Taas vanhukselta vietiin kaikki säästöt

[Arisoft]

Ja kuitenkin juuri tuo sormenjälki on se tunniste, jota meistä jokainen kylvelee jatkuvasti ympäristöönsä ihan huoletta

Eiköhän tämä ole samanlainen ilmiö kuin lukkojen tiirikointi. Lukko on riittävän turvallinen jos sen omistaja ei osaa itse tiirikoida sitä auki.

 

[Jule]

Ja kuitenkin juuri tuo sormenjälki on se tunniste, jota meistä jokainen kylvelee jatkuvasti ympäristöönsä ihan huoletta
No juu, ehkä sitä pahinta korona-aikaa lukuunottamatta kun kuljettiin gummirukkaset kourassa, mutta kuitenkin.

Tuossa nyt on kuitenkin se että tuolta maailmalta löytynyt sormenjälki pitäisi pystyä ensin ottamaan luotettagalla tavalla talteen ja sitten liittämään sitä vaativaan tunnistimeen. Toisaalta kyllähän sormenjälkiäkin ollaan kaapattu kohdistetussa hyökkäyksessä.

 

[Husky]

Enää ei Nordean biotunnistus tunnukaan niin hyvältä ajatukselta kuin aluksi. Tosiaan tuo, että sopiva tietomurto, niin sormenjälki on roistoilla. PIN on vain omassa päässä tallessa (vaikka epäilyttääkin Nordea ID:n nelimerkkinen jota ei ikinä vaihdeta eli se on yksi puhelimen kaappaus ja se on siinä - voivoi kun maksusta saisi tunnuslukulistan takaisin, miksi 75-95% kehityksestä huonontaa asioita!?)

 

[xismo]

Jos pitää applen laitteita turvallisena niin kannatta katsoa tämä pläjäys, siinä on selostettu apple payn heikkous jolla saa kaverin tilin tyhjäksi :

Ihan perinteinen man in the middle hyökkäys joka toimii.

 

[Jule]

Enää ei Nordean biotunnistus tunnukaan niin hyvältä ajatukselta kuin aluksi. Tosiaan tuo, että sopiva tietomurto, niin sormenjälki on roistoilla. PIN on vain omassa päässä tallessa (vaikka epäilyttääkin Nordea ID:n nelimerkkinen jota ei ikinä vaihdeta eli se on yksi puhelimen kaappaus ja se on siinä - voivoi kun maksusta saisi tunnuslukulistan takaisin, miksi 75-95% kehityksestä huonontaa asioita!?)

Siis idea on se että se sormenjälki on tallennettu vain sinne puhelimen sisäiselle sirulle, josta sitä ei saa ulos, siru vain vastaa sormenjälki kyselyyn joko jaa tahi ei, eli puhelinta ei ainakaan internetin yli voi kaapata niin että joku voisi sieltä sun sormenjäljen lukea.

Toki puhelimen ja sen käyttäjän voi ihan oikeassa maailmassa kaapata, verrattavissa siis ryöstöön, sillä erolla että rosvolle lähtee lompsassa olevien rahojen ja rannekellon lisäksi titillä olleet rahat.

Toki tuon suojasirutekiikan toimiminen noin edellyttää sitä että puhelinvalmistaja on sen totettanut noin, ei normaali käyttäjä voi sitä huomata jos kiinalainen puhelinvalmistaja onkin päättänyt oikaista ja käyttääkin puhelimen sisäisen sirun sijaan luotettavaa kiinalaista datakeskusta tuon sormenjälkidatan tallentamiseen.

Lisäksi tietysti on ainakin periaatteessa mahdollista kaapata tietokone (puhelin) niin että laitteen näytöllä kiiluu se tuttu pankin tunnistautuminen ja 52,74€ sähkölaskun hyväksyminen, mutta oikeasti laite näyttää vain rikollisen luomaa kuvaa sähkölaskun hyväksynnästä, ja oikeasti hyväksyt tilin pikatyhjennyksen. Tuon tyyppinen riski on olemassa aina, eikä sitä pysty millään tunnistautumisella täydellisen varmasti estämään, vaan riski vaan hallitaan huolehtimalla siitä laitteesta jolla pankissa asioidaan.

Periaatteessahan erillisen tietokoneen käyttäminen laskun maksuun ja puhelinlaitteen niiden maksujen hyväksymiseen vähentää tuon tyyppisen kaappauken riskiä, koska silloin kaapattuna pitäisi olla saman käyttäjän kaksi erillistä laitetta, joista kummastakin olisi löytynyt merkittävä hyödynnettävissä ja kohdistettavissa oleva haavoittuvuus, mutta käytännössä koska se lasku voidaan maksaa sillä samalla puhelimella jolla se hyväksytään tuollaista kaksinkertaista murtautumista ei tarvita.

 

[-Teme-]

Ei naamatunnistuskaan toimi kaikissa oloissa (jos vaikkapa sade on muuttanut tukan muotoa ja joudut vaikkapa käyttämään mobiilia ilman silmälaseja).

Piti oikein testata, silmälasit päässä ja ilman silmälaseja toimi OK, samoin oli lippis päässä tai ei. Lippis testi sitä syystä kalju ei saa vaihdettua hiusten asentoa.
Merkittävin asia tunnistautumisen on että silmien oltava avoinna
iPhone pro 17 käytössä

 

[Husky]

^^Tuota olenkin ajatellut, että kaksi laitetta PC + känny turvallisempi.

Ja meinasin tuota sormenjälkitiedon tapausta, että on tietomurto pilvestä eli ettei ole vain puhelimessa se tieto.

 

[HiTec]

PIN on vain omassa päässä tallessa (vaikka epäilyttääkin Nordea ID:n nelimerkkinen jota ei ikinä vaihdeta eli se on yksi puhelimen kaappaus ja se on siinä - voivoi kun maksusta saisi tunnuslukulistan takaisin, miksi 75-95% kehityksestä huonontaa asioita!?)

Tuon vuoksi pitää se Nordeankin käyttäjätunnari olla aktivoituna ainakin kahteen laitteeseen, joskos se toinen rikkoutuu tai tosiaan joutuu vääriin käsiin, niin sillä toisella voi yhä tunnistautua ja kuolettaa tuon toisen pois ja näin se kadonnut tunnistuslaite muuttuu "löytäjälleen" hyödyttämäksi.

 

[Pumppu-Ansu]

Joo, se biotunniste ainakmin pitäisi tallentua vain laitteen sisäiseen siruun, joka ilmoittaa vain apille että tunnistus ok. Ideana siis se että noita biotunnisteita ei voisi varastaa, koska nehän ovat luonteeltaan korvaamattomia. Minkä tahansa salasanan voi aina korvata uudella, mutta sormenjälkeä, saatikka jotain vielä vahvempaa biotunnistetta ei noin vain vaihtdeta.

Voihan sormenjäljen vaihtaa, ohjelmoi kännyyn jäljen jostain toisesta sormesta...

 

[Pumppu-Ansu]

Tästäpä juontui mieleeni, koska aletaan myydä feikkipeukaloita joihin voi itse kaivertaa sormenjälkikuvion, opettaa sen kännylle ja laittaa avaimenperään roikkumaan!

 

[Ton1A]

Nykyiset sormenjälkilukijat ovat sen verran hyviä, että pitää olla oikea, elävä peukalo. Ei tuo täysin murtamaton ole, mutta vaikea.

 

[Kellarinlämmittäjä]

Siis idea on se että se sormenjälki on tallennettu vain sinne puhelimen sisäiselle sirulle, josta sitä ei saa ulos, siru vain vastaa sormenjälki kyselyyn joko jaa tahi ei, eli puhelinta ei ainakaan internetin yli voi kaapata niin että joku voisi sieltä sun sormenjäljen lukea.

Toki puhelimen ja sen käyttäjän voi ihan oikeassa maailmassa kaapata, verrattavissa siis ryöstöön, sillä erolla että rosvolle lähtee lompsassa olevien rahojen ja rannekellon lisäksi titillä olleet rahat.

Toki tuon suojasirutekiikan toimiminen noin edellyttää sitä että puhelinvalmistaja on sen totettanut noin, ei normaali käyttäjä voi sitä huomata jos kiinalainen puhelinvalmistaja onkin päättänyt oikaista ja käyttääkin puhelimen sisäisen sirun sijaan luotettavaa kiinalaista datakeskusta tuon sormenjälkidatan tallentamiseen.

Tarkemmin kun ajattelee, voisiko tuo homma olla oikeastaan mitenkään järkevästi muuten kuin siellä laitteen omassa muistissa. Jos nettiyhteyttä ei ole, eihän sitä laitetta voisi mitenkään avata mihinkään käyttöön, paitsi syöttämällä jonkin salanan joka siis ei voisi olla sormenjälki. Nettiyhteyden puuttuminen nyt ei ole mitenkään kovin epätavallista. Se voi johtua vaikka matkasta jonnekin tunturiin, ulkomaan reissusta tai vain menemisestä omaan kerllariin kuten täällä. Jotta uuden nettiyhteyden voi määritellä jotenkin käyttöön, omistajan pitää myös saada laite jotenkin hallintaan.

 

[Ton1A]

No just noinhan se menee, puhelimen 'holvissa' on sormenjälki. Sitä sormenjälkeä ei anneta mihinkään ulos, vaan käytetään julkisen avaimen salausta.

 

[Jule]

Joo, ja sitä sormenjälkeä varten siellä pitäisi olla oma piirinsä, josta sitä sormenjälkeä ei saa luettua ulos, vain tieto tärmääkö annettu sormenjälki. Jos sen sormenjäljen tallentaa sellaisenaan puhelimen muistiin, koko homman idea menee, kun haittaohjelma voi lukea sen sormenjäljen.

 

[Ton1A]

Tieto sormenjäljestä on turvapiirin sisällä, eikä sielläkään ole mitään sellaista josta alkuperäisen sormenjäljen saisi luotua takaisin. Eli on siis yksisuuntainen muunnos skannattu sormenjälki -> turvapiirille tallennettu matemaattinen malli.

Käyttöjärjestelmä tai sovellukset eivät koskaan saa raakaa sormenjälkidataa, vaan voivat ainoastaan pyytää skannausta ja saada kyllä/ei tuloksen siitä vastaako skannaus tallennettuja sormenjälkiä.

 

[Husky]

Sitten tulee mieleen kysymys, että onko kiinalainen "turvapiiri"....
No, mikään ei ole varmaa paitsi veronmaksu (Suomessa ainakin)