Tänään uutisoidusti OP-pankin asiakasta koskettaneeseen "läheltä-piti-vahinkoon" (Man-In-The-Middle tietokalastelu) liittyen: - https://www.iltalehti.fi/tietoturva/a/726d5a13-3123-4060-bf50-0f3a7048f090 ->>
On kohtuullisen selvää tunnuslukuperusteinen kirjautuminen tulisi poistaa asiakkaille ulkoistetun tietoturvan vuoksi ja korvata se esimerkiksi tietoturvaltaan ylivertaisella QR-koodilukuperusteisella vuorovaikutteisuudella S-Pankin toteutuksen tapaan. Ne tahot, jotka eivät kykene suoriutuman arkisista pankkiasioinnista kännykkäkameraa käyttäen tulee saattaa hoitamaan pankkiasiansa pankkitiskillä oman ja pankin tietoturvavaatimusten täyttämiseksi - tuossahan alleviivattuna Disclaimerina voisi olla, että mikäli tahdot käyttää tunnuslukulistaa, niin pankki ei ota mitään vastuuta menetyksistä ( joka siis ei liene kaukana vallitsevasta todellisuudesta ).
Tietoturvattoman tunnuslukuperusteisen autentikoinnin korvaavan järjestelmän tulisi perustua mobiilikättelyperusteiseen vuorovaikutukseen skenaariossa, missä ESIM.
(a) pankki on lähdössä varmistanut asiakassoftan uniikin legitiimiyden - so. appis asiakasohjelmistona === "puhelinnumero päätelaite ID applikaatio ID" perusteisesti kryptattu avain, joka säilötään natiivin rekisteröinnin yhteydessä AINOASTAAN pankin tietokantaan.
(b) yhteen pankkitiliin liittyvä "sama julkinen avain" voi olla rekisteröidysti käytössä vain yhden appiksen osalta kerrallaan ->> ei väliintulon mahdollisuutta
(c) pankin nettipalvelut eivät askella eteenpäin (tilisiirrot, laskujen hyväksynnät, etc) elleivät QR-koodin lukemisen yhteydessä avaimen regenerointia varten splitatusti lähetetyt detaljit mätsäisi appiksen natiivin rekisteröinnin yhteydessä tallennettuun referenssiin reaaliaikaisesti.
Homma toimii juurikin kokolailla edellä kuvatusti mm. S-Pankin tarjoaminen pankkipalvelujen puitteissa (hats off!); - taika tuossa nimenomaisesti: - suljettu silmukointi legitiimiydeltään varmistetun asiakkaan päätelaitteen ja pankin nettisivujen välillä ilman väliintulon mahdollisuutta.
Keskinäiset erot eri pankkien tietoturvassa
4
796
Vastaukset
- Anonyymi
Osuuspankin pahvilista on ns. idioottivarma. Välissä tsiigaaja ei pysty tekemään mitään, koska käyttäjän pitää tsekta satunnaisesti pankilta tulevan avainluvun järjestysnumero omasta kännykästään, ennen kuin hyväksyy maksun. Viestin mukana on myös yhteissumma, mitä ollaan maksamassa.
Https-yhteyden välissä on muutenkin kinkkistä olla, jos ei ole pääsyä pankin konesaliin. Liikenne kun menee käyttäjän ja pankin välissä salattuna, ja vasta pankin konesaliin päästyään se muuttuu aikaisintaan luettavaan muotoon.
Nuo viivakoodit ovat vaarallisia, koska käyttäjä ei tiedä mitä ne sisältävät. Fyysinen irrallinen avainlukulista on kaikkein turvallisin tapa asioida verkkopankissa.
Käyttäjähän se suurin tietoturvariski on. Jotkut pösilöt menevät jonkun googlen kautta pankin sivulle, vaikka yhtä helposti kirjoittaa osoitekenttään op.fi, s-pankki.fi jne.- Anonyymi
Minullakin on käytössä Osuuspankin pahvilista. Sitä on turha hakkerien yrittää hakkeroida.
Ei mitään "turvallisia" pankin kännykkäsovelluksia jotka ovat yhteydessä nettiin ja ainakin periaatteessa hakkeroitavissa netin kautta.
- Anonyymi
Varokaa haittaohjelmia
https://www.diginyt.fi/yleisimmat-haittaohjelmat-ja-haavoittuvuudet-suomessa-ja-maailmalla/ - Anonyymi
Nyt on yleistynyt kaikkialla sormenjälkitunnistus, joka minusta on paras tunnistusmenetelmä. Esimerkiksi S-pankki käyttää sitä, sekä monet muut palveluntarjoajat.
En ymmärrä, miksi esimerkiksi OP ei ole ottanut käyttöönsä maailman parasta tunnistautumista eli sormenjälkeä, miksi siis miksi?
Ketjusta on poistettu 1 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
- 1873826
Tekisi niin mieli laittaa sulle viestiä
En vaan ole varma ollaanko siihen vielä valmiita, vaikka halua löytyykin täältä suunnalta, ja ikävää, ja kaikkea muuta m891771Miksi ihmeessä?
Erika Vikman diskattiin, ei osallistu Euroviisuihin – tilalle Gettomasa ja paluun tekevä Cheek281482- 1651352
Erika Vikman diskattiin, tilalle Gettomasa ja paluun tekevä Cheek
Erika Vikman diskattiin, ei osallistu Euroviisuihin – tilalle Gettomasa ja paluun tekevä Cheek https://www.rumba.fi/uut231138Pitääkö penkeillä hypätä Martina?
Eivätkö puistonpenkit ole istumista varten.Ei niitä kannata liata hyppäämällä koskaa likaantuvat eikä siellä kukaan niit2031087Kuinka kauan
Olet ollut kaivattuusi ihastunut/rakastunut? Tajusitko tunteesi heti, vai syventyivätkö ne hitaasti?931061- 361047
Maikkarin tentti: Orpo jälleen rauhallinen ja erittäin hyvä, myös Purra oli hyvä
Lindtman ja Kaikkonen oli kohtalaisia, sen sijaan punavihreät Koskela ja Virta olivat taas heikkoja. Ja vastustavat jalk1251004Milli-helenalla ongelmia
Suomen virkavallan kanssa. Eipä ole ihme kun on etsintäkuullutettu jenkkilässäkin. Vähiin käy oleskelupaikat virottarell179887