ID-kaardindus
Märkasin, et Hansapangas pole vaja enam, ID-kaarti kasutades, salasõna sisestada, aga samas on vaja iga makse allkirjastada. Tulemus on tiba ebamugavam kasutada.
Kui varem sai keyloggeriga varustatud sõber ainult pin1 kätte siis nüüd on ka allkirjastamiseks vajalik pin2 kättesaadav. Ma teen kõiki asju ID-kaardiga, aga see tundub nii lõpmata ebaturvaline. Kui vanasti, koodikaardi puhul, oleks pahalane saanud mu pangakonto tühjendada, siis praeguseks on pahalase võimalused suurendatud kogu elu tühjendamiseni.
Huvitav, kui spämmida Eestis laiali kiri, mille teemaks IDkaardikeskuse mure turvaliste pin1 ja pin2 kasutamise üle ja paluda kasutajal need turvaanalüüsi saata, siis mitu protsenti seda teeksid? Põhimõtteliselt on täna täielikuks identiteedivarguseks vaja üht kaarti ja kaht numbrit.
Mida tsentraliseeritum on turvasüsteem, seda suurem kahju tekib selle murdmisel. Mugavus töötab muidugi vastupidises suunas.
Päris täielik see identiteedivargus ikkagi pole. Nimelt on võimalik varguse puhul sertifikaadid peatada ehk indentiteedivarguse lõpetada. Pigem on see identiteedi kuritegelik kasutamine kui vargus.
Kui arvad, et Su masinas on keylogger, osta endale mõni klahvistikuga kaardilugeja (neid peaks saada olema küll Eestis)
No aga kui pole ID kaart pole nende pinidega midagi teha. Või sa arvad, et need netihäkkerid hakkavad inimesi röövima nagu muuseas?
Naelapea pihta, Allar. Priit, mida teeb pahalane sinu PIN-idega, aga ilma sinu ID-kaardita?
> Priit, mida teeb pahalane sinu PIN-idega, aga ilma sinu ID-kaardita?
Ootab sinu arvutis, kuni sinna ID kaart sisestatakse ja siis teeb paha.
Minu kõhutunne ütleb, et tavaline kasutaja kipub ID-kaarti masinasse unustama ja sellisel juhul on ta üsna lihtsalt rünnatav, lihtssamalt kui koodikaardi kasutaja.
Koodikaardid oleks veel paremad, kui pangad loobuksid korduvate ja muidu selgelt mittekuripruugitavate maksete juurde kinnituskoodide küsimisest. Nii oleks pahalasel hoopis raskem koodikaardist koopiad kokku kombineerida.
Kodanikud, saate valesti aru.
ID-kaardi ja digiallkirja kasutamise mõte pole mitte turvalisuse tõstmine, vaid vastutuse kantimine kliendile. Jagatud saladuse (paroolid, sümmeetrilise krüpto peal käiv PIN-kalkulaator) puhul ei ole võimalik tõestada, et autentimis-info lekkis sinu, mitte panga (või misiganes teenusepakkuja / serveri) poolt. ID-kaardiga on see võimalik ning igas võimalikus vaidluses jääd süüdi sina.
Aga seni on meil e-kuritegevust nii vähe, et vahet eriti pole. Huvitav oleks teada, mida tegid valesti need hiljutised Hansa(?)panga paroolivarguse ohvrid – st mis liigutusi nad tegid ja mis lehti külastasid, et loggeri endale külge said?
See on hea diskussioon Mobiil-ID propageerimiseks. Ei saa pinne virutada ega neid kuritarvitada.
Kaur, kas pank peaks siis kliendi asemel vastutama selle eest, et kliendi isiklikus arvutis pahavara ei pesitseks? Ja kuidas sa selle korraldamist endale ette kujutaksid? 🙂
Mobiil-ID tööpõhimõtte koha pealt olen võhik. Ons kellegil linki pakkuda?
Aare: pank peaks vastutama kui pank süüdi on.
Kõhutunde koha pealt: olen praktikas näinud juhtumeid, kus firma siseselt on autentimine teostatud ID-kaardiga. Et kui tahad tööd teha, siis suskad ID-kaardi sisse. Võtad välja, ei saa enam andmetele ligi.
Elver, ma päris täpselt ei saanud aru, kuda pank saab minu arvutis toimuva eest vastutada 🙂
Mobiil-ID saab lugeda siit: http://www.id.ee/10958
Selles suhtes on Kauril õigus, et tegemist on eelkõige mitte turvalisuse tõstmise, vaid vastutusest vabanemise trikiga. Sama lugu on ka kiipkaartide+PIN kasutamisel pangakaardina: kui varem lasus vastutus allkirja õigsust tõestada kaupmehel ja pangal, siis nüüd vastutad PIN üleõlapiilumise ja seejärel kaardi varastamise järel tekkinud kahjude eest sina ise.
Ise ootan huviga, millal tekib esimene proof-of-concept viirus, mis id-kaardiga autenditud internetipangas makseid teisele arvele suunab. Kui kasutaja arvutisse juba sisse on murtud, ei oleks ju probleem IEd või Firefoxi “täiendada” ja tegelikult makse saajat muuta, kasutajale teist numbrit näidates. Igaks juhuks võib prototüübi teha hoopis sellise, mis 10 senti rohkem maksab mitte oma arvele ei kanna.
Mobiil id-st siin http://www.id.ee/?id=10971
ning siin http://ethelkxxk.wordpress.com/2008/02/12/mobiil-id/
arvestades eelpoolmainitud ID kaardi rünnatavust keyloggeri + hilisema arvuti ülevõtmise kaudu, on eestis täna siiski veel 3 arvestatavalt head auth meetodit:
– ID kaart + lugeja millel on koodiklahvid küljes (ei allu keyloggeri rünnakule)
– pin kalkulaator.
– mobiil-id. pole küll sellesse süvenenud aga esmapilgul tundub 🙂
Lõppkokkuvõttes taandub ikkagi kõik elementaarsetele “hügieenireeglitele” — ära installi paskvara, kasuta normaalset võrgulehitsejat ja hoia antiviirus up-to-date. Minu arust on äärmusparanoia isegi intellektuaalse harjutusena umbes sama rumal nagu kokaiini tarvitamine meelelahutuse eesmärgil.
ID kaardi “turvalisuse” üle ei tahaks eriti sõna võtta, sest kogu selle aukartust äratava infosüsteemi on projekteerinud inimesed, kelle analüüsi- ja sünteesivõime ületab kõigi siinkommijate (kaasa arvatud minu) ajunatukest mäekõrguselt. Iseasi on need pooletoobised pluginad, mida brauserid kasutavad. Mina isiklikult võtan ID kaarti kasutades mugavuse nimel teadliku riski, et seda võidakse kuidagi pealt kuulata või dubleerida ja hiljem kurjadel eesmärkidel ära kasutada. Riske maandan vastutustundliku arvutikasutusega.
Ei usu, et ID kaart või pangakaardid ainuüksi sellepärast reaalsuseks sai, et pank vastutusest loobuda saaks. BS. Ikka sellepärast, et inimestel oli niimoodi mugavam ja see lahendus läks neile peale. Panga vastutuse vähenemine oli lihtsalt kõrvalnäht, mitte arengu põhjus.
ID kaardi reaalse kasutamise koha pealt ütleks nii palju, et loll saab kirikuski peksa. Alati leidub ullikesi, kes hammasrataste vahele jäävad. Kahjuks.
Kelle ID kaart ei meeldi, võib ju alati tagasi minna pangakontorite ja allkirjade süsteemi juurde. Mulle näiteks meeldib. Väga mugav on raha liigutada. Aga asju ostan ja poes käin ikkagi ainult sularaha eest. Osta ise kaardiga, värdjas siil:)
Kõigilt ID-kaardi turvalisuse pooldajatelt küsiks, kas nad on nõus siduma ID-kaardi ja 4-kohalise PINiga oma auto, korteri- ja kontoriukse?
Minul on nende jaoks 7 erinevat autentimisseadet, mida kutsutakse võtmeteks ja mida ma küll ID-kaardile siduda ei tahaks.