Pankkikortilla ostoksia maksettaessa tunnusluvun näppäileminen kassalla huonontaa asiakkaan tietoturvaa merkittävästi allekirjoitukseen nähden. Lisäksi riski siirtyy luottoyhtiöltä, pankilta ja kaupalta asiakkaalle, jos kortti varastetaan ja sitä käytetään väärin. Siksi allekirjoituksesta tunnuslukuun siirtyminen on erittäin huono idea. Tämä asia on niin päivänselvä, että jos tietoturva-asiantuntija väittää päinvastaista, hänen täytyy olla todella pihalla, tai kännissä.
Seuraavassa hieman rautalangan vääntöä asiasta. Jos tämän jälkeen on vielä vaikeuksia ymmärtää asiaa, Huuhkaja suosittelee logiikan perusteiden kurssia avoimessa yliopistossa.
Mitä useammin tunnuslukua käytetään julkisella paikalla, sitä suuremmaksi kasvaa riski, että tunnusluku joutuu sivullisten tietoon.
Kaupan kassalla kassi toisessa kädessä tunnusluvun peittäminen ei ole lainkaan niin triviaalia kuin pankkiautomaatilla, joka on upotettu seinään ja jonka sivuilla on näkösuojat.
Tunnusluvulla, jonka asiakas on joutunut naputtelemaan kassalla maksaakseen muutaman euron ruokaostokset, rikollinen pääsee käsiksi tiliin, jolla saattaa olla rahaa tuhansia euroja. Pelkästään tunnusluvulla hän voi nostaa näitä rahoja pankkiautomaatilta. Hänen ei tarvitse asioida ihmisen kanssa, allekirjoittaa mitään tai todistaa henkilöllisyyttään. Lippis ja aurinkolasit vaan päähän ja automaatille. Turvallisempaa olisi jopa olla pyytämättä mitään tunnistusta alle 50 euron ostoksissa, kuin pyytää naputtelemaan tuhansien eurojen arvoinen tunnusluku.
Asiakas ei voi mitenkään tietää, onko kortinlukija oikea kortinlukija, vai elektroniikka-erkin modaama urkintalaite, joka tallentaa jokaisen näppäimen painalluksen, siis tunnusluvun. Asiakas näkee laitteesta vain kuoret eikä voi tietää mitä se pitää sisällään.
"Voi pankkiautomaattejakin väärentää, ja niin on tehtykin!"
Niinpä. Kuvitella miten paljon helpompaa ja riskittömämpää on väärentää taskukokoinen kortinlukijalaite.
"Mutta allekirjoituksen voi väärentää!"
Totta. Mutta allekirjoituksella ei voi nostaa rahaa pankkiautomaatista tuhansia euroja. Tunnusluvulla voi. Pelkällä allekirjoituksella ei voi kaupastakaan ostaa yli 50 euron ostoksia, tai väärinkäytös on kauppiaan vastuulla, jos hän ei kysynyt henkilöllisyystodistusta. Nyt väärinkäytös on asiakkaan vastuulla, joka pöljyyksissään on joutunut varkauden uhriksi. Se idiootti.
On aivan perverssiä siirtää vastuu kortin väärinkäytöstä asiakkaalle, ja samalla pakottaa hänet syytämään tunnuslukuaan joka paikkaan, mikä heikentää oleellisesti hänen mahdollisuuksiaan pitää tunnusluku salassa.
"Mitäs valitat, ainahan voit ravata nostamassa rahaa ja maksaa käteisellä!"
Paremmasta menetelmästä A (allekirjoitus) siirtymistä huonompaan menetelmään B (tunnusluku) ei voi koskaan perustella sillä, että B:stä seuraavat ongelmat pystyy jollain erillisellä säädöllä kiertämään. Tätä samaa urpologiikkaa esiintyy hyvin usein muidenkin asioiden yhteydessä, ihan isojen ihmisten toimesta.
"Mutta magneettiraita on helpompi väärentää kuin siru!"
Tämä taas ei liity mitenkään siihen, pyydetäänkö tunnistus allekirjoituksella, tunnusluvulla, henkilöllisyystodistuksella vai ei lainkaan. Sirun ns. parempi tietoturva ei hyödytä mitään, kun jatkuva tunnusluvun naputteleminen vain lisää väärinkäytön riskiä. Suunnilleen yhtä hyödyllistä on esimerkiksi rakentaa äänieristävä ovi paperinohueen seinään ja ottaa materiaali oveen seinästä. Lopputuloksena äänieristys huononee.
Ja tämä on vasta alkua:
http://www.hs.fi/kaupunki/artikkeli/Taksinkuljettaja+nosti+1 700+euroa+asiakkaan+unohtamalla+pankkikortilla/1135242118731
"Mutta taksikuski jäi kiinni!"
Kieltämättä urposti toimittu. Valitettavasti kaikki rikolliset eivät ole yhtä typeriä.
"Mutta asiakas oli kännissä, oma moka!"
Niin! Juuri se olikin tämän jutun ydin ja opetus! Muistakaa lapset, älkää ikinä maksako mitään kortilla kännissä, ja älkää sitäpaitsi ikinä olko kännissä!
Huuhkaja toivottaa raittiita joulunpyhiä kaikille! Toivottavasti lompakkoasi ei pöllitä.
