Käyttäjä pääsi tunnuksillaan vahingossa toisen asiakkaan mobiilipankkiin

Helsingin sanomat uutisoi tapauksesta, jossa asiakas oli vahingossa kirjautunut mobiilipankkiin toisen asiakkaan tunnuksilla. https://www.hs.fi/talous/art-2000007813958.html

Käyttäjä oli epähuomiossa syöttänyt toisen käyttäjän käyttäjätunnuksen. Toinen käyttäjä oli tämän jälkeen hyväksynyt kirjautumisen omalla avainlukusovelluksellaan.

Tässä muutamia ajatuksia siitä, kuinka kirjautumista voitaisiin vahvistaa. Huom. ajatukset ovat kommentteja uutiseen. En tiedä, miten kyseinen pankki on tunnuslukusovelluksensa oikeasti toteuttanut.

Luodaan kirjautumisen yhteydessä palvelinpäähän tokeni, jonka mobiilipankki välittää samaan puhelimeen asennetulle tunnuslukusovellukselle. Tunnuslukusovellus käy tämän jälkeen hakemassa tokenia vastaavan vahvistustapahtuman, joka on luotu kyseisestä puhelimesta. Tällöin kukaan ei voi vahingossakaan vahvistaa kenenkään muun mobiilikirjautumista, sillä mobiilikirjautumiseen tarvittava tokeni siirtyy tunnuslukusovellukseen ainoastaan samaan puhelimeen asennetusta mobiilipankista.

Yksilöivä sovellustunnus jokaiseen mobiilisovellukseen. Pankki voisi liittää UUID:n jokaiseen sovellukseen ja käyttäjään. Kirjautumisen yhteydessä tarkistetaan sovelluksen UUID sekä käyttäjä, joka kirjautuu sisään. Mikäli Matti kirjautuu sisään omasta puhelimestaan, tiedetään, että käyttäjätunnus on hyvin todennäköisesti oikein, sillä Matti on kirjautunut kymmeniä tai satoja kertoja samasta puhelimesta. Mikäli Matti hankkii uuden puhelimen ja kirjautuu sillä ensimmäisen kerran, niin Matille voitaisiin lähettää myös lisävahvistus tekstiviestillä.