S-Verkkopankin uudistuksen hölmöys

Eipä kelvannut S-Pankille.

S'YoDp{gbp[-c@Qrg:%^XzYR!\*mE~U=-Z{LQ1@iJ50~!MEE2)*/

on tässä kirjoitti:

Eipä kelvannut S-Pankille.

S'YoDp{gbp[-c@Qrg:%^XzYR!\*mE~U=-Z{LQ1@iJ50~!MEE2)*/

"En ylipäätänsä ymmärrä miksi salasanoja pitää rajoittaa."

syy on se että ihmiset tunaroivat liika aja pyytävät ongelmiin apuja, kyselevät infosta aivan turhia, kaikki maksaa ja sen maksa asiakas.

kuinka sinäkin salasanasi muistaisit kirjoittaa,
jos se on valmiina tekstiohjelmassa ja kopioit sen sieltä, se on vaarallista.


"eikä niissäkään välitetä onko isoja vai pieniä kirjaimia".

missä tuollainenkin on, jossa ei välitetä ?
.

En ylipäätänsä ymmärrä miks... kirjoitti:

"En ylipäätänsä ymmärrä miksi salasanoja pitää rajoittaa."

syy on se että ihmiset tunaroivat liika aja pyytävät ongelmiin apuja, kyselevät infosta aivan turhia, kaikki maksaa ja sen maksa asiakas.

kuinka sinäkin salasanasi muistaisit kirjoittaa,
jos se on valmiina tekstiohjelmassa ja kopioit sen sieltä, se on vaarallista.


"eikä niissäkään välitetä onko isoja vai pieniä kirjaimia".

missä tuollainenkin on, jossa ei välitetä ?
.

Lue lisää

"kuinka sinäkin salasanasi muistaisit kirjoittaa,
jos se on valmiina tekstiohjelmassa ja kopioit sen sieltä, se on vaarallista."

Tietenkin on. Kaikki salasanat joita käytän ovat kunnollisia. Osan ~20 merkkisistä salasanoista oppii kyllä kun niitä päivittäin hakkaa. Pääsääntöisesti en edes yritä muistaa niitä, vaan kopion salasanat tarpeen niin vaatiessa. Tämä on turvallisin keino tällä hetkellä joka on helposti toteutettavissa.

Kyllä, se on aivan yhtä vaarallista kuin sen näppäileminenkin. Jos alusta jolta käytät palvelua on kyseenalaisella pohjalla, niin mikään keino ei siinä vaiheessa auta. Vaihtuvat salasanat auttavat osaksi, mutta valitettavasti nekään eivät ole lopullinen ratkaisu mm. lennossa tapahtuville modifioinneille tai sille että käyttäjälle esitetään täysin valheelista tietoa siitä mitä hän on hyväksymässä. Tästä syystä jos alusta on epäluotettava edes monitekijätunnistus ei auta.

Jos vahvistat, sormenjäljellä, iriksellä/retinalla, salasanalla ja OTP generaattorilla jonkun toimenpiteen. Et voi tietää vahvistitko sen toimenpiteen mitä sinulle väitettiin sinun vahvistavan.

Näin ollen alustan kunnossa oleminen on yksi tärkeimpiä asioita. Jos se ei ole kunnossa, on kaikki muu merkityksetöntä.

Em. syystä esimerkiksi vieraita tietokoneita ei saa käyttää koskaan luottamuksellisen tiedon käsittelyyn, hakemiseen etc.

Se on vaarallista kirjoitti:

"kuinka sinäkin salasanasi muistaisit kirjoittaa,
jos se on valmiina tekstiohjelmassa ja kopioit sen sieltä, se on vaarallista."

Tietenkin on. Kaikki salasanat joita käytän ovat kunnollisia. Osan ~20 merkkisistä salasanoista oppii kyllä kun niitä päivittäin hakkaa. Pääsääntöisesti en edes yritä muistaa niitä, vaan kopion salasanat tarpeen niin vaatiessa. Tämä on turvallisin keino tällä hetkellä joka on helposti toteutettavissa.

Kyllä, se on aivan yhtä vaarallista kuin sen näppäileminenkin. Jos alusta jolta käytät palvelua on kyseenalaisella pohjalla, niin mikään keino ei siinä vaiheessa auta. Vaihtuvat salasanat auttavat osaksi, mutta valitettavasti nekään eivät ole lopullinen ratkaisu mm. lennossa tapahtuville modifioinneille tai sille että käyttäjälle esitetään täysin valheelista tietoa siitä mitä hän on hyväksymässä. Tästä syystä jos alusta on epäluotettava edes monitekijätunnistus ei auta.

Jos vahvistat, sormenjäljellä, iriksellä/retinalla, salasanalla ja OTP generaattorilla jonkun toimenpiteen. Et voi tietää vahvistitko sen toimenpiteen mitä sinulle väitettiin sinun vahvistavan.

Näin ollen alustan kunnossa oleminen on yksi tärkeimpiä asioita. Jos se ei ole kunnossa, on kaikki muu merkityksetöntä.

Em. syystä esimerkiksi vieraita tietokoneita ei saa käyttää koskaan luottamuksellisen tiedon käsittelyyn, hakemiseen etc.

Lue lisää

"Pääsääntöisesti en edes yritä muistaa niitä, vaan kopion salasanat tarpeen niin vaatiessa." Tyhmyyden huippu.
Ota nyt se vihreä pilleri ja mene nurkkaan istumaan,kyllä se siitä kohta helppaa.
Vain viimeinen tekstisi oli järkevää.

voe voe kirjoitti:

"Pääsääntöisesti en edes yritä muistaa niitä, vaan kopion salasanat tarpeen niin vaatiessa." Tyhmyyden huippu.
Ota nyt se vihreä pilleri ja mene nurkkaan istumaan,kyllä se siitä kohta helppaa.
Vain viimeinen tekstisi oli järkevää.

Lue lisää

Kerro nyt mikä tuossa on pielessä? Tuo on ainoa tapa käyttää vahvoja salasanoja, koska kuten todettua. Niiden muistaminen on käytännössä mahdotonta. Paitsi muutaman avain salasanan joita käytetään lukitsemaan nuo salasanat.

Tietysti paras ratkaisu olisi autentikointilaite, joita on tarjolla. Jotka otettiin täälläkin käyttöön etätyöhön. Antavat aina 128 bittisen kertakäyttöisen avaimen jolla kirjautuminen onnistuu. Tuossa on tietoturva kyllä kunnossa. Mutta edelleen, se ei poista riskiä siitä että jos alusta ei ole luotettava. Ja koska salasanoja ei ole erilaisia, ei riski väärästä hyväksynnästä poistu.

Pin-koodi on aina sim-kortissa, ei puhelimesta riippuvainen. Luurien omat suojakoodit on ihan eri juttu kuin sim-kortin pin-koodi joka on se kaikkein yleisin turvakoodi.

Sitäpaitsi sim-korteissa tuo pituus lienee standardoitu ja speksattukin standardiin joten siihen tuskin operaattoritkaan voi vaikuttaa, niiden kun on pakko noudattaa gsm-standardeja ja speksejä!

on tässä kirjoitti:

Eipä kelvannut S-Pankille.

S'YoDp{gbp[-c@Qrg:%^XzYR!\*mE~U=-Z{LQ1@iJ50~!MEE2)*/

"S'YoDp{gbp[-c@Qrg:%^XzYR!\*mE~U=-Z{LQ1@iJ50~!MEE2)*/

???? kirjoitti:

"S'YoDp{gbp[-c@Qrg:%^XzYR!\*mE~U=-Z{LQ1@iJ50~!MEE2)*/

Ei ole. Se siis onkin yksi suurimpia kysymyksiä, miksi palveluissa (myös muut kuin pankit) halutaan ESTÄÄ vahvojen salasanojen käyttäminen?

Mitä ilmeisimmin heidän osaajat eivät osaa hashata ja saltata dataa. Vaan pitää turvautua muutamaan numeroon.

Kuten jo aikaisemmin sanoin, tämä on tullut esille useita kertoja ennekin. Ja edelleen jatkamme samaa ihmettelyä.

Hyvin monet palvelut rajaavat salasanan 8-12 merkin alueelle. Ja tallentavat ne tämän jälkeen plaintextinä. Hyvin huono käytäntö. Tuo että salasana on neljä numeroa on jo suorastaan naurettavaa.

se on sim-kortissa kirjoitti:

Pin-koodi on aina sim-kortissa, ei puhelimesta riippuvainen. Luurien omat suojakoodit on ihan eri juttu kuin sim-kortin pin-koodi joka on se kaikkein yleisin turvakoodi.

Sitäpaitsi sim-korteissa tuo pituus lienee standardoitu ja speksattukin standardiin joten siihen tuskin operaattoritkaan voi vaikuttaa, niiden kun on pakko noudattaa gsm-standardeja ja speksejä!

Lue lisää

Sama ongelma koskee myös "standardia" VLC:tä. Salasana on rajattu 8 merkkiin. Minä en ainakaan moiseen turvallisuuteen luota missään nimessä. Aivan liian turvatonta. Tosin jos kysyn pankilta onko se heidän mielestään turvallista varmasti huutavat isoon ääneen ettei ole tai syyttäisivät jopa tietoturvan vaarantamisesta.

Pankit ovat kyllä kaksinaamaisuuden huipentuma näissä turva asioissa. Ensin painottavat että pitää olla turvallista ja sen jälkeen turvallisuutta laiminlyödään ITSE lukemattomissa kohdissa.

Terveiset vaan PCI standardin pelleille. Kun pankit eivät itse edes noudata määräyksiä.

ftp.nordea.fi vastaa täysin salaamattomiin yhteyksiin edelleen. Kuten myös muiden pankkien FTP serverit.

Pankkien johtajat on varsinainen valehtelijoiden klubi. Kuten myös monen muun organisaation johtajat. Jos tehdään selkeitä päätöksiä, tulisi niitä myös suoraselkäisesti noudattaa.

Kortilla olevan koodin vahvuus on myös äärimmäisen heikko, 4 numeroa -> 10000 vaihtoehtoa. Nykyaikaisessa digitalisessa maailmassa en sanoisi tuota ainakaan vahvaksi tunnistautumiseksi. Kun vielä muistetaan se, että koodi 1234 on ihan yhtä todennäköinen kuin mikätahansa muukin koodi, niin sitten ollaan heikossa kantimissa.

Aina välillä naurattaa kun halutaan keskustella esim. siitä että onhan nyt varmasti AES-256 salaus käytössä. Ja sitten salasana on 1234. ;) Right. Siinähän ne prioriteetit meni ihan oikein.

AES-256:n kanssa tulisi käyttää vähintään 40 merkkistä salasanaa, mielummin pidempää. Koska tuo 40 merkkiäkään ei vielä täytä kaikkia 256 bittiä varsinkaan jos se ei ole täysin satunnaista dataa.

45 merkkiä on vielä rajoilla, vasta 50 merkkiä pääsääntöisesti (edelleen täysin satunnaisena) on riittävän vahva.

Esimerkki:
*WPuj^sFe .qup#B(6L4{`Vp!]",!@PE?r=L

Vahvuus on heikko. kirjoitti:

Kortilla olevan koodin vahvuus on myös äärimmäisen heikko, 4 numeroa -> 10000 vaihtoehtoa. Nykyaikaisessa digitalisessa maailmassa en sanoisi tuota ainakaan vahvaksi tunnistautumiseksi. Kun vielä muistetaan se, että koodi 1234 on ihan yhtä todennäköinen kuin mikätahansa muukin koodi, niin sitten ollaan heikossa kantimissa.

Aina välillä naurattaa kun halutaan keskustella esim. siitä että onhan nyt varmasti AES-256 salaus käytössä. Ja sitten salasana on 1234. ;) Right. Siinähän ne prioriteetit meni ihan oikein.

AES-256:n kanssa tulisi käyttää vähintään 40 merkkistä salasanaa, mielummin pidempää. Koska tuo 40 merkkiäkään ei vielä täytä kaikkia 256 bittiä varsinkaan jos se ei ole täysin satunnaista dataa.

45 merkkiä on vielä rajoilla, vasta 50 merkkiä pääsääntöisesti (edelleen täysin satunnaisena) on riittävän vahva.

Esimerkki:
*WPuj^sFe .qup#B(6L4{`Vp!]",!@PE?r=L

Lue lisää

On käyttää AES-256 chiperiä ja SHA-1 hashia. Ongelma silloin on tietenkin se, että SHA-1 tuottaa vain 160 bittiä dataa, oli salasana mikä tahansa. Pitää käyttää mielummin esim. SHA-256 hashia.

Tämän uudistuksen mukana tuli sellainen piirre, että ei näe mistään paljonko kortilla on vielä kertakäyttölukuja jäljellä. Täytyy luottaa siihen, että uusi kortti tulee ajallaan. Olisi ehkä pitänyt jatkaa yliviivaamista, niin pysyisi ajan tasalla. Ainakin Sampopankin järjestelmä kertoo kirjautumisen jälkeen jäljellä olevien lukujen määrän.

tuli kirjoitti:

Tämän uudistuksen mukana tuli sellainen piirre, että ei näe mistään paljonko kortilla on vielä kertakäyttölukuja jäljellä. Täytyy luottaa siihen, että uusi kortti tulee ajallaan. Olisi ehkä pitänyt jatkaa yliviivaamista, niin pysyisi ajan tasalla. Ainakin Sampopankin järjestelmä kertoo kirjautumisen jälkeen jäljellä olevien lukujen määrän.

Lue lisää

Jos jokainen luku kysytään vain kerran, mikään ei estäne jatkamasta yliviivauskäytäntöä.

Timontti kirjoitti:

Jos jokainen luku kysytään vain kerran, mikään ei estäne jatkamasta yliviivauskäytäntöä.

Kerranhan ne luvut vain kysytään. Kai on alettava yliviivaamaan nytkin, vaikka piti itsestään selvänä, että se ei enää ole tarpeen. Eihän se tietysti olekaan, jos uudet luvut tulevat ajoissa eikä tarvitse kesken kaiken lähteä Prismaan hakemaan uusia lukuja. :)

Myös Tapiola Pankki otti saman menettelyn käyttöön kesäkuussa. Salasanassa on oltava sekä numeroita että kirjaimia. Sieltäkään ei näe jäljellä olevien lukujen määrää. Järjestelmät ovat ilmeisesti samalta toimittajalta peräisin. Ovat muutenkin samankaltaisia.

on syytä jatkaa kirjoitti:

Kerranhan ne luvut vain kysytään. Kai on alettava yliviivaamaan nytkin, vaikka piti itsestään selvänä, että se ei enää ole tarpeen. Eihän se tietysti olekaan, jos uudet luvut tulevat ajoissa eikä tarvitse kesken kaiken lähteä Prismaan hakemaan uusia lukuja. :)

Myös Tapiola Pankki otti saman menettelyn käyttöön kesäkuussa. Salasanassa on oltava sekä numeroita että kirjaimia. Sieltäkään ei näe jäljellä olevien lukujen määrää. Järjestelmät ovat ilmeisesti samalta toimittajalta peräisin. Ovat muutenkin samankaltaisia.

Lue lisää

Tapiolan ja S-Pankin verkkopankit ovat Ålandsbankenin tytäryhtiön Crosskey Banking Solutionsin tuotteita.

http://www.crosskey.fi/

näin on kirjoitti:

Tapiolan ja S-Pankin verkkopankit ovat Ålandsbankenin tytäryhtiön Crosskey Banking Solutionsin tuotteita.

http://www.crosskey.fi/

Lue lisää

S-pankkiin kelpasi salasanaksi 4 numeroa. Tapiola vaati vähintään 6-merkkisen, jossa pitää olla myös kirjaimia.

Vahvuus on heikko. kirjoitti:

Kortilla olevan koodin vahvuus on myös äärimmäisen heikko, 4 numeroa -> 10000 vaihtoehtoa. Nykyaikaisessa digitalisessa maailmassa en sanoisi tuota ainakaan vahvaksi tunnistautumiseksi. Kun vielä muistetaan se, että koodi 1234 on ihan yhtä todennäköinen kuin mikätahansa muukin koodi, niin sitten ollaan heikossa kantimissa.

Aina välillä naurattaa kun halutaan keskustella esim. siitä että onhan nyt varmasti AES-256 salaus käytössä. Ja sitten salasana on 1234. ;) Right. Siinähän ne prioriteetit meni ihan oikein.

AES-256:n kanssa tulisi käyttää vähintään 40 merkkistä salasanaa, mielummin pidempää. Koska tuo 40 merkkiäkään ei vielä täytä kaikkia 256 bittiä varsinkaan jos se ei ole täysin satunnaista dataa.

45 merkkiä on vielä rajoilla, vasta 50 merkkiä pääsääntöisesti (edelleen täysin satunnaisena) on riittävän vahva.

Esimerkki:
*WPuj^sFe .qup#B(6L4{`Vp!]",!@PE?r=L

Lue lisää

Taas väärää tietoa!Ei ole vain 4 numeroa vaan 4 erilaista/kokoista kirjainta ja neljä numeroa plus kortin 4 satunnaisesti vaihtuvaa numeroa plus uutena 4-6 oma valinta numeroa kaikki vielä eri paikkoihin.Hakkaa siitä mitä ja mihinkin.
Kuka hullu käyttää yleensäkään salasanaa 1234!!!

tietoa kirjoitti:

Taas väärää tietoa!Ei ole vain 4 numeroa vaan 4 erilaista/kokoista kirjainta ja neljä numeroa plus kortin 4 satunnaisesti vaihtuvaa numeroa plus uutena 4-6 oma valinta numeroa kaikki vielä eri paikkoihin.Hakkaa siitä mitä ja mihinkin.
Kuka hullu käyttää yleensäkään salasanaa 1234!!!

Lue lisää

>Kuka hullu käyttää yleensäkään salasanaa 1234?

Oletko koskaan kartoittanut ihmisten pinejä kännyköihin. 1234 ja 0000 taitavat olla ainakin 50% kännyköistä käytössä. ;)

Pistäkääpäs kuitti jos jompi kumpi on omassa luurissanne käytössä.

Vahvuus on heikko. kirjoitti:

Kortilla olevan koodin vahvuus on myös äärimmäisen heikko, 4 numeroa -> 10000 vaihtoehtoa. Nykyaikaisessa digitalisessa maailmassa en sanoisi tuota ainakaan vahvaksi tunnistautumiseksi. Kun vielä muistetaan se, että koodi 1234 on ihan yhtä todennäköinen kuin mikätahansa muukin koodi, niin sitten ollaan heikossa kantimissa.

Aina välillä naurattaa kun halutaan keskustella esim. siitä että onhan nyt varmasti AES-256 salaus käytössä. Ja sitten salasana on 1234. ;) Right. Siinähän ne prioriteetit meni ihan oikein.

AES-256:n kanssa tulisi käyttää vähintään 40 merkkistä salasanaa, mielummin pidempää. Koska tuo 40 merkkiäkään ei vielä täytä kaikkia 256 bittiä varsinkaan jos se ei ole täysin satunnaista dataa.

45 merkkiä on vielä rajoilla, vasta 50 merkkiä pääsääntöisesti (edelleen täysin satunnaisena) on riittävän vahva.

Esimerkki:
*WPuj^sFe .qup#B(6L4{`Vp!]",!@PE?r=L

Lue lisää

...mutta edellisen kirjoittaja ei ehkä ole sisäistänyt aivan kaikkea. Varsinkin tuo ensimmäinen kappale on varsin merkillistä luettavaa.

xx-xx-xx-xx kirjoitti:

...mutta edellisen kirjoittaja ei ehkä ole sisäistänyt aivan kaikkea. Varsinkin tuo ensimmäinen kappale on varsin merkillistä luettavaa.

Ensimmäisessä kappaleessa oli pientä sarkasmia, mutta ilmeisesti se ei mennyt kaikille jakeluun.

Jos siis on nelinumeroinen satunnainen PIN koodi tai salasana. Niin 1234 on aivan yhtätodennäköisen koodi kuin mikä tahansa muukin koodi. Jos näin ei olisi, koodi ei olisi enää täysin satunnainen.

Jossain tapauksissa tuo on tuottanut ongelmia, kun satunnainen nelimerkkinen salasana on fuck, shit, tits, gays, pedo tai jotain muuta. Tietysti se on täysin ahdasmielisen käyttäjän omassa päässä, jos se näkee satunnaisessa (V~C koodissa jotain likaista. Silti jotkut toimijat ovat halunneet suodattaa osan satunnaiskoodeista pois. Kuvasta hyvin sitä että ihmisillä kiristää vanne päätä.

Tuota siinä oli myös vitsi kirjoitti:

Ensimmäisessä kappaleessa oli pientä sarkasmia, mutta ilmeisesti se ei mennyt kaikille jakeluun.

Jos siis on nelinumeroinen satunnainen PIN koodi tai salasana. Niin 1234 on aivan yhtätodennäköisen koodi kuin mikä tahansa muukin koodi. Jos näin ei olisi, koodi ei olisi enää täysin satunnainen.

Jossain tapauksissa tuo on tuottanut ongelmia, kun satunnainen nelimerkkinen salasana on fuck, shit, tits, gays, pedo tai jotain muuta. Tietysti se on täysin ahdasmielisen käyttäjän omassa päässä, jos se näkee satunnaisessa (V~C koodissa jotain likaista. Silti jotkut toimijat ovat halunneet suodattaa osan satunnaiskoodeista pois. Kuvasta hyvin sitä että ihmisillä kiristää vanne päätä.

Lue lisää

Jollain on jo pipo kireällä tai kravatti estää hapen pääsyn aivoihin asti.

Nykyaikaina esimerkiksi käsitys siitä että 8 merkkinen salasana on riittävä, on täysin vanhentunut ja virheellinen.

Suosittelen käytännössä vähintänä 12 merkkistä salasanaa. Ja jos tieto on arvokasta, niin mieluiten ainakin 16.

Satuin muuten juuri lukemaan että uusimmassa Tietokone lehdessä oli myös ihmetelty tätä vuosikymmeniä vanhaa ja siksi heikkoa autentikointi menetelmää.

Tuossa vielä perustietoa salasanoista:
http://www.grc.com/ppp/design.htm

Tosin luotettuun dataan olisi parasta käyttää vähintään kahden tekijän autentikointia joista toinen ei ole kopioitavissa. Esimerkiksi. USB-identiteetti tikkua.