Tietoturva & kyberhyökkäykset

[Arisoft]

Let's Encrypt vaatii vain sen, että pystyt todistamaan että sinulla on hallinta ko. domainiin. Käytännössä tuo menee niin, että Let's Encrypt myöntää sertin, jos pystyt luomaan pyytämääsi domainiin (esim. tuo mobiilivarmenne.fi) tietueen joka sisältää Let's Encrypt'n antaman haasteen. Varmenne on voimassa vain 3 kuukautta kerrallaan.

Näin se toimii, mutta mitenkäs muut siitä sitten eroavat? Onko heittää ehdotus sertin myöntäjään, joka tarkastaa myös kysyjän taustat?

Sellaisiakin taitaa olla, jotka myntävät sertin tarkastamatta edes tuota seikkaa, minkä Let's Encrypt tekee.

 

[Harrastelija]

Eikös Norton/Symantecin myöntämät sertit olleet jossain vaiheessa pannassa kun olivat jakaneet niitä liian löysin perustein?

 

[pamppu]

Eikös Norton/Symantecin myöntämät sertit olleet jossain vaiheessa pannassa kun olivat jakaneet niitä liian löysin perustein?

Tämäkin aika iso selkkaus, mutta selitykset ei auttaneet:

The Entrust distrust: Key takeaways for CAs and organizations

The average web user may not realize how much work goes on behind the scenes to keep the digital world secure. But trustworthy websites, emails, servers, and software are made trustworthy by digital certificates.

www.digicert.com

 

[tet]

Näin se toimii, mutta mitenkäs muut siitä sitten eroavat? Onko heittää ehdotus sertin myöntäjään, joka tarkastaa myös kysyjän taustat?

Sellaisiakin taitaa olla, jotka myntävät sertin tarkastamatta edes tuota seikkaa, minkä Let's Encrypt tekee.

SSL-varmenteita on kolmea kategoriaa: DV, OV ja EV. Eka varmentaa vain domainin, Let's Encrypt on tällainen. OV varmentaa lisäksi ainakin firman nimen ja osoitteen. EV eli Extended Validation -varmenteen saamiseksi varmennetaan esim. firman puhelinnumero, käsittääkseni ihan ihminen soittaa ja varmistaa että siellä on oikea henkilö pyytämässä varmennetta. Lisäksi firmasta varmistetaan vielä muitakin tietoja. Noita EV-varmenteita myöntäviä firmoja löytyy kyllä, alla esim. kotimainen vaihtoehto. Hintaahan tuollaisilla on, ei niitä harrastuskäyttöön kyllä kukaan ostele.

Extended Validation SSL - SSL Certificates - Nida Verkkopalvelu Oy

nida.fi

 

[Arisoft]

SSL-varmenteita on kolmea kategoriaa: DV, OV ja EV.

Mielenkiintoinen tieto. Katsoin tämän sivuston sertiä Firefoxilla, Se ei kerro luokkaa mutta kertoo myöntäjän, joka on tunnettu kotimainen yritys ja sen lisäksi se kertoo että "Sivustoon ei liity tietoa omistajasta"

Aikoinaan SSL ei yleistynyt kun sertit oli ylihinnoiteltuja käyttötarkoitukseensa nähden. Mm. Google halusi että liikenne olisi salattua. Let's Encryptin tasoisiakin sertejä joutui ostelemaan toistuvasti kalliilla ja moni sivustot olikin vähän väliä alhaalla unohtuneet sertin uusimisen vuoksi. Toista se on nykyisin.

Kauheasti ei tuosta omistajan varmentamisesta ole apua tarjolla. op.fi sanoo kuuluvansa taholla: OP Osuuskunta. Väärä nimi sekin jos halusi että se on Osuuspankki. Sivulla pankki sanoo olevansa nimeltään OP, mutta sitä ei ole rekisteröity edes sen aputoiminimeksi. Kuka harhauttaa ketä?

 

[HiTec]

No nykyisinhän noita erilaisia sertejä käytetään hyvinkin laajasti, ei ainoastaan liikenteen salaamiseen, mutta myös tunnistautumiseen ja allekirjoittamiseen. Softissakin eri mikropalvelut juttelee keskenään näiden sertien avulla, jolloin voidaan olla varmoja siitä toisesta osapuolesta, jne. Odotankin kauhulla sitä aikaa kun tuo kvanttikone alkaa valtaamaan alaa ja tämä epäsymmetrinen kyptografia ottaa hittiä, avaimet aukeaa ihan brute forcellakin jo todella nopeasti, eikä avainten pituudenkaan lisääminen juuri tilannetta enää helpota

10.3 Kvanttitietokoneen uhat | Johdatus kryptografiaan | A+

plus.cs.aalto.fi

 

[pamppu]

Sitten yritysmaailmassa on hirveä hinku paskoa koko järjestelmä asentamalla ZScalerin tyyppisiä sovelluksia, jotka tekevät väliin MITM proxyn ja liikennöivät käyttäjän suuntaan aina omalla luotetuksi asetetulla sertillä. Käyttäjä ei näe koskaan mitään muuta kuin sen ZScaler-certin, kaikki salattukin liikenne murretaan ja skannataan ja kaikki luottosuhteet mihinkään menetettiin. Mihinkään ei voi luottaa, zero trust.

 

[Ton1A]

Harvemmin sitä nykyään jutellaan suoraan sovelluksen serverin kanssa. Hyvin tyypillinen ketju Azure/Kubernetes-maailmassa on selain -> Azure Front Door tai Azure Application Gateway -> Internal Load Balancer -> Kubernetes ingress controller (esim. nginx ingress controller) -> sovellus.

Tuollaisessa ketjussa https puretaan jo tuossa Front Door tai Application Gateway vaiheessa ja liikenne tyypillisesti skannataan tunnettujen hyökkäyksien varalta (Web Application Firewall). Sen jälkeen liikenne tyypillisesti salataan uudelleen ja puretaan taas ingress controllerilla. Ingress controllerin ja sovelluksen välinen liikenne on usein paljasta http:tä. Tuo viimeinenkin väli saadaan suojattua esim. service mesh-toteutuksella, mm. Istio, tuolloin liikenne on sitten salattu ja purettu jo kolmeen kertaan.

Käyttäjä tosiaan näkee vain tuon FD:n tai AppGW:n sertin, sen jälkeen liikenne sujahtaa Azuren syövereihin, virtuaaliseen sisäverkkoon. Arkkitehtuuri näyttää varmaankin hyvin samanlaiselta Amazonin tai Googlen pilvessä.

 

[pamppu]

Harvemmin sitä nykyään jutellaan suoraan sovelluksen serverin kanssa. Hyvin tyypillinen ketju Azure/Kubernetes-maailmassa on selain -> Azure Front Door tai Azure Application Gateway -> Internal Load Balancer -> Kubernetes ingress controller (esim. nginx ingress controller) -> sovellus

Kyl. Mutta tuossa kaikki nuo purkavat kilkkeet on kuitenkin sen palvelun tuottajan valitsemien kilkkeidenhallinnassa/vaihdettavissa ja sieltä annetaan sitä virallista serttiä ulos. Eli se on jo osa toteutusta. Kyl minäkin kubeclustereissa tapaan terminoida liikenteen keskitetyssä pisteessä ja siitä sisäinen liikenne tosiaan uudestaan salattuna.

Mut tuo täysin irtonainen kokonaan erillinen väliproxy, joka muuttaa osuuspankin sertin näkymään käyttäjälle olemaan joku oma private ca”, niin huhhuh. Selaimetkaan ei kykene näyttämään että mikä se on, onko EV-sertti tms. Osuuspankissa ei ymmärretä, etttä käyttäjälle ei näykään osuuspankin sertti. Kaikki on fundamentaalisesti rikki, salaus ja luottamusketju on rikottu, eikä toimi sillä tavalla mitä käyttäjä tai palvelun tuottaja odottaa sen toimivan.

 

[Arisoft]

Meillä on myös virustorjuntaohjelmia jotka toteuttavat MITM väliintulon käyttäjän ja palvelun välille asentamalla oman juurisertin.

 

[HiTec]

Meillä on myös virustorjuntaohjelmia jotka toteuttavat MITM väliintulon käyttäjän ja palvelun välille asentamalla oman juurisertin.

Onhan noita ihan testaustyökalujakin, esim. https://portswigger.net/burp joka tekee tuon saman ja näin on se https-liikennekin tutkittavissa, pyynnöt kaapattavissa ja muokattavissa jos ei esim. selaimen omat työkalut tuohon riitä tai se tutkittava kohde ei edes ole selainkäyttöliittymä tms.

 

[fraatti]

Esp32sta löydetty takaportti

Undocumented "backdoor" found in Bluetooth chip used by a billion devices

The ubiquitous ESP32 microchip made by Chinese manufacturer Espressif and used by over 1 billion units as of 2023 contains an undocumented "backdoor" that could be leveraged for attacks.

www.bleepingcomputer.com

 

[Ton1A]

Meinasin just laittaa tän saman linkin. Mullakin on pari ESP32-pohjaista laitetta kotiverkossa.

 

[tj86430]

Miten vihollinen pääsee hyödyntämään tuota, olettaen että oma lähiverkko on turvallinen? Pitää tulla sen verran lähelle, että saa BT-yhteyden laitteeseen?

 

[repomies]

ESP32 taitaa löytyä aika monista wifi-kikkareista joita löytyy smart home tyyppisistä laitteista. Shellyt ja Tuyat ynnä muut tuollaiset olisivat ensimmäisiä joita itse epäilisin. ILPpien wifiohjaimet myös.

Toinen juttu sitten on, onko noissa Bluetooth aktiivisena muuten kuin asennusvaiheessa.

Aktiivisia bt-laitteita näyttää omassa kodissa olevan lähinnä kaiuttimia, headsettejä ja valaisimia. Yllättävän paljon noitakin on.

 

[pamppu]

ESP32 taitaa löytyä aika monista wifi-kikkareista joita löytyy smart home tyyppisistä laitteista. Shellyt ja Tuyat ynnä muut tuollaiset olisivat ensimmäisiä joita itse epäilisin. ILPpien wifiohjaimet myös.

Toinen juttu sitten on, onko noissa Bluetooth aktiivisena muuten kuin asennusvaiheessa.

Aktiivisia bt-laitteita näyttää omassa kodissa olevan lähinnä kaiuttimia, headsettejä ja valaisimia. Yllättävän paljon noitakin on.

Nii, eiköhän shellyjen, autolaturien yms. kautta moni ole jo sallinut kiinapilville vapaan kaistan sisään. Siinäpä sitä on taas miettimistä. Eiköhän ne sitten osaa napsauttaa bluetoothin päällekin. Mahtaneeko auton latauslaite yöaikaan häkkeröidä autoa tallissa, vaikka onko se päinvastoin että auton kautta hyökätään laturiin

 

[haraldh]

Oli ensi alkuun vähän liian hype otsikko, taitaa tuo ESP32 reikä vaatia fyysistä pääsyä laitteeseen, ja senkin jälkeen sieltä löytyy vain dokumentoimattomia komentoja.

 

[fraatti]

S-Pankin asiakkaan tiliä käytetty luvatta rahojen tallettamiseen ja nostamiseen. Huijarilla lienee ollut siis pääsy tileille estoitta, mitenkähän tuo on ollut mahdollista?

TS: S-Pankin asiakas löysi tililtään 40 luvatonta tapahtumaa, syystä karu arvio

S-Pankin tileillä on tapahtunut outoja asioita, Turun Sanomat kertoo.

www.is.fi

 

[kaihakki]

Tilanne näyttää olevan, että hakkerit menevät ihan minne tahansa tileille ilman, että tilinomistajaa edes tarvitaan. Sopii hyvin rahan pesuun ilman että tilin omistajalle koituu mitään menetyksiä. Rahanpesijät vaan kierrättävät rahat jonkun tilin kautta.
Pankit pitää laittaa täydelliseen vastuuseen kaikista tilien tyhjennyksistä ja muista tilirikoksista.
Pankithan ovat kehittäneet sellaisia systeemeitä, jotka voidaan hakkeroida helposti. Pankkien pitää kehittää sellaisia systeemeitä, joita on mahdoton hakkeroida.

Jossain aiemmassa vaiheessa kuvasin tällaisen helpon huijausproseduurin, jossa tyyppi saadaan kirjautumaan vaikkapa omakantaan ja siten huijari pääsee ko. tyypin tilille ja rahat lähtee. Suomi on täynnä ihmisiä, jotka saadaan lankaan ja tilit tyhjenee. Tavallinen kansalainen ei mitenkään voi ymmärtää tätä huijausproseduuria. Eräskin iäkäs tyyppi mediassa sanoi, että hänhän kirjautui omakantaan ja tili tyhjeni. Eikä voinut mitenkään ymmärtää mitä tapahtui.
Kyllä pankit pitää laittaa täydelliseen vastuuseen näistä huijauksista. Heidän pitää tehdä kerta kaikkiaan uudet systeemit, joita huijarit eivät voi ohittaa.

 

[Arisoft]

Kyllä pankit pitää laittaa täydelliseen vastuuseen näistä huijauksista. Heidän pitää tehdä kerta kaikkiaan uudet systeemit, joita huijarit eivät voi ohittaa.

Onnistuu, mutta sitten vaihdat pankkia sellaiseen joka ei ole niin turvallinen, koska erittäin turvallinen pankki on liian hankala käyttää.

Mielenkiinnolla odotan tietoa miten tuo S-pankin systeemi on tällä kertaa pettänyt. Heillä kun tuntuu olevan näitä turvallisuusongelmia tämän tästä.

 

[kaihakki]

On täysin mahdollista, että S-pankin tietotekniikka ei pysty selvittämään, että mitä ja miten tapahtui. Eikä siten pysty varautumaan seuraaviin keiseihin.

Olihan tossa joitain vuosia takaperin mediassa, että lohkoketjusysteemeitä ei voi hakkeroida. Eli bittirahat ovat aina turvassa, koska kaikki tilitapahtumat voidaan jäljittää ja tapahtumat on tallennettu moniin tietokantoihin.. Mutta niin vain on, että bittiraharosvouksia tapahtuu jatkuvasti jopa valtiollisella tasolla.

 

[HiTec]

Jossain aiemmassa vaiheessa kuvasin tällaisen helpon huijausproseduurin, jossa tyyppi saadaan kirjautumaan vaikkapa omakantaan ja siten huijari pääsee ko. tyypin tilille ja rahat lähtee.

Tässä kohtaa käyttäjä teki heti kättelyssä jo sen 1. virheensä, käytti pankkitunnareitaan asiointipalveluun kirjautumiseen, palveluun jolla ei ole mitään tekemistä pankkien tiliasioinnin kanssa. Kaikkiin tälläisiin sen kirjautumisen on ehdottomasti tapahduttava jollain ihan muulla kuin pankkitunnareilla, on se sitten vaikkapa esim. mobiilivarmenne tai Hightrust.

 

[Arisoft]

On täysin mahdollista, että S-pankin tietotekniikka ei pysty selvittämään, että mitä ja miten tapahtui. Eikä siten pysty varautumaan seuraaviin keiseihin.

Jos lokeja ei ole hävitetty niin kyllä sieltä jotain tietoa irtoaa.

 

[Arisoft]

Tässä kohtaa käyttäjä teki heti kättelyssä jo sen 1. virheensä, käytti pankkitunnareitaan asiointipalveluun kirjautumiseen, palveluun jolla ei ole mitään tekemistä pankkien tiliasioinnin kanssa. Kaikkiin tälläisiin sen kirjautumisen on ehdottomasti tapahduttava jollain ihan muulla kuin pankkitunnareilla, on se sitten vaikkapa esim. mobiilivarmenne tai Hightrust.

Logiikka, miksi pankkitunnareita ylipäänsä tähän käytetään on osittain ainakin se, että on ajateltu, että käyttäjä ei olisi pankkitunnustensa suhteen erityisen leväperäinen, jotta henkilön tunnistaminen olisi suhteellisen luotettavaa. Onhan meillä jo Google kirjautuminen, miksei sitä voisi käyttää vaikka Kelan sivuilla tai pankissa?

 

[kaihakki]

Tässä kohtaa käyttäjä teki heti kättelyssä jo sen 1. virheensä, käytti pankkitunnareitaan asiointipalveluun kirjautumiseen, palveluun jolla ei ole mitään tekemistä pankkien tiliasioinnin kanssa. Kaikkiin tälläisiin sen kirjautumisen on ehdottomasti tapahduttava jollain ihan muulla kuin pankkitunnareilla, on se sitten vaikkapa esim. mobiilivarmenne tai Hightrust.

Nojoo, mutta tavallinen kansalainen ei ymmärrä tehneensä virhettä. Tuttavapiirissä on porukkaa, jotka käyttävät edelleenkin pankkitunnuksia kirjautuessaan erilaisiin nettipalveluihin, kuten vakuutusyhtiöiden sivuille, Trafiin, ja monille muille sivustoille. Viime syksynä eräs reilu 20 vuotias koulua käynyt tyyppi ei ollut kuulutkaan mobiilivarmenteesta. Joku aika sitten opastin erästä n. 50v tuttavaa ottamaan mobiilivarmenteen käyttöön. Oli tosi monimutkainen proseduuri. Mutta lopulta saatiin toimimaan ja nyt homma ok.
Tässä on sellainen juttu, että osaava nuorempi väki pitää itsestään selvänä, että koko kansa osaa kaikki asiat samaa rataa, kuin itsekin.

 

[Harrastelija]

Onko tuo google tunnistautuminen eri asia kuin esim google sähköposti?
Sähköpostitunnistautuminen ei takaa että kirjautuja on se joka väittää olevansa. Sähköpostinhan saa mille hyvänsä keksimälleen nimelle.

 

[Arisoft]

Onko tuo google tunnistautuminen eri asia kuin esim google sähköposti?
Sähköpostitunnistautuminen ei takaa että kirjautuja on se joka väittää olevansa. Sähköpostinhan saa mille hyvänsä keksimälleen nimelle.

No rahojakin liikutellaan pelkän puhelinnumeron avulla. Ensin toki on vahvistettu, että numeron tai sähköpostin käytttäjä on se, joka niin väittää olevansa. Sen jälkeenhän se on ihan sama miten tili on saatu aikaan. Mobiilivarmenteenkin saaminen taitaa vaatia pankkitunnuksia... en ole hankkinut, niin en tiedä miten sen käyttäjä tunnistetaan ylipäänsä.

 

[HiTec]

Tässä on sellainen juttu, että osaava nuorempi väki pitää itsestään selvänä, että koko kansa osaa kaikki asiat samaa rataa, kuin itsekin.

No omia/appivanhempia taikka muita vähänkään iäkkäämpiä sukulaisia opastaessa palauttaa kyllä nopeasti takaisin maan pinnalle. Eikä monet nuoretkaan noita tahdo tajuta kun ei vain kiinnosta, mikä tälläiselle tietoturvalla leipänsä ansaitsevalle on aivan täysin käsittämätöntä.

Onko tuo google tunnistautuminen eri asia kuin esim google sähköposti?

Google Authenticator on Googlen versio MFA-tunnistautumisesta, jota pystyy käyttämään monissa eri palveluissa. Tosin ei pankki- eikä viranomaisasioinneissa, mutta esim. monet sivustot jotka mahdollistavat tuon MFA käytön, hyväksyvät usein myös tuon Googlen työkalun. Eli idea on että sulla on kännykässä tuo appi, jolle kirjaudut sisään esim. sormenjäljelläsi. Appi pyörittelee käyttöönottamisesi sivujen 6-numeroisia tunnisteita, vaihtuuko nuo nyt 30s välein tms. Ja kun sitten kirjaudut jollekin noista sivustoistasi, sinulta kysytään sen normaalin käyttäjätunnus + salasana lisäksi myös tuo määrätty juuri sen hetken 6-numeroinen tunniste. Samaa tekniikkaa on jo käytetty maailman sivu 90-luvulta lähtien kun porukalle jaeltiin SecurID-tokeneja firman systeemeihin kirjautumista varten. Sellainen pieni luottokortin kokoinen laite, johon kun näppäilit oikean PIN-numerosi, se myös antoi vastaavan sen hetken toimivan numerosarjan. Nyt tuo "sama" on vain kännykässä appina ja ymmärtää useita eri tilejä eri sivustoille.

Mobiilivarmenteenkin saaminen taitaa vaatia pankkitunnuksia... en ole hankkinut, niin en tiedä miten sen käyttäjä tunnistetaan ylipäänsä.

No yleensä siinä käytetään käyttöönotettaessa pankkitunnareita, koska porukalla on niitä varsin laajast käytössä. Sen jälkeen se on ihan oma tunnistusvälineensä. Ihan samalla tavalla esim. Nordeassakin jos olet hukannut sen heidän pankkitunnarisi, kännykkä tuhoutunut tms. niin tuolla mobiilivarmenteella saat kertakäyttö ID:n ja sähköpostiisi siihen liittyvän PIN, joilla sitten saat nuo pankkitunnarisi jälleen palautettua. Yksi vaihtoehto on myös tuo uusi Hightrust, jolle syötät kännykän NFC-ominaisuudella sen oman HST-korttisi tiedot. Tähän tarvitset sen sähköisen henkilökorttisi molemmat PIN-tunnisteet, niin tunnistautumisen kuin allekirjoittamisenkin. Näiden lisäksi sieltä on tulossa mm. EUDI-tunnistetta, joka onkin sitten jo lähempänä EU-laajuista digi-lompakkoa, jolla voisi tunnistautua myös tiskiasioinnissa.

 

[Husky]

Tässä kohtaa käyttäjä teki heti kättelyssä jo sen 1. virheensä, käytti pankkitunnareitaan asiointipalveluun kirjautumiseen, palveluun jolla ei ole mitään tekemistä pankkien tiliasioinnin kanssa. Kaikkiin tälläisiin sen kirjautumisen on ehdottomasti tapahduttava jollain ihan muulla kuin pankkitunnareilla, on se sitten vaikkapa esim. mobiilivarmenne tai Hightrust.

Niin, omassa tuttavapiirissä korkeasti koulutetuistakaan 95-99% ei millään ymmärrä, miksi pitäisi olla joku varmenne mistä eivät ole kuulleetkaan.

Ja nuorisoa ei vois vähempää kiinnostaa selvittää tällaisia.

 

[Husky]

S-pankista:
Kuukausi sitten oli erikoinen tilanne. Ilman kirjautumista avasi pääsivun jossa näkyi mm. saldo yms. Antoi myös vaihtaa välilehteä. Kun klikkasi tilikohtaa, josta sitten näkyisi tapahtumat, niin sitten vasta blokkasi.

Kännykkäapista kyse. Ja edellinen kirjautuminen oli edellisenä päivänä ja aina kotjaudun ulos.

Kun kirjautui sisään, niin toimi normaalisti.

Mitä sanotte tästä? Ei kai tuollaiset voi jäädä kännykän välimuistiin tms etenkin kun vaihtaa välilehteä?

 

[Harrastelija]

Google Authenticator on Googlen versio MFA-tunnistautumisesta,

Ai tätä tarkoitettiin.
Eihän tuolla voida varmistua siitä että langalla on joku tietty henkilö. Voidaan vain varmistaa että langalla on henkilö joka tunnukset teki. Toki jos tunnuksia tehdessä henkilöllisyys varmennetaan jollain muulla tavalla niin ollaan varmemmilla vesillä. Mutta esim googlen ja monen muun palvelun tunnarit voi tehdä ilman oikeaa henkilön tunnistautumista.
MFA itsessään ei siis takaa että linjoilla on tietty henkilö. Vaatii jotain muutakin.

 

[Arisoft]

MFA itsessään ei siis takaa että linjoilla on tietty henkilö. Vaatii jotain muutakin.

Ei muuten mikään muukaan koodivarmenne sitä takaa. Mobiilivarmennetta voi käyttää kuka tahansa jolla on puhelin kädessä. Samoin siis kuten tuo Googlen MFA.

 

[kotte]

Mobiilivarmennetta voi käyttää kuka tahansa jolla on puhelin kädessä.

Paitsi, että systeemi vaatii myös erikseen valitun PIN-koodin. Toki minimipituus on naurettava (mutta oikean etsiminen on tässä tapauksessa jokseenkin mahdotonta muista reunaehdoista johtuen noinkin) ja ihmisethän käyttävät samaa PIN-koodia liian monessa paikassa (kaksi kohdettakin on periaatteessa liikaa).

 

[HiTec]

Eihän tuolla voida varmistua siitä että langalla on joku tietty henkilö. Voidaan vain varmistaa että langalla on henkilö joka tunnukset teki.

No jos on ensin tunnistautunut sinne systeemiin jollain wanhalla tavalla ja sittemmin itse lisää sinne tuon Goole Authenticatorin, niin ei tuo Google siitä sen epäluotettavampaa kuitenkaan tee, useimmiten päinvastoin, sillä aikaisempi tunnistus noihin yleensä on ollut vain käyttäjätunnus + salasana ja nyt kyseinen käyttäjä on lisännyt sinne tuon MFA myös käyttöön ja siten nostanut tuon sisäänkirjautumisensa turvallisuutta.

Toki mikään systeemihän ei ole 100% pommin varma. Kuten olen jo aikaisemminkin sanonut, meillä on emännän kanssa kännyköissämme niin pankkitunnarit kuin Hightrustitkin ns. ristiin, joskos jomman kumman puhelin vaikka tuhoutuu. Tällöinhän se ainut este etten minä pääse tunnistautumaan emäntänäni johonkin asiointipalveluun on enää pelkkä PIN. Toki olemme Suomi.fi valtuuksissa antaneet myös kaikki mahdolliset valtuudet toisillemme myöskin ristiin, niin tuolle PIN tietämiselle (ja lain rikkomiselle) ei ole tarvettakaan, koska esim. Oma Verossa voin ihan yhtä hyvin kirjautua itsenäni ja vaihtaa asiointiroolia asioimaan noiden valtuuksien avulla emäntäni puolesta.

 

[kotte]

^Omapahan on asianne ja kommentoinkin vain siksi, että eipä ole ns. esimerkillinen seurattava neuvo.

 

[HiTec]

Omapahan on asianne ja kommentoinkin vain siksi, että eipä ole ns. esimerkillinen seurattava neuvo.

No kerran kun on tuon kännykän yllättävän tuhoutumisen ja sitä myöten myös kaikkien mahd. tunnareiden häviämisen kokenut, pankki lähettelee uusia PIN-koodeja etanapostilla jne. Samalla meni muuten myös Google 100Gb tallennustila hankintaan, niin saa ne phone bacupitkin sinne jemmaan, tuon tilan kun voi jakaa ns. perheen kesken, niin se kustannus nuppia kohden ei todellakaan ole kummoinen vs. se vaiva kun lähtee sitä phoneaan tyhjästä taas rakentamaan uudelleen ja vielä kaiken palautuksenkin jälkeen iso nippu tärkeitäkin viestejä, valokuvia, yms. on silti kadonnut bittitaivaaseen

 

[kotte]

No kerran kun on tuon kännykän yllättävän tuhoutumisen ja sitä myöten myös kaikkien mahd. tunnareiden häviämisen kokenut, pankki lähettelee uusia PIN-koodeja etanapostilla jne. Samalla meni muuten myös Google 100Gb tallennustila hankintaan, niin saa ne phone bacupitkin sinne jemmaan, tuon tilan kun voi jakaa ns. perheen kesken, niin se kustannus nuppia kohden ei todellakaan ole kummoinen vs. se vaiva kun lähtee sitä phoneaan tyhjästä taas rakentamaan uudelleen ja vielä kaiken palautuksenkin jälkeen iso nippu tärkeitäkin viestejä, valokuvia, yms. on silti kadonnut bittitaivaaseen

Moiseen probleemaan on muitakin ratkaisuja kuin delegoida henkilökohtaiset allekirjoitusoikeutensa jolle kulle toiselle, vaikka on itse oikeustoimikelpoinen (käytännössä ratkaisu on synkata tunnukset jonnekin vahvasti kryptattuna niin, että muistaa itse varmasti ko. vahvan ja pitkän salasanan; laittaa sitten vaikka paperille kirjoitettuna vielä kassakaappiin tms.). Viis siitä, että esimerkiksi pankit tuollaisen delegoinnin ehdottamasti kieltävät ja viranomainen voi tulkita asiakirjan väärennökseksi. Aikamoisen todellisen sotkun voi nimittäin tuollaisen pohjalta saada aikaan, jos asiat menevät odottamattomalla tavalla kuten jos toinen joutuu tietynlaisten rikosten uhriksi, joten ohjeeksi toisille ei käy.

 

[maanma]

Mobiilivarmenteen saaminen edellytti joskus henkilötodistuksen kanssa henkilökohtaista asiointia myöntäjätahon asiamiehen kanssa. Tästä on varmaan n. 10vuotta.

Seuraavan 10v aikana näyttää syntyvän EU tason varmenneratkaisu, joka tarvitaan vähintään EHDS käyttöön.

Esiasteita on jo. Eniten käytetty esiaste oli koronatodistuksen varmenneratkaisu. Suomi.fi palvelussakin on rajapinta, mutta yhtään kansallista viranomaistoteutusta ei ilmeisesti ole.

Eräs oma visio on EHDS asiointioikeuden perustamiseksi on luottokorttivarmennus, jossa tehdään 1snt katevaraus. Tällä saisi siis EHDS asiointioikeuden eu auth sovellukseen. Tietysti tuo luottokorttitieto pitäisi tietysti saada syötettyä sinne kohdesovelluksen asiointiporttaaliin myös.
Samalla tapaa asiointioikeuden hetulla voisi avata suomi.fi palvelun kautta. Tai käymällä maistraatissa tai poliisilla henkilökohtaisesti.

 

[HiTec]

(käytännössä ratkaisu on synkata tunnukset jonnekin vahvasti kryptattuna niin, että muistaa itse varmasti ko. vahvan ja pitkän salasanan; laittaa sitten vaikka paperille kirjoitettuna vielä kassakaappiin tms.).

Ja mitäköhän säkin oikein kuvittelet synkkaavasi jostain Nordeankin apista tai Hightrustista, jolla luetaan näytöllä oleva QR-koodi sisäänkirjautumisen aktivoimiseksi

Viis siitä, että esimerkiksi pankit tuollaisen delegoinnin ehdottamasti kieltävät ja viranomainen voi tulkita asiakirjan väärennökseksi.

Mitäköhän ihmeen "delegointia" tässä nyt oikein tarkoitat, kun tuo Nordeankin appi ymmärtää useampi eri käyttäjiä. Samaten Hightrustiin saa luettua useampia kortteja, joista sitten vain valitaan se kulloinkin käytetty. Ja ihan ilman mitään sen kummampia kikkailuja molemmat ovat nimenomaan noihin softiin ihan tarkoituksellisesti rakennettuja featureita ja Nordea ihan jopa ohjeistaa tuohon useaan käyttäjään

 

[kotte]

Ja mitäköhän säkin oikein kuvittelet synkkaavasi jostain Nordeankin apista tai Hightrustista, jolla luetaan näytöllä oleva QR-koodi sisäänkirjautumisen aktivoimiseksi

QR esittää Challengea tehtynä pankin/High Trustin palvelimella kryptattuna niiden julkisella keyllä. Tuo sitten luetaan ja kryptataan puhelimen turvamuistiin generoidulla private keyllä. Tulos lähtee pankille/High Trustille, jonka tiedossa apin julkinen avain on. Pankki sitten avaa välitetyn kryptatun sanoman tiedossaan olevalla apin julkisella avaimella ja omalla salaisella avaimella ja jos toteaa challengen kiertånee oikein, hyväksyy tunnistuksen ... ainakin suunnilleen noin. Appia käytettäessä oman salaisen avaimen haku turvamuistilta edellytti biometrista tunnistusta tai aktivoitaessa aikoinaan asetetttua PIN-koodia.

Mitäköhän ihmeen "delegointia" tässä nyt oikein tarkoitat, kun tuo Nordeankin appi ymmärtää useampi eri käyttäjiä.

Kuvasit henkilökohtaisten tunnuksiesi luovuttamisen toisen henkilön käytettäväksi (ehkä ymmärsin väärin?). Jos tarkoitit, että vain asensit apin toisen henkilön laitteelle niin, että tämä ei pysty tunnuksia itsenäisesti käyttämään, vaan että homma menisi niin, että kun pyydät apua, toinen henkilö avaa ystävällisesti puhelimensa niin, että pystyt itse käyttelemään tunnistusapia omilla tunniksillasi (siis tyypillisesti omalla erityisellä tätä käyttöä varten määritellyllä PIN-koodilla jne.; puhelimen biometrinen tunnistus ei tässä kelpaa, koska se on sidottu puhelimen lukituksen avaamiseen näissä tapauksissa). Sorry, jos tarkoitut tuota, mikä on käsittäkseni aivan OK (ja samalla osoittaa, miksi Androidin ja Googlen tapaiset autentikoinnit eivät pitkälle kanna tosi toimissa).