[trip]

kui pangas toimub miljardi suurune rahapesu siis pole põhjust paanitseda, vot aga kui keegi varastab su arvelt sada eurot siis kaputt, koodikaart on ebaturvaline ja pank on ebausaldusväärne ja maailmas skandaal tuleb kindlasti

[RCC]

[Tanel]

Need pole võrreldavad asjad. Kui koodid keyloggeriga kätte saadud, siis ID-kaart peab füüsiliselt käes olema, paroolikaart ei pea olema.

[Märt.]

RCC, aegu tagasi saadeti suht tihti õngitsuskirju, milles meelitati misiganes põhjusel kirjas olnud lingil või nupukesel klikkima. Avanes "panga" leht (logod ja värki olid pealiskaudsel vaatlusel õiged), kus oli kasutajatunnuse, püsiparooli ja koodide tarvis lahtrid, kuhu paluti siis need ka sisestada. Ammuses artiklites jäi läbi kumama, et ullikesi ikka leidus, sest "pank ju palus abi". Teadlik inimene lõksu ei lange, aga onu Heino ja tädi Maali?

[napoleon]

Isegi see pilaleht on veel üleval, mis tol ajal nende õngitsuskirjade lõksu langenud tegelaste pilamiseks tehti http://www.teataja.ee/et/pank/

[RCC]

ei see pilaleht muide ei olnud sellega seotud. analoogne asi tehti ka firmale minuvara - ehk minuvaras, aga kahjuks see võeti maha, enne kui ma selle salvestada jõudsin.

[kalvis]

[Tanel]

https://www.err.ee/904290/paroolikaartide-jarel-laheb-jargmisena-ajaloo-prugikasti-pin-kalkulaator

[kalvis]

Oli äsja pressiteade, kus tõdeti, et mitte ühtegi teadaolevat juhtumit pole eestis olnud, kus paroolikaardi paroolid oleks kuidagi lahti murtud või keyloggeriga leitud.
st. välja öeldud jutt turvalisusest on lausvale (ja kehtib ka pin kalkulaatori kohta)

[napoleon]

[Betamax]

[napoleon]

Betamax, ma ei loeks seda eriliseks vandenõuks, kui pank ei soovi mõne intsidendi puhul, et see avalikuks tuleks.
Toon natuke teistsuguse näite - oletame et müüksin HV foorumis midagi ja ostja leiab, et kaup ei vasta ootustele. Ise ma teadlikult puudustega asja nii ei müüks, et müügiteemas puudusi ei maini. Samas isegi kui ma tehingu juures endal süüd ei näe, kuid ostja väitel ei vasta asi kirjeldusele, siis pigem teen kõik endast oleneva, et mõlema poole jaoks sobiv lahendus leida mitte ei hakka seda teemat temaga seadusega pahuksis alamfoorumis arutama. Minu maine on lihtsalt rohkem väärt kui need mõnikümmend või mõnisada eurot. On alust arvata, et kui mina ei hakka mõnekümne, mõnesaja ega isegi mitte mõne tuhande euro pärast oma mainega riskima ja lahendaks olukorra pigem rahalises mõttes enda kahjuks, siis pank teeb samamoodi, ainult et nende arusaam suurest ja väiksest rahast on teistsugune ehk panga puhul võib minu näites toodud summadele julgelt mõned nullid juurde panna.

[Märt.]

[netcat]

Mis sel pincalcil siis turva mõttes viga on? Ühekordseid paroole ei saa ju keyloggeriga püüda.

[napoleon]

[Mnator]

[Tanel]

Kuskil jooksis inf läbi, et selle pin-kalkulaatori backendiga majandamine pidi õudus kuubis olema ja tegijaid vähe ning ei tasu ära.
Ehk puhas rahaline aspekt võib asjal olla.

[Betamax]

PIN-kalkulaatori saab väga edukalt mobiiliäpiks teha. RSA näiteks tegi nii: https://play.google.com/store/apps/details?id=com.rsa.securidapp&hl=en

[Mnator]

[Tanel]

Mnator, pigem hinnatakse terviklikust. PIN kalkulaatorit saab väga lihtsalt teisele inimesele kasutada anda ja ilmselt on siin ka (anonüümse) rahapesu tunnustega juhtumeid.
Kui siia juurde lisada PIN kalkulaatori backendi keerukus (suht proprietary värk tundub olevat), vähene kasutajabaas ja sellega seotud suured kulud, siis on mõistetav, miks (tulevikus) pushitakse universaalsema autentimisvahendi poot.

[Mnator]

[Tanel]

Nii on jah.

[RCC]

[netcat]

[Märt.]

[raul141]

Mobiil id ja smart id on samuti ebaturvalised. Teatud viisil. Märt., Vastu punnida jah aja kaotus, aga näiteks deklaratsioone täites paberil hoiame maksuametnikke töös. Eeldatavalt see teenus arvata kaob vaikselt ära, sest vaikiv enamus ongi massiga kaasa minemas ja ei saagi aru mis toimub. Toome viimase meediauudiste näite, ei hakka otsima, kus see üleval on. Bussipeatustes loeb teenuspakkuja transpordi vahendi väljumisajad ette. Inglise keelne teenindus. Mugav ja meeldiv. Kui Maxima poes inimene teenindab sind vene keeles, sõimame tal näo täis. Mu jutt ikka läheb metsa, aga mina ei ole vastu kui seda meiega tehakse, aga paljud ei saagi aru, mille vastu punnitakse. Liiwlaste värk noh. Minu tekst oli neutraalne ja mitte kedagi solvav, loodan, et me rohkem omavahel suhtleksime.

[Märt.]

[RCC]

Aga paraku olid nad nõus koodikaardi kaotamisega....

[jägaja]

kuulge, paroolikaardid on juba ajalugu. Võite julgelt oma koodid üles pildistada ja tumeveebi müüki panna.

[Tanel]

[napoleon]

Kas mobiili id-le või smart id-le sõrgade vastuajamisel on ka mingi objektiivne põhjus või lihtsalt see, et koodikaart on armasaks saanud ja põhimõtte pärast ei taha midagi muud?

[Tanel]

napoleon, eks ilmselt see

Mobiil-iD on tasuline (1 € kuus) ja Smart-ID nuputelefonidega ei tööta.

[raul141]

[RCC]

Objektiivsest põhjusest olen ma million korda kirjutanud - kordame veel - idkaardi puhul on lakkamatu uuendamine, uuendamine, uuendamine, uuendamine - hommikul ärkad õhtul lõpetad, ühe makse saad tehtud ja jälle see plugin ei tööta. Firefoxi puhul läks iga uuendusega asi järjest hullemaks - ma mõtlen programmi töö üleüldse. vahetasin chromiumi vastu ja asi nagu öö ja päev. Paroolikaart töötas ja töötas selle algusest saadik, seejuures anti need täiesti tasuta. Idkaardi puhul mine kõigepealt taotle kaart (tanel kirjutab kohe et see on KOHUSTUSLIK) maksa, siis otsi lugeja, ja siis pira windows10, mmet (jube asi) jne. ma ise hoiangi vaid ühte 7 et selleks otstarbeks et äkki on vaja seda idikaarti kasutada. ühe läpaka peal ma ei saanudki seda idilugejat käima. Ja igakord kui ma 7 megi käima panen (kasutades seda idkaarti paar korda aastas) siis mis sa arvad, mida ma esimesena teen? - UUENDAN!. avan id.ee - UUENDA! Tarkvaras on nii, et uuenduste tulemusena peaks midagi nagu paremaks minema, a misasi seal läheb ma küll aru ei saa.

[Tanel]

[priitr]

[raul141]

RCC, id kaart ongi kohustuslik, aga selle eest karistada õnneks veel ei saa. Ja võiks paindlikumaks ka muuta. Kohustuste ja õiguste hulk võib tasakaalus olla, aga riigi poolt peale pandud kohustused on õlekaalukalt saavutatavamad, kui üksikisiku õiguste kaitse. Kindlasti on vaidlejaid, aga riigiga kohtusse minejaid on üksikuid. RCC, sinu probleemist saan mina aru, aga paljud ei saa(või ei taha aru saada), siin selle foorumi kokkuvõtlik osa ongi. Samas naljakas on ka see, paroolikaartide vastu on kriitiliselt meelestatud inimesed, kes seda ei kasuta. Id kaarti oman ka ise, aga miks ma peaks tahtma, et RCC, kasutaks seda põhjusel, sest sedus sunnib seda? Hulluks olete läinud. Mis see minu asi, kuhu pilusse teine mees selle kaardi topib. Vabandust, kui must huumor sisse tuli

[napoleon]

ID kaardi mitteomamise eest trahvi jah ei saa, aga teistpidi ma ei kujuta ette kuidas ilma selleta hakkama peaks saama. Maanteeamet nõuab juhiloa väljastamisel ka dokumenti ja juhiluba nad dokumendina ei aktsepteeri, seega mingi muu dokument peab olema. Võib muidugi omada ainult passi ja mitte id kaarti(100% kindel muidugi pole, kas pass antakse kui id kaarti pole), samas pigem panen id kaardi rahakotti ja passi hoian kodus kui tassin passi kogu aeg kaasas.
Uuendamine on muidugi omaette teema, ei saa mina ka aru miks nii arvutis kui telefonis kõik asjad ennast iga nädal kuni iga päev poolvägisi uuendada tahavad. Omal ajal oli inseneri põhitõde, et töötavat asja ära torgi, aga uuema aja inseneridel on asjast vist mõnevõrra teistsugune arusaam ehk selles mõttes on RCC point õige, et üks pidev uuendamine ilma et suurem osa uuendusi mingit kasulikku funktsionaalsust lisaks.

[Renka]

Ma ei kujuta ette mida te selle ID softi juures koguaeg uuendate. Heal juhul korra aastas olen seda teinud ja kõik töötab perfektselt.

[jägaja]

https://sakala.postimees.ee/6512568/ja-nii-nad-tapsidki-paroolikaardi

[Betamax]

[jägaja]

Smart-ID on tasuta lõppkasutajale, näiliselt. Kuna teenusepakkkuja plekib iga päringu pealt siis kaudselt maksab klient selle ikkagi kinni.
Aga tavainimesele on psühholoogiliselt tähtis termin "tasuta", sest Mobiil-ID teenus maksab ju röögatu 1€ kuus.

Kusjuures Elisa lepingulised kliendid on juba mõnda aega fakti ees, et Mobiil-ID teenus sisaldub paketi hinnas, ehk kasutad, ei kasuta, maksad ikkagi.
Ning "tasuta" Smart-ID teenust Elisa ei soovi toetada, kuna neile see siiski maksab.

[napoleon]

jägaja, naised saunas rääkisid, et ID kaart pole ka tasuta. Pidi olema tasuta teenus, mis töötab "as is" ehk mees ja koer oü jaoks vast ok ja siis mingi tasuline teenus, mis töötab ja kus on ka reaalne SLA. Ma sügavalt kahtlen, et pangad ja muud suuremad firmad seda tasuta versiooni kasutavad kuigi näiteks HV foorumis autentimiseks on see tasuta ka ok.... no ei jää ju kellelgi elu sellest seisma, kui täna ei saa ja peab homme uuesti proovima.

[jägaja]

Aaa, ja mina mõtlesin, et kogu see ID värgindus, arendus ja tugi on puhtalt altruismist

[Dirty Harry]

napoleon, CRL versus OCSP, ühte saab tasuta (ning tasuta asjal on omad varjuküljed).

[Renka]

napoleon, mõtled ID kaardiga autentimist tõenäoliselt. Seal on kahte tüüpi tühistusnimekirjade kontrolle. SK mõistagi pushib oma tasulist OCSP teenust. Samas mingist ajast on jah tekkinud ka see tasuta OCSP lahendus sinna juurde mille kohta infot pmst ei olegi. Ainult tehnilises dokumentatsioonis on mööda minnes paari sõnaga mainitud, et selline asi on olemas.

Samas lisaks on olemas ka CRL tühistusnimekirjad mis on täiesti tasuta ja see on ka HV puhul kasutusel. Samas pankade juures tõenäoliselt see teenus ka ei oleks aktsepteeritav kuna tühistusnimekirju uuendatakse miski intervalli tagant mitte ei ole tühistatud kaardi info koheselt kättesaadav nagu seda OCSP puhul minuteada on.

Mis puutub M-ID teenustasusse siis lisaks kasutajapoolsele kuutasule on sellel ka igakordse autentimise teenustasu teenusepakkujale. Seetõttu ei ole me seda HVs ka rakendanud. Samamoodi siis ka Smart-ID'ga mis on veel kulukam (minimaalne kuutasu 50€).

Hinnakirjad:
https://sk.ee/teenused/hinnakiri/kehtivuskinnituse-teenus/ ID kaardiga autentimine OCSP kaudu. CRL on õnneks tasuta.
https://sk.ee/teenused/hinnakiri/mobiil-id-teenus/
https://sk.ee/teenused/hinnakiri/smart-id/

[kalvis]

Tasuta lõunaid pole olemas - lisaks soovivad väga paljud (mitte ainult riik) liiga "soodsate" paroolikaartide ja pin kalkulaatorite kadu. Jälle tuuakse altarile põhjenduseks müstiline "turvalisus". Mida vähem on soodsaid alternatiive, seda tõenäolisemalt kasutad tasulisi teenuseid (smartID ja Mobiil-Id)

[netcat]

[kippadi]

[netcat]