Keskinäiset erot eri pankkien tietoturvassa

Anonyymi

Tänään uutisoidusti OP-pankin asiakasta koskettaneeseen "läheltä-piti-vahinkoon" (Man-In-The-Middle tietokalastelu) liittyen: - https://www.iltalehti.fi/tietoturva/a/726d5a13-3123-4060-bf50-0f3a7048f090 ->>

On kohtuullisen selvää tunnuslukuperusteinen kirjautuminen tulisi poistaa asiakkaille ulkoistetun tietoturvan vuoksi ja korvata se esimerkiksi tietoturvaltaan ylivertaisella QR-koodilukuperusteisella vuorovaikutteisuudella S-Pankin toteutuksen tapaan. Ne tahot, jotka eivät kykene suoriutuman arkisista pankkiasioinnista kännykkäkameraa käyttäen tulee saattaa hoitamaan pankkiasiansa pankkitiskillä oman ja pankin tietoturvavaatimusten täyttämiseksi - tuossahan alleviivattuna Disclaimerina voisi olla, että mikäli tahdot käyttää tunnuslukulistaa, niin pankki ei ota mitään vastuuta menetyksistä ( joka siis ei liene kaukana vallitsevasta todellisuudesta ).

Tietoturvattoman tunnuslukuperusteisen autentikoinnin korvaavan järjestelmän tulisi perustua mobiilikättelyperusteiseen vuorovaikutukseen skenaariossa, missä ESIM.

(a) pankki on lähdössä varmistanut asiakassoftan uniikin legitiimiyden - so. appis asiakasohjelmistona === "puhelinnumero päätelaite ID applikaatio ID" perusteisesti kryptattu avain, joka säilötään natiivin rekisteröinnin yhteydessä AINOASTAAN pankin tietokantaan.
(b) yhteen pankkitiliin liittyvä "sama julkinen avain" voi olla rekisteröidysti käytössä vain yhden appiksen osalta kerrallaan ->> ei väliintulon mahdollisuutta
(c) pankin nettipalvelut eivät askella eteenpäin (tilisiirrot, laskujen hyväksynnät, etc) elleivät QR-koodin lukemisen yhteydessä avaimen regenerointia varten splitatusti lähetetyt detaljit mätsäisi appiksen natiivin rekisteröinnin yhteydessä tallennettuun referenssiin reaaliaikaisesti.

Homma toimii juurikin kokolailla edellä kuvatusti mm. S-Pankin tarjoaminen pankkipalvelujen puitteissa (hats off!); - taika tuossa nimenomaisesti: - suljettu silmukointi legitiimiydeltään varmistetun asiakkaan päätelaitteen ja pankin nettisivujen välillä ilman väliintulon mahdollisuutta.

4

895

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Anonyymi

      Osuuspankin pahvilista on ns. idioottivarma. Välissä tsiigaaja ei pysty tekemään mitään, koska käyttäjän pitää tsekta satunnaisesti pankilta tulevan avainluvun järjestysnumero omasta kännykästään, ennen kuin hyväksyy maksun. Viestin mukana on myös yhteissumma, mitä ollaan maksamassa.

      Https-yhteyden välissä on muutenkin kinkkistä olla, jos ei ole pääsyä pankin konesaliin. Liikenne kun menee käyttäjän ja pankin välissä salattuna, ja vasta pankin konesaliin päästyään se muuttuu aikaisintaan luettavaan muotoon.

      Nuo viivakoodit ovat vaarallisia, koska käyttäjä ei tiedä mitä ne sisältävät. Fyysinen irrallinen avainlukulista on kaikkein turvallisin tapa asioida verkkopankissa.

      Käyttäjähän se suurin tietoturvariski on. Jotkut pösilöt menevät jonkun googlen kautta pankin sivulle, vaikka yhtä helposti kirjoittaa osoitekenttään op.fi, s-pankki.fi jne.

      • Anonyymi

        Minullakin on käytössä Osuuspankin pahvilista. Sitä on turha hakkerien yrittää hakkeroida.

        Ei mitään "turvallisia" pankin kännykkäsovelluksia jotka ovat yhteydessä nettiin ja ainakin periaatteessa hakkeroitavissa netin kautta.

    • Anonyymi

      Nyt on yleistynyt kaikkialla sormenjälkitunnistus, joka minusta on paras tunnistusmenetelmä. Esimerkiksi S-pankki käyttää sitä, sekä monet muut palveluntarjoajat.

      En ymmärrä, miksi esimerkiksi OP ei ole ottanut käyttöönsä maailman parasta tunnistautumista eli sormenjälkeä, miksi siis miksi?

    Ketjusta on poistettu 1 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Vesikin maksaa, miksei hengitysilma?

      Jatkuvasti itketään ettei ole rahaa mihinkään, mutta tilastojen mukaan rahaa on enemmän kuin koskaan, joten miksei asial
      Maailman menoa
      13
      1693

    2. Satuolennoista tarinointi ei kuulu peruskoulun tehtäviin

      Opetustunteja on muutenkin käytössä vain rajallinen määrä. Eli nämä satuhommat koulun ulkopuolelle vapaaehtoisiin harras
      Maailman menoa
      138
      1686

    3. Suomalainen perheenisä vaatii Suvivirren esittämisestä hyvityksiä

      Itse lapsena uskonnonopetuksesta vissiin traumoja saanut ihka suomalainen (!) perheenisä vaatii Espoon kaupungilta korva
      Maailman menoa
      264
      1235

    4. Lahkokasteen ja kristillisen kasteen erot

      Raamatun mukaan Kristillisessä yhdessä kasteessa Jumala pesee ja puhdistaa ihmisen sydämen ja poistaa perisynnin kirouks
      Kaste
      422
      1088

    5. Mies profiloin sinut

      Etsit täysin hallittavaa mutta samalla poikkeuksellista ihmistä. Etsit jotain mitä et koskaan tule saamaan.
      Ikävä
      210
      1066

    6. Salainen kastekoulutus

      Millainen on helluntailainen kastekoulutus ja kauanko se kestää ?
      Kaste
      285
      955

    7. Mitä haluaisit

      Tehdä kaivattusi kanssa?
      Ikävä
      129
      949

    8. Heikki Paasosen Marita-vaimo jätti tunteikkaat jäähyväiset: "Tällä kertaa me..."

      Heikki Paasonen on naimisissa Marita Paasosen (os. Alatalo) kanssa ja heillä on kaksi pientä lasta. Nyt koitti aika jätt
      Suomalaiset julkkikset
      3
      897

    9. Pirkanlinna yleisötapahtuma

      Oli todella hyvä tilaisuus. Ja EERO. L. Aivan mahtava tyyppi. Veti rennosti ja asiallisesti. Ja yleisöltä hyviä kysymyks
      Ähtäri
      49
      878

    10. Känsäkoura ja hotelli

      Tietoa kuka ostanut?
      Kuhmo
      10
      875
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt