Tänään uutisoidusti OP-pankin asiakasta koskettaneeseen "läheltä-piti-vahinkoon" (Man-In-The-Middle tietokalastelu) liittyen: - https://www.iltalehti.fi/tietoturva/a/726d5a13-3123-4060-bf50-0f3a7048f090 ->>
On kohtuullisen selvää tunnuslukuperusteinen kirjautuminen tulisi poistaa asiakkaille ulkoistetun tietoturvan vuoksi ja korvata se esimerkiksi tietoturvaltaan ylivertaisella QR-koodilukuperusteisella vuorovaikutteisuudella S-Pankin toteutuksen tapaan. Ne tahot, jotka eivät kykene suoriutuman arkisista pankkiasioinnista kännykkäkameraa käyttäen tulee saattaa hoitamaan pankkiasiansa pankkitiskillä oman ja pankin tietoturvavaatimusten täyttämiseksi - tuossahan alleviivattuna Disclaimerina voisi olla, että mikäli tahdot käyttää tunnuslukulistaa, niin pankki ei ota mitään vastuuta menetyksistä ( joka siis ei liene kaukana vallitsevasta todellisuudesta ).
Tietoturvattoman tunnuslukuperusteisen autentikoinnin korvaavan järjestelmän tulisi perustua mobiilikättelyperusteiseen vuorovaikutukseen skenaariossa, missä ESIM.
(a) pankki on lähdössä varmistanut asiakassoftan uniikin legitiimiyden - so. appis asiakasohjelmistona === "puhelinnumero päätelaite ID applikaatio ID" perusteisesti kryptattu avain, joka säilötään natiivin rekisteröinnin yhteydessä AINOASTAAN pankin tietokantaan.
(b) yhteen pankkitiliin liittyvä "sama julkinen avain" voi olla rekisteröidysti käytössä vain yhden appiksen osalta kerrallaan ->> ei väliintulon mahdollisuutta
(c) pankin nettipalvelut eivät askella eteenpäin (tilisiirrot, laskujen hyväksynnät, etc) elleivät QR-koodin lukemisen yhteydessä avaimen regenerointia varten splitatusti lähetetyt detaljit mätsäisi appiksen natiivin rekisteröinnin yhteydessä tallennettuun referenssiin reaaliaikaisesti.
Homma toimii juurikin kokolailla edellä kuvatusti mm. S-Pankin tarjoaminen pankkipalvelujen puitteissa (hats off!); - taika tuossa nimenomaisesti: - suljettu silmukointi legitiimiydeltään varmistetun asiakkaan päätelaitteen ja pankin nettisivujen välillä ilman väliintulon mahdollisuutta.
Keskinäiset erot eri pankkien tietoturvassa
4
844
Vastaukset
- Anonyymi
Osuuspankin pahvilista on ns. idioottivarma. Välissä tsiigaaja ei pysty tekemään mitään, koska käyttäjän pitää tsekta satunnaisesti pankilta tulevan avainluvun järjestysnumero omasta kännykästään, ennen kuin hyväksyy maksun. Viestin mukana on myös yhteissumma, mitä ollaan maksamassa.
Https-yhteyden välissä on muutenkin kinkkistä olla, jos ei ole pääsyä pankin konesaliin. Liikenne kun menee käyttäjän ja pankin välissä salattuna, ja vasta pankin konesaliin päästyään se muuttuu aikaisintaan luettavaan muotoon.
Nuo viivakoodit ovat vaarallisia, koska käyttäjä ei tiedä mitä ne sisältävät. Fyysinen irrallinen avainlukulista on kaikkein turvallisin tapa asioida verkkopankissa.
Käyttäjähän se suurin tietoturvariski on. Jotkut pösilöt menevät jonkun googlen kautta pankin sivulle, vaikka yhtä helposti kirjoittaa osoitekenttään op.fi, s-pankki.fi jne.- Anonyymi
Minullakin on käytössä Osuuspankin pahvilista. Sitä on turha hakkerien yrittää hakkeroida.
Ei mitään "turvallisia" pankin kännykkäsovelluksia jotka ovat yhteydessä nettiin ja ainakin periaatteessa hakkeroitavissa netin kautta.
- Anonyymi
Varokaa haittaohjelmia
https://www.diginyt.fi/yleisimmat-haittaohjelmat-ja-haavoittuvuudet-suomessa-ja-maailmalla/ - Anonyymi
Nyt on yleistynyt kaikkialla sormenjälkitunnistus, joka minusta on paras tunnistusmenetelmä. Esimerkiksi S-pankki käyttää sitä, sekä monet muut palveluntarjoajat.
En ymmärrä, miksi esimerkiksi OP ei ole ottanut käyttöönsä maailman parasta tunnistautumista eli sormenjälkeä, miksi siis miksi?
Ketjusta on poistettu 1 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Onnea Riikka! Työttömyys aste on nyt täysi kymppi!
🎯 💪 Kiitoksia Riikalle ansiokkaasta työstä Suomen kansantalouden tuhoamisessa. V.Putin suljetun rajan tuolla puolen1495498Hyvällä tuurilla Suomen väkiluku nousee 7 miljoonaan
Vuoteen 2050 mennessä, mikäli onnistumme maahanmuuttopolitiikassa hyvin. Näin analysoi väestötieteen tohori Hiilamo. ht1924542Riikka jytkytti työttömyyden uuteen ennätykseen!
Erinomaista työtä jälleen kerran irvistelevältä saksiniekalta. ”Yhtä korkeaa työttömyysastetta ei löydy työvoimatutkimu1764480Juuri nyt! Parturi bongattu Sannan seurassa!
🌐 Breking News 📢 🗞️ 🆕 Kaksikko bongattu Suomen Helsingin Töölöstä. Kyllä. Sieltä samasta Töölöstä, josta kuppakin34454Keskisarja kiihotti persuja kansanryhmää vastaan
Rikoksen vakavuutta lisää se, että Keskisarja toimii eduskuntapuolueen puheenjohtajana, jonka puheilla on enemmän painoa544335Miksi media ei ole tutkinut Li Anderssonin antifa-yhteyksiä
Antifa on väkivaltainen äärivasemmistolainen terrori-järjestö, joka USA:ssa on nyt kielletty. Andersson itse on äärivas874153Kolmepäiväinen työviikko on kulman takana
Zoomin toimitusjohtajan mukaan tekoäly alkaa olla monissa työtehtävissä niin tehokas, että ihmiset voivat pudottaa työpä153949Mercedes-Benzille riitti Suomen äärioikeistohallitus
Tästä jo pari vuotta sitten varoiteltiin, että kaikki ulkomaalaiset investoijat poistuvat fasistipersujen myötä tukemast393834Aamun Riikka: sakset tiputtavat 31 000 lasta köyhyysrajan alle
✂️ STM:n tuoreen arvion mukaan Riikan leikkaukset pudottavat peräti 31 000 lasta köyhyysrajan alle, kun aikaisempi THL743739Päivän Riikka: Valmet Automotive aloittaa jättimäiset muutosneuvottelut
😭😭😭😭😭😭😭 Tämäkin vielä, Brutukseni. Että ei olisi Suomen historian pahimmat työttömyysluvut riittäneet, niin Riik1043670