Mitä henkilötunnuksesta saa selville?

2 kuukautta sitten 92 katselukertaa

Suomalainen henkilötunnus (HETU) paljastaa syntymäajan ja sukupuolen, mutta se ei ole salasana. Tässä artikkelissa kerrotaan, mitä tietoja henkilötunnuksesta voi päätellä ja mitä ei, sekä miten suojautua väärinkäytöltä.

Kommentti 0 tykkäystä

Ehkä haluat kysyä tästä?Lisää

Mitä henkilötunnuksesta saa selville?

Henkilötunnuksesta saa selville henkilön syntymäajan ja sukupuolen. Se ei kerro muita henkilötietoja, kuten kansalaisuutta, syntymäpaikkaa tai asuinkuntaa. Henkilötunnus on tarkoitettu yksilöintiin, ei turvalliseen tunnistautumiseen.

Mitä suomalainen henkilötunnus oikeasti paljastaa?

Suomalaisesta henkilötunnuksesta saa selville vain kolme asiaa: henkilön tarkan syntymäajan, syntymävuosisadan ja sukupuolen. Se on tarkoitettu yksilöimään ihmiset väestötietojärjestelmässä, ei todentamaan kenenkään henkilöllisyyttä.

Tämä on melko yksinkertainen järjestelmä. Mutta yksi yleinen väärinkäsitys sen käytössä aiheuttaa merkittävän osan identiteettivarkauksista verkossa - kerron tästä kriittisestä virheestä ja sen ratkaisusta tarkemmin artikkelin loppupuolella. Suomessa raportoidaan vuosittain tuhansia identiteettivarkaustapauksia, joista suurin osa liittyy juuri tämän tunnuksen huolimattomaan käsittelyyn ^[2].

Henkilötunnuksen (HETU) rakenne ja sisältö

Henkilötunnus muodostuu 11 merkistä muodossa PPKKVV-NNNT. Se on koodi, joka - vastoin yleistä luuloa - ei sisällä mitään syvällistä mystiikkaa. Vain matematiikkaa ja henkilötunnuksen rakenne.

Syntymäaika ja vuosisatamerkki

Ensimmäiset kuusi numeroa (PPKKVV) kertovat syntymäpäivän, kuukauden ja vuoden kahdella numerolla kukin. Tätä seuraa välimerkki, joka paljastaa mistä henkilötunnus koostuu ja syntymävuosisadan. Esimerkiksi plusmerkki (+) tarkoittaa 1800-lukua ja yhdysmerkki (-) 1900-lukua. 2000-luvulla syntyneillä käytetään kirjainta A, ja nykyään myös kirjaimia B, C, D, E ja F, koska aiemmat tunnukset alkoivat loppua kesken.

Yksilönumero paljastaa sukupuolen

Välimerkin jälkeen tulee kolminumeroinen yksilönumero (NNN), joka erottaa samana päivänä syntyneet toisistaan. Tämä numero on miehillä aina pariton ja naisilla parillinen. Luvut jaetaan yleensä väliltä 002-899.

Kun rakensin ensimmäistä kertaa asiakasrekisteriä ohjelmistoyritykselleni, tein tässä klassisen virheen. Oletin, että yksilönumero on vain täysin satunnainen numerosarja. Koko rekisteröintijärjestelmäni kaatui. Kesti kolme päivää turhauttavaa koodin tuijottamista tajuta, että parilliset ja parittomat numerot edellyttävät omaa validointilogiikkaansa. Oppirahat oli maksettu.

Tarkistusmerkki ja Modulus 31 -laskenta

Viimeinen merkki (T) on tarkistusmerkki, joka on joko numero tai kirjain. Se varmistaa, että tunnus on kirjoitettu oikein.

Tämä lasketaan jakamalla syntymäajan ja yksilönumeron muodostama yhdeksännumeroinen luku luvulla 31. Jakojäännös (joka on aina väliltä 0-30) muunnetaan sitten taulukon avulla tietyksi merkiksi. Ollaanpa rehellisiä - koodarina minun on edelleen vaikea muistaa tätä kaavaa ulkoa. Useimmat kehittäjät käyttävät valmiita kirjastoja tämän tarkistamiseen, koska itse koodattuna virheiden todennäköisyys kasvaa. ^[3]

Mitä tietoja henkilötunnus ei kerro?

Tämä on tärkeää. Yleinen pelko on, että kuka tahansa hetun tietävä näkee koko elämäsi. Ei näe.

Mitä henkilötunnus kertoo, se ei paljasta kansalaisuutta, syntymäpaikkaa, asuinkuntaa tai oleskeluoikeutta. Se ei myöskään päivity automaattisesti, jos henkilö esimerkiksi vaihtaa sukupuoltaan juridisesti, vaan silloin henkilölle annetaan uusi tunnus. Tämä aiheuttaa usein päänvaivaa vanhoissa IT-järjestelmissä, jotka luottavat siihen, että hetu on muuttumaton avain.

Kriittinen turvallisuusvirhe: Tunnus ei ole salasana

Tässä on se aiemmin mainitsemani kriittinen virhe: hetun antaminen puhelimessa tai sähköpostissa henkilöllisyyden todisteena. Kyselyiden mukaan monet yritykset kysyvät sitä edelleen asiakaspalvelussa tunnistautumiseen.^[4] Se on yksinkertaisesti väärin.

Kaikki neuvovat piilottamaan hetun. Mutta todellisuudessa henkilötunnus ei ole laissa määritelty salassapidettäväksi tiedoksi. Se on yksilöintitieto, kuten erittäin tarkka nimi. Jos joku tietää nimesi, et ole vielä menettänyt rahojasi. Sama pätee hetuun. Vaara syntyy vasta silloin, kun laiskat yritykset käyttävät tätä julkista tietoa salasanana.

Yksilöinti vai tunnistaminen? Vaihtoehtojen vertailu

On elintärkeää ymmärtää ero sen välillä, miten järjestelmä tunnistaa sinut ja miten todistat olevasi sinä. Tässä on katsaus eri menetelmiin.

Henkilötunnus (HETU)

Vaihdettavissa vain poikkeustapauksissa (esim. sukupuolen vahvistaminen tai vakava identiteettivarkaus)
Kertoo suoraan syntymäajan ja juridisen sukupuolen
Henkilön yksilöiminen tuhansien samannimisten joukosta tietokannoissa
Erittäin matala - tieto on pysyvä ja monien tiedossa

Vahva sähköinen tunnistautuminen ⭐

Salasanat ja sovellukset voidaan vaihtaa heti, jos laite katoaa
Hakee tiedot varmennetusti suoraan väestötietojärjestelmästä ilman arvuuttelua
Henkilöllisyyden luotettava todentaminen verkossa
Erittäin korkea - perustuu monivaiheiseen tunnistautumiseen (MFA)

Väliaikainen tunnus (Keinotekoinen hetu)

Korvataan virallisella tunnuksella välittömästi, kun sellainen on saatavilla
Käyttää usein yksilönumeroita 900-999, ei täytä aina normaalia tarkistusmerkkisääntöä
Tilapäinen rekisteröinti sairaaloissa tai testausympäristöissä
Matala - käytetään vain suljetuissa järjestelmissä

Henkilötunnus on erinomainen työkalu tietokantojen hallintaan, mutta kelvoton turvallisuuteen. Vahva tunnistautuminen (kuten pankkitunnukset tai mobiilivarmenne) on ainoa oikea tapa todistaa henkilöllisyys etänä.

Mikaelin taistelu terveydenhuollon järjestelmän kanssa

Mikael, 32-vuotias ohjelmistokehittäjä Espoosta, sai tehtäväkseen rakentaa uuden potilastietojärjestelmän paikalliselle lääkäriasemalle. Vaatimusmäärittely vaikutti helpolta: järjestelmä ottaa sisään vain validit suomalaiset henkilötunnukset.

Ensimmäinen yritys epäonnistui surkeasti. Mikael koodasi järjestelmän hylkäämään kaikki tunnukset, jotka eivät läpäisseet tarkkaa modulus 31 -matematiikkaa. Tuloksena päivystys ei pystynyt kirjaamaan sisään ulkomaalaisia turisteja tai vastasyntyneitä, joilla ei vielä ollut virallista tunnusta.

Tuntikausien virheiden selvittelyn jälkeen hän ymmärsi ratkaisevan puutteen. Hän ei ollut huomioinut sairaaloiden käyttämiä väliaikaisia tunnuksia, joissa yksilönumerona käytetään lukua väliltä 900-999. Nämä keinotekoiset tunnukset eivät aina tottele standardia tarkistuskaavaa.

Muutettuaan koodin sallimaan nämä tilapäiset tunnukset erillisen logiikan kautta, sisäänkirjautumisten hylkäykset putosivat nollaan. Mikael oppi kantapään kautta, että tosielämän data on aina suttuisempaa kuin puhtaat ohjelmointiteoriat.

Jos haluat varmistaa tietosi turvallisuuden, tarkista myös onko henkilötunnus salassa pidettävä tieto.

Tärkeimmät asiat

Yksilöinti ei ole tunnistamista

Henkilötunnus paljastaa vain syntymäajan ja sukupuolen. Älä koskaan luota yritykseen, joka kysyy sitä ainoana todisteena henkilöllisyydestäsi puhelimessa.

Tarkistusmerkki on vain matematiikkaa

Viimeinen merkki varmistaa kirjausvirheiden puuttumisen vähentämällä näppäilyvirheitä järjestelmissä, mutta se ei sisällä salaisia lisätietoja. ^[5]

Turvaa tietosi luottokiellolla

Jos tunnuksesi vuotaa, omaehtoinen luottokielto on nopein ja tehokkain tapa pysäyttää taloudellinen väärinkäyttö.

Kysymysten kooste

Onko henkilötunnus salainen tieto?

Ei ole. Se on laissa määritelty yksilöintitiedoksi, ei salaiseksi salasanaksi. Siitä huolimatta sitä tulee käsitellä huolellisesti, eikä sitä pidä jakaa tarpeettomasti sosiaalisessa mediassa tai epäluotettavilla verkkosivuilla.

Voiko henkilötunnuksen vaihtaa, jos se joutuu vääriin käsiin?

Kyllä, mutta vain erittäin poikkeuksellisissa tapauksissa. Tunnus voidaan vaihtaa, jos henkilön terveys tai turvallisuus on uhattuna, tai jos identiteettivarkaus on aiheuttanut jatkuvaa ja erittäin merkittävää haittaa. Pelkkä tietovuoto ei yleensä riitä vaihtamiseen.

Mitä minun pitää tehdä, jos henkilötunnukseni vuotaa nettiin?

Tee välittömästi oma luottokielto Suomen Asiakastietoon ja Bisnodeen. Tämä estää rikollista ottamasta lainoja tai ostamasta tavaraa osamaksulla sinun tiedoillasi. Tee myös ilmoitus poliisille, jos epäilet tiedon väärinkäyttöä.