ID-kaardindus

ID-kaardindus

[lbmn_commentscount]

Märkasin, et Hansapangas pole vaja enam, ID-kaarti kasutades, salasõna sisestada, aga samas on vaja iga makse allkirjastada. Tulemus on tiba ebamugavam kasutada.

Kui varem sai keyloggeriga varustatud sõber ainult pin1 kätte siis nüüd on ka allkirjastamiseks vajalik pin2 kättesaadav. Ma teen kõiki asju ID-kaardiga, aga see tundub nii lõpmata ebaturvaline. Kui vanasti, koodikaardi puhul, oleks pahalane saanud mu pangakonto tühjendada, siis praeguseks on pahalase võimalused suurendatud kogu elu tühjendamiseni.

Huvitav, kui spämmida Eestis laiali kiri, mille teemaks IDkaardikeskuse mure turvaliste pin1 ja pin2 kasutamise üle ja paluda kasutajal need turvaanalüüsi saata, siis mitu protsenti seda teeksid? Põhimõtteliselt on täna täielikuks identiteedivarguseks vaja üht kaarti ja kaht numbrit.

Mida tsentraliseeritum on turvasüsteem, seda suurem kahju tekib selle murdmisel. Mugavus töötab muidugi vastupidises suunas.

[lbmn_postpagination]

[lbmn_authorbio]

About us and this blog

We are a digital marketing company with a focus on helping our customers achieve great results across several key areas.

Request a free quote

We offer professional SEO services that help websites increase their organic search score drastically in order to compete for the highest rankings even when it comes to highly competitive keywords.

Subscribe to our newsletter!

Veebikoolitus tegijatele (WordPress)

DreamGrow korraldatav WordPressi koolitus internetiturundajatele toimub 17. juuni 2009. Koolitus on mõeldud…
Continue reading

E-turundus eksperiment

E-turundus eksperiment toimub DreamGrow veebis. Eksperimendi eesmärgiks on selgitada, kui palju saab…
Continue reading

999 äriideed

Eile postitasin Dreamgrow blogisse jutu sellest, kuidas ideed ei maksa midagi. Seal…
Continue reading

Intervjuu Seth Godin’iga

Nüüd on üleval intervjuu Seth Godin'iga, mille tarbeks hiljuti küsimusi kogusime. Intervjuu…
Continue reading

Küsimused Seth Godin’ile

Eelmine nädal leppisin Seth Godin'iga kokku, et teen temaga intervjuu. Kui soovid…
Continue reading

Nüüd on internet väikese tähega!

Natuke vähem kui aasta tagasi kirjutasin, et internet kirjutatakse suure ja väikese…
Continue reading

Sinu positsioon neti.ee otsingus

Panime DreamGrow lehele üles vahendi, mis aitab teada saada, millisel postitsioonil on…
Continue reading

Info visualiseerimine

Natuke ajaviidet :) Leidsin huvitava mänguasja nimega Wordle. Sellega saab blogisid ja…
Continue reading
[lbmn_commentscount]
  1. Kõigilt ID-kaardi turvalisuse pooldajatelt küsiks, kas nad on nõus siduma ID-kaardi ja 4-kohalise PINiga oma auto, korteri- ja kontoriukse?

    Minul on nende jaoks 7 erinevat autentimisseadet, mida kutsutakse võtmeteks ja mida ma küll ID-kaardile siduda ei tahaks.

    • Bulgaarlane
    • February 22, 2008

    Lõppkokkuvõttes taandub ikkagi kõik elementaarsetele “hügieenireeglitele” — ära installi paskvara, kasuta normaalset võrgulehitsejat ja hoia antiviirus up-to-date. Minu arust on äärmusparanoia isegi intellektuaalse harjutusena umbes sama rumal nagu kokaiini tarvitamine meelelahutuse eesmärgil.

    ID kaardi “turvalisuse” üle ei tahaks eriti sõna võtta, sest kogu selle aukartust äratava infosüsteemi on projekteerinud inimesed, kelle analüüsi- ja sünteesivõime ületab kõigi siinkommijate (kaasa arvatud minu) ajunatukest mäekõrguselt. Iseasi on need pooletoobised pluginad, mida brauserid kasutavad. Mina isiklikult võtan ID kaarti kasutades mugavuse nimel teadliku riski, et seda võidakse kuidagi pealt kuulata või dubleerida ja hiljem kurjadel eesmärkidel ära kasutada. Riske maandan vastutustundliku arvutikasutusega.

    Ei usu, et ID kaart või pangakaardid ainuüksi sellepärast reaalsuseks sai, et pank vastutusest loobuda saaks. BS. Ikka sellepärast, et inimestel oli niimoodi mugavam ja see lahendus läks neile peale. Panga vastutuse vähenemine oli lihtsalt kõrvalnäht, mitte arengu põhjus.

    ID kaardi reaalse kasutamise koha pealt ütleks nii palju, et loll saab kirikuski peksa. Alati leidub ullikesi, kes hammasrataste vahele jäävad. Kahjuks.

    Kelle ID kaart ei meeldi, võib ju alati tagasi minna pangakontorite ja allkirjade süsteemi juurde. Mulle näiteks meeldib. Väga mugav on raha liigutada. Aga asju ostan ja poes käin ikkagi ainult sularaha eest. Osta ise kaardiga, värdjas siil:)

    • ap
    • February 17, 2008

    arvestades eelpoolmainitud ID kaardi rünnatavust keyloggeri + hilisema arvuti ülevõtmise kaudu, on eestis täna siiski veel 3 arvestatavalt head auth meetodit:
    – ID kaart + lugeja millel on koodiklahvid küljes (ei allu keyloggeri rünnakule)
    – pin kalkulaator.
    – mobiil-id. pole küll sellesse süvenenud aga esmapilgul tundub 🙂

    • mattias
    • February 17, 2008

    Selles suhtes on Kauril õigus, et tegemist on eelkõige mitte turvalisuse tõstmise, vaid vastutusest vabanemise trikiga. Sama lugu on ka kiipkaartide+PIN kasutamisel pangakaardina: kui varem lasus vastutus allkirja õigsust tõestada kaupmehel ja pangal, siis nüüd vastutad PIN üleõlapiilumise ja seejärel kaardi varastamise järel tekkinud kahjude eest sina ise.

    Ise ootan huviga, millal tekib esimene proof-of-concept viirus, mis id-kaardiga autenditud internetipangas makseid teisele arvele suunab. Kui kasutaja arvutisse juba sisse on murtud, ei oleks ju probleem IEd või Firefoxi “täiendada” ja tegelikult makse saajat muuta, kasutajale teist numbrit näidates. Igaks juhuks võib prototüübi teha hoopis sellise, mis 10 senti rohkem maksab mitte oma arvele ei kanna.

  2. Pingback: Infopursked @ kanna.mine.nu » Blog Archive » ID-kaardindus

    • Aare
    • February 16, 2008

    Elver, ma päris täpselt ei saanud aru, kuda pank saab minu arvutis toimuva eest vastutada 🙂
    Mobiil-ID saab lugeda siit: http://www.id.ee/10958

  3. Mobiil-ID tööpõhimõtte koha pealt olen võhik. Ons kellegil linki pakkuda?

    Aare: pank peaks vastutama kui pank süüdi on.

    Kõhutunde koha pealt: olen praktikas näinud juhtumeid, kus firma siseselt on autentimine teostatud ID-kaardiga. Et kui tahad tööd teha, siis suskad ID-kaardi sisse. Võtad välja, ei saa enam andmetele ligi.

    • Aare
    • February 15, 2008

    Kaur, kas pank peaks siis kliendi asemel vastutama selle eest, et kliendi isiklikus arvutis pahavara ei pesitseks? Ja kuidas sa selle korraldamist endale ette kujutaksid? 🙂

    • Mihkel
    • February 15, 2008

    See on hea diskussioon Mobiil-ID propageerimiseks. Ei saa pinne virutada ega neid kuritarvitada.

    • kaur
    • February 15, 2008

    Kodanikud, saate valesti aru.

    ID-kaardi ja digiallkirja kasutamise mõte pole mitte turvalisuse tõstmine, vaid vastutuse kantimine kliendile. Jagatud saladuse (paroolid, sümmeetrilise krüpto peal käiv PIN-kalkulaator) puhul ei ole võimalik tõestada, et autentimis-info lekkis sinu, mitte panga (või misiganes teenusepakkuja / serveri) poolt. ID-kaardiga on see võimalik ning igas võimalikus vaidluses jääd süüdi sina.

    Aga seni on meil e-kuritegevust nii vähe, et vahet eriti pole. Huvitav oleks teada, mida tegid valesti need hiljutised Hansa(?)panga paroolivarguse ohvrid – st mis liigutusi nad tegid ja mis lehti külastasid, et loggeri endale külge said?

    • Madis
    • February 15, 2008

    > Priit, mida teeb pahalane sinu PIN-idega, aga ilma sinu ID-kaardita?

    Ootab sinu arvutis, kuni sinna ID kaart sisestatakse ja siis teeb paha.

    Minu kõhutunne ütleb, et tavaline kasutaja kipub ID-kaarti masinasse unustama ja sellisel juhul on ta üsna lihtsalt rünnatav, lihtssamalt kui koodikaardi kasutaja.

    Koodikaardid oleks veel paremad, kui pangad loobuksid korduvate ja muidu selgelt mittekuripruugitavate maksete juurde kinnituskoodide küsimisest. Nii oleks pahalasel hoopis raskem koodikaardist koopiad kokku kombineerida.

  4. Naelapea pihta, Allar. Priit, mida teeb pahalane sinu PIN-idega, aga ilma sinu ID-kaardita?

    • Allar
    • February 14, 2008

    No aga kui pole ID kaart pole nende pinidega midagi teha. Või sa arvad, et need netihäkkerid hakkavad inimesi röövima nagu muuseas?

  5. Päris täielik see identiteedivargus ikkagi pole. Nimelt on võimalik varguse puhul sertifikaadid peatada ehk indentiteedivarguse lõpetada. Pigem on see identiteedi kuritegelik kasutamine kui vargus.

    Kui arvad, et Su masinas on keylogger, osta endale mõni klahvistikuga kaardilugeja (neid peaks saada olema küll Eestis)

 

Leave a Comment

Priit Kallas

This is author biographical info, that can be used to tell more about you, your iterests, background and experience. You can change it on Admin > Users > Your Profile > Biographical Info page."

You may also like...

15 Responses

  1. Martin says:

    Päris täielik see identiteedivargus ikkagi pole. Nimelt on võimalik varguse puhul sertifikaadid peatada ehk indentiteedivarguse lõpetada. Pigem on see identiteedi kuritegelik kasutamine kui vargus.

    Kui arvad, et Su masinas on keylogger, osta endale mõni klahvistikuga kaardilugeja (neid peaks saada olema küll Eestis)

  2. Allar says:

    No aga kui pole ID kaart pole nende pinidega midagi teha. Või sa arvad, et need netihäkkerid hakkavad inimesi röövima nagu muuseas?

  3. Lembit says:

    Naelapea pihta, Allar. Priit, mida teeb pahalane sinu PIN-idega, aga ilma sinu ID-kaardita?

  4. Madis says:

    > Priit, mida teeb pahalane sinu PIN-idega, aga ilma sinu ID-kaardita?

    Ootab sinu arvutis, kuni sinna ID kaart sisestatakse ja siis teeb paha.

    Minu kõhutunne ütleb, et tavaline kasutaja kipub ID-kaarti masinasse unustama ja sellisel juhul on ta üsna lihtsalt rünnatav, lihtssamalt kui koodikaardi kasutaja.

    Koodikaardid oleks veel paremad, kui pangad loobuksid korduvate ja muidu selgelt mittekuripruugitavate maksete juurde kinnituskoodide küsimisest. Nii oleks pahalasel hoopis raskem koodikaardist koopiad kokku kombineerida.

  5. kaur says:

    Kodanikud, saate valesti aru.

    ID-kaardi ja digiallkirja kasutamise mõte pole mitte turvalisuse tõstmine, vaid vastutuse kantimine kliendile. Jagatud saladuse (paroolid, sümmeetrilise krüpto peal käiv PIN-kalkulaator) puhul ei ole võimalik tõestada, et autentimis-info lekkis sinu, mitte panga (või misiganes teenusepakkuja / serveri) poolt. ID-kaardiga on see võimalik ning igas võimalikus vaidluses jääd süüdi sina.

    Aga seni on meil e-kuritegevust nii vähe, et vahet eriti pole. Huvitav oleks teada, mida tegid valesti need hiljutised Hansa(?)panga paroolivarguse ohvrid – st mis liigutusi nad tegid ja mis lehti külastasid, et loggeri endale külge said?

  6. Mihkel says:

    See on hea diskussioon Mobiil-ID propageerimiseks. Ei saa pinne virutada ega neid kuritarvitada.

  7. Aare says:

    Kaur, kas pank peaks siis kliendi asemel vastutama selle eest, et kliendi isiklikus arvutis pahavara ei pesitseks? Ja kuidas sa selle korraldamist endale ette kujutaksid? 🙂

  8. Elver says:

    Mobiil-ID tööpõhimõtte koha pealt olen võhik. Ons kellegil linki pakkuda?

    Aare: pank peaks vastutama kui pank süüdi on.

    Kõhutunde koha pealt: olen praktikas näinud juhtumeid, kus firma siseselt on autentimine teostatud ID-kaardiga. Et kui tahad tööd teha, siis suskad ID-kaardi sisse. Võtad välja, ei saa enam andmetele ligi.

  9. Aare says:

    Elver, ma päris täpselt ei saanud aru, kuda pank saab minu arvutis toimuva eest vastutada 🙂
    Mobiil-ID saab lugeda siit: http://www.id.ee/10958

  10. mattias says:

    Selles suhtes on Kauril õigus, et tegemist on eelkõige mitte turvalisuse tõstmise, vaid vastutusest vabanemise trikiga. Sama lugu on ka kiipkaartide+PIN kasutamisel pangakaardina: kui varem lasus vastutus allkirja õigsust tõestada kaupmehel ja pangal, siis nüüd vastutad PIN üleõlapiilumise ja seejärel kaardi varastamise järel tekkinud kahjude eest sina ise.

    Ise ootan huviga, millal tekib esimene proof-of-concept viirus, mis id-kaardiga autenditud internetipangas makseid teisele arvele suunab. Kui kasutaja arvutisse juba sisse on murtud, ei oleks ju probleem IEd või Firefoxi “täiendada” ja tegelikult makse saajat muuta, kasutajale teist numbrit näidates. Igaks juhuks võib prototüübi teha hoopis sellise, mis 10 senti rohkem maksab mitte oma arvele ei kanna.

  11. ap says:

    arvestades eelpoolmainitud ID kaardi rünnatavust keyloggeri + hilisema arvuti ülevõtmise kaudu, on eestis täna siiski veel 3 arvestatavalt head auth meetodit:
    – ID kaart + lugeja millel on koodiklahvid küljes (ei allu keyloggeri rünnakule)
    – pin kalkulaator.
    – mobiil-id. pole küll sellesse süvenenud aga esmapilgul tundub 🙂

  12. Bulgaarlane says:

    Lõppkokkuvõttes taandub ikkagi kõik elementaarsetele “hügieenireeglitele” — ära installi paskvara, kasuta normaalset võrgulehitsejat ja hoia antiviirus up-to-date. Minu arust on äärmusparanoia isegi intellektuaalse harjutusena umbes sama rumal nagu kokaiini tarvitamine meelelahutuse eesmärgil.

    ID kaardi “turvalisuse” üle ei tahaks eriti sõna võtta, sest kogu selle aukartust äratava infosüsteemi on projekteerinud inimesed, kelle analüüsi- ja sünteesivõime ületab kõigi siinkommijate (kaasa arvatud minu) ajunatukest mäekõrguselt. Iseasi on need pooletoobised pluginad, mida brauserid kasutavad. Mina isiklikult võtan ID kaarti kasutades mugavuse nimel teadliku riski, et seda võidakse kuidagi pealt kuulata või dubleerida ja hiljem kurjadel eesmärkidel ära kasutada. Riske maandan vastutustundliku arvutikasutusega.

    Ei usu, et ID kaart või pangakaardid ainuüksi sellepärast reaalsuseks sai, et pank vastutusest loobuda saaks. BS. Ikka sellepärast, et inimestel oli niimoodi mugavam ja see lahendus läks neile peale. Panga vastutuse vähenemine oli lihtsalt kõrvalnäht, mitte arengu põhjus.

    ID kaardi reaalse kasutamise koha pealt ütleks nii palju, et loll saab kirikuski peksa. Alati leidub ullikesi, kes hammasrataste vahele jäävad. Kahjuks.

    Kelle ID kaart ei meeldi, võib ju alati tagasi minna pangakontorite ja allkirjade süsteemi juurde. Mulle näiteks meeldib. Väga mugav on raha liigutada. Aga asju ostan ja poes käin ikkagi ainult sularaha eest. Osta ise kaardiga, värdjas siil:)

  13. Priit says:

    Kõigilt ID-kaardi turvalisuse pooldajatelt küsiks, kas nad on nõus siduma ID-kaardi ja 4-kohalise PINiga oma auto, korteri- ja kontoriukse?

    Minul on nende jaoks 7 erinevat autentimisseadet, mida kutsutakse võtmeteks ja mida ma küll ID-kaardile siduda ei tahaks.

  1. February 16, 2008

    […] Says: February 15th, 2008 at 1:27 > Priit, mida teeb pahalane sinu PIN-idega, aga ilma sinu […]

Leave a Reply

Your email address will not be published. Required fields are marked *