Vihreät haluaa henkilötunnuksesta sukupuolineutraalin

[Tommi Salminen]

Oikean tunnistautumismenetelmän puuttuminen ei pitäisi olla peruste sallia asiointi ilman tunnistautumista (kuten sanomalla henkilötunnuksensa puhelimessa). Sen pitäisi tarkoittaa, että asiointi ei onnistu.

[Siili]

Miten puhelimitse voisi vahvasti tunnistaa soittajan, niin ettei olisi teknisesti liian hankala tavalliselle ihmiselle? Sellainen keino mikä ei vaadi ostamaan mitään ihme aparaatteja tai kortteja. Varmennukseen tarvitaan luotettu 3. taho, eikä varmennukseen saa päästä väliin.

Mobiilivarmennehan on jo nykyään käytössä pankkitunnuksen tilalla.  Itse olen käyttänyt sitä lähinnä nettiasioinnin yhteydessä, mutta oletan, että sitä voisi käyttää hyväksi myös silloin, kun ollaan pelkässä puhelinyhteydessä.  Toki tarvitaan älypuhelin ja jonkin sortin nettiliittymä, mutta oletan, että moinen on jo enemmistöllä suomalaisista.

Ei kai ole teknisesti ylivoimaista järjestää systeemi, jossa puhekumppanien niin toivoessa palveluntarjoajat viestivät henkilötiedot, jotka ovat heidän rekisterissään kytkettyinä osapuolten numeroihin?  Salattujen numeroiden kohdalla homma ei tietenkään onnistu, mutta se ei liene kovin suuri ongelma.   

Homma vaatii tietenkin sen, että mobiilivarmennetta käyttävää puhelinnumeroa myöntäessään palveluntarjoaja varmistuu huolellisesti henkilötietojen paikkaansapitävyydestä.  Tuo prosessi tarvitsee käydä läpi harvoin, joten se voi olla vähän raskaampikin. 

[haermae]

... kehitetty isolla rahalla jo yli kymmenen vuotta ainakin. Olisiko jo 20 vuotta kehitystä täynnä. Valmista ei tietenkään tule. Yhtenä ongelmana on se että tyypilliseen virkamiestyyliin homma lähti ns. lapasesta ja siitä tehtiin aivan liian kunnianhimoinen, kaikki maailmat syleilevät Mammuttiprojekti. ... Mikä tekee kansalaisvarmenteesta lähinnä vitsin.

"Sähköistä kansalaistunnistetta Suomessa alettiin kehittää jo hyvin aikaisessa vaiheessa.  ...kansalaisvarmennejärjestelmä salasanoineen, jossa kansalainen olisi päässyt käyttämään viranomaispalveluja tietokoneella liittämällä usb-porttiin kortinlukijan. Käyttö lienee ollut vaatimatonta.
..."

https://www.ts.fi/lukijoilta/5120214/Suomeen+tarvitaan+toimiva+ja+turvallinen+kansalaistunniste

Mielipidekirjoittaja on väärässä tuossa että sähköinen tunnistaminen ulkoistetiin pankeille. Siinä vain kävi niin. Pankit olivat ketterämpiä ja tajusivat asiakkaiden tarpeet paremmin. Lisäksi pankkitunnistaumiselle oli luonnostaan vahva tarve joten tunnus tuli heti käyttöön.

Niinpä tietenkin, yksinkertaiseen ongelmaan mahdollisimman monimutkainen ratkaisu. Sisältäen ilman muuta kalliin laitteen, jota ilman tunnistautuminen ei toimi. 20 vuotta; siinähän on joku insinööri tehnyt koko työuransa yhden "projektin" parissa, ja jää kohta eläkkeelle samasta hommasta.
Ei ole tuostakaan innovaatiosta viime aikoina paljoa huudeltu. Luulin että koko ajatus olisi haudattu jo viime vuosikymmenellä.

Ihmettelenpä, miksei pankkien kätevää systeemiä ei voi kopioida sellaisenaan viranomaisasiointiin. Niille, joilla ei jostain syystä ole pankkitunnuksia. Onko pankeilla joku copyright-oikeus tunnistautumiseensa? Vai eikö Tieto ja muut valtion luottokumppanit saa tarpeeksi bisnestä noin yksinkertaisen toiminnon toteuttamisesta.

[haermae]

Ei kai ole teknisesti ylivoimaista järjestää systeemi, jossa puhekumppanien niin toivoessa palveluntarjoajat viestivät henkilötiedot, jotka ovat heidän rekisterissään kytkettyinä osapuolten numeroihin? ...   
Homma vaatii tietenkin sen, että mobiilivarmennetta käyttävää puhelinnumeroa myöntäessään palveluntarjoaja varmistuu huolellisesti henkilötietojen paikkaansapitävyydestä.  Tuo prosessi tarvitsee käydä läpi harvoin, joten se voi olla vähän raskaampikin.

Tämä palautuu suoraan hetun käytön ongelmiin tunnistautumisessa, eli ei toimi.
Jos on hallussa jonkun muun henkilön puhelin, voisi esiintyä ko. henkilönä soittelemalla tuolla puhelimella.

Vahvan tunnistamisen automatisointi liittämällä se johonkin laitteisiin ja/tai "käteviin sovelluksiin" tekee koko tunnistamisen tyhjäksi.
Samaan tapaan kuin tunnusten ja salasanojen tallentaminen selaimeen tekee niistä merkityksettömiä. Kuka tahansa laitteen käsiinsä saava voi kirjautua palveluihin talletettuja tietoja käyttämällä.

[Siili]

Tämä palautuu suoraan hetun käytön ongelmiin tunnistautumisessa, eli ei toimi.
Jos on hallussa jonkun muun henkilön puhelin, voisi esiintyä ko. henkilönä soittelemalla tuolla puhelimella.

Vahvan tunnistamisen automatisointi liittämällä se johonkin laitteisiin ja/tai "käteviin sovelluksiin" tekee koko tunnistamisen tyhjäksi.

On todella valitettavaa, että etäyhteydet vaativat jonkin sortin laitetta.  Mitenköhän tuon ongelman yli päästäisiin?

[haermae]

Vahvan tunnistamisen automatisointi liittämällä se johonkin laitteisiin ja/tai "käteviin sovelluksiin" tekee koko tunnistamisen tyhjäksi.

On todella valitettavaa, että etäyhteydet vaativat jonkin sortin laitetta.  Mitenköhän tuon ongelman yli päästäisiin?

Paino oli sanalla automatisointi. Tarkoittaen että tunnistus ei saa tapahtua ilman että käyttäjä näpyttelee jotain vain hänen tiedossaan olevaa kolmannen osapuolen vahvistettavaksi.

Nykyään näyttää olevan muotia tehdä asioista liian helppoja väärinkäytöksille. Esim. jos saat jonkun puhelimen lukituksen avattua (sikäli kun jotain pyyhkäisyä kummempaa on edes otettu käyttöön), sen jälkeen kaikki on käytettävissäsi. Koska tunnukset ja salasanat on valmiiksi talletettu niihin käteviin sovelluksiin.

Ylempänä esitinkin puhelinasiointiin yhden yksinkertaisen vahvan tunnistamisen mahdollisuuden, jonka käyttöön käyttäjä ei tarvitse erityisiä laitteita eikä ohjelmia.

[Ajatolloh]

Ihmettelenpä, miksei pankkien kätevää systeemiä ei voi kopioida sellaisenaan viranomaisasiointiin. Niille, joilla ei jostain syystä ole pankkitunnuksia. Onko pankeilla joku copyright-oikeus tunnistautumiseensa? Vai eikö Tieto ja muut valtion luottokumppanit saa tarpeeksi bisnestä noin yksinkertaisen toiminnon toteuttamisesta.

En tiedä syytä, mutta arvella voin. Kyseinen projekti olisi suoraan uhannut tuota Kansalaisvarmenne™ hanketta eli jonkun virkakyöstin ja -pirkon leipä olisi ollut uhattuna.

Ruotsissa pankit toteuttivat omista järjestelmistään riippumattoman tunnistautumisen. Se tehtiin sertifikaattipohjaisena, mutta älyttiin jättää softasertipohjaiksi. Näin ulkopuolista kortinlukijaa ei sentään tarvittu. Järjestelmä on siellä pikkuhiljaa yleistynyt de-facto-tunnistautumismenetelmäksi myös viranomaisasiointiin. Teknologian sais vissiin rahalla ostaa Ruottista, niin minä sen ainakin tuosta verkkosivusta päättelen kun on englanniksikin tietoa.

https://www.bankid.com/en/

[Siili]

Paino oli sanalla automatisointi. Tarkoittaen että tunnistus ei saa tapahtua ilman että käyttäjä näpyttelee jotain vain hänen tiedossaan olevaa kolmannen osapuolen vahvistettavaksi.

Nykyään näyttää olevan muotia tehdä asioista liian helppoja väärinkäytöksille. Esim. jos saat jonkun puhelimen lukituksen avattua (sikäli kun jotain pyyhkäisyä kummempaa on edes otettu käyttöön), sen jälkeen kaikki on käytettävissäsi. Koska tunnukset ja salasanat on valmiiksi talletettu niihin käteviin sovelluksiin.

Puhelimen ja SIM-korttien PIN-koodien ideana on, että ne ovat vain käyttäjän tiedossa.  Sen naputtaminen on ensivaiheen tunnistautumista ja edellytys sille, että pääsee käyttämään omaa palveluntarjoajaa. Kolme hutia, ja puhelin hiljenee. PIN-koodin vaihtoehtona on puhelimen sormenjälkitunnistus.  Kuinka todennäköistä on näiden murtaminen, jos puhelimen käyttäjä noudattaa edes rudimentaarisia tietosuojatoimenpiteitä, niin normaalikäytössä kuin puhelimen kadotessa? 

Minusta suurin ongelma on sen varmistaminen, että asiakkaan henkilötiedot palveluntarjoajan (tai muun 3. osapuolen) rekisterissä pitävät paikkansa.  Kusetus on mahdollista, etenkin jos tietojen kerääjien tausta on epämääräinen (esim. puhelinfirman kesäapulainen).  Siksi varmennukseen on kiinnitettävä erityistä huomiota siinä vaiheessa, kun henkilötietoja tallennetaan 3. osapuolen rekisteriin.   

[Nuivinator]

Puhelimella autentikointiin liittyen.

Mielestäni ainoa oikea järjestys puhelimen bootissa on kysyä puhelimen lukituksen avaavaa koodia, ja jos se menee läpi, niin sitten sim-kortin pin-koodia. Äkkipäätään ei tule mieleen kuin Nokian N900 missä on toteutettu tuossa järjestyksessä. Jos pin-koodia kysytään ensimmäisenä, jonkun vihamielisen tahon tai vaikka ymmärtämättömän lapsen on hyvin helppo tehdä palvelunestohyökkäys, jos saa sen puhelimen fyysisesti käsiinsä hetkeksi.

Olen kerran tuollaisen uhriksi joutunut, asian ratkaisu vaati soiton teleoperaattorilleni, jonkun toisen ihmisen puhelimesta toki.

[ikuturso]

Koska 2000-luvulle siirryttäessä välimerkiksi on otettu myös kirjain A "-" ja "+"-merkkien lisäksi, niin yhtä hyvin voitaisiin tilapäiset hetut tunnistaa välimerkillä T (tilapäinen, temporary) ja antaa numeroavaruus 900-999 yleiseen käyttöön.

Semmonen pieni knoppitieto, että "+"-merkki tarkoittaa 1800-luvulla syntynyttä, "-"-merkki 1900-luvulla syntynyttä ja "A" 2000-luvulla syntynyttä.

Jos olet syntynyt 1.3. vuonna -10, henkilötunnuksesi on vuosisadasta riippuen joko

010310+xxxx (1800-luku)
010310-xxxx (1900-luku), tai
010310Axxxx (2000-luku).

Niin. Sanoin, että nyt on otettu A-kirjain noiden plussan ja miinuksen lisäksi käyttöön, joten yhtä hyvin voitaisiin ottaa T-kirjain käyttöön, koska tokko tämä systeemi elää vielä 19 vuosisataa, jolloin olisi T:n vuoro...

-i-

[Paju]

Miten puhelimitse voisi vahvasti tunnistaa soittajan, niin ettei olisi teknisesti liian hankala tavalliselle ihmiselle? Sellainen keino mikä ei vaadi ostamaan mitään ihme aparaatteja tai kortteja. Varmennukseen tarvitaan luotettu 3. taho, eikä varmennukseen saa päästä väliin.

Mobiilivarmennehan on jo nykyään käytössä pankkitunnuksen tilalla.  Itse olen käyttänyt sitä lähinnä nettiasioinnin yhteydessä, mutta oletan, että sitä voisi käyttää hyväksi myös silloin, kun ollaan pelkässä puhelinyhteydessä.  Toki tarvitaan älypuhelin ja jonkin sortin nettiliittymä, mutta oletan, että moinen on jo enemmistöllä suomalaisista.

Ei kai ole teknisesti ylivoimaista järjestää systeemi, jossa puhekumppanien niin toivoessa palveluntarjoajat viestivät henkilötiedot, jotka ovat heidän rekisterissään kytkettyinä osapuolten numeroihin?  Salattujen numeroiden kohdalla homma ei tietenkään onnistu, mutta se ei liene kovin suuri ongelma.   

Homma vaatii tietenkin sen, että mobiilivarmennetta käyttävää puhelinnumeroa myöntäessään palveluntarjoaja varmistuu huolellisesti henkilötietojen paikkaansapitävyydestä.  Tuo prosessi tarvitsee käydä läpi harvoin, joten se voi olla vähän raskaampikin.

Ylempänä ketjussa on viitattu siihen, miten pankit ovat toteutuneet puhelintunnistautumisen jo ennen älypuhelimia. Väittäisin, että toimi (digitaalisella) lankalittymälläkin.

Välttämätön osa tunnistautumista on pankin tunnusluku, oli se sitten pahvikortti, erillinen laite tai kännykkäsovellus, muuta ei tarvita. Puhelu alkaa nauhoitteella, joka pyytää näppäilemään pankin asiakasnumeron ja tunnusluvun. Vasta sitten puhelu yhdistetään asiakaspalveluun. Jokainen, jolla on pankkitunnukset, voi soittaa pankkiinsa ja kokeilla, miten homma toimii.

En tiedä, miksi tätä palvelua ei ole laajennettu muiden yritysten ja viranomaisten saataville, toisin kuin nettitunnistautumista.Tekniikka on ollut olemassa iät ja ajat.

[Ajatolloh]

Puhelimen ja SIM-korttien PIN-koodien ideana on, että ne ovat vain käyttäjän tiedossa.  Sen naputtaminen on ensivaiheen tunnistautumista ja edellytys sille, että pääsee käyttämään omaa palveluntarjoajaa. Kolme hutia, ja puhelin hiljenee. PIN-koodin vaihtoehtona on puhelimen sormenjälkitunnistus.

Puhelimen tai SIM-kortin PIN-koodit eivät täytä vahvan sähköisen tunnistamisen laissa asetettuja ehtoja, joten niiden päälle asiaa ei voi perustaa.

PIN-koodihan voi olla jätetty 0000:ksi tai 1234:ksi - tai otettu kokonaan pois käytöstä. Sama koskaa puhelimen PIN-koodia.

Yleensä asia on ratkaistu niin, että pankkisovelluksessa on oma koodikyselynsä tai sormenjäljen skannauskoodinsa, jolla varmistetaan että lain minimivaatimukset täyttyvät.

Laki sähköisestä tunnistamisesta on pakottavaa lainsäädäntöä ja tulee alunperin Brysselistä, joten sitä et muuta, sitä et kierrä mitenkään. Se on kuin nämä muutkin direktiivit: sitä on vain noudetatteva ja kukaan ei tiedä miten siitä pääsisi eroon, jos olisi tarvis.

[Roope2]

Hesarin otsikko:

Suomi ryhtyy ajamaan sukupuolineutraalia henkilötunnusta – yksi tavoitteista ehkäistä tunnuksen käyttöä tunnistautumisessa


Tekstistä:

Muutostarpeiksi kerrotaan se, että uusia henkilötunnuksia riittää jatkossa...


https://www.hs.fi/politiikka/art-2000007653800.html




Eikö ongelmamme olekkaan, että pääluku vähenee (sarkasmia), vai varaudutaanko jo väestönvaihtoon ja uusiin elintapohin?

[Huppupelikaani]

Kepulit pari kuukautta sitten Suomenmaa.fi:ssä:

Keskustan eduskuntaryhmä ei hyväksy henkilötunnusten uudistamista sukupuoli- ja syntymäaikaneutraalisti. Asiasta kertoo ryhmäpuheenjohtaja Antti Kurvinen Twitterissä.

KURVISEN MUKAAN eduskuntaryhmä keskusteli asiasta tänään.

– Hetu-uudistus ei ole perusteltu tässä tilanteessa. Kustannukset liian suuret hyötyihin nähden ottaen huomioon Suomen vakava koronatilanne, työllisyys- ja talousongelmat, Kurvinen tviittaa.

Kurvisen mukaan mahdollinen uudistus on toteutettava pienempänä.

– Syy, miksi uudistus on laitettu liikkeelle on se, että jollakin aikavälillä niistä tunnuksista tulee uupeloa. Ja sitten on ollut tämä ulkosuomalaisten kysymys ja maahanmuuttajien kysymys, Kurvinen selvittää Suomenmaalle.

Kurvisen mukaan jonkinlaiselle uudistukselle on ollut tarvetta, mutta esitetty versio, jossa kaikki tunnukset muuttuisivat, tulee liian kalliiksi yhteiskunnalle.

– Tässä tilanteessa ei pidä luoda yrityksille tarpeettomia kustannuksia, hän perustelee.

———

Onko Kurviselta tai muilta vihervasemmiston aisuripuolueesta kuulunut kommenttia? Edes kiemurtelevaa ja asian vierestä?

[HDRisto]

Onko tulossa yhteinen EU-henkilötunnus kun riittävyydestä ollaan huolissaan?.

[migri]

Onko tulossa yhteinen EU-henkilötunnus kun riittävyydestä ollaan huolissaan?.

Tulevat ottamaan Kiinasta oppia ja heidän pisteytysjärjestelmästään... Siihen suuntaan on kiima kova.

[Bellerofon]

Kepulit pari kuukautta sitten Suomenmaa.fi:ssä:

Keskustan eduskuntaryhmä ei hyväksy henkilötunnusten uudistamista sukupuoli- ja syntymäaikaneutraalisti. Asiasta kertoo ryhmäpuheenjohtaja Antti Kurvinen Twitterissä.

KURVISEN MUKAAN eduskuntaryhmä keskusteli asiasta tänään.

– Hetu-uudistus ei ole perusteltu tässä tilanteessa. Kustannukset liian suuret hyötyihin nähden ottaen huomioon Suomen vakava koronatilanne, työllisyys- ja talousongelmat, Kurvinen tviittaa.

Kurvisen mukaan mahdollinen uudistus on toteutettava pienempänä.

– Syy, miksi uudistus on laitettu liikkeelle on se, että jollakin aikavälillä niistä tunnuksista tulee uupeloa. Ja sitten on ollut tämä ulkosuomalaisten kysymys ja maahanmuuttajien kysymys, Kurvinen selvittää Suomenmaalle.

Kurvisen mukaan jonkinlaiselle uudistukselle on ollut tarvetta, mutta esitetty versio, jossa kaikki tunnukset muuttuisivat, tulee liian kalliiksi yhteiskunnalle.

– Tässä tilanteessa ei pidä luoda yrityksille tarpeettomia kustannuksia, hän perustelee.

———

Onko Kurviselta tai muilta vihervasemmiston aisuripuolueesta kuulunut kommenttia? Edes kiemurtelevaa ja asian vierestä?

Taloudellinen tilanne lienee parantunut, kun KePu käänsi takkinsa. <huutonaurua> Jos websters dictionaryyn haettaisiin kuvaa termillä "usefull idiot", niin linkin voisi varmaan suoraan heittää kepun instaan.
Henkilökohtaisesti ihailen uskollisten kepulaisten uskoa siihen, että heidän puolueellaan olisi jokin tavoite tai tahtotila tai ylipäätään jokin periaateohjelma. Monen usko olisi pettänyt kymmenien takinkääntöjen ja silmille kusemisen jälkeen, mutta kovimmat 7%-kerholaiset pysyvät aina ja ikuisesti. Suosittelen tutustumaan Blåkläder-vaatteiden valikoimaan, sillä niin kylmää ja kovaa kyytiä on taas tulossa puolueelta kestettäväksi.

[haermae]

Nykyään näyttää olevan muotia tehdä asioista liian helppoja väärinkäytöksille. Esim. jos saat jonkun puhelimen lukituksen avattua (sikäli kun jotain pyyhkäisyä kummempaa on edes otettu käyttöön), sen jälkeen kaikki on käytettävissäsi. Koska tunnukset ja salasanat on valmiiksi talletettu niihin käteviin sovelluksiin.

Puhelimen ja SIM-korttien PIN-koodien ideana on, että ne ovat vain käyttäjän tiedossa.  Sen naputtaminen on ensivaiheen tunnistautumista ja edellytys sille, että pääsee käyttämään omaa palveluntarjoajaa. Kolme hutia, ja puhelin hiljenee. PIN-koodin vaihtoehtona on puhelimen sormenjälkitunnistus.  Kuinka todennäköistä on näiden murtaminen, jos puhelimen käyttäjä noudattaa edes rudimentaarisia tietosuojatoimenpiteitä, niin normaalikäytössä kuin puhelimen kadotessa? 

Minusta suurin ongelma on sen varmistaminen, että asiakkaan henkilötiedot palveluntarjoajan (tai muun 3. osapuolen) rekisterissä pitävät paikkansa.  Kusetus on mahdollista, etenkin jos tietojen kerääjien tausta on epämääräinen (esim. puhelinfirman kesäapulainen).  Siksi varmennukseen on kiinnitettävä erityistä huomiota siinä vaiheessa, kun henkilötietoja tallennetaan 3. osapuolen rekisteriin.   

PIN-koodista ei ole tunnistamisen välineeksi (kuten aiempi vastaaja jo perustelikin).
Sormenjälki on vielä huonompi, eikä sitä missän tapauksessa pidä käyttää tunnistamiseen. Sen kun saa kopioitua väärinkäyttöön vaikka siitä löytämänsä tai varastamansa puhelimen näytöstä. Luotettavuus on samaa tasoa kuin hyväksymällä samanlainen pipo todisteeksi henkilöllisyydestä.

Tunnistamista ei yleensäkään voi jättää sen varaan, että keskiverto kansalainen, l. tietotekninen ummikko, on tehnyt jotain tiettyjä asetuksia käyttämäänsä laitteeseen (PIN-koodin kysely, näytön lukitus, ...).

Omassa mallissani varmennuksen tekevä 3-osapuoli olisi VRK (väestörekisterikeskus, tai mikä digi-digi-virasto nykyään lieneekään). Sen rekisterien voinee olettaa olevan ajan tasalla.

Firmojen rekisterien tiedoissa täytyy nimen, osoitteen jne. tietenkin olla oikein kirjoitettu, jotta niitä voi käyttää VRK-varmennukseen.
Ei oikeastaan ole väliä, vaikka joku onnistuisikin luomaan asiakkuuden väärillä henkilötiedoilla, koska tuota asiakkuutta ei voi myöhemmin väärinkäyttää mitenkään. Aina asioinnin aluksi tehtävä vahva tunnistus paljastaisi huijarin heti.

[haermae]

Ylempänä ketjussa on viitattu siihen, miten pankit ovat toteutuneet puhelintunnistautumisen jo ennen älypuhelimia. Väittäisin, että toimi (digitaalisella) lankalittymälläkin.

Välttämätön osa tunnistautumista on pankin tunnusluku, oli se sitten pahvikortti, erillinen laite tai kännykkäsovellus, muuta ei tarvita. Puhelu alkaa nauhoitteella, joka pyytää näppäilemään pankin asiakasnumeron ja tunnusluvun. Vasta sitten puhelu yhdistetään asiakaspalveluun. Jokainen, jolla on pankkitunnukset, voi soittaa pankkiinsa ja kokeilla, miten homma toimii.

En tiedä, miksi tätä palvelua ei ole laajennettu muiden yritysten ja viranomaisten saataville, toisin kuin nettitunnistautumista.Tekniikka on ollut olemassa iät ja ajat.

Asiakasnumeron olen johonkin palveluun naputellut, mutta en mitään tunnuslukuja. Nauhoite halusi as.nron asioinnin nopeuttamiseksi. Tuo on eri asia kuin vahva tunnistautuminen.

Jos ties mihin puhelinpalveluihin pitäisi tunnistautua näppäilemällä pankkitunnukset ja vaihtuva tunnusluku, niin olisipa taivas auki kaikille maailman huijareille.

Toimisi toisinkin päin. Huijari voisi soittaa "vakuutusyhtiöstä" tavikselle, ja vaatia aluksi "viranomaisten ja EU:n vaatiman" vahvan tunnistuksen takia pankkitunnukset ja vaihtuvan tunnusluvun. Aika moni kertoisi. Koska kertovat nykyäänkin.

Tunnistautumista ei pidä tehdä sen tahon kanssa mihin ollaan yhteydessä, vaan riippumatoman ja luotetun 3-osapuolen kanssa.

[haermae]

Hesarin otsikko:
Suomi ryhtyy ajamaan sukupuolineutraalia henkilötunnusta – yksi tavoitteista ehkäistä tunnuksen käyttöä tunnistautumisessa
Tekstistä:
Muutostarpeiksi kerrotaan se, että uusia henkilötunnuksia riittää jatkossa...
https://www.hs.fi/politiikka/art-2000007653800.html

Eikö ongelmamme olekkaan, että pääluku vähenee (sarkasmia), vai varaudutaanko jo väestönvaihtoon ja uusiin elintapohin?

*huokaus*
Ikäänkuin se hetun merkkijonon muuttaminen eri näköiseksi jotenkin estäisi hetun käyttämistä tunnistamiseen.

Hetun käyttäminen tunnistamiseen loppuu kun se kielletään lailla, ja määrätään hetua tunnistamiseen käyttävät yritykset tuntuviin vahingonkorvauksiin aina kun hetua väärinkäytetään. Ei ennemmin.

Hetun rakenteen muuttamisen tarkoitus on/oli helpottaa sen vaihtamista uuteen väärinkäytön sattuessa. Ja toissijaisesti tarjota niille kolmelle sukupuolestaan epävarmalle vihreiden kannattajalle mahdollisuus piilottaa epävarmuutensa.

Vähemmän on puhuttu sitä, miksi hetussa pitää näkyä syntymäaika. Omasta mielestäni siihen ei ole syytä. Esim. työnhaussa voisi 50+:lle olla etua siitä, ettei hakemusta raakattaisi roskiin saman tien synt.ajan/hetun tsekkaamisen jälkeen.

Nykyisen mallisten hetujen loppuminen tulee väestönvaihdon edetessä luultavimmin olemaan ihan todellinen ongelma: kun jokaisella Suomeen lonnivalla matulla on 3-10 eri henkilöllisyyttä, hetut loppuvat ennen pitkää. Voi tosin olla, että taikaseinä ehtyy nopeammin.

[Radio]

Toimivaan järjestelmään, jonka kaltainen on myös Ruotsissa, puuttuminen on saatanallisen turha, kallis ja typerä temppu. Siirtolaisten ja sukupuolestaan arkojen vähemmistöjen iloksi kaavailtu "uudistus" tasa-arvon nimissä on toki ainutlaatuinen diktatuurimme vahvistamisessa. Pohjoismaiden neuvosto esitti 3 vuotta sitten yhteispohjoismaista tunnusta. Siinä voisi olla jotain järkeäkin. Suomalainen SETA-tunnus on mielipuolinen idea!
Muutoinkin yleistunnus kaikkiin palveluihin tunnistautumiseen on tietoturvan kannalta painajainen. Sen paljastuminen olisi katastrooffi yksilölle. Hackerit ja Crackerit iloitsevat.
Saksassa henkilötunnusta pidettiin pitkään merkkinä natsismista. Saksalaisessa passissa ei ole henkilölle numeroa. Vielä, sielläkin väännetään nyt  id-systeemiä neljännen valtakunnan tarpeisiin. Englannissa on pidetty ihmisten nmerointia yksilön vapautta ja liikkuvuutta rajoittavana. Kas ihmettä!
Onko tästä enää pitkä loikka EU-tunnukseen, joka sirutetaan vastasyntyneeseen. Entäs siirtolaiset? Näppärä valvontakeino, Orwellia heh.
Passikin on keksitty, ja meille juuri myyty henkilkortti otettu käyttöön (ajokortti ei kelpaa). Seurataan nyt suuren isoveljemme Merkeleen Saksan uudistusta, sikäläisten suurinta it-hanketta koskaan.

[Sikanez]

Suomessakin on ollut erittäin pitkäikäisiä kuolinpesiä. Käsittääkseni ainakin 1800-luvulla syntyneiden kuolinpesiä saattaa olla edelleen oikeushenkilöinä olemassa, ja vaikka voinkin olla väärässä voi olla että ainakin äskettäin oli myös ehkä jopa 1700-luvulla syntyneen Fiskarsin erään omistajan kuolinpesä merkittävä tulonsaaja. Mikäköhän välimerkki sellaisella näissä järjestelmissä mahtaisi olla?

Onko kuolipesille annettu jälkikäteen hetuja? Vanhan työkaverini isä kuoli ennen kuin oli saanut hetun (ehkä 1972). Omisti HPY:n puheliosuuden. Siinä olikin byrokratiaa, kun paperi piti aikanaan muuttaa Elisan osakkeiksi ilman, että omistajalla oli hetua.

[Paju]

Ylempänä ketjussa on viitattu siihen, miten pankit ovat toteutuneet puhelintunnistautumisen jo ennen älypuhelimia. Väittäisin, että toimi (digitaalisella) lankalittymälläkin.

Välttämätön osa tunnistautumista on pankin tunnusluku, oli se sitten pahvikortti, erillinen laite tai kännykkäsovellus, muuta ei tarvita. Puhelu alkaa nauhoitteella, joka pyytää näppäilemään pankin asiakasnumeron ja tunnusluvun. Vasta sitten puhelu yhdistetään asiakaspalveluun. Jokainen, jolla on pankkitunnukset, voi soittaa pankkiinsa ja kokeilla, miten homma toimii.

En tiedä, miksi tätä palvelua ei ole laajennettu muiden yritysten ja viranomaisten saataville, toisin kuin nettitunnistautumista.Tekniikka on ollut olemassa iät ja ajat.

Asiakasnumeron olen johonkin palveluun naputellut, mutta en mitään tunnuslukuja. Nauhoite halusi as.nron asioinnin nopeuttamiseksi. Tuo on eri asia kuin vahva tunnistautuminen.

Jos ties mihin puhelinpalveluihin pitäisi tunnistautua näppäilemällä pankkitunnukset ja vaihtuva tunnusluku, niin olisipa taivas auki kaikille maailman huijareille.

Toimisi toisinkin päin. Huijari voisi soittaa "vakuutusyhtiöstä" tavikselle, ja vaatia aluksi "viranomaisten ja EU:n vaatiman" vahvan tunnistuksen takia pankkitunnukset ja vaihtuvan tunnusluvun. Aika moni kertoisi. Koska kertovat nykyäänkin.

Tunnistautumista ei pidä tehdä sen tahon kanssa mihin ollaan yhteydessä, vaan riippumatoman ja luotetun 3-osapuolen kanssa.

Nimenomaan vahvasta tunnistautumisesta  puhelinpankissa on kyse. Sen jälkeen saa muun muassa tarkat tilitietonsa tai voi sopia lainaerän nostosta. Ei pankin kanssa asiointia pysty nopeuttamaan asiakasnumerolla - ilman vahvaa tunnistautumista pankki ei edes ota kantaa, onko henkilöllä asiakassuhdetta.

Tunnistautuminen kolmannen osapuolen kanssa tapahtuisi kuten nyt verkossa. Eivät pankit ole luovuttaneet laajalle ja kaikenkarvaiselle yhteistyökumppaniverkostolleen asiakkaiden verkkopankkitunnuksia, vaan tunnistus tapahtuu pankin järjestelmässä. Puhelimessa tämä tapahtuisi samalla tavalla, nykyiset puhelinjärjestelmät ovat käsittääkseni varsin ketteriä.

Sinänsä totta, että soittajan on pystyttävä varmistumaan siitä, että tunnukset syötetään nimenomaan pankille - sama tilanne on netissä helpommin toteutettavissa. Ratkaisu voisi olla,  että sen sijaan, että puhelu ohjataan myyjäliikkeen kautta pankin tunnistuspalveluun, asiakas soittaisi suoraan pankin tätä tarkoitusta varten luotuun palvelunumeroon ja yksilöisi myyjäliikkeen pankille (pankin ja myyjäliikkeen välinen numerosarja, joka asiakkaiden saatavilla tms.).

Käytännössä toteuttamista saattaa estää puhelinkeskusten kapasiteetti, en tunne niiden tekniikkaa lainkaan.

E: Tuolta esimerkiksi löytyy tietoa Danske Bankin puhelinpankista: https://danskebank.fi/fi-fi/Henkiloasiakkaat/Verkkopankki/Pages/automaattinen-puhelinpalvelu.aspx . Tuo on automaatti, mutta myös henkilökohtaista pankkipalvelua on saatavilla puhelintunnistautumisella.

[haermae]

Sinänsä totta, että soittajan on pystyttävä varmistumaan siitä, että tunnukset syötetään nimenomaan pankille - sama tilanne on netissä helpommin toteutettavissa. Ratkaisu voisi olla,  että sen sijaan, että puhelu ohjataan myyjäliikkeen kautta pankin tunnistuspalveluun, asiakas soittaisi suoraan pankin tätä tarkoitusta varten luotuun palvelunumeroon ja yksilöisi myyjäliikkeen pankille (pankin ja myyjäliikkeen välinen numerosarja, joka asiakkaiden saatavilla tms.).

Tiedossa olevaan pankin puhelinpalvelun numeroon soittaessa pankkitunnus-tunnistaminen toimii, mutta mihin tahansa muuhun numeroon soittaessa huijaus on niin helppoa, että riski asiakkaalle on kestämätön.
Soittaja ei voi millään tietää, että puhelu todella siirtyy vähäksi aikaa pankin järjestelmään varmennusta varten.

Esitetyt lisävarmennukset yrityskohtaisine etsittävine ja muistettevine koodeineen puolestaan mielestäni monimutkaistavat toimenpidettä liikaa. Käytettävyys kärsii. Numeroita riittää naputeltaviksi. Periaatteessa puheentunnistustakin voisi käyttää, mutta joka paikassa ei välttämättä halua huudella pankkitunnuksiaan ääneen. Jos kohdeyrityksen aspa ei vastaakaan varmennuksen jälkeen puhelua siirrettäessä, joutuu aloittamaan koko ruljanssin alusta.

Oma, aiemmin esittämäni idea on käyttää nettiä ja luotettua 3:tta osapuolta puhelinasioissa tapahtuvaan tunnistamiseen. Ei vaatisi kummoisia muutoksia olemassaoleviin järjestelmiin.

- Henkilö H menee selaimella (tai tarkoitukseen tehdyllä puhelimen sovelluksella) tunnistus.fi:n "tunnistus puhelimitse" -sivulle ja soittaa sitten firman X aspaan, vaikka operaattorille.
- H: Täällä H, tarvisin xxxxx.
- A: Saanko vielä nimi, hetu, osoite. Kiitos.
- Aspa hakee asiakkaan tiedot järjestelmästä esille ja klikkaa Tunnista. Asiakkaan nimi ja hetu lähetetään tunnistus.fi:hin, joka palauttaa kertakäyttökoodin tunnistamiseen, esim. ABCDEF.
- A: Suoritetaan tunnistus, olkaa hyvä, koodi on ABCDEF.
- H näpyttelee Aspan antaman koodin tunnistus.fi:hin, jonka jälkeen tunnistus.fi kyselee pankkikoodit kuten netti-tunnistautumisessa. [käsin syötettynä tai automaagisesti sovelluksesta lähetettynä]
- Kun tunnistus onnistuu, Aspan näyttö kertoo tunnistuksen onnistuneen.
- H:n asia hoidetaan.

[DuPont]

Asiaan hieman liittyen, Ruotsissa ollaan taas edistyksellisiä:
https://pt-media.org/2020/11/30/ruotsin-voimisteluliitto-otti-edistysaskeleen-kuka-tahansa-voi-urheilla-missa-tahansa-joukkueessa/

Ruotsin voimisteluliitto katsoo tulevaisuuteen ja myöntää nyt luvan voimistelijoille kilpailla missä kilpailuluokassa haluavat, riippumatta mikä heidän juridinen sukupuoli on. Lupa koskee kaikkia voimistelijoita junioreista Ruotsin mestaruustasolle.

Voimisteluliiton yleispäällikkö Pelle Malmborg kertoo Dagens Nyheterille, että henkilöt, jotka tekevät tuollaisen elämänpituisen päätöksen [vaihtaa esim. sukupuolta] niin kohtaavat usein ennakkoluuloja.

– Me haluamme helpottaa heidän elämää ja tehdä edes jotain heidän hyväkseen.

Aiemmin Ruotsin SFSL (vr. SETA) suositteli, että lapset aina 18-vuotiaisiin asti saisivat itse valita ottavatko osaa urheiluun tyttöjen vai poikien joukkueessa. Voimisteluliitto otti toisin sanoen edistysaskeleen porrasta korkeammalle ja antaa nyt kenen tahansa kilpailla kummassa tahansa – naisten tai miesten joukueessa tai kilpailusarjassa.

Itse päätät "sukupuolesi"...

[Paju]

[..]
Oma, aiemmin esittämäni idea on käyttää nettiä ja luotettua 3:tta osapuolta puhelinasioissa tapahtuvaan tunnistamiseen. Ei vaatisi kummoisia muutoksia olemassaoleviin järjestelmiin.

- Henkilö H menee selaimella (tai tarkoitukseen tehdyllä puhelimen sovelluksella) tunnistus.fi:n "tunnistus puhelimitse" -sivulle ja soittaa sitten firman X aspaan, vaikka operaattorille.
- H: Täällä H, tarvisin xxxxx.
- A: Saanko vielä nimi, hetu, osoite. Kiitos.
- Aspa hakee asiakkaan tiedot järjestelmästä esille ja klikkaa Tunnista. Asiakkaan nimi ja hetu lähetetään tunnistus.fi:hin, joka palauttaa kertakäyttökoodin tunnistamiseen, esim. ABCDEF.
- A: Suoritetaan tunnistus, olkaa hyvä, koodi on ABCDEF.
- H näpyttelee Aspan antaman koodin tunnistus.fi:hin, jonka jälkeen tunnistus.fi kyselee pankkikoodit kuten netti-tunnistautumisessa. [käsin syötettynä tai automaagisesti sovelluksesta lähetettynä]
- Kun tunnistus onnistuu, Aspan näyttö kertoo tunnistuksen onnistuneen.
- H:n asia hoidetaan.

Tuossa perusongelma on, että netti on välttämätön. Mites mummot ja muut, joilla nettiä ei ole? Suurelta osin katoavaa kansanperinnettä, ehkä.

Vahva tunnistautuminen on lopulta tarpeen vain, kun uutta sopimusta tehdään, vanhaa muutetaan tai käsitellään arkaluonteista tietoa. Tietoturvasta toki täytyy huolehtia, esimerkiksi osoitetietoja ei pidä kertoa soittajalle. Mutta jos esimerkiksi kysyy laskun tietoja maksua varten, yksilöinnin luulisi riittävän.

[haermae]

Asiaan hieman liittyen, Ruotsissa ollaan taas edistyksellisiä:
https://pt-media.org/2020/11/30/ruotsin-voimisteluliitto-otti-edistysaskeleen-kuka-tahansa-voi-urheilla-missa-tahansa-joukkueessa/

Ruotsin voimisteluliitto katsoo tulevaisuuteen ja myöntää nyt luvan voimistelijoille kilpailla missä kilpailuluokassa haluavat, riippumatta mikä heidän juridinen sukupuoli on. Lupa koskee kaikkia voimistelijoita junioreista Ruotsin mestaruustasolle.

Itse päätät "sukupuolesi"...

Heh heh että ollaan taas viksuja.
Jos pojat/miehet ottavat tuosta kopin, yksikään tyttö/nainen ei ole enää ikinä mitaleilla missään voimistelun lajissa. Sittenkö on kaikilla hyvä mieli?
Miehillä nyt vaan on niin paljon paremmat fyysiset ominaisuudet, ettei naisilla ole mitään jakoa jos samaan sarjaan joutuvat kilpailemaan.

Mutta osataanpa sitä meilläkin. Syntymäaika on jo yhdelle väestöryhmälle omavalintainen ilmoitusasia, eipä siitä ole pitkä matka sukupuolenkaan vapaavalintaisuuteen.

Aikoja sitten oli Hommalla kuva jostain 12 v jalis-junnujoukkueesta, missä yksi pelaaja oli päätään pidempi _aikuista_valmentajaa_. Nahka oli ruskea ja todellinen ikä jossain 20:n tienoilla. Hyvä vahvistus varmasti joukkueelle, mutta eihän tuo ihan reilua ole.

[Outo olio]

Ruotsin voimisteluliitto katsoo tulevaisuuteen ja myöntää nyt luvan voimistelijoille kilpailla missä kilpailuluokassa haluavat, riippumatta mikä heidän juridinen sukupuoli on. Lupa koskee kaikkia voimistelijoita junioreista Ruotsin mestaruustasolle.

Minä olen 15-vuotias, ja voin todistaa sen. Minä haluan kilpailla painissa, tyttöjen sarjassa. Ei haittaa, vaikka häviäisinkin kaikki otteluni, urheilun ilo itsessään jo riittää minulle.

[Harpisti]

Tuosta voimistelusta sen verran (lajin tuomari kun olen) niin naisten puolella miehet pärjäisivät tottakai hyvin hypyssä ja nojapuilla; nämä vaativat eniten voimaa. Ja permannon volttipätkät tietenkin myös - mutta permannolla on myös vaatimuksena ns.voimistelullisia liikkeitä (dance elements) joita ei miesten voimistelussa tehdä eikä harjoitella. Näissä liikkeissä vaaditaan paljon notkeutta (hypyt (yli)spagaattiin ja erilaiset esim. baletista tutut piruetit, usein jalka ylhäällä pidettynä jnpp.). Puomilla sama juttu. Pari vuotta sitten leikiteltiin ajatuksella että naisten moninkertainen MM kultamitalisti Simone Biles (USA) kilpailisi omalla, huippuvaikealla sarjallaan miesten permannon. Vaikeus riittäisi keskitason+ suoritukseen (ja kaikki voimistelulliset osat olisivat arvottomia). Periaatteessa jos miesoletettu harjoittelesi "alusta lähtien" näitä naisten liikkeistä niin voisi onnistua mutta pitäisi tyypin kyllä olla erikoisen notkea; sillä normi naisvoimistelijallekin se notkeus on (yllättäen) niitä kaikkein vaikeimpia asioita harjoittaa mikäli luontaista lahjaa siihen ei ole.

[Nuivinator]

Ruotsin voimisteluliitto katsoo tulevaisuuteen ja myöntää nyt luvan voimistelijoille kilpailla missä kilpailuluokassa haluavat, riippumatta mikä heidän juridinen sukupuoli on. Lupa koskee kaikkia voimistelijoita junioreista Ruotsin mestaruustasolle.

Minä olen 15-vuotias, ja voin todistaa sen. Minä haluan kilpailla painissa, tyttöjen sarjassa. Ei haittaa, vaikka häviäisinkin kaikki otteluni, urheilun ilo itsessään jo riittää minulle.

Niitä kyllä varmaan on, joille tuo tarkoittaa "lajista viis kunhan pääsee tyttöjen pukuhuoneisiin ja suihkuihin"