunnistautumista, kysyvät aina asiakkaan asiakasnumeroa joka on roolikohtainen eikä henkilökohtainen. Yksi ihminen voi edustaa useita eri rooleja ja hänen hallussaan voi siten olla useita roolikohtaisia tunnistusvälineitä (lippulappuja tai tunnuslukuja) asiakasnumeroineen. Tämä sama toistuu:
    • tunnuslukusovelluksessa, jossa voi myös valita aktiivisen roolin jota käytetään, jokaisella myös oma tunnusluku.
    • corporate-netbank verkkopalvelussa jossa käsitellään eri rooleja yhtäaikaisesti, siitä huolimatta palvelun sovellus ei kommunikoi tunnuslukusovelluksen kanssa mitä roolia käytetään. corporate-netbankissa on luonnollisesti oma jaettu asiakasnumeronsa vielä lisää, sekä sen tunnistumiskortin korttinumero ja tunnusluku (unohtuikohan vielä jotain?)
    • henkilökortilla kirjautuessa vaikka henkilökortti antaa henkilön tunnisteen luotettavasti yhteyden mukana
    • mobiilaitteiden sovellukset lähettävät kaikki tiedotteet yhtä monta kertaa kuin henkilöllä on edustettavia rooleja.

Katso myös

Aiheesta muualla

Lähteet

  1. iltasanomat.fi - Nordea luopuu paperisista tunnuslukulapuista Ne, joilla ei ole mahdollisuutta käyttää älypuhelinta, Nordea lupaa lähettää luottokorttikokoisen laitteen, josta tunnusluvut saa jatkossa. Nordea perustelee asiaa turvallisuuden parantamisella. Jatkossa nelinumeroiset tunnusluvut ovat pin-koodin takana suojassa, ei siis paperilla, josta ulkopuoliset voivat sen mahdollisesti nähdä. Viitattu: 2016-08-11
  2. yle.fi 20161020 Verkkopankkien pahviset tunnuslukulistat voivat olla pian historiaa Ensimmäisenä pahvi- ja muovilistat poistuvat asiakkailta Nordeassa, joka suunnittelee luopuvansa kokonaan pahvikorteista ensi vuoden aikana. Nordea on jo ottanut käyttöön älypuhelinten digitaalisen tunnuslukusovelluksen, jota käyttää arviolta 400 000 pankin asiakasta. Viitattu 2016-10-20
  3. 2017-01-26 nordea.com unnuslukusovelluksella jo yli puoli miljoonaa käyttäjää 26.01.17 8:49 Nordea uudistaa asiakkaiden käytössä olevia tunnistautumistapoja. Paperisesta tunnuslukukortista luovutaan tulevaisuudessa. Nordean 1,2 miljoonasta aktiivisesta verkkopankkiasiakkaasta nyt yli puoli miljoonaa on ottanut käyttöön tunnuslukusovelluksen. Rajapyykki ohitettiin tammikuun puolivälissä. - Uusia käyttäjiä tulee tällä hetkellä noin 1500 päivässä, kertoo liiketoimintajohtaja Jussi Mekkonen. Perinteisen tunnuslukukortin rinnalle kesällä 2015 lanseerattu sovellus sekä maaliskuussa 2017 asiakkaille tarjottava tunnuslukulaite tulevat korvaamaan yli 30 vuotta vanhan paperisen tunnuslukukortin. Viitattu: 2017-01-26