Vahva tunnistautuminen: Mitä tarkoittaa ja miten toimii?

Mikko Hämäläinen
Julkaistu 26.06 |Päivitetty 02.07

Vahva tunnistautuminen on henkilöllisyyden todistamista palveluun, yleensä verkkopankkiin tai muuhun maksutapaan, käyttäen kaksivaiheista tunnistautumista. Kaksivaiheinen tunnistautuminen pyytää käyttäjältä jotain tietoa jonka vain käyttäjä tietää ja jotain mitä vain käyttäjä omistaa. Käytännössä PIN ja puhelin tai puhelimen sovellus.

PINin tai sovelluksen sijaan voidaan käyttää biometristä vahvistusta, joka tarkoittaa yleensä joko sormenjälkeä tai kuvaa naamasta.

Vahva tunnistautuminen jaotellaan kolmeen: jotain mitä tiedät, jotain mitä sinulla on tai jotain mitä olet.

  1. Jotain mitä tiedät: yleensä pin tai tunnusluku
  2. Jotain mitä omistat: yleensä puhelin ja puhelimen sovellus
  3. Jotain mitä olet: biometrinen tunnistautuminen eli sormenjälki tai kasvojentunnistus.

Toinen maksupalveludirektiivi teki vahvasta tunnistautumisesta pakollista kaikkiin sähköisiin maksuihin 14.09.2019. Alle 30 euron maksuja ei tarvitse tunnistaa vahvasti.

Vahvasta tunnistaumisesta käytetään myös nimeä SCA (strong customer authentication) 2FA (two-factor authentication= kaksivaiheinen tunnistautuminen), MFA (multi-factor authentication = monivaihenen tunnistautuminen) tai sähköinen tunnistautuminen.

Vahva tunnistautuminen toi lisää turvaa nettimaksamiseen. Arviolta luottokorttipetoksiin menetettiin noin1.3 miljardia euroa vuodessa EU:ssa.

Vahvaa tunnistautumista käytetään korttimaksuissa aiemman kortin numeron ja CVV tai CVC numeroidan sijaan tarjoamaan lisää turvallisuutta. Näin ollen jos maksukortti katoaa, sillä ei pysty netissä ostamaan yli 30 euron ostoksia. Myös vaikka puhelin ja maksukortti katoaisi, ei sillä pystyisi ostamaan, koska varas ei tietäisi PIN koodia. Tai jos luottokortin tiedot varastetaan, ei sitä silloinkaan pysty käyttämään netissä ilman sähköistä tunnistautumista.

On hyvä muistaa, että jos ostat jotain ETA-alueen ulkopuolelta, vahvaa tunnistautumista ei yleensä pyydetä.

Sähköinen tunnistautuminen

Sähköinen tunnistautuminen on vahvaa tunnistautumista netin välityksellä. Suomessa käytettyjä palveluita sähköiseen tunnistautumiseen ovat pankkien tunnistautumissovellukset, mobiilivarmenne, varmennekortti ja Suomi.fi tunnistautuminen .

Verkkopankkitunnistus

Suomessa mobiilivarmenteen ohella käytetyimpia vahvoja tunnistautumisia ovat pankkien sovellukset. Nordean julkaiseman datan mukaan Pankkien vahvoja tunnistautumispalveluita käytettiin 2019 yli 150 miljoonaa kertaa.

Nordean tunnistautumissovellus on nimeltään Nordea ID. Osuuspankin vahva tunnistautuminen käy OP:n verkkopankkitunnuksilla. Dansken sähköinen tunnistautuminen puolestaan käy sovelluksen Danske ID kanssa.

Muiden suomalaisten pankkien ovat: S-Pankin S-mobiilisovellus, Aktian Aktia ID, Säästöpankin Säästöpankki Tunnistus, POPilla on POP Avain ja Ålandsbankenilla on e-ID.

Kaikki verkkopankkitunnistukset ovat vahvoja tunnistautumisia, sillä ne kysyvät pin koodia tai tunnuslukua sinun puhelimesi välityksellä.

Mobiilivarmenne

Mobiilivarmenne on suomalaisten puhelinyhtiöiden kehittämä vahva tunnistautumispalvelu. Palvelun kehitti DNA, Elisa ja Telia. Mobiilivarmenteessa saat puhelimeesi tapahtuman numeron, jonka jälkeen sinun pitää antaa turvakoodi, jonka jälkeen tunnistautuminen on tehty.

Varmennekortti

Varmennekortti on henkilökortti, joka luetaan digitaalisesti tietokoneeseen liitetyn kortinlukijan avulla. Varmennekortti on vahvaa tunnistautumista, sillä sen pääsyyn tarvitaan jotain mitä tiedät: PIN ja jotain mitä omistat: henkilökortti. Myös Työpaikan organisaatio- tai toimikortti kelpaa.

Suomi fi tunnistautuminen

Suomi.fi tunnistautuminen on Digi- ja Väestötietoviraston Kansalaisvarmenne. Suomi.fi tunnusta käytetään erityisesti julkishallinnon palveluihin kirjautuessa. Suomi.fi tunnistautuminen käyttää joko pankkien tunnistautumista, mobiilivarmennetta tai varmennekorttia. Ja ulkomaan kansalaisille finnish authenticator sovellusta.

eIDAS tunnistautuminen

Suomi.fi tunnus on EU:n eIDAS-asetuksen mukainen tunnistautumispalvelu. EU on säännellyt, että jokaiselle kansalaiselle on oltava jäsenmaan puolesta annettu digitaalinen tunnus ja Suomessa tämän hoitaa DVV kansalaisvarmenne.