Verkkopankkien tietoturva :



Samankaltaiset tiedostot
Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Jari Karjalainen. Tietoturva Internetissä

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Rekisteröityminen, tilojen varaaminen ja maksaminen WebTimmi varausjärjestelmässä

Työsähköpostin sisällön siirto uuteen postijärjestelmään

1 (1) Maksujärjestelmät. Sisällysluettelo

Pankkiyhteyksien ja palvelujen käyttöönotto; Kanta -reseptit

Kymenlaakson Kyläportaali

ILMOITUSSOVELLUS 4.1. Rahanpesun selvittelykeskus REKISTERÖINTIOHJE. SOVELLUS: 2014 UNODC, versio

Postimaksukonepalvelun käyttöohje

Office ohjelmiston asennusohje

Käyttöopas Mobiilipankkiin ja tunnuslukusovellukseen

Tikon kassamaksujen käsittely

LASKUTTAJAILMOITUKSEN TEKO- OHJELMA V.2.0. Käyttöohje 2013

Nettipassitus, tunnistetun käyttäjän toiminnot

Autentikoivan lähtevän postin palvelimen asetukset

Verkkopankkilinkki SUOMEN PANKKIYHDISTYS. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun

ARVI-järjestelmän ohje arvioinnin syöttäjälle

2. Koetilan palvelin. 4. Varatietokoneet ja -kuulokkeet. 6. Kokelaan tikkuja osallistujille, varapäätelaitteille ja varalle

TERVETULOA. TUTUSTUMAAN SÄÄSTÖPANKIN UUTEEN YRITYSVERKKOPANKKIIN OSOITTEESSA:

Wilman pikaopas huoltajille

1.1 Kirjaudu omalla tunnuksellasi Kipaan kilpailulisenssin numerolla ja salasanallasi.

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

Käyttöopas mobiilipankkiin ja tunnuslukusovellukseen

Luottamuksellinen sähköposti Trafissa

BlueCommerce Käyttöohje

Valitse Siirry palveluun

Valitse tunnistautumisvaihtoehto. Kun olet lukenut tekstin valitse seuraava. Mikäli valitsit sähköisen tunnistautumisen -> valitse sopivin vaihtoehto

Tätä ohjekirjaa sovelletaan alkaen.

Ristijärven metsästysseura tysseura osti lisenssin jahtipaikat.fi verkkopalveluun, jotta seuran

Kirje -tasolla viestiliikenne suojataan automaattisesti SSL-salauksella, sekä viesti lukitaan Deltagon MessageLock -tekniikalla.

Ohje. ipadia käytetään sormella napauttamalla, kaksoisnapsauttamalla, pyyhkäisemällä ja nipistämällä kosketusnäytön

Salakirjoitusmenetelmiä

SALAUSMENETELMÄT. Osa 2. Etätehtävät

Tätä ohjekirjaa sovelletaan alkaen. Ohjeeseen on lisätty tietoa avainversioista ja avainten vaihtamisesta

Luottamuksellinen sähköposti Lapin yliopistossa. Ilmoitusviesti

Sähköinen verkkopalvelu on kätevä tapa pitää yhteyttä työttömyyskassaan

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

1 (5) TYÖNANTAJAN / TYÖPAIKKAKOULUTTAJAN KÄYTTÖLIITTYMÄ

Visma Nova. Visma Nova ASP käyttö ja ohjeet

Oppilaan opas. Visuaaliviestinnän Instituutti VVI Oy. Versio 0.2 ( )

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Korkeakoulujen prosessipalvelin: mallintajan palvelinohje Versio 0.2

Toimittajaportaalin rekisteröityminen Toimittajaportaalin sisäänkirjautuminen Laskun luonti Liitteen lisääminen laskulle Asiakkaiden hallinta Uuden

Verkkopalkka. Palvelukuvaus

Arena-koulutus Sisäänkirjautuminen ja omat sivut. Noora Muurimäki Outi Syväniemi Leila Virta

Tikon ostolaskujen käsittely

SÄHKÖPOSTIOHJE Mikkelin ammattikorkeakoulu

Vianova Systems Finland Oy:n Novapoint käytön tuki

Nordea Tunnusluvut -sovelluksen käyttöönotto

Kaupungin varauspalvelu, venepaikan varaus

1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen

Verkkopalkan palvelukuvaus

SÄHKÖPOSTIOHJE. Opiskelijoiden Office 365 for Education -palveluun

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan

Tuplaturvan tilaus ja asennusohje

1. päivä ip Windows 2003 Server ja vista (toteutus)

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Macintosh (Mac OS X 10.2) Verkkoasetukset Elisa Laajakaista yhteyksille:

Toimittajaportaalin pikaohje

Facebook-sivun luominen

TUPAS-palveluiden ohje Päivitetty Sivu 1. Tunnistautuminen TUPAS-palvelun kautta tarvitaan silloin, kun halutaan yliopiston webpalvelun

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Pikaviestinnän tietoturva

VETUMA rekisteröityminen

Käyttöoppaasi. F-SECURE PSB AND SERVER SECURITY

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

EROTUOMARIMAKSU- JÄRJESTELMÄ

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

IT-palvelujen ka yttö sa a nnö t

KANSALAISOPISTON INTERNET-ILMOITTAUTUMISEN OHJEET TUNNUKSEN JA SALASANAN HANKKIMINEN

POP-UP -IKKUNOIDEN SALLIMINEN

POSTI KONSERNIN HANKINTAPORTAALI LYHYT ESITTELY

SALIBANDYN PALVELUSIVUSTO

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Lapsilukko HUOMAUTUS VANHEMMILLE. Vita-järjestelmän lapsilukko, ennen kuin annat lapsesi pelata. Määritä PlayStation (1)

AutoFutur / KoneFutur verkkojärjestelmän päivitysohje

Suomeksi Potilastiedot valtakunnalliseen arkistoon

TIETOTURVALLISUUDESTA

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

OHJEITA POP AVAIN. -tunnuslukusovelluksen käyttöön LATAA OMASI SOVELLUSKAUPASTA!

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan ohje

Tikon ostolaskujen käsittely

Tietosuojakäytäntö Affordia Oy:ssä v

Visma Avendon asennusohje

Tuotetta koskeva ilmoitus

Tietoturvatekniikka Ursula Holmström

Tietotekniikkakeskuksen palvelut ja opiskelijan tietoturva

Assistentteihin sovellettavat E-CURIA-SOVELLUKSEN KÄYTTÖEHDOT

AXXION OY. Hosting-palvelut Asiakasohjeistus Versio 1.0

Windows 8.1:n tietosuoja-asetukset

KATSO-PALVELUN KÄYTTÖOHJE

Android. Sähköpostin määritys. Tässä oppaassa kuvataan uuden sähköpostitilin käyttöönotto Android Ice Cream Sandwichissä.

Toimittajaportaalin pikaohje

Transkriptio:

Verkkopankkien tietoturva : Osuuspankin Kultaraha Meritan Solo Kari Ahtiainen Hannu Lehto Tietoturvallisuuden perusteet kevät 2000 Lahti

Sisällysluettelo 1. Johdanto 3 2. Osuuspankki 3 2.1. Käytön kuvaus 3 2.2. Tietoturva 3 2.2.1. Käyttäjätunnus, salasana ja avainluvut 4 2.2.2. Keksit, välimuisti ja JavaScript 4 2.2.3. SSL-salaustekniikka Osuuspankin verkkopankissa 5 3. Meritan Solo-pankki 7 4. Osuuspankin ja Meritan verkkopankkien tietoturvallisuuden vertailu 8 Lähdeluettelo 9 2

1. Johdanto Harjoitustyön tavoitteena on tutustua verkkopankkien toimintaan lähinnä tietoturvallisuuden kannalta. Tarkastelu rajattiin Osuuspankin Kultaraha- ja Meritan Solo-palveluihin, vaikka muillakin Suomessa katutason pankkitoimintaa harjoittavilla pankeilla on vastaavat järjestelmät. Meritan ja Osuuspankin järjestelmät muistuttavat hyvin paljon toisiaan: erot ovat tietoturvan kannalta lähinnä epäoleellisia pieniä yksityiskohtia. Käytännön tason standardointi on asiakkaan kannalta hyvä asia: pankkia ei tarvitse valita turvallisuuden perusteella. Toisaalta eri järjestelmien rinnakkainen kehittäminen saattaisi johtaa tietoturvasta kilpailemiseen ja näin parempaan turvallisuuteen. 2. Osuuspankki 2.1. Käytön kuvaus Verkkopankin käyttöä varten tarvitaan henkilökohtainen kuusinumeroinen käyttäjätunnus ja nelinumeroinen salasana. Näiden avulla verkkopankki tunnistaa käyttäjän. Lisäksi tilitietoihin ja laskunmaksuun pääseminen edellyttää yhteyskohtaista avainlukua. Kun asiakas tekee verkkopankin käyttösopimuksen, hän saa pankistaan käyttäjätunnuksen, salasanan sekä 100 avainlukuparia sisältävän listan. Lukupareista toinen on pankin luku ja toinen sitä vastaava asiakkaan luku. Pyrkiessään käyttämään tiliään esimerkiksi maksaakseen laskuja asiakkaalta kysytään tiettyä pankin avainlukua vastaava luku, jonka tietäminen vasta mahdollistaa tilille pääsyn. Avainluvut ovat nelinumeroisia ja parit ovat istuntokohtaisia. Uuden avainlukulistan voi tilata verkkopankista, mutta se on haettava omasta pankista perinteiseen tapaan käymällä henkilökohtaisesti virkailijan puheilla. Myös verkkokaupassa käytettävä suoramaksupalvelu on Osuuspankin järjestelmässä mahdollista. Verkkokauppiaat voivat tehdä Osuuspankin kanssa sopimuksen laskujen maksamisesta verkkopankin kautta. Kaikki sopimuksen tehneet yritykset löytyvät Optorilta, jonne pääsee Osuuspankin kotisivulta (www.osuuspankki.fi). Kun asiakas tekee verkkokaupasta ostoksia, hän voi maksaa ne suoramaksupalvelun avulla. Tällöin siirrytään verkkopankin palvelimelle ja maksaminen tapahtuu samojen periaatteiden mukaisesti kuin normaali laskujenmaksu, jolloin tietoturva on ihan vastaava kuin muussakin verkkopankin käytössä. 2.2. Tietoturva Pankiyhteydessä on tärkeää, että verkkopankin palvelin tunnistaa asiakkaan luotettavasti. Tämä tapahtuu käyttäjätunnuksen, salasanan ja istuntokohtaisten avainlukujen avulla. Näiden huolimaton käsittely muodostaa ensimmäisen tietoturvan riskitekijän. Toisena riskitekijänä on työaseman ja selaimen huolimaton käyttö. Työasemalle ei saa jäädä mitään pankkiyhteydestä kertovia oleellisia tietoja, jotka parantaisivat ulkopuolisen mahdollisuuksia käyttää toisen pankkiyhteyksiä. Kolmanneksi asiakkaan on varmistuttava siitä, että yhteys on todella saatu verkkopankkiin eikä johonkin kolmanteen, rikolliseen tahoon, joka vain näyttelee verkkopankkia. Autentikointi hoidetaan SSL-salaustekniikan avulla käyttäen digitaalista allekirjoitusta, joka takaa hyvän tietoturvan. Neljänneksi on suojauduttava tietoliikenteen tietoturvariskeiltä. Joku saattaa kaapata viestejä ja muuttaa niitä. Tältä suojaudutaan SSL-salaustekniikalla. Seuraavassa käsitellään yksityiskohtaisemmin edellä mainittuja tietoturvan riskitekijöitä. 3

Keskeistä on myös, miten pankki huolehtii omasta sisäisestä turvallisuudestaan. Miten esimerkiksi palvelinlaitteet on fyysisesti suojattu vaikkapa tulipalolta, miten turvallisia palvelimen käyttämä ohjelmat ovat jne? Pankin sisäinen turvallisuus voidaan jakaa hallinnolliseen, fyysiseen, henkilöstö-, käyttö-, laitteisto-, ohjelmisto- ja tietoaineistoturvallisuuteen. Näihin ei kuitenkaan tässä esityksessä puututa. 2.2.1 Käyttäjätunnus, salasana ja avainluvut Tietoturvan kannalta keskeistä on käyttäjätunnuksen ja salasanan pysyminen salaisina. Siksi niitä olisi säilytettävä turvallisessa paikassa, mieluiten lukitussa tilassa eikä aivan tietokoneen läheisyydessä.tunnuksen ja salasanan ulkoa opettelu ei ole yleisesti ottaen mahdollista, joten on suuri kiusaus säilyttää niitä käyttömukavuuden vuoksi liian helposti saatavilla. Tämä on selvä tietoturvariski. Jos epäilee käyttäjätunnuksen ja salasanan joutuneen jollekin ulkopuoliselle, on verkkopankin palveluvalikosta mahdollista estää palvelujen käyttö. Eston voi ainoastaan pankki purkaa. Yhteyden alussa kirjoitettava käyttäjätunnus näkyy ruudulla, jolloin joku voi sen selän takaa nähdä. Käyttäjätunnus voi näin paljastua. Tämä on pieni tietoturvan heikennys, joskin tilille pääsy edellyttää vielä salasanan, joka syötettäessä ei näy ruudulla, ja avainlukujen tuntemista. Salasana on heikko: se on neljä merkkiä pitkä ja siinä saa esiintyä vain numeroita. Näin erilaisia salasanoja on vain 10 000 kappaletta. Näistä liian säännölliset salasanat eivät kelpaa (kaikki numerot samoja, nouseva tai laskeva numerosarja). Kuitenkin esimerkiksi kolme samaa numeroa sisältävä salasana kelpaa. Esimerkiksi salasanan 8889 antama turva on vähäinen. Tietysti lyhyt salasana on helppo muistaa, joten sitä ei välttämättä tarvitse kirjoittaa muistiin, mutta se on myös helppo murtaa. Niinpä tietoturvan parantamiseksi salasanojen tulisi olla monipuolisempia: kirjaimet ja erikoismerkit tulisi sallia, ei hyväksyä salasanoja, jotka ovat jonkun kielen sanoja ja ehkä myös kasvattaa salasanan pituutta. Tietoturvallisuuden parantamiseksi salasanaa tulisi aika ajoin vaihtaa. Tämä on mahdollista tehdä näppärästi verkkopankin palveluvalikosta. Pankkipalvelu ei kuitenkaan pakota vaihtamaan salasanaa. Turvallisuus paranisi, jos salasana olisi vaihdettava esimerkiksi kerran vuodessa. Ainakin järjestelmän tulisi vaatia, että salasana vaihdetaan ensimmäisellä kirjautumiskerralla, kun verkkopankki otetaan käyttöön, koska on mahdollista, että pankilta saatu salasana on joutunut vieraisiin käsiin siinä vaiheessa, kun se toimitetaan pankin konttorin välityksellä asiakkaalle. Järjestelmä antaa käyttäjälle mahdollisuuden yrittää sisäänpääsyä viisi kertaa. Tämän jälkeen yhteys automaattisesti katkeaa. Näin estetään loputon tunnusten ja salasanojen kokeilu. Ehkä kolme kertaa viiden sijasta kuitenkin riittäisi, joskin tunnuksen ja salasanan selville saaminen ei vielä mahdollista tilin käyttöä, vaan siihen tarvitaan istuntokohtainen avainlukupari. Avainlukulistaa tulisi säilyttää erillään käyttäjätunnuksesta ja salasanasta, koska nämä kolme tunnistetietoa mahdollistavat tilin käytön. Jos epäilee tietoturvarikkomusta, voi avainlukulistan lukita, jolloin verkkopankin käyttö estyy. Avainlukulistan voi avata ainoastaan pankki. Tilin käytön jälkeen yhteys verkkopankin palvelimeen on suljettava. On mahdollista, että käyttäjä epähuomiossa tai tietämättömyyttään jättää yhteyden auki esimerkiksi pudottamalla selaimen kuvakkeeksi ja poistuu koneelta. Tällöin yhteys on siltä koneelta kenen tahansa käytettävissä. Joskin käyttämätön yhteys ilmeisesti katkeaa jonkin ajan kuluttua. 2.2.2 Keksit, välimuisti ja JavaScript Verkkopankin käyttö edellyttää, että selain sallii keksien (cookies) tallentamisen. Palvelin lähettää asiakkaan koneelle tunnistetiedoston, jonka avulla hallitaan laskunmaksutapahtumaa. Tämä tiedosto ei kuitenkaan tallennu kiintolevylle, vaan se talletetaan käyttömuistiin (RAM). Cookie häviää 4

käyttömuistista kun selain sammutetaan. Näin olen pankkiyhteyden jälkeen selain olisi suljettava varsinkin, jos tietokone on yhteiskäytössä. Cookien selvittäminen ei kuitenkaan mahdollista tilille pääsyä, koska jokaisella yhteyskerralla on oma avainluku. Selaimet käyttävät välimuistia eli cachea, jonne ne tallettavat www-sivuja nopeuttaakseen niiden uudelleenlatausta. Tiedot, jotka on suojattu SSL-salauksella eivät tallennu välimuistiin. On kuitenkin aina käytön loputtua syytä tyhjentää välimuisti, jolloin kukaan ei saa tietää, millä sivuilla on käyty. Tämä on varsinkin silloin tärkeää, kun käytetään konetta, joka on muidenkin käytössä esimerkiksi kirjastossa tai työpaikalla. Verkkopankki käyttää myös Javascriptiä lähinnä syöttötietojen oikeellisuuden tarkistamiseen (viitenumero, tilinumero). Näin ollen selaimessa on sallittava Javascriptien käyttö. SSL suojaa kuitenkin käyttäjän ja palvelimen väliset Javascript-ohjauskomennot, joten tästä ei aiheudu ylimääräistä tietoturvariskiä. Verkkopankki ei käytä java-appletteja eikä myöskään Microsoftin Active-X komponentteja. 2.2.3 SSL-salaustekniikka Osuuspankin verkkopankissa Verkkopankki käyttää SSL-salaustekniikkaa (SSL eli Secure Sockets Layer), jota tukevat Microsoftin ja Netscapen selaimet, joiden versionumero on kolme tai sitä suurempi. Näin kaikki asiakkaan ja pankin välinen tiedonsiirto yhteyden luomisesta lähtien toimii suojattuna. SSL-salaustekniikkaa takaa tietoturvallisuuden kolmella eri tasolla: kiistämättömyyden, luottamuksellisuuden ja eheyden. Kiistämättömyys merkitsee, että asiakas varmistuu siitä, että yhteys on otettu todella haluttuun paikkaan, siis verkkopankkiin, eikä kolmannen tahon luomaan väärään paikkaan. Autentikointi tapahtuu seuraavasti: 1. Asiakas ottaa yhteyden pankkiin. 2. Pankki lähettää asiakkaalle oman kryptatun sertifikaattinsa, joka sisältää sertifikaatin myöntäjän (Secure Server Certification authority) tiedot, sertifikaatin saajan julkisen salakirjoitusavaimen ja muut tiedot ja käytetyt kryptausalgoritmit. Seuraavalla sivulla on osa Osuuspankin verkkopankin saamasta sertifikaatista. 5

3. Asiakas avaa saamansa sertifikaatin käyttäen sertifikaatin myöntäjän julkista avainta.näin asiakas varmistuu, että hänen saamansa julkinen avain on todella verkkopankin julkinen avain. 4. Asiakas pyytä pankkia todistamaan henkilöllisyytensä. 5. Pankki lähettää itsestään selväkielisen tiedon sekä saman tiedon tiivistettynä ja yksityisellä avaimella kryptattuna asiakkaalle. Tiivistäminen on helppo suorittaa matemaattisesti, mutta sen käänteinen suorittaminen on hyvin hankalaa. 6. Asiakas avaa tiedon käyttäen edellä saamaansa pankin julkista avainta ja tiivistää saamansa selväkielisen tiedon. Näitä vertaamalla asiakas varmistuu, että yhteyden toisessa päässä on verkkopankki. Luottamuksellisuus taataan salakirjoittamalla asiakkaan ja pankin palvelimen väliset viestit. Turvallisuuden lisäämiseksi otetaan asymmetrisen salauksen avulla käyttöön vielä symmetrinen salausalgoritmi (RC4), jonka salakirjoitusavaimen pituus on 40 bittiä.. Kun yhteys on edellä kuvatulla tavalla varmennettu, asiakas lähettää pankin julkisella avaimella kryptatun istuntokohtaisen symmetrisen salakirjoitusavaimen pankille.tämä avaimen voi ainoastaan pankki selvittää omalla yksityisellä salakirjoitusavaimella. Vaihdettavat viestit kryptataan tällä symmetrisellä salasanalla. Salasanan selvittäminen on nyt erittäin vaikeaa, mutta se saattaa olla murrettavissa. Koska kuitenkin salakirjoitusavain on yhteyskohtainen, riski ei ole suuri: avain tulisi murtaa yhteyden aikana, mutta yheyden kesto on suurella todennäköisyydellä lyhyempi kuin avaimen purkamiseen käytetty aika. 6

Eheys taataan laskemalla salakirjoitusavaimen avulla jokaiseen sanomaan MAC-tarkistusluku (MAC=message authentication code). Jos ulkopuolinen muuttaa sanomaa, niin sanoman sisältö ei enää vastaa tarkistuslukua. Näin pankin palvelin huomaa väärennöksen ja hylkää sanoman.ulkopuolisen tunkeutujan pitäisi näin ollen myös pystyä laskemaan muutettua sisältöä vastaava tarkistusluku, jolla korvattaisiin alkuperäinen tarkistusluku. Tämä on kuitenkin mahdotonta ilman salakirjoitusavainta, jota väärentäjällä ei ole. Suurimpana tietoturvariskinä voidaan pitää sitä, että pankkiyhteys käyttää vain 40 bitin salakirjoitusavaimia varsinaisen tiedon siirrossa. Avaimen murtaminen on mahdollista, koska erilaisia avaimia on vain 2 40 eli noin 1,1 10 12. Puhtaalla voimankäytöllä tällainen avain on murrettavissa yliopistojen ja jopa pienten yritysten tietokoneiden laskentateholla. Tähän on ilmeisesti tulossa lähiaikoina parannus, kun USA:n vientirajoituksia löysennetään. Tosin yhteyskohtainen salasana pienentää riskiä. 3. Meritan SOLO-pankki Meritan Solo-pankin käyttö edellyttää sopimuksen tekoa pankin kanssa. Sen perusteella asiakas saa postitse erikseen 6 10 numeroisen asiakasnumeron ja listan, jossa on 80 kpl nelinumeroisia tunnuslukuja istuntokohtaisesti numeroituina sekä 18 kpl kirjaimin merkittyjä, nelinumeroisia vahvistustunnuksia. Uusi tunnuslukutaulukko lähetetään asiakkaalle, kun noin 60 lukua on käytetty. Solo-pankin pankkiyhteyteen liittyvien tietojen kuljettamiseen käytetään Evästetiedostoja (cookies). Ne on siis oltava käytettävissä jotta pankkiyhteys toimii. Kuljetettavilla tiedoilla tarkistetaan ja tunnistetaan samaan pankkiyhteyteen kuuluvat haku- ja vastaussivut. Nämä evästeet ovat voimassa vain kyseisen istunnon ajan ja poistuvat kun selain sammutetaan. Ne eivät tallennu tietokoneen levylle. Mentäessä Meritan Solo-pankkiin internetin kautta käynnistetään SSL-salaus (Secure Sockets Layer) avattaessa sisäänkirjautumissivu. Salauksen päällä olemisen merkkinä Netscapen ja Explorerin selaimissa on lukitun lukon kuva. Napauttamalla kuvaketta saadaan esiin pankin turvasertifikaatti. Sieltä löytyy tietoja mm. haltijasta (SOLO3.MERITA.FI), myöntäjästä (Secure Server Certification Authority) kelpoisuusaika, allekirjoitusalgoritmi (md5rsa), julkinen avain (RSA (512 Bit), allekirjoitusalgoritmi (sha1) ja allekirjoitus. Asiakkaan selainohjelma muodostaa yhteyskohtaiset salakirjoitusavaimet, jotka välitetään salattuna pankille niin, että vain pankki voi ne avata. Avaimen avulla sanomiin lasketaan tarkistusluku, MAC. Myös siirtyvät sanomat salakirjoitetaan tällä avaimella. Palvelu ja selain muodostavat avaimen yhteyden alussa mutta sitä vaihdetaan ajoittain yhteyden aikana. Sisäänpääsyyn tarvitaan kiinteä, 6 10 merkkinen asiakasnumero (käyttäjätunnus) sekä järjestysnumeroitu, istuntokohtaisesti vaihtuva nelinumeroinen tunnusluku. Jos asiakasnumero ja kyseistä yhteyskertaa varten tarvittava tunnusluku eivät ole oikein, tulee siitä ilmoitus. Mikäli annettu tunnus on kahden tunnuksen päässä oikeasta tunnuksesta, palvelu kertoo vaaditun tunnuksen järjestysnumeron. Jos tarvittavan tunnuksen järjestysnumero ei ole selvillä, sen voi saada palvelunumeroon soittamalla. Mikäli käyttäjä antaa muutaman kerran peräkkäin väärän tunnistetiedon sisäänkirjoittautumisen yhteydessä, verkkopankin palvelu lukittuu vuorokaudeksi. Tehtyjen tilisiirtojen ja laskunmaksujen varmistamiseksi Solo-pankki kysyy asiakkaalta tiettyä kirjainta vastaavaa vahvistustunnusta. Myös Solo-pankkiyhteyden pituutta seurataan turvallisuuden vuoksi. Yhden käyttökerran pituus voi olla korkeintaan kaksi tuntia. Mutta jos yhteys on käyttämättä yli 15 minuuttia, niin palvelin katkaisee yhteyden estäen yhteyden jäämisen auki vahingossa. 7

Samaa Solo-pankkiyhteyttä voidaan käyttää myös Internetissä tilattujen tuotteiden ja palvelujen maksamiseen, jos kyseisellä yrityksellä on sopimus Solo-maksun käytöstä. Tällöin asiakas siirtyy maksun ajaksi Solo-pankkiin. 4. Osuuspankin ja Meritan verkkopankkien tietoturvallisuuden vertailu Molemmat pankit käyttävät SSL-salaustekniikkaa, joka takaa kiistämättömyyden, luottamuksellisuuden ja eheyden. Tässä suhteessa mitään eroja ei ole. Sen sijaan sisäänkirjautuessa asiakkaan tunnistaminen eroaa hieman. Molemmissa järjestelmissä on kiinteä käyttäjätunnus (asiakasnumero). Osuuspankissa on lisäksi kiinteä nelinumeroinen salasana, jonka käyttäjä voi itse halutessaan muuttaa. Meritassa sen sijaan tarvitaan nelinumeroinen istuntokohtainen tunnus. Meritan järjestelmää voidaan tietoturvallisuuden kannalta pitää parempana, koska tunnus muuttuu joka kerta, Osuuspankin järjestelmässä tunnus on jatkuvasti sama, ellei käyttäjä sitä itse muuta. Maksutapahtuman varmentamisessa on myös eroavaisuutta. Meritassa suoritetetut maksut vahvistetaan tiettyä kirjainta vastaavalla vahvistustunnuksella. Näitä tunnuksia on 18 kappaletta. Vahvistamisen voi suorittaa istunnon lopussa, jolloin se koskee kaikkia istunnon aikana tehtyjä maksusuorituksia. Vasta vahvistaminen toimeenpanee maksut. Osuuspankissa edellytetään ennen maksutietojen kirjoittamista istuntokohtaista pankin nelinumeroista avainlukua vastaavaa asiakkaan lukua. Vasta tämän jälkeen asiakas pääsee esim. maksamaan laskuja. Mitään istunnon lopussa tapahtuvaa varmennusta ei enää ole. Meritan palvelussa samaa vahvistustunnusta joudutaan käyttämään useammassa kuin yhdessa istunnossa, joskaan etukäteen ei voi tietää, mitä tunnusta seuraavalla käyntikerralla tarvitaan.osuuspankissa taas avainluku on istuntokohtainen ja näin siis ehkä turvallisempi. Osuuspankissa käyttäjällä on itse mahdollisuus palveluvalikosta estää verkkopankin käyttö. Tätä mahdollisuutta Meritalla ei ole. Osuuspankin asiakas voi siis nopeasti epäillessään väärinkäytöksiä estää itse tilin käytön. Tämä lisää turvallisuutta, joskin useimmat käyttäjät varmaankin epäillessään rikosta ottavat heti yhteyden pankkiin, joka voi jäädyttää palvelun. Meritan ja Osuuspankin verkkopankit toimivat pitkälti samalla tavoin. Tietoturvallisuuden kannalta järjestelmiä voidaan pitää yhtä hyvinä, niihin voi luottaa. Suurimpana riskitekijänä on huolimaton käyttäjä, joka ei säilytä henkilökohtaisia käyttäjätunnuksia ja salasanojaan riittävän huolellisesti muilta piilossa. 8

Lähdeluettelo Osuuspankin kotisivut: http://www.osuuspankki.fi/ Osuuspankin Kultaraha-internetpalvelu: https://kultaraha.osuuspankki.fi/ Tom Puusola: Pankkien Internet-maksupalvelut, harjoitustyö: http://www.tct.hut.fi/opetus/s38118/s98/htyo/49/pankit.shtml Liisa Erkomaa: Secure Socket Layer and Transport Layer security: http://www.tcm.hut.fi/studies/tik-110.350/1998/essays/ssl.html How SSL works: http://developer.netscape.com/tech/security/ssl/howitworks.html Introduction to Cryptography (SSH): http://www.ssh.fi/tech/crypto/intro.html Meritan kotisivu: www.merita.fi Solo-pankki: https://solo3.merita.fi/cgi-bin/solo0001 9

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute