Eurooppalainen digitaalinen identiteettilompakko julkaistaan ensi vuoden lopussa

[NeliYgönen]

Fyysisten asiakirjojen rinnalle tuleva digilompakko toimii esimerkiksi vahvassa tunnistautumisessa koko EU:n alueella.

Euroopan unionin eIDAS-asetuksen (electronic identification, authentication and trust services) mukaista eurooppalaista digitaalista identiteettilompakkoa valmistellaan julkaistavaksi ensi vuoden lopulle. Suomessa sovellusta kehittää Digi- ja väestötietovirasto DVV. Sovelluksella on määrä esimerkiksi tunnistautua turvallisesti ja allekirjoittaa sähköisesti eri palveluissa tai esittää virallisia todistuksia viranomaisasioinnissa. DVV:ltä on kerrottu, ettei sovellus korvaa fyysisiä asiakirjoja, vaan tulee niiden rinnalle asiointia helpottamaan.

Digitaalinen lompakko ei myöskään korvaa muita sähköisen tunnistautumisen keinoja, vaan on yksi tapa lisää tunnistautua esimerkiksi pankkitunnistautumisen, mobiilivarmenteen ja kansalaisvarmenteen rinnalla. Lisäksi käyttäjä saa itse päättää, mitä tietoja vie identiteettilompakkoonsa, eikä tietoja tallenneta mihinkään keskitettyyn rekisteriin laajojen tietomurtojen riskin vuoksi.

Ensi vuoden lopussa julkaistavan identiteettilompakon rinnalla on määrä julkaista myös Poliisihallituksen kanssa kehitetty digitaalinen henkilöllisyystodistus, joka on rinnastettavissa fyysiseen passiin tai henkilökorttiin. Sitä ei kuitenkaan voi käyttää matkustusasiakirjana. Lähivuosina identiteettilompakkoon on tulossa myös Traficomin tarjoama mobiiliajokortti, mutta sen kehitystä ei ole vielä aloitettu EU:n ajokorttidirektiivin ja kansallisen lainsäädännön hidasteiden vuoksi.

Lähde: STT Info

 

[Kale]

Paljon salaliittoteorioita liikkuu Digi-ID:stä, mutta omasta mielestä tervetullut palvelu. Pääsee viimein eroon verkkopankkitunnuksilla tunnistautumisesta.

 

[BoomerX]

Itse odottelin milloin esim ajokortin saa lisättyä puhelimeen.

Nyt ennemminkin ihmetyttää mikä tässä on edes pointtina ?

 

[leripe]

On tätäkin odotettu älypuhelimien tulosta saakka eli about 15v.
Aivan typerää raahata jotain fyysistä ajokorttia tai passia.
Kelakorttikin täysin turha, kun siitä skannataan vain viivakoodi, josta tulee hetu.

 

[Seese]

Paljon salaliittoteorioita liikkuu Digi-ID:stä, mutta omasta mielestä tervetullut palvelu. Pääsee viimein eroon verkkopankkitunnuksilla tunnistautumisesta.

Miksi siitä pitäisi päästä eroon?

 

[Sallys]

Tämä pakolliseksi pornosivuille ja sitten pikkuhiljaa muuallekkin. Kaikki tieto menee EU servereille analysoitavaksi.

 

[root]

Miksi siitä pitäisi päästä eroon?

Mielestäni ihmisten tunnistautuminen eri palveluihin ei ole pankkien liiketoimintaan kuuluva tehtävä. Miksi joudun kirjautumaan pankin sivulle ennen kuin voin varata netissä ajan hammaslääkäriin?

Tämä pakolliseksi pornosivuille ja sitten pikkuhiljaa muuallekkin. Kaikki tieto menee EU servereille analysoitavaksi.

Eikös tämä systeemi tule mahdollistamaan myös järkevän iän varmistuksen? Eli sen sijaan että johonkin verkkopalveluun pitää ikä todistaa lähettämällä kuva ajokortista tai passista, voidaan tehdä niin että verkkopalvelu saa vain yhden bitin verran varmistettua tietoa: onko henkilöllä ikää avata tili vai ei. Eli voi todistaa olevansa täysi-ikäinen antamatta omaa nimeä, syntymäaikaa, osoitetta, ym. Veikkaan että jos tuo vaan halutaan toteuttaa, pornosivustoilla on intressit saada se käyttöön ensimmäisten joukossa.

 

[munasan]

Uu yeah, seuraavaksi sitten tämä Digitaalisesta eurosta, eli digi-euro. Keskusjohtoinen kryptovaluutta jonka jokaista ”kolikkoa” voi seurata kenellä se on ja kenellä ollut, mihin käytetty.
Tietysti nämä eivät suoraa korvaa paperia tai eri pankkeihin hajautettua rahaa, mutta syrjäyttää ajan kanssa.
Sitten vielä joku äärioikeistolainen/vasemmistolainen valtaan 5-20v kuluessa joka pikkuhiljaa keskittää valtaa, ja hallussa onkin sitten aikamoinen koneisto.
Ei mitään fantasiaa esmes. Orban, Erdogan, Putin, Maduro - kaikki vaaleilla valittu.

 

[Ezzy]

"tuodaan tällainen uusi juttu mihin on upotettu miljoonia" ...mutta sitä ei voi käyttää X:nä, Y:nä eikä Z:na. Mitä vittua? Mikä hyöty tästä sitten on? Tää pitää varmaan hakea vuosittain uusiksi ja maksaa 50-100€ tai jotain muuta urpoa?

 

[Wolffis]

Ihan varmasti pitää hakea fyysisesti appi jostain poliisiasemalta jonottamalla ja maksaa 50€+ joka kolmas vuosi uusinnasta.

 

[zepi]

"tuodaan tällainen uusi juttu mihin on upotettu miljoonia" ...mutta sitä ei voi käyttää X:nä, Y:nä eikä Z:na. Mitä vittua? Mikä hyöty tästä sitten on? Tää pitää varmaan hakea vuosittain uusiksi ja maksaa 50-100€ tai jotain muuta urpoa?

Oletko koskaan koittanut tilata netistä jotain mihin myyjä tarvitsee henkilötiedot? Luottokortin, pankkitilin tai vaikka jonkun auton tai kämpän vuokrauksen?

Siitä vaan avaamaan tiliä N26:seen tai Wiseen tai Revolut:iin tai vastaavaan. Tai rekisteröimään DHL:n packet-box tunnuksia Saksaan tai espanjalaiseen vakuutusyhtiöön/pankkiin kun pitäisi saada edesmenneeltä mummolta perityn Marbellan loma-asunnon kotivakuutukset ja vastikemaksut hoitoon SEPA-suoraveloituksena.

 

[sushukka]

Tavallaan ymmärrän ja tavallaan taas en, minkä takia ihmisillä on niin hirveä hinku saada kaikki korttinsa ja tietonsa puhelimeen. Helppoa joo, mutta sen verran kun matkustanut, niin en todellakaan halua että kaikki (välillä toki se sekavakin) kortti/paperihässäkkä menisi puhelimeen. Siinä kun keskittää kaiken siihen kapulaan, niin kivat kun yhteydet ei toimi, akku loppu, puhelin hukassa tai varastettu jne. Toki rinnalla/varalla voi hyvä olla, mutta pelkäänpä että nämä sähköiset, edulliset vaihtoehdot tuppaavat sitten ajan kanssa kuitenkin korvaamaan ne muut. Matkaahan tässä tietty eri dystopioihin vielä Euroopassa onneksi on, mutta vaikka periaatteessa olenkin näiden kehitysaskelien puolella, niin aina pieni Orwell-hälytyskello (mikrosirujäljitin ) piipittää takaraivossa näitä lueskellessa.

 

[dataaja95]

Mielestäni ihmisten tunnistautuminen eri palveluihin ei ole pankkien liiketoimintaan kuuluva tehtävä. Miksi joudun kirjautumaan pankin sivulle ennen kuin voin varata netissä ajan hammaslääkäriin?


Eikös tämä systeemi tule mahdollistamaan myös järkevän iän varmistuksen? Eli sen sijaan että johonkin verkkopalveluun pitää ikä todistaa lähettämällä kuva ajokortista tai passista, voidaan tehdä niin että verkkopalvelu saa vain yhden bitin verran varmistettua tietoa: onko henkilöllä ikää avata tili vai ei. Eli voi todistaa olevansa täysi-ikäinen antamatta omaa nimeä, syntymäaikaa, osoitetta, ym. Veikkaan että jos tuo vaan halutaan toteuttaa, pornosivustoilla on intressit saada se käyttöön ensimmäisten joukossa.

Käsitykseni mukaan tuota järjestelmää ei ole auditoinut kukaan tietoturvataho ja kaikesta huolimatta se on keskitetty järjestelmä, jossa käyttäjien identiteettejä säilytetään. Tuon toiminnasta ei ole julkaistu minkäänlaista arkkitehtuurikuvausta joten epäilen vahvasti. Tulevasta digilompakosta sen verran, että uskoisin olevan aikamoinen proprietaryhimmeli, eli toimii vain valtavirtamobiilikäyttöjärjestelmillä.

 

[BoomerX]

Tuolta löytyy enemmän infoa tästä digi lompakosta What is the Wallet - EU Digital Identity Wallet -

Vähän kuullostaa siltä ettei foorumille pääse kirjautumaan pelkällä salasanalla. Se tunnistautuminen Digi-ID:llä tulee seuraavaksi.
Appi tarjoaa paljon muutakin toiminnallisuutta pelkän ID tunnistautumisen lisäksi.
Vähän hämärästi ilmoitettu miten "Yksityiset ja julkiset tahot" tarjoavat tämän palvelun jäsen maille.

Saa nyt nähdä millainen härdelli tästä tulee jos EU meinaa korvata salasanalla kirjautumisen Digi-ID:llä joka ikiseen digitaaliseen alustaan/palveluun jossa on entuudestaan luotettu ainoastaan pankin tunnistautuiseen tai käyttäjän itse ilmoittamiin tietoihin.

 

[Kaakatus]

Tavallaan ymmärrän ja tavallaan taas en, minkä takia ihmisillä on niin hirveä hinku saada kaikki korttinsa ja tietonsa puhelimeen. Helppoa joo, mutta sen verran kun matkustanut, niin en todellakaan halua että kaikki (välillä toki se sekavakin) kortti/paperihässäkkä menisi puhelimeen. Siinä kun keskittää kaiken siihen kapulaan, niin kivat kun yhteydet ei toimi, akku loppu, puhelin hukassa tai varastettu jne. Toki rinnalla/varalla voi hyvä olla, mutta pelkäänpä että nämä sähköiset, edulliset vaihtoehdot tuppaavat sitten ajan kanssa kuitenkin korvaamaan ne muut. Matkaahan tässä tietty eri dystopioihin vielä Euroopassa onneksi on, mutta vaikka periaatteessa olenkin näiden kehitysaskelien puolella, niin aina pieni Orwell-hälytyskello (mikrosirujäljitin ) piipittää takaraivossa näitä lueskellessa.

Reissuun voi aina varautua paperidokkareilla jne, mutta arjessa lompakon kotiin jättäminen tarkoittaisi vähemmän potentiaalisesti hukattavaa tavaraa. Puhelimessa kaikki tiedot on kuitenkin suojattuna. Pankkikortin kun hukkaat, niin joku äkkiä tilailee sillä itselleen netistä uudet huonekalut tms. Henkkareillakin saa varmasti yhtä jos toista harmia aikaan.

 

[dataaja95]

Tuolta löytyy enemmän infoa tästä digi lompakosta What is the Wallet - EU Digital Identity Wallet -

Vähän kuullostaa siltä ettei foorumille pääse kirjautumaan pelkällä salasanalla. Se tunnistautuminen Digi-ID:llä tulee seuraavaksi.
Appi tarjoaa paljon muutakin toiminnallisuutta pelkän ID tunnistautumisen lisäksi.
Vähän hämärästi ilmoitettu miten "Yksityiset ja julkiset tahot" tarjoavat tämän palvelun jäsen maille.

Saa nyt nähdä millainen härdelli tästä tulee jos EU meinaa korvata salasanalla kirjautumisen Digi-ID:llä joka ikiseen digitaaliseen alustaan/palveluun jossa on entuudestaan luotettu ainoastaan pankin tunnistautuiseen tai käyttäjän itse ilmoittamiin tietoihin.

Jos tuohon mentäisiin, niin clearwebin käyttö loppuisi itseltäni kokonaan

 

[4000XT]

Kai tällänen toimisi sitten Windows,linux,apple,android ym muut käyttiksen kirjautumis- tunnistautumiseen? samoin konsolit ja pelialustat steam,origin,uplay ym ja myös auton käynnistämiseen... miksi ei muka..olis helppoa

 

[Obi-Lan]

Miksi siitä pitäisi päästä eroon?

Ilmeisesti jonkin verran ollut liikkeellä phishing sivuja mihin kirjaudutaan pankkitunnuksilla kirjaamaan joku lähetys, valtuutus tms, mutta sivu vetääkin jonkun maksun tililtä. Pankit luonnillisesti sitä mieltä että oikea ostotapahtuma ja ei ole heidän ongelma. Jos kirjautuu mobiilivarmenteella tai mahdollisesti tällä EU lompakolla niin sitten ei ole sitä riskiä että valtuuttaisi samalla rahan siirtoja tililtä.

Ehkä tuosta jotain hyötyä jos pystyy käyttämään samaa systeemiä tunnistautumiseen joka EU maassa sitten joskus.

 

[IHS]

Paljon salaliittoteorioita liikkuu Digi-ID:stä, mutta omasta mielestä tervetullut palvelu. Pääsee viimein eroon verkkopankkitunnuksilla tunnistautumisesta.

Itse en koskaan näillä näkymin suostu edes käyttämään esim älypuhelimella verkkopankkia. Se kirjeessä tuleva paperinen/pahvinen lista salasanoista on yksinkertaisesti paras vaihtoehto tietoturvan takia minun mielestäni.
Saa aika kova hakkeri olla, että tuon listan saa etänä luettua jostain pöytälaatikosta...

 

[root]

Käsitykseni mukaan tuota järjestelmää ei ole auditoinut kukaan tietoturvataho ja kaikesta huolimatta se on keskitetty järjestelmä, jossa käyttäjien identiteettejä säilytetään. Tuon toiminnasta ei ole julkaistu minkäänlaista arkkitehtuurikuvausta joten epäilen vahvasti. Tulevasta digilompakosta sen verran, että uskoisin olevan aikamoinen proprietaryhimmeli, eli toimii vain valtavirtamobiilikäyttöjärjestelmillä.

No minä taas olen luullut, että on enemmän dokumentaatiota ja kuvausta julkaistu, mitä ehdin lukea ja osaan tulkita.

Iän varmistuksesta käyttäen EU:n digilompakon arkkitehtuuria:

Overall architecture - European Age Verification Solution

ageverification.dev

Overview - European Age Verification Solution

ageverification.dev

Digilompakon Github pääsivu: eu-digital-identity-wallet

 

[pulatunnus]

Ehkä tuosta jotain hyötyä jos pystyy käyttämään samaa systeemiä tunnistautumiseen joka EU maassa sitten joskus.

Yhteisön alueella ilman muuta tarvitaan kokoa alueen kattavat vahvan tunnistatumisen sähköisen allekirjoittamisen menetelmä. Siis sellainen vähän meidän henkarrien kansalaisvarmenne. Jos on koko yhteisönalueella toimiva, niin se lisäisi motivaatiota sitä tukea, mikä lisäisi suosiota, mikä painostaisi sen laajempaan tukemiseen.

Uutisesta nyt ihan sisäistänyt mitä identtiteettilompakko käytännössä, mutta jos tuo keinon / välineen millä voi tunnistautua, niin että tunnistatujan ja tunnistautumista vaativan palvelun välillä yhteensopivuus. Ja sama allekirjoituksenkanssa, "lompakko palvelu" mahdollistaa monipuolisen allekirjoittamisen. Sama sitten niiden muiden asiakirjojen kanssa, mainittu ajolupa, jos ajoluvan myötäjä tukee tuota, niin se sitten toimiti toisessa päässä joka tukee tuota palvelua.

Ja tunnistaumisessa sen yksilöivän tiedon (meillä henkilötunnus) lisäksi sitten virallinen nimi, syntymä aika/ikä, biotunnisteita, kansalaisuus, eri sukupuolimääritelmät jne. olisi mahdollista vahvistaa. Mutta ehdottomasti niin että tunnistautuja valitsee mitä niistä vahvistaa, ja tarvittaessa ilman yksilöivää tietoa (henkilötunnusta). Lisäksi sitten mahdollista luoda palvleukohtainen yksilöivä tunnus. Sekä sellaisena ettei ole taaksepäin purettavissa, että sellainen että on myöntäjän avustuksella.

Ja esim iänosalta niin ettei tarvi syntymäaikaa/vuotta vahvistaa, vaan esim se että on yli tai ali iän.

Senegenin alueella olisi toivottavaa että kävisi myös matkustus asiakirjana.

Ja, jos palveluun mahdollista pilveen varmuuskopioda tiedot, niin se että henkilökortilla voisi vahvistaa niiden lataaminen.

 

[Kale]

Itse en koskaan näillä näkymin suostu edes käyttämään esim älypuhelimella verkkopankkia. Se kirjeessä tuleva paperinen/pahvinen lista salasanoista on yksinkertaisesti paras vaihtoehto tietoturvan takia minun mielestäni.
Saa aika kova hakkeri olla, että tuon listan saa etänä luettua jostain pöytälaatikosta...

Tämä. OP vielä lopettaa tunnuslukulistan mobiilikäyttäjiltä tämän vuoden kuluessa. Tulee elämästä hankalaa jos kännykkä hajoaa/katoaa.

Tietoturvakin on naurettavalla tasolla mobiilissa, kehtaavat vielä väittää turvallisemmaksi kuin paperilistaa. Koko omaisuus ja tunnistautuminen yhden 4-numeroisen pin-koodin takana. Tarvitsee vain kurkkia olan yli koodi ja varastaa puhelin.

 

[root]

Itse en koskaan näillä näkymin suostu edes käyttämään esim älypuhelimella verkkopankkia. Se kirjeessä tuleva paperinen/pahvinen lista salasanoista on yksinkertaisesti paras vaihtoehto tietoturvan takia minun mielestäni.
Saa aika kova hakkeri olla, että tuon listan saa etänä luettua jostain pöytälaatikosta...

Eipä siinä isoa eroa ole, koska suurimmat rahat viedään huijaamalla ihmistä. Kun henkilö saadaan uskomaan, että on todella paha tilanne ja poliisi/pankki tarvitsee pääsyä tilitietoihin, se henkilö luovuttaa tarvittavan pääsyn joko älypuhelimellaan tai avainlukulistaa lukemalla. Tai saadaan ohjattua uhri sivulle, jota tämä pitää pankin kirjautumissivuna --> sama lopputulos varmistustavasta riippumatta.

 

[pulatunnus]

Itse en koskaan näillä näkymin suostu edes käyttämään esim älypuhelimella verkkopankkia. Se kirjeessä tuleva paperinen/pahvinen lista salasanoista on yksinkertaisesti paras vaihtoehto tietoturvan takia minun mielestäni.
Saa aika kova hakkeri olla, että tuon listan saa etänä luettua jostain pöytälaatikosta...

Missä käytät sitä paperista salasana listaa ?

Omalla pienellä otannalla olet nähnyt n kertaa muiden paperisia salasanalistoja niin että ne olisi voinut kopioida helposti. Päälle sitten ne missä enemmän tai isommalla prosentilla voi mutuilla että sellaiset löytyisi.

Mobiilivarmentamiseen pankit painostaneet juurkin vahvemman turvallisuuden takia.

Tietoturvakin on naurettavalla tasolla mobiilissa, kehtaavat vielä väittää turvallisemmaksi kuin paperilistaa. Koko omaisuus ja tunnistautuminen yhden 4-numeroisen pin-koodin takana. Tarvitsee vain kurkkia olan yli koodi ja varastaa puhelin.

Neljän numeron vahvuus perustuu siihen että sitä ei voi rajottomasti yrittää, ja että se on suht fyysiseen asiaan sidottu, ja mobiilivarmentamissa mahdollistaa myös muuta tsekkausta. Jos sine pankin mobiilitunnistautumis juttuun päästääksen pitää ensin saada se puhelin haltuun ja päästä sinne puhelimeen sisään. (*

Paperistasalasana listaa ei tarvitse varastaa, vaan kopioida, mitä uhri ei välttämättä havaitse, eli hyökkääjälle jättää laajan aikaikkunan edetä.

(*
Jos siis miettii omaa käyttöä niin kaikki kerrokset on kunnossa, ja myös sitä pankin PIN vahvistusta naputtelee suojatusti.
Jos taasen on leväpeärinen, puhelinta ei ole lukittu ja jos pankkin ohjelma sen sallii, ja "jakaa" pin koodiaan julkisesti, ja käyttää sitä yhtä samaa, niin riski se on, siinä kuin on riski selkokielisten salasana lapun käyttäminen ja sen käyttön esittely. No ehkä jäljempi on vielä isompi riski. Joku sieltä pukkarin lokerosta sen käy kopsaamassa.

 

[samsungaaja]

Matkaahan tässä tietty eri dystopioihin vielä Euroopassa onneksi on, mutta vaikka periaatteessa olenkin näiden kehitysaskelien puolella, niin aina pieni Orwell-hälytyskello (mikrosirujäljitin ) piipittää takaraivossa näitä lueskellessa.

Ei välttämättä niin paljonkaan matkaa, olihan tässä jo koronapassi taannoin esimakuna digityranniasta. Tämä ja digieuro taas lisäaskeleita tuohon suuntaan..

Aivan typerää raahata jotain fyysistä ajokorttia tai passia.
Kelakorttikin täysin turha, kun siitä skannataan vain viivakoodi, josta tulee hetu.

Mikä siinä on typerää, painaako ne kortit jotenkin tosi paljon kun täytyy raahata.. Ei minusta nyt niin vaikeaa ottaa passia mukaan kun sitä jossain harvoin tarvitsen (matkustus, jonkin paketin hakeminen tms).

e. 3000. viesti, yay!

 

[Kale]

Missä käytät sitä paperista salasana listaa ?

Omalla pienellä otannalla olet nähnyt n kertaa muiden paperisia salasanalistoja niin että ne olisi voinut kopioida helposti. Päälle sitten ne missä enemmän tai isommalla prosentilla voi mutuilla että sellaiset löytyisi.

Mobiilivarmentamiseen pankit painostaneet juurkin vahvemman turvallisuuden takia.

Tarvitset listan lisäksi
1. Käyttäjätunnuksen
2. Salasanan
3. Puhelimen ja sen PIN-koodin, koska tunnusluvun vastapari tulee tekstiviestillä.

vs mobiili
1. PIN-koodi (hyvällä tuurilla koodit samat sekä näytön lukitukseen että pankkiin)
2. Puhelimen

 

[IHS]

Missä käytät sitä paperista salasana listaa ?

Omalla pienellä otannalla olet nähnyt n kertaa muiden paperisia salasanalistoja niin että ne olisi voinut kopioida helposti. Päälle sitten ne missä enemmän tai isommalla prosentilla voi mutuilla että sellaiset löytyisi.

Pöh. Salasanalistaa käytän vain kotona.
Lista on ainakin itsellä sen verran piilossa, ettei niitä kukaan kopioi, ja kotonakin käy kiinteistöhuoltoa lukuunottamatta vain luotettavia ihmisiä.

Mobiilivarmentamiseen pankit painostaneet juurkin vahvemman turvallisuuden takia.

Näissä on koko ajan ollut vaikka mitä tietoturva-aukkoja.
Mihinkään mobiiliin en luottaisi edes yhtä nanosekuntia. Älypuhelimet on niin epäluotettavia turvallisuuden kannalta kuin olla voi. Jokaisen joka edes aavistuksen välittää turvallisuudesta pitäisi lopettaa kokonaan näiden käyttö.
Nykyään tämä on kyllä valitettavasti melkein mahdotonta, kun pitää olla Whatsappia ja muuta hömppää.

 

[root]

vs mobiili
1. PIN-koodi (hyvällä tuurilla koodit samat sekä näytön lukitukseen että pankkiin)
2. Puhelimen

Ihan tavallinen Android-luuri ja verkkopankki:
1. Näytön lukituksen avaus: Sormenjälki tai PIN-koodi, 8 numeroa
2. Pankin sovelluksen avaaminen: sormenjälki
3. Tilisiirron tai maksun tekeminen pankin sovelluksessa: PIN-koodi, 5 numeroa

 

[pulatunnus]

Pöh. Salasanalistaa käytän vain kotona.
Lista on ainakin itsellä sen verran piilossa, ettei niitä kukaan kopioi, ja kotonakin käy kiinteistöhuoltoa lukuunottamatta vain luotettavia ihmisiä.

Niin no, mihin niitä salasana listoja käytät?

Näissä on koko ajan ollut vaikka mitä tietoturva-aukkoja.
Mihinkään mobiiliin en luottaisi edes yhtä nanosekuntia. Älypuhelimet on niin epäluotettavia turvallisuuden kannalta kuin olla voi. Jokaisen joka edes aavistuksen välittää turvallisuudesta pitäisi lopettaa kokonaan näiden käyttö.
Nykyään tämä on kyllä valitettavasti melkein mahdotonta, kun pitää olla Whatsappia ja muuta hömppää.

Jatkuvaa taistelua se toki on, mutta joka tapauksessa ne pankkien mobiilivarmennus toteutukset on ollut varmuutta lisäävä juttu, ja noin yleistän myös sillä panki mobiilisovelluksella asiointi turvallisempaa kuin sillä PCllä.

Tarvitset listan lisäksi
1. Käyttäjätunnuksen
2. Salasanan
3. Puhelimen ja sen PIN-koodin, koska tunnusluvun vastapari tulee tekstiviestillä.

Paperilla oli salasanat, jos pankilla käytössä lisäksi SMS vahvistus, niin se toki lisää turvaa ja tarvitaan vielä sekin. Jos nyt maalailet sitä profiili joka pitää paperilla salasanojaan, niin sitten voidaan maalailla se puhelin jossa ei ole PIN koodi, SIMillä eikä laitteessa, ja toki SMS viestitkin lävähtää näyttöön näkyville koskematta. ja puhelin on vihamielisten saatavilla. Ja jos se on noin avoin, niin siinä ei ole pankin ohelma vaatinut minimejä, niin voihan sinne vihamielinen asentaa omiansa.

vs mobiili
1. PIN-koodi (hyvällä tuurilla koodit samat sekä näytön lukitukseen että pankkiin)
2. Puhelimen

Voidaan toki maalailla käyttäjä joka ei pidä puhelimessa lukitusta, SIM kortin PIN myös pois, ja salasanat paperilla suojataskussa, myös se pankin mobiilisalasana, että tunnistuksen salasana, eikä biometristä tunistautumista , niin onhan siinä helppo tapaus. Sen laitte jos joutuu vihamielisen käteen, niin sillä kaikki auki. Jos uhri ei havaitse laitteen katoamista tai ei sen katoamiseen reakoi, niin ainoa turva on se että hätänen uhri alkaa tekemään tilisiirtoja, johon pankin algortimit tarttuu. Rauhallisempi voi tehdä paljon pahempaa.

Mutta jos ihan oikeasti on huolissaan luotettavuudesta, niin korvaa sen tunnusluku listan pankin mobiili tunnistaumis ohjelmalla, itse tunnistuksessa alkeelisesti uniikki PIN ja laitteessa toinen, ja pitää sitä siellä laatikossa, tai matkassa.

Pankin verkkopalveluiden käyttäjätunnusta pitää salassa, ei paperilla siellä laatikossa.

Pankintunnistus ohjelmat on SMS verrattuna siinä mielessä turvallisempia että se ohjelma toimii vain siinä laitteiseessa johon se on aktivoitu. Ja jos se ohjelma vaatii laitteen lukituksen, niin se on useamman tunnistuksen päässä. Itse laitteen, että itse ohjelman. Ja itse ohjelman viestit on varsin luotettavia, vs SMS.

SMS itsessään ei ole luotettava, turvallinen, vaan se on lisä kerros millä vähenentään pelkän salasana tunnistuksen riskejä.


Pankintunnistus ohjelmien suurin riski on se että hyökkääjä saa uhrin avustukselle sellaisen itselleen uhrin tunnuksin.

vs mobiili
1. PIN-koodi (hyvällä tuurilla koodit samat sekä näytön lukitukseen että pankkiin)
2. Puhelimen

Ilmeisen tyypillien avainlukulista uhri on se että uhri houkutellaan vihamieliselle sivulle. ja otsikkoon liittyen meillä Suomessa se ongelma että pankkitunnuksia käytetään laajasti kaikkeen tunistautumiseen.

 

[Vaateri]

Jos tuohon mentäisiin, niin clearwebin käyttö loppuisi itseltäni kokonaan

Eikö toi koske ennemmin deep webiä? Vai meikaatko, että kaikki nykyisin avoinet palvelut ja saitit suljettaisiin ton taakse?

 

[dataaja95]

Eikö toi koske ennemmin deep webiä? Vai meikaatko, että kaikki nykyisin avoinet palvelut ja saitit suljettaisiin ton taakse?

Jep, meinaan nyt siis kauhuskenaariota, jossa kaikki avoimet saitit suljettaisiin tuon tunnistuksen taakse, kyllähän nyt yksinkertaisen nörttifoorumin pitää tietää postaajan ikä ja kuka hän on irlissä!

 

[IHS]

Eipä siinä isoa eroa ole, koska suurimmat rahat viedään huijaamalla ihmistä. Kun henkilö saadaan uskomaan, että on todella paha tilanne ja poliisi/pankki tarvitsee pääsyä tilitietoihin, se henkilö luovuttaa tarvittavan pääsyn joko älypuhelimellaan tai avainlukulistaa lukemalla. Tai saadaan ohjattua uhri sivulle, jota tämä pitää pankin kirjautumissivuna --> sama lopputulos varmistustavasta riippumatta.

No tämä on vain omaa tyhmyyttä. Sellainen heppu kuin Kevin Mitnick tulee heti mieleen. Aina ei tosiaankaan tarvita niitä parhaita tietoteknisiä taitoja, jos vain suu käy ja osaa käyttää sitä.

 

[pulatunnus]

No tämä on vain omaa tyhmyyttä.

No ei ole.
Se että on paljon hyökkäysyrityksiä joiden kohde ryhmän on ehkä haavoittuvaisemmat, joihin ehkä joku tyhmäkin voi haksahtaa.
Se että laimataan uhreja tyhmäksi, on tieturvan kehittämisen kannalta haitallista. Se on niiden selivittämisen kannalta haitallista.

Uhreja on niissäkin tapauksissa syytelty jos ovat pitäneet lukitemattomassa laatikossa salasana papereita, jopa samassa tilassa kuin tietkone joilla niitä käytetty. Uhreina ollut sinkujakin, perheellisten lisäksi.

Otsikkoon liittyen digitaalinen tunnistus, asiakirja lompakko tuo haittojakin, jos se yleistyy, niin se kiinnostaa vihamielisiä, ja etä ja lähi sosiaaliset hyökkäykset sovitetaan niihin.
Itse mahdollnen sovellus vaatii vähintään yhtäaktiivista päivitystä ja seurantaa kuin pankkisovellukset tekee. Ja käyttöliittymä, kokemuksen oltava monta astetta selkeämpää, pitkäjännitteistä, vs kuin pankeilla.