27. lokakuuta 2009

Matkapuhelin maksamisen ja tunnistautumisen apuvälineenä

Ensin pitkähkö prologi:

Ylenanto kirjoittaa, että Luottokunta sulkee vuosittain tuhansia kortteja väärinkäytösepäilyjen vuoksi. Useasti taustalla on vain Luottokunnan hälytysjärjestelmien ylireagointi, esimerkiksi kun luottokorttia käytetäänkin tavanomaisesta poikkeavassa paikassa tai poikkeavaan aikaan. Valitettavan usein kuitenkin kyseessä on tietomurron seurauksena rikollisille päässyt luottokortinnumero tai vaikkapa automaateilla kopioitu luottokortti. (Olen aiemmin käsitellyt korttien kopiointeja ja sen estämistä, joten ei siitä sen enempää.)

Kaikki nämä korttien sulkemiset ovat ongelmallisia, koska tällöin vaikkapa ulkomailla matkalla oleva turisti voi jäädä pahaan pulaan, kun luottokortti lakkaa toimimasta tai pahimmassa tapauksessa se otetaan pois ja tuhotaan - väärinkäsityksen vuoksi. Luottokunta selittelee, että he pyrkivät soittamaan kortin omistajalle näissä tapauksissa ja kysymään, onko jotain ihmeellistä tekeillä, mutta aina se ei ole mahdollista tai omistajaa ei tavoiteta.

Omasta kokemuksestani voin kertoa, että Luottokunta ei ainakaan minulle ole soittanut ikinä, vaikka luottokorttini onkin jo kaksi kertaa vuosien aikana suljettu "väärinkäytösepäilyn" vuoksi. Molemmilla kerroilla olin onneksi Suomessa ja huomasin mokoman, kun yritin ostaa kortilla netistä jotakin. Toisella kertaa tilanne ratkesi samantien kun soitin heille, mutta toisella kertaa kortti oli kumottu ja uusi oli jo postissa matkalla minulle.

Miten Luottokunta voi toimia noin typerästi ja suorastaan vastuuttomasti? Millä oikeudella Luottokunta voi kumota luottokortin vaikka sen omistaja voi olla ulkomailla ja elellä siellä luottokortin suomalla turvalla? Onko Luottokunta ajatellut vaikkapa sellaisen jo yli 20v vanhan keksinnön kuin tekstiviestin käyttömahdollisuutta?

Luottokunta (tai nykyään pankit, jotka myöntävät luottokortteja) voisi lähettää automaattisesti asiakkaansa matkapuhelimeen tekstiviestin, jossa kerrottaisiin, että kortti on tilapäisesti poistettu käytöstä asian selvittämisen ajaksi ja että asiakkaan tulisi soittaa tai tekstata Luottokuntaan asian selvittämiseksi. Ongelma olisi halvalla ja nopeasti ratkaistu, koska tekstiviesti odottaa kiltisti kunnes se ladataan puhelimeen ja luetaan, silloin kun ikinä asiakas sitten sattuukin puhelimeensa katsomaan.



Sitten itse asiaan:

Olen aikaisemminkin kirjoittanut blogissani luottokortilla netissä maksamisesta ja sen ongelmista. Haluan kuitenkin vielä palata tähän aihepiiriin ja laajentaa sitä hieman nimenomaan matkapuhelinten näkökulmasta ja niiden käyttömahdollisuuksien osalta.

Miksi ylipäätään keskittää tietoja, tietoturvaa ja järjestelmiä matkapuhelimeen? Miksei vain käytetä kymmentä erilaista järjestelmää, korttia ja menetelmää, jokaista omaan tarkoitukseensa?

  1. Matkapuhelin tarjoaa mahdollisuuden yhdistää eri järjestelmät yhteen, vähentää korttiviidakkoa ja hallita sitä keskitetysti.
  2. Matkapuhelin tarjoaa turvallisen fyysis-teknisen alustan valmiina, ilman erillisiä laitteistoja ja viritelmiä.
  3. Matkapuhelin tarjoaa mahdollisuuden järjestelmän päivittämiseen ohjelmistopäivityksenä - sen sijaan, että pitäisi aina fyysisesti uusia kaikki kortit ja lukulaitteet sun muut.
  4. Kaikilla on matkapuhelin ja se kulkee aina mukana kuten lompakko.
  5. Matkapuhelimeen on jo nyt saatavilla runsaasti erilaisia ohjelmia eri käyttötarkoituksiin (kuten salasanojen säilytykseen), joten asia ei ole uusi ja vieras, vaan tulevaisuudessa yhä kasvava kehityssuunta.

Tekstiviestejä ja matkapuhelimia voisi käyttää vaikka aluksi ihan maksujen ja luottokorttien varmistamiseen. Minulle ainakin sopisi oikein hyvin, jos joka kerta kun käytän luottokorttiani, saisin asiasta välittömästi vaikkapa tekstiviestin, johon vastaamalla vasta kyseinen ostos aktivoituisi. Kukaan luottokorttini numeron varastanut ei voisi vastata omaan puhelimeeni tulevaan tekstiviestiin mitään, joten systeemi olisi hyvin turvallinen (kunnes joku varastaa sekä korttini että päällä olevan lukitsemattoman puhelimeni). Järjestelmä maksaisi joitain senttejä per tehty ostos, eli hinnaltaan se olisi olematon suhteessa luottokorttien käytöstä jo nyt aiheutuviin kuluihin.

Paras ratkaisu olisi tietysti se, että fyysistä luottokorttia ei välttämättä tarvitsisi lainkaan käyttää, vaan se saisi olla vain "varalla" hotellin kassakaapissa tai kotona ja koko maksuprosessi hoidettaisiin matkapuhelimeen liitetyllä turvasirulla - ja ohjelmistolla. Voisin vastaanottaa puhelimellani vaikka Near Field Communicationin (nfc) kautta maksupyynnön, lukea sen huolella lävitse ja nappia painamalla digitaalisesti allekirjoittaa ja salata sen. Tämän jälkeen lähettäisin kyseisen digitaalisesti allekirjoitetun ja salatun purskeen vaikkapa nfc:n kautta takaisin myyjälle, joka lähettäisi sen edelleen Luottokuntaan saadakseen varmistuksen veloituksen onnistumisesta. Kaikki tämä edellyttäisi minulta vain pin-koodin näpyttelyä ja paria muuta näppäinpainallusta, kaikki muu voisi tapahtua automaattisesti muutamassa sekunnissa. (Hieman tähän tapaan, mutta tietoturvattomammin ja ilman nfc:tä toimii EMV-sirulla varustettu Visa Electron nykyään.)

Tietoturvan kannalta esittämäni järjestelmä olisi miltei idiootinvarma, varsinkin jos ja kun joka kerta minun pitäisi näpytellä erillinen pin-tunnus (joka ei saisi olla sama kuin puhelimen tai sen suojakoodin pin-tunnus on) turvasirua käyttääkseni. Koska kukaan ei pysty peukaloimaan kyseistä sirua ja puhelintani, ei kukaan pääse edes teoriassa käyttämään järjestelmää mitenkään hyväkseen. Puhelimestani tulisi minun aina mukana kulkeva, oma ja turvallinen "sirukortinlukijani" omine turvallisine näppäimistöineen kaikkineen. Puhelimeeni tuleva nfc-tieto ei sisältäisi mitään arkaluontoista, vain tiedot vaikkapa ostamastani ruoasta ja juomasta kuluineen, joten sen päätyminen vääriin käsiin ei merkitse mitään...pahimmillaan joku voisi koettaa lisätä siihen ylimääräisiä summia, mutta huomaisin ne kun tarkistan kokonaissummaa ja kuittia ennen kuin näpyttelen pin-koodini. Omalta puhelimeltani myyjälle ja edelleen luottokuntaan ei liikkuisi mitään selkokielisenä, vaan puhelimeni turvasiru salaisi ja digitaalisesti allekirjoittaisi kaiken tiedon vahvalla salauksella Luottokuntaa varten. Kukaan ei näillä tiedoilla voisi tehdä yhtään mitään väärää - mukaanluettuna se, kenelle olen maksamassa tai kuka hänen linjojaan kuuntelee! Myyjä saisi vain vastauksen Luottokunnalta, että maksu numero se ja se on hyväksytty - myyjän kannalta toki mieluusti tämäkin tieto tulisi vahvasti salattuna ja digitaalisesti allekirjoitettuna Luottokunnalta estämään minun tai muiden väärinkäytöksiä myyjää kohtaan.

Järjestelmään voisi liittää vielä vaikkapa tekstiviestinä tai sähköpostina lähetettävän "pikasulku" käskyn, joka sulkisi välittömästi luottokorttini Luottokunnalla ja/tai lukitsisi puhelimessani olevan sirun sisällön riippumatta siitä, mitä sen senhetkinen omistaja tai käyttäjä haluaisi tai koettaisi estää. Mikäli puhelimeni varastettaisiin ja epäilisin sirun pin-koodin vaarantuneen, voisin vain pyytää jotakuta lähettämään tietyn salasanan sisältävän tekstiviestin matkapuhelimeeni ja Luottokunnan numeroon tai sähköpostiin ja homma olisi sillä selvä - sekunneissa. Vastaavasti lukituksen purkamiseen voisi olla toinen salasana, jos huomaankin, että puhelintani ei varastettukaan, vaan unohdin sen vain hotellihuoneeseen. 

Pariskunnat tai paranoidit voisivat myös liittää järjestelmään vaikkapa tuon tekstiviestihyväksymisjutun, jonka seurauksena rikollisten pitäisi varastaa molemmat matkapuhelimet ja pin-koodit voidakseen tehdä yhtään mitään. Puhumattakaan, että vanhemmat voisivat tällä tapaa vaikka antaa lapselleen surutta luottokorttinsa käytettäväksi - he näkisivät ja hyväksyisivät itse kaikki sillä tehdyt ostokset ennen kuin niitä voidaan veloittaa mistään. Ostokset voisi myös leimata vaikkapa gps-tiedoilla ja niin edelleen. Järjestelmässä olisi paljonkin kehittämismahdollisuuksia.

Matkapuhelinta käyttäen voisi myös tehdä jotain niinkin epäteknokraattista ja vanhanaikaista kuin nostaa rahaa pankkiautomaatilta tai muulla tapaa maksaa automaateille. Oikeasti, tämä voisi olla monessa paikassa kovinkin hyödyllinen menetelmä ja samaan tapaanhan jo nykyään voit ostaa matkapuhelimellasi vaikkapa juotavaa automaateista tai joukkoliikenteen lipunkin. Pankkikortti tai raha siis vaihtuisi matkapuhelimeen. Tekstiviesti - tai nfc:llä siirretty tieto kohteeseen ja automaatti sylkee halutun määrän rahaa tai lippuja ulos itsestään. Vaihtoehtoisesti tietysti rahanulostuskäskyn voisi antaa vaikka netin kautta surffatessa ja automaatin sijainnin ja oikeellisuuden voisi varmistua gps:stä ja/tai digitaalisista allekirjoituksista. Ja mikä parasta - rahan lähettäjän ei tarvitsisi välttämättä olla itse lähelläkään automaattia, josta rahaa tulisi ulos, vaan hän voisi vaikkapa kotisohvaltaan näpytellä kännykällä perheen juniorille rahaa junalippuun, kun mokoma hukkasi oman matkapuhelimensa ollessaan käymässä mummolassa...juniori laittaisi pyynnön "rahaa minun gps-sijaintini vieressä olevasta Otto-automaatista" johon kuittaisit, että "mene asemalle lippuautomaatille, tilaan siihen lipun rahan sijaan".  ;)

Nfc:tä sekä matkapuhelimen tietoturvasiruja tms. käyttäen olisi myös mahdollista suorittaa vaikkapa pieniä maksuja tai tarkistaa käyttöoikeuksia vaikkapa bussia tai metroa käytettäessä tai pikkuostoksia tehdessä. Luultavasti helpoin tämä olisi toteuttaa asentamalla puhelimeen kunkin valmistajan oma sovellus, joka tunnistuttaisi käyttäjänsä haaste-vaste-menetelmällä. Systeemi olisi hyvin kevyt ja myöskin turvallinen: Kulkisit lukulaiteportin lävitse, jolloin haaste-vaste-menetelmä varmistaa sinun identiteettisi ja tarkistaa salamana palveluntarjoajan tietokannoista sinun kulkuoikeutesi. Mitään sinua henkilökohtaisesti identifioivaa tietoa ei välitettäisi lainkaan salaamattomana eikä kukaan voisi kaapata tunnistetietojasikaan, koska niitä(kään) ei lähetetä langattomasti mihinkään (ainoastaan haaste-vaste-menetelmän tiedot joita ei voi käyttää uudelleen tai väärin).

Niin, matkapuhelin voisi toimia avaimenperänäsikin niin kotona kuin työpaikallakin. Periaatteessa et tarvitsisi välttämättä avaimia lainkaan, koska ovi avautuisi automaattisesti, kun kävelet sitä kohti. Niin ikään voisit kirjautua työpaikan tietokoneelle sisään käyttämällä matkapuhelintasi ja nfc:tä ja tietokone lukittuisi automaattisesti, kun kävelet tietokoneen läheltä pois vaikkapa kahvilla käymään. Niin ja matkalla kahvihuoneeseen nappaisit ohikulkiessasi makeisautomaatista itsellesi suklaapatukan - senkin kännykälläsi maksaen vain paria näppäintä painellen...

Matkapuhelimella soittaminen ei ole kovin turvallista, koska gsm-liikenteessä käytetyt salausalgoritmit on murrettu. Mikään ei kuitenkaan estä käyttämästä matkapuhelimella Skype:n kaltaisia puhelinsovelluksia internetin läpi. Kun tähän liitettäisiin vielä turvasirun tarjoama vahva autentikointi ja vahva salaus, voisi kuka tahansa soitella huipputurvallisia nettipuheluita kenelle tahansa, ilman pienintäkään pelkoa salakuuntelusta. Niin ikään matkapuhelimen turvasirulla voisi salata ja purkaa salauksen vaikka tekstiviesteistä tai sähköpostistakin - sekä lähettää ja vastaanottaa sähköpostit tietokoneeltakin nfc:n avulla.

Nämä eivät ole scifiä eikä oikein toteutettuna lainkaan epäturvallistakaan, toisin kuin jotkut varmasti luulevat, vaan aivan tämän päivän tekniikoilla toteuttamiskelpoisia sovelluksia. Olennaista on, että on käytössä fyysinen laite (puhelin), tiedonsiirtotie (nfc tai internet) ja sovellus turvalliseen tunnistautumiseen (ohjelmisto ja/tai siru puhelimessa).

Salaus- ja muut turvaominaisuudet olisivat tällöin aina sisällä sinun matkapuhelimessasi, eikä sinun tarvitsisi luottaa pätkän vertaa käyttämäsi matkapuhelinverkon, tietokoneen, kortinlukulaitteen tai nettiyhteydenkään tietoturvaan tai pelätä niiden salakuuntelua tai sitä, että ne ovat ohjelma- tai laitteistopohjaisten vakoiluohjelmien saastuttamia. Tämä on se olennainen eroavaisuus ja hyöty käytettäessä sinun hallussasi olevaa, sinun matkapuhelintasi muiden tahojen päätelaitteiden tai muiden ihmisten tietokoneiden tai muiden laitteistojen sijasta, joihin yhteenkään sinulla ei ole mitään kontrollia eikä varmuutta niiden turvallisuudesta. Kun nykyään joudut esimerkiksi antamaan korttisi automaattiin ja näpyttelemään automaattiin tunnuslukusi, et voi tosiasiassa ikinä tietää, kopioiko laite korttisi ja tallentaako se tunnuslukusi vaiko ei, koska sinulla ei ole mitään kontrollia laitteeseen, toisin kuin sinulla on omaan puhelimeesi.

Ymmärrän toki, että ongelmiakin olisi.

  • Riskinä ovat erilaiset huijausviestit tyyliin:"Lähetä tekstiviestillä luottokorttinumerosi ja tunnuslukusi meille tilanteen selvittämiseksi.", mikäli asiakkaita ei informoida siitä, mitä tietoa oikeat viestit sisältävät ja että missään tapauksessa ei pidä tehdä yhtään mitään muuta eikä antaa mitään muuta tietoa eteenpäin.

  • Riskinä ovat tietoturvaan ja yksityisyydensuojaan liittyvät ongelmat langattomassa teknologiassa, mikäli niitä ei heti alunperinkin oteta huomioon ja käytetä kaikessa joko vahvaa päästä-päähän-salausta tai vaihtoehtoisesti haaste-vaste-menetelmää nollatiedolla. Nämä ovat kuitenkin erittäin helposti ratkaistavissa, mikäli järjestelmän ja ohjelmien tekijät omaavat edes perustasoiset tiedot salauksesta. Haaste-vaste-menetelmän tulisi käyttää jotain ihan aikuisten oikeasti vahvaa salausta, eikä pilipalisalausta kuten vaikkapa Lontoon Oyster-korteissa on käytetty. Tietysti puhelimessa tulisi olla mahdollisuus ottaa järjestelmä pois päältä halutessaan tai aktivoida se vain tietyksi ajaksi päälle tms. ihan vaan varmuuden maksimoiseksi.

  • Riskinä ovat sovelluksiin liittyvät ongelmat matkapuhelimessa tietoturva-aukkojen ja troijalaisten muodossa. Käyttäjien tulisi ymmärtää, että samat tietoturva-asiat mitkä liittyvät tietokoneiden käyttöön, liittyvät myöskin matkapuhelinten käyttöön, eli matkapuhelin tulisi suojata ja sitä tulisi käyttää turvallisesti. Ohjelmistojen ja matkapuhelinvalmistajien pitäisi myöskin ottaa tietoturva jatkossa entistäkin vakavammin huomioon. Yleisesti ottaen sinun oma matkapuhelimesi on joka tapauksessa paljon turvallisempi kuin sattumanvarainen luottokortinlukija tai tietokone kaupungilla, johon törmäät ja jota olet nykyään pakotettu käyttämään.

  • Riskinä ovat kohoavat kustannukset, jotka laitteistojen ja ohjelmistojen kehittäminen ja käyttöönotto aiheuttavat. Kustannukset kuitenkin laskevat, kun väärinkäytösten määrä laskisi dramaattisesti ja toisaalta käyttö lisääntyisi sen helppouden ja turvallisuuden vuoksi.

  • Riskinä on kaiken "kaksinkertainen" tekeminen, eli se, että samaan aikaan olisi pakko kuitenkin käyttää esimerkiksi luottokorttia ja paperista henkilötodistusta kun vaihtoehtona olisi langaton digitaalinen tietojärjestelmä. Tämä on kenties suurin kehitystä jarruttava seikka: Aina löytyy paikkoja, joissa ei uusilla järjestelmillä syystä tai toisesta pärjää, joten varajärjestelmä on oltava. Mikään ei kuitenkaan estäisi asiakkaita olemasta käyttämästä vanhoja järjestelmiä turvallisuuteen ja käytettävyyteen vedoten ja toisaalta palveluntarjoaja voisivat nostaa vanhakantaisten järjestelmien maksut pilviin niiden käytöstä luopumista rohkaistaakseen.

  • Sähkökatko tai akkujen loppuminen. Nykyään tämä tuskin on sinällään ongelmana, koska akut kestävät pitkään ja sähkökatkon aikana mikään ei muutenkaan toimi kunnolla vaikkapa kaupoissa tai metroissa, joten väliäkö sillä, jos matkapuhelimiin sidottu tunnistautumis- ja maksujärjestelmäkään ei toimisi?

  • Matkapuhelimen hukkuminen tai rikkoontuminen. Totta, mutta sama vaiva syntyy, jos lompakko hukkuu tai koira syö sen. Matkapuhelimen tapauksessa sirusta voi olla varmuuskappale kotona tallessa ja tiedot voivat olla varmistettuina vaikkapa tietokoneelle tai ulkoiselle medialle. Paperisten dokumenttien suhteen uudet pitää yleensä tilata kymmenestä eri lähteestä, eikä varmuuskopiointi auta.


Millaisia ajatuksia herättää se, että voisitkin jättää jatkossa lompakkosi kotiin ja napata kaupungille mukaasi vain matkapuhelimesi, jolla voisit matkustaa bussissa, ostaa kaupasta ruokaa, maksaa ravintolalaskusi ja tunnistautua poliisille kun tämä raahaa sinua putkaan sammuttuasi kaupungille?

4 kommenttia:

  1. Japanissahan on käytössä tuon kaltainen systeemi.

    http://en.wikipedia.org/wiki/Japanese_mobile_phone_culture
    http://en.wikipedia.org/wiki/FeliCa

    "Though the technology is relatively new, there are many locations such as convenience stores which allow users to pay for goods using their phones; some vending machines even accept phone payments. Users must 'charge up' their accounts with credits before they can pay using their phones."

    Hmm, tuo vastannee Suomen matkakorttijärjestelmää, eli siihen pitää ladata rahaa.

    VastaaPoista
  2. Jeps. Tosin tuon voisi ympätä siis matkapuhelimeen korttisekamelskan sijasta. :)

    VastaaPoista
  3. Mun mielestä ihmisillä on jo nyt
    paljon erilaisia tapoja maksaa ostoksiaan.

    Käteinen on kuitenkin edelleen ylivoimainen. Käteistä ei päihitä mikään. Jaa, no tietenkin fyysinen kulta.

    Vaikuttaisiko tuo esittämäsi systeemi
    käteisen suosioon?

    Monet vakavasti otettavat tutkijat ja
    aktiivit kansalaisvaikuttajat sanovat
    että käteisestä ei ihmisten tulisi
    mistään hinnasta luopua.

    Cash is king.(and gold based cash is
    ....almost...like god)

    VastaaPoista
  4. Vastaavia järjestelmiä on jo käytössä mm. Ranskassa ja lisää on tulossa. Suomessakin on toimijoita alalla. Jos aihe kiinnostaa, kannattaa lukaista kirja The SmartPhone Wallet: Understanding the Disruption Ahead

    VastaaPoista