Asiakkaan turvallinen tunnistaminen puhelimitse asiointisalasanalla

Ei hemmetti yhtäkään uutta salasanaa enää. 

Itse asiassa tuosta tuli mieleeni “anti-phishing word”, jonka voisi myös ottaa käyttöön tämän sijasta tai tämän lisäksi 🤣

Eli siis itse määrittelemäsi yksi sana, jonka sinulle soittava tai sinulle sähköpostia laittavan tahon on sanottava/kirjoitettava viestissään selkeästi. Näin voit olla varma, että soittava/sähköpostia lähettävä taho on aito, eikä kyseessä ole huijausyritys.

Eli tavallaan kyllä, otetaan käyttöön joko

A) Yksi sana joka on sinun ja Elisan asiakaspalvelun tiedossa (ja jota voit muuttaa miksi haluat) ja jonka yhteydenoton tekevän osapuolen on sanottava yhteydenotossa varmistaakseen, että on se taho, jonka väittääkin olevansa. Eli jos sinä soitat Elisaan, sinun pitää sanoa se ja jos Elisa soittaa sinulle niin Elisan pitää sanoa se. Koska huijarit eivät tiedä, mikä se sana on, he eivät voi sanoa sitä ja huijausyritykset paljastuvat joka kerta.

B) Kaksi sanaa tunnistautumiseen: Toinen, jonka Elisan on sanottava sinulle (“anti-phishing word”) ja jonka voit määritellä miksi haluat ja jonka Elisan asiakaspalvelu näkee selkokielisenä tietenkin ja joka heidän on aina yhteydenotossaa sanottava sinulle todistaakseen olevansa oikeasti Elisasta eikä jostain muualta + Toinen, jonka on ketjun aloituksessa kertomani asiakkaan tunnistamiseen tarkoitettu salasana.

PS. Salasanojen hallintaan on olemassa turvallisia sovelluksia selaimeen tai työpöydälle, samalla niiden avulla voi helposti luoda riittävän turvallisia salasanoja, kun sinun ei tarvitse muistaa niistä jokaista - riittää, että muistat salasanan hallintasovelluksen salasanan ja pääset sitä kautta käsiksi kaikkiin salasanoihisi.

Asiakas joka on 1-2 kertaa vuodessa yhteydessä puhelimitse ei todennäköisesti muista “salasanaansa”, koska ei ole sitä minnekään itselleen laittanut ylös tai ei löydä sitä, miten “prosessi” toimisi tässä tilanteessa ? 

Asiakas kirjautuu OmaElisa sivuilleen ja vaihtaa tai katsoo sen sieltä. En usko, että ihminen ei voisi yhtä sanaa muistaa, koska ei sen tarvitse olla mikään monimutkainen, se voi olla vaikka “Nokialainen”. Jos aikoo asioida Elisalla, niin varmasti on sen verran fiksu, että tajuaa etukäteen katsoa sen OmaElisasta jos ei millään sitä muista. Tai tallentaa sen salasananhallintaohjelmistoonsa ja katsoo sen sieltä.

Eihän toki tuota pitäisi mikään pakko olla ottaa käytäntöön jos ei halua. Sen pitäisi olla MAHDOLLISTA ottaa käyttöön niille jotka sitä haluavat ja sitä pitäisi TARJOTA ja MUISTUTTAA niille, joilla sitä ei vielä ole käytössä, koska se nostaa turvallisuustasoa huomattavasti.

Saunalahdella oli aikoinaan juuri tämän tyyppinen asiakaspalvelusalasana.

Se taisi hävitä samalla, kun Oma Saunalahti suljettiiin kesäkuussa 2020.

Näissä salasa-asioissa voisi joskus huomioida myös sen käyttäjä-raukan näkökulmaa. 

Kyllähän tuollainen käyttäjän ja toimijan välinen ennalta määrättu “turvasana” toimii yhden toimijan kanssa. Entä sitten kun toimijoita on yli 10 erilaista: sähköyhtiötä, internet-operaattoria, mobiili-operaattoreja ja muita. Samaa sanaa ei tietenkään saa käyttää eri palveluissa. 

Ja kyllä, onhan noita salasanojen hallintatyökaluja. Mutta niissäkin, ainakin muutamassa, pitää määritellä se “pää-salasana”...

Tämä olisi kätevä. Samalla kun menee sinne OmaElisaan, huomaa että voikin hoitaa asiansa sieltä, eikä välttämättä tarvitsekaan soittaa. Kaikki eivät OmaElisaa vielä käytä, mutta käyttäjämäärä kasvaa tasaista tahtia.

Veikkaisin kyllä myös, että ihminen joka ei vielä käytä OmaElisaa, ei välttämättä hallinnoi salasanojakaan “hallintaohjelmalla”.

Tämäkin on vähän sellainen turvallisuuskysymys , missä niitä salasanoja ja tunnuksia säilyttää.

Puhelin voi kadota ja samalla menee kaikki salasanat sen mukana. Tietokone harvemmin katoaa , mutta kyllä niitäkin varastetaan ja myös hakkerit voivat saada tietokoneelta salasanoja haltuunsa.

Minulla ei ole juurikaan tarvetta hoitaa raha-asioita tai kirjautumista vaativia asioita muualla kuin kotona ja silloin turvallisin tapa säilyttää tunnuksia/salasanoja on tehdä tekstinkäsittelyllä lista ja tulostaa se paperille. Se kestää laiterikot , laitevarkaukset tai ainakin varkaan pitää murtautua kotiin.  Listasta voi myös tulostaa varakappaleen ja sijoittaa sen muualle , vaikkapa tulipalon varalta.

Voi kuulostaa vanhanaikaiselta , mutta on taatusti turvallista.

Minulle kun on Elisan myyjä soittanut, niin ei ole puhelun aluksi edes tunnistanut minua, vaan ruvennut heti käymään läpi mitä palveluita minulla on. Ihan sama kuka vastaisi luuriin, koska tuntemattomaan numeroon (045) en ole vastannut muuta kuin “haloo, tai päivää". Kai sitten jos oikeasti tilaisi jotain tunnistettaisiin.

Jos tilaa, niin puhelun lopuksi käydään läpi mitä on tilannut ja onko ymärtänyt asian.

Henkilövarmistuskin/tunnistautuminen tehdään silloin.

TIetenkin voi käyttää samaa asiointisalasanaa kaikissa palveluissa, ei asiointisalasanan turvallisuuden tarvitse olla yhtä korkea kuin oikean salasanan. Ja miten monessa palvelussa on tämmöinen asiointisalasana? Ei yhdessäkään. Ja niin, kyllä, on salasanan hallintaohjelmistoja ja niin se idea niissä on, että ei tarvitse muistaa sitten kuin vain se yksi salasana, joten en nyt ymmärrä, miten saat tuon väännettyä niin, että se monimutkaistaa asioita ja lisää muistettavaa, kun se nimenomaan vähentää sitä!
 

Häh? Ei kaikkia asioita voi hoitaa OmaElisassa ja joskus pitää soittaa asian hoitamiseksi. Lisäksi kysehän voi olla siitäkin, että Elisan asiakaspalvelu soittaa sinulle jostain syystä ja sinun pitää voida vahvistaa, että he ovat todellakin Elisan asiakaspalvelusta (anti-phishing word). Kuten juuri selitin.

Niin no sen takia ne salasananhallintaohjelmistot kryptaavat ne salasanat, eli pistävät ne vahvan salauksen taakse, etteivät ne päädy vääriin käsiin jos vaikka luuri varastetaan. Yhtälailla järkevät salasananhallintaohjelmistot (Bitwarden, 1Password, jne.) synkronoivat ne salasanat pilven kautta, joten jos hukkaat puhelimesi niin senkun avaat salasanavarastosi tietokoneellasi tai vaikka hukkaisit kaikki elektroniset laitteesi, niin senkun hommaat uuden tietokoneen ja kirjaudut sillä ne salasanasi katsomaan.

Kaikki ne menetelmät , missä tunnukset/salasanat ovat tallennettuna jonnekin sähköisesti , on turvallisuusriski kryptauksista huolimatta. Kaikista turvattomampia ovat ne , jotka tallentavat salasanojan nettiin.

Jos niitä salasanoja ei ole sähköisinä/netissä , niin aika vaikeaa niitä on varastaa.

Pakko todeta, että isossa kuvassa yli 90% yleisimmistä tarpeista voi hoitaa OmaElisan kautta, ellei “muuten vaan” ole aina tottunut asioimaan puhelimitse. Tätä eivät valitettavasti kaikki asiakkaamme tiedä kun OmaElisa ei vielä ole kaikille riittävän tuttu tai kynnys kokeilla on “liian korkea”.

Elisan asiakaspalvelun numero yhteystietoihin. Siitähän se soittaja selviää.

Tuli laitettua yhteystietoihin sillä siunaamalla, kun Elisan  asiakkaaksi ryhdyin.

( Varmaan moni muukin tehnyt samoin.)

Niin tietenkin ideaalitilanteessa jokaisella on päässään tallennettuna kaikki salasanat ja kaikki salasanat ovat vähintään 24 merkkiä pitkiä satunnaisia rimpsuja. Mutta käytännössä kukaan ei voi moisia salasanoja muistaa ja siksi joutuu syyllistymään heikkoihin salasanoihin tai salasanojen uudelleenkäyttöön ja silti unohtelee salasanojaan.

Tämä vasta altistaakin hakkeroinnille, kun tyypin tilit voi korkata auki heikon tai arvattavissa olevan salasanan kautta, tai palauttamalla salasana (koska optio on olemassa ja tehty helpoksi koska ihmiset unohtavat salasanojaan!) ja todennäköisesti sama salasana käy sitten kaikkiin tyypin nettipalveluihin. Tämä on se riski käytännön ihmisille käytännön elämässä. Paperille kirjoitettu salasanalista kuulostaa hyvältä siihen asti, kunnes se paperi hukkuu, joku murtautuu kämppääsi ja pöllii sen, tulee tulipalo ja se palaa tai jotakin vastaavaa, jonka jälkeen olet sitten lukinnut itsesi ulos kaikista tileistäsi pysyvästi.

Tietoturva-asiantuntijat ovat miltei yksimielisiä siitä, että suurempi ongelma tietoturvassa on salasanojen uudelleenkäyttö ja liian helpot salasanat, sekä salasanojen unohtaminen, kuin asianmukainen salasananhallintaohjelmisto. Salasananhallintaohjelmisto mahdollistaa salasanojen turvallisen säilyttämisen ja sen, että jokaisessa palvelussa on taatusti eri salasana ja jokainen salasana on varmasti turvallisen pituinen ja monimutkainen. Lisäksi siinä on se hyvä puoli, että jos joku vaikka pistää veitsen kurkullesi kaupungilla tms. ja vaatii salasanojasi, niin et voi niitä antaa, koska et itsekään muista niitä, tiedät vain sen yhden salasanan, eli sen salasananhallintaohjelmiston. Pilvessä oleva salasananhallintaohjelmisto ei ole periaatteessa sen turvattomampi kuin muutkaan, jos se on oikein toteutettu ja auditoitu, kuin työpöydälläsi oleva, plussana siinä se, että ne salasanat ovat sitten aina käytännössä mukanasi missä vaan ikinä oletkin, jos vaan pääset nettiin. Toki vainoharhainen voi pitää salasananhallintaohjelmistoa muistitikulla ja kanniskelee sitä mukanaan kun on tarvis. Plussat ja miinukset siis yhteen laskien on parempi pistää sen kortin varaan, että salasananhallintaohjelma kestää.

Mutta nyt on jo menty niin kauas itse asiasta, että...

Tuohon voisi vielä lisätä , että jos ei ole tullut mitään muutoksia liittymäsopimuksiin , niin sinne Oma Elisaan ei oikeastaan ole tarvetta kirjautua ollenkaan , varsinkaan jos laskutkin tulee e-laskuna suoraan pankkiin.

Itse taidan käydä siellä kurkkimassa muutaman kerran vuodessa ja senkin vain uteliaisuuttani , että onko palvelussa jokin muuttunut. 😊

Minulta ei huku mitkään listat. Kassakaappi on on aika hyvä paikka tai pankin tallelokero säilyttää listan varmuuskopio.

Väitän kyllä , että nopeammin ne salasanat netistä häviää kuin kassakaapista.

PS. Se tietysti on ihan viisasta , että jokaiseen palveluun on eri salasana ja näin olen toiminutkin jo parikymmentä vuotta. No ei niitä päivittäin tarvittavia salasanoja ole kuin pari kolme , joten ne kyllä muistaa. Mitä tulee salasanoihin , niin sellaiset satunnaisista kirjaimista , numeroista ja erikoismerkeistä kasatut rimpsut eivät ole niitä turvallisimpia , vaan pelkästään vaikeimmin muistettavia. Tietoturva-asiantuntijat suosittelevat käyttämää salasanojen asemesta salalauseita. Esimerkiksi suomenkielinen lause on suomalaisen helppo muistaa ja hakkereiden murtotyökaluille käytännössä ylivoimanen murtaa , ei onnistu ainakaan järjellisessä ajassa.

No kyllä nyt menee selittelyksi ja asian vierestä puhumiseksi ja saman jauhamiseksi. Voisiko pysyä itse asiassa?

Me puhumme käyttäjistä, Elisan palvelun käyttäjistä, keskimääräisistä ihmisistä joita pitäisi suojella. Emme sinusta. Salalause on paljon heikompi kuin saman mittainen salasana tietenkin, tuossa näkyy hyvin ero, kun kokeeksi tein. Joojoo tietenkin sitten pitää pitää pidempiä salalauseita joojoojoo tiedän kyllä. Pointti on, että kun käyttää salasanojen hallintasoftaa, voi käytää erittäin vahvoja satunnaisia salasanoja kaikissa palveluissa ongelmitta, on sitten peruskäyttäjä tai kehittyneempi käyttäjä ja kaikki tietoturva-asiantuntijat ovat yksimielisiä siitä, että ehdottomasti parasta on käyttää salasanojen hallintasoftaa kuin koettaa muistella päässään niitä salasanoja.

Sikäli jännää, että hoet tuota, miten voi päässään pitää muistissa salasanoja, no jos se toimii hyvin niin sittenhän voi sen asiointisalasanan tai anti-phishing salasanankin pitää hyvin nupissa muistissa ilman ongelmia, eikös?

Kaikkeahan sitä voi kokeilla , mutta uskon enemmän Kyberturvallisuuskeskukseen kuin tuollaisiin salasanojen testaussovelluksiin.

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwi7l43ds6-CAxXTPhAIHYkPDrsQFnoECBcQAQ&url=https%3A%2F%2Fwww.kyberturvallisuuskeskus.fi%2Fsites%2Fdefault%2Ffiles%2Fmedia%2Ffile%2FSalasanat_haltuun.pdf&usg=AOvVaw3nT1d-5-wJIDccFnZhb4uT&opi=89978449

En ala näin typeriin asioihin edes kommentoimaan mitään sen enempiä. Matematiikka on matematiikkaa ja googlella voit hakea tietoa siitä, miten tietoturvan ammattilaiset nimenomaan kehoittavat käyttämään salasanojenhallintaohjelmistoa ja eri salasanoja eri paikoissa. Ihan omin silmin näit esimerkissäni mikä oli samanmittaiset salasanan ja salalauseen vahvuus, aivan turha inttää siitä mitään. Itse asiassa nykyään suositellaan käyttämään Fido2 salasanojen sijasta, mutta jos siis salasanoja on pakko käyttää… Tuo julkaisu on tarkoitettu pentti peruserkille, joka ei tajua mistään mitään ja on sisällöltään hyvin alkeellista roskaa.

Juu se kyllä onnistuu. Eikä mikään estä tallentamasta kassakaappiin varmuuden vuoksi.

Itse asiassa ole jo ehdottanut jossakin ketjussa , en muista oliko tässä , että operaattorit ja muutkin voisivat jakaa palvelut kahteen kategoriaan eli alemmilla oikeuksilla voi tietojaan katsella ja vai vahvalla tunnistautumisella pääsisi niitä sopimuksiaan muuttamaan.

Mitä te oikein soittelette operaattorille monta kertaa vuodessa? Itsellä ei olisi mitään tarvetta asioida heikäläisten kanssa, varsinkaan puhelimella, jos liittymän hinta ei olisi määräaikainen ja kunnollisen tarjouksen saa vain juttelemalla myyjän kanssa.

Josta päästään siihen, kuka noita salasanoja muistaa vuosien takaa, edes niiden olemassaoloa. Tietokoneet vaihtuu, ohjelmistot vaihtuu ja operattorin systeemit vaihtuu. Laita tällä kertaa yhden systeemin mukaiset jutut kuntoon, ja seuraavalla kerralla samaa yrittäessäsi huomaat, että systeemi on muuttunut ja homma pitää aloittaa alusta. Tätä kun teet muutaman kerran (eri tahoille), alkaa tavalliset yleispätevät menetelmät tuntua ihan kivoilta.

Eipä ole ollut tarvetta soitella Elisalle järin usein. Muistelen , että viimeksi sellaiseen sorruin vuonna 2015. Eivät kyllä soittele Elisaltakaan , kun olen kieltänyt kaiken puhelimitse yhteydenoton ja se puhelin , missä yhteysnumero on , on 99,9% ajasta kiinni.

Oma Elisassa käyn kurkkaamassa muutaman kuukauden välein ihan vain uteliaisuuttani.

Jos sellainen tilanne tulee , että ihan oikeasti pitää Elisaan ottaa yhteyttä , niin raapustelen sitten viestin ja lähetän , vaan ei ole tarvinnut sitäkään tehdä edes joka vuosi.