Fingerprinting (sormenjälkitekniikka tai device fingerprinting) on tekniikka, jossa käyttäjän laite tunnistetaan keräämällä laaja joukko teknisiä tietoja selaimesta, käyttöjärjestelmästä ja laitteistosta. Yhdistettynä nämä tiedot muodostavat ainutlaatuisen “sormenjäljen”, jolla laite voidaan tunnistaa ilman evästeitä.
Miten fingerprinting toimii
Teknisten tietojen kerääminen on ytimessä. Fingerprinting-skripti kerää tietoja kuten: selaimen versio, käyttöjärjestelmä, näytön resoluutio, aikavyöhyke, asennetut fontit, laitteiden lista (mikrofoni, kamera, GPU), canvas-piirtotapa ja WebGL-renderöintitapa.
Yksittäin nämä tiedot eivät ole ainutlaatuisia, mutta yhdessä ne muodostavat erittäin todennäköisesti uniikin tunnisteen. Esimerkiksi tietty yhdistelmä selainta, näyttöresoluutiota, fontteja ja GPU:ta on todennäköisesti ainutlaatuinen miljoonien käyttäjien joukossa.
Sormenjälki lasketaan hash-arvo näistä tiedoista. Tämä hash toimii pseudoanonyymina tunnisteena, joka säilyy samana, vaikka käyttäjä tyhjentäisi evästeet.
Persistent tracking mahdollistuu, koska sormenjälki ei perustu evästeihin. Käyttäjä voi olla incognito-tilassa, estää evästeet tai käyttää VPN:ää, mutta sormenjälki paljastaa silti laitteen.
Fingerprinting-tekniikat
Canvas fingerprinting käyttää HTML5 Canvas API:a piirtämään näkymättömän kuvan, joka renderöidään eri tavalla eri laitteilla GPU:n ja fonttien erojen takia.
WebGL fingerprinting kerää tietoa näytönohjaimesta ja sen renderöintitavasta, joka on laitteisto- ja ajurikohtaista.
Audio fingerprinting analysoi, miten laite prosessoi ääntä. Pienet erot audiolaitteistossa ja -käsittelyssä paljastavat laitteen.
Font fingerprinting listaa kaikki asennetut fontit käyttäjän järjestelmässä. Fonttiyhdistelmä on usein ainutlaatuinen.
Battery API ja muut laite-API:t voivat paljastaa akkutason, langattoman verkon tiedot ja muita laitteeseen liittyviä uniikkeja tietoja.
Fingerprinting vs. evästeet
Läpinäkyvyys puuttuu. Evästeet näkyvät selaimessa ja käyttäjä voi poistaa ne. Fingerprinting tapahtuu taustalla ilman käyttäjän tietoa tai suostumusta.
Esto on vaikeampaa. Evästeiden esto on helppoa (selaimen asetukset tai lisäosat). Fingerprinting-suojaus vaatii erikoistyökaluja tai yksityisyyteen keskittyneitä selaimia.
Tarkkuus voi olla parempi kuin evästeillä, koska sormenjälki ei katoa selaimen tyhjennyksen tai incognito-tilan myötä.
Lakikysymykset ja etiikka
GDPR:n mukaan fingerprinting vaatii suostumuksen, jos sitä käytetään henkilötietojen käsittelyyn tai profilointiin. Monet asiantuntijat väittävät, että fingerprinting rikkoo GDPR:ää, koska suostumusta ei useinkaan pyydetä.
ePrivacy-direktiivi kattaa laitteelle tallennetun tai sieltä luetun tiedon. Fingerprinting lukee teknisiä tietoja laitteelta, joten sen tulisi kuulua direktiivin piiriin ja vaatia suostumusta.
Eettisyys on kyseenalaista. Fingerprinting kiertää käyttäjän yksityisyydensuojatoimia (evästeiden esto, incognito-tila) ja tapahtuu piilossa. Se koetaan usein invasiivisena.
Selainvalmistajat vastustavat. Safari, Firefox ja Brave estävät aktiivisesti fingerprinting-tekniikoita rajoittamalla API:en tarkkuutta ja lisäämällä satunnaisuutta palautettuihin arvoihin.
Lailliset ja eettiset käyttötarkoitukset
Petosten esto on hyväksytty käyttötapa. Pankit ja verkkokaupat käyttävät fingerprintingia tunnistaakseen epäilyttävät kirjautumisyritykset tai vilpilliset transaktiot.
Bottien ja scrapereiden tunnistus on toinen perusteltu käyttö. Verkkosivustot voivat suojautua automatisoiduilta hyökkäyksiltä tunnistamalla ei-inhimilliset käyttäytymismallit.
Turvallisuus ja autentikointi voivat hyötyä fingerprintingista. Monikerroksinen tunnistautuminen voi käyttää laitteen sormenjälkeä yhtenä faktorina.
Merkitys yritykselle
Älä käytä fingerprintingia markkinointiseurantaan. Se on laillisesti ja eettisesti arveluttavaa, ja se voi vahingoittaa brändiäsi, jos paljastuu.
Jos käytät fingerprintingia petosten estoon tai turvallisuuteen, varmista, että se on dokumentoitu tietosuojaselosteessa ja että se täyttää GDPR:n vaatimukset.
Yksityisyyden kunnioittaminen on pitkällä aikavälillä paras strategia. Kuluttajat arvostavat läpinäkyvyyttä ja hallintaa omasta datastaan. Rakenna luottamus rehellisyydellä, älä kiertämällä yksityisyydensuojaa.
Pk-yritykselle fingerprinting ei ole suositeltava ratkaisu. Keskity first-party dataan, suostumukselliseen seurantaan ja laillisiin cookieless-ratkaisuihin kuten Conversion API:hin.