Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
autor |
sõnum |
|
Betamax
HV Guru
liitunud: 29.05.2003
|
14.05.2019 19:20:54
|
|
|
napoleon kirjutas: |
Betamax kirjutas: |
WäntWõll kirjutas: |
Mõlemad ongi turvalised
"Tihendi! häda ei saa lahendada artikliga kuskil veebis, ühiskondlik üldteadmine või valus õppetund toovad selguse. |
Kahjuks ei ole nagu näha. Turvalisust saab hinnata ka selle järgi, kas ja kuidas on selle puhul võimalik kasutajat ära petta.
Mobiil-ID puhul see "nipp" ei toimi, sest piiratud ühe seadmega ja seotud füüsilise objektiga. Isegi, kui sa koodid kätte saad kaugelt, siis kontot sa teha ei saa.
Tihendi viga, aga kahju on tehtud ja:
tsitaat: |
RIA alustas Smart-ID teenusepakkuja SK ID Solutionsi tegevuse suhtes järelevalvemenetlust. |
|
Kas sa said ikka aru, kuidas see pettus täpselt toimus? Tegelikult saab täpselt samasuguse pettuse toime panna ka käsitsi antava allkirjaga. No näiteks tulen sulle ukse taha mingi pakk näpus ja ütlen et olen kuller. Võimalik, et olen enne infot hankinud ja tean, et sa mingi pakki ootad. Ulatan sulle paki ja viskan ette mingi paberi ja näitan näpuga, kuhu allkiri panna. Kui sa ei süvene, millele alla kirjutad, siis võib see paber olla hoopis sisuga "Käesolevaga siirdub kogu sinu maine vara ...", mingi volitus sinu nimel tehingute tegemiseks vms.
Kui inimene süüdimatult õngitsuskirjas oleval lingil klikib ja ei süübi ka sellesse, millele alla kirjutab, siis on see ikka suhteliselt tihendi probleem. |
Sain küll aru. Ma tean, kuidas phishing toimub. Su käsitsi volitusele kirjutatava allkirja näide ei päde.
Probleem on aga selles, et isikupõhist autentimisviisi on võimalik sellisel kujul kloonida. Mobiil-ID kasutades sa saad seda teha samal viisil vaid ühe korra. Järgmistel kordadel küsitakse ohvrilt jälle PINe. Vahet pole, kas sa said need phishinguga kätte või mitte.
Smart-ID puhul tehti ühe sellise phishinguga uus konto teise seadmesse ja toimetati edasi. Ohvrilt ei küsita enam midagi ja ta ei tea asjast enne kahjude ilmsikstulekut miskit. Selles on point. See on sisuliselt sama nagu tehtaks su passist 1:1 koopia ja kasutatakse seda kuritegudeks.
|
|
Kommentaarid: 686 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
532 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
14.05.2019 19:26:14
|
|
|
Betamax kirjutas: |
napoleon kirjutas: |
Betamax kirjutas: |
WäntWõll kirjutas: |
Mõlemad ongi turvalised
"Tihendi! häda ei saa lahendada artikliga kuskil veebis, ühiskondlik üldteadmine või valus õppetund toovad selguse. |
Kahjuks ei ole nagu näha. Turvalisust saab hinnata ka selle järgi, kas ja kuidas on selle puhul võimalik kasutajat ära petta.
Mobiil-ID puhul see "nipp" ei toimi, sest piiratud ühe seadmega ja seotud füüsilise objektiga. Isegi, kui sa koodid kätte saad kaugelt, siis kontot sa teha ei saa.
Tihendi viga, aga kahju on tehtud ja:
tsitaat: |
RIA alustas Smart-ID teenusepakkuja SK ID Solutionsi tegevuse suhtes järelevalvemenetlust. |
|
Kas sa said ikka aru, kuidas see pettus täpselt toimus? Tegelikult saab täpselt samasuguse pettuse toime panna ka käsitsi antava allkirjaga. No näiteks tulen sulle ukse taha mingi pakk näpus ja ütlen et olen kuller. Võimalik, et olen enne infot hankinud ja tean, et sa mingi pakki ootad. Ulatan sulle paki ja viskan ette mingi paberi ja näitan näpuga, kuhu allkiri panna. Kui sa ei süvene, millele alla kirjutad, siis võib see paber olla hoopis sisuga "Käesolevaga siirdub kogu sinu maine vara ...", mingi volitus sinu nimel tehingute tegemiseks vms.
Kui inimene süüdimatult õngitsuskirjas oleval lingil klikib ja ei süübi ka sellesse, millele alla kirjutab, siis on see ikka suhteliselt tihendi probleem. |
Sain küll aru. Ma tean, kuidas phishing toimub. Su käsitsi kirjutatava allkirja näide ei päde.
Probleem on aga selles, et isikupõhist autentimisviisi on võimalik sellisel kujul kloonida. Mobiil-ID kasutades sa saad seda teha samal viisil vaid ühe korra. Järgmistel kordadel küsitakse ohvrilt jälle PINe. Vahet pole, kas sa said need phishinguga kätte või mitte.
Smart-ID puhul tehti ühe sellise phishinguga uus konto teise seadmesse ja toimetati edasi. Ohvrilt ei küsita enam midagi ja ta ei tea asjast enne kahjude ilmsikstulekut miskit. Selles on point. |
See käsitsi antava allkirja näide pädeb väga hästi, täpselt samasugune kelmus nagu phishing, kus üritatakse asjast vale mulje jätta. Kui meelitan sind alla kirjutama üldvolitusele, siis põmst võin pangast sinu nimel laenu võtta, su auto(d) maha müüa jne., teha ei saaks ma vaid toiminguid, mille peab notari juures tegema või mis notariaalset volitust nõuavad.
Sellega olen muidugi põhimõtteliselt nõus, et smart id saamiseks peaks olema ka mingi füüsiline isikutuvastus ehk pead kuhugi füüsiliselt kohale minema ja isikut tõendava dokumendi esitama, et see leping saada. Aga noh, eks see oli neil tõenäoliselt taotluslik, et füüsiliselt kuhugi minema ei pea, ma vist poleks ka viitsinud endale siis smart id-d teha vaid oleks mõlenud, et mobiili id juba on, nah ma viitsin kuhugi kohale minna ja järjekorras seista.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
14.05.2019 19:39:22
|
|
|
Kuritegu on kuritegu. Jah. Aga volitus ei ole sama nagu digitaalne isikutunnistus või isiku tuvastamise vahend. Tee erinevused selgeks. Volituse sa annad kellelegi, kes on tuvastatav ja kes peab end tuvastama, kui volitust kasutab. Volitusel on piirid ja piirangud nii funktsionaalsuselt kui ka seaduslikult. Smart-ID antud allkiri seevastu on võrdväärne käsitsi kirjutatud, Mobiil-ID ja ID-kaardiga antud allkirjaga. Kui keegi nüüd selle Smart-ID teise seadmesse püsti paneb, nagu seda ka tehti, siis saab täiesti anonüümselt VÄGA palju sinu nime taha peitudes teha. Ja see teeb asja ohtlikuks.
See on ka põhjus, miks ma pole Smart-ID kasutusele võtnud. Eriti, kui vaadata ka HV Foorumis teemasid, kus otsiti viise, kuidas Smart-ID kontot ühest seadmest teise kloonida või siis ühes seadmes mitut Smart-ID kontot kasutada.
|
|
Kommentaarid: 686 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
532 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
14.05.2019 19:46:26
|
|
|
Nojah, see on muidugi õige, et volituse puhul oleks vaja veel tankisti, kelle nimele see volitus teha(mitte et neid ei leiaks, anna poe taga mõnele joodikule pudel viina ja on rõõmuga nõus).
AGA antud teema valguses on sul hoopis kasulik see smart id teha. See annab sulle selle eelise, et kui keegi teine peaks phishing'u või muu triki abil sinu nimel smart id konto tegema, siis smart id puhul tuleb pin küsimine igasse seadmesse, kus sul kehtiv konto on. Ehk siis vähemalt näed, et midagi kahtlast toimub ja jõuad ehk konto kinni panna enne kui midagi väga hullu juhtub. Kui sul üldse smart id-d pole ja keegi teine kuidagi sinu nimel smart id konti teeb, siis sa isegi ei tea, et midagi juhtunud on enne kui oma tühja konto jääki vaatad.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
14.05.2019 19:48:48
|
|
|
Pigem tuleks süsteem kindlamaks teha, et ma ei peaks "igaks juhuks" mingeid kontosid kusagile tegema hakkama
|
|
Kommentaarid: 686 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
532 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
14.05.2019 19:53:56
|
|
|
Nõus, aga sina ega mina ei saa süsteemi muuta ehk see konto tegemine on workaround seniks kuni süsteem muudetakse kindlamaks.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Betamax
HV Guru
liitunud: 29.05.2003
|
14.05.2019 20:14:11
|
|
|
Eks see ole see hind, mida maksta tuleb, et asi massidesse viia. Erafirma kah.
Selleks, et ma Smart-ID kasutama hakkaksin, peaks see olema sama "unikaalne" nagu Mobiil-ID. Jah, sa saaksid seda ise seadistada, aga vaid ühes seadmes korraga ja enne teise seadmesse ei saa, kui eelmises deaktiveeritud vms. Elementaarne turvalisus. Kuidas seda lahendada? Neil peaks seal nupumehi palgal piisavalt olema, et mõni lahendus leida.
Mugavus mugavuseks, aga ei saa nii olla, et mul on korraga korteris, maamajas ja armukese juures igaks juhuks identsed ID-kaardid või passid, sest äkki üks hävineb füüsiliselt või maamajja minnes unustan korterisse.
|
|
Kommentaarid: 686 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
532 |
|
tagasi üles |
|
|
Dirty Harry
HV Guru
liitunud: 05.09.2002
|
14.05.2019 20:22:22
|
|
|
Betamax kirjutas: |
Jah, sa saaksid seda ise seadistada, aga vaid ühes seadmes korraga ja enne teise seadmesse ei saa, kui eelmises deaktiveeritud vms. Elementaarne turvalisus. Kuidas seda lahendada? |
See ongi üks smart-id pointe, et saab mitmes seadmes kasutada korraga. Mugavus versus turvalisus.
|
|
Kommentaarid: 177 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
143 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
14.05.2019 20:25:33
|
|
|
Tegelikult ID kaardi kontekstis isegi saad omale maakoju või armukese juurde digi-id võtta. Seda muidugi välja ei loe, kas ainult ühe või saab neid mitu ka olla.
Aga smart-id asemel oleks vast lahenduseks võibolla hoopis moodsam mobiili id, mis liigutab andmeid 4g võrgus mitte üle sms-i. Smart id ainuke eelis mobiili id ees ju ongi see, et smart id on kiirem.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
14.05.2019 20:30:28
|
|
|
tsitaat: |
mobiili id, mis liigutab andmeid 4g võrgus mitte üle sms-i
|
ee, wut, ikka üle SMS peaks see olema.
Vähemalt välismaal maksad PIN sisestamise eest SMS hinda ja seetõttu mõistlikum ID-kaarti või Smart-ID kasutada
EDIT: https://tehnika.postimees.ee/4379813/ettevaatust-mobiil-id-kasutamine-valismaal-voib-pohjustada-megaarve
tsitaat: |
Eestis on Mobiil-ID tehingud kõikidele klientidele tasuta. Aga kuidas ikkagi on mobiil-IDd kasutades võimalik endale nii suur arve tekitada? Põhjus on selles, et iga mobiil-ID kasutamise korra pealt saadab kliendi telefon koduriiki lausa kaks SMSi: isiku tuvastamiseks ja digiallkirja andmiseks. |
tsitaat: |
Alles eile kirjutas Postimees juhtumist, kus peaministri üleskutsest ajendatud naine oli teinud endale mobiil-ID ja asus seda ohtralt välismaal olles kasutama – selle abil veebipankadesse sisse logima ja ülekandeid tegema. Tagajärg: tavapärasest ligi 80 eurot suurem mobiiliarve ning vähese infojagamise süüdistused nii peaministri kui Telia aadressile. |
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
14.05.2019 20:31:25
|
|
|
Tanel, palju sul välismaal ikka neid mobiili id kasutamisi on? 3-4tk on absoluutarvudes köömes, andmemaht on ju olematu.
Aga noh, vabalt võib olla ka seadistatav, kas roamingus kasutada SMSi või andmesidet. Kui kuskil wifi levialas jälle oled, siis SMS midagi maksab, aga net on tasuta.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
14.05.2019 20:35:14
|
|
|
napoleon, no kui ettevõtja oled, siis neid autentimisi ikka tuleb
Kui sa väljaspool Euroopa Liitu ei käi, siis muidugi savi.
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
scorpionx
HV vaatleja
liitunud: 01.10.2007
|
14.05.2019 22:12:11
|
|
|
Betamax kirjutas: |
See on ka põhjus, miks ma pole Smart-ID kasutusele võtnud. Eriti, kui vaadata ka HV Foorumis teemasid, kus otsiti viise, kuidas Smart-ID kontot ühest seadmest teise kloonida või siis ühes seadmes mitut Smart-ID kontot kasutada. |
Tead sa ka, kas kellelgi ka õnnestus? Ma olen sattunud vaid spekuleerivaid postitusi 'kuidas' võiks saada
Betamax kirjutas: |
Pigem tuleks süsteem kindlamaks teha, et ma ei peaks "igaks juhuks" mingeid kontosid kusagile tegema hakkama |
Nõrk lüli on ikkagi mobiil-ID kasutaja, kes heauskselt sisestas oma mobiil-ID PIN-koode. Teisisõnu ei veendutud, millisest teenusest autentimis-/signeerimispäring tuleb ja kas kontrollkoodid matchivad.
Paneb mõnevõrra imestama, sest Eesti mastaabis mobiil-ID ei ole nõnda uus teenus, aga kas ja kui palju kasutajaid siis kuvatavat kontrollkoodi teenusepakkuja lehel vs seadmel kuvatav üldse vaatavad.
Ei suutnud üles leida x-aasta tagust teemat (tegelikult väga ei otsinud ka), kui ettevõtjaportaalist öösiti inimestele mobiil-ID osas päringuid saadeti lootuses, et saab kellegi nimel allkirja anda. Ühe kirja tüki leidsin (või ehk oli seep seesama), aga see vist ei ole seotud sellesamusega, küll aga mõte jääb samaks: https://arileht.delfi.ee/news/uudised/petturid-ongitsevad-kergeusklike-mobiil-id-pin-koode?id=66084404
|
|
Kommentaarid: 8 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
8 |
|
tagasi üles |
|
|
filx
HV kasutaja
liitunud: 12.09.2006
|
14.05.2019 22:45:32
|
|
|
scorpionx kirjutas: |
Betamax kirjutas: |
See on ka põhjus, miks ma pole Smart-ID kasutusele võtnud. Eriti, kui vaadata ka HV Foorumis teemasid, kus otsiti viise, kuidas Smart-ID kontot ühest seadmest teise kloonida või siis ühes seadmes mitut Smart-ID kontot kasutada. |
Tead sa ka, kas kellelgi ka õnnestus? Ma olen sattunud vaid spekuleerivaid postitusi 'kuidas' võiks saada
Betamax kirjutas: |
Pigem tuleks süsteem kindlamaks teha, et ma ei peaks "igaks juhuks" mingeid kontosid kusagile tegema hakkama |
Nõrk lüli on ikkagi mobiil-ID kasutaja, kes heauskselt sisestas oma mobiil-ID PIN-koode. Teisisõnu ei veendutud, millisest teenusest autentimis-/signeerimispäring tuleb ja kas kontrollkoodid matchivad.
Paneb mõnevõrra imestama, sest Eesti mastaabis mobiil-ID ei ole nõnda uus teenus, aga kas ja kui palju kasutajaid siis kuvatavat kontrollkoodi teenusepakkuja lehel vs seadmel kuvatav üldse vaatavad.
Ei suutnud üles leida x-aasta tagust teemat (tegelikult väga ei otsinud ka), kui ettevõtjaportaalist öösiti inimestele mobiil-ID osas päringuid saadeti lootuses, et saab kellegi nimel allkirja anda. Ühe kirja tüki leidsin (või ehk oli seep seesama), aga see vist ei ole seotud sellesamusega, küll aga mõte jääb samaks: https://arileht.delfi.ee/news/uudised/petturid-ongitsevad-kergeusklike-mobiil-id-pin-koode?id=66084404 |
Viskan ka puud alla. Jah, nõrk lüli on lõpp kasutaja. See on paratamatus. Sellega peaks teenuse pakkuja arvestama, et x olukorrad tekivad. Võta mõni suurem gigant ette, nt Google. Nii kui tekib mingi kahtlane login on kohe häire kellad püsti. Smart ID puhul ma saan aru, et lisa confirmi ei eksisteerinud. Ma ei hakka isegi rääkima kas miski fraud detection üldse on implementeeritud. Antud uudis näitab väga hästi, et mitte.
TL;DR Jah, kasutaja pole kõige turva teadlikum. Teenusepakkuja võiks ka antud olukordade vältimiseks natuke vaeva näha ja kommunikeeruda enda poolseid mõõda laskmisi.
_________________ Think positive!
Viljar Bauman
👨👩👧👦 father;🧙security wizard;👨🔬life engineer;👫 socialist
viimati muutis filx 14.05.2019 23:36:57, muudetud 1 kord |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
tagasi üles |
|
|
mati29
Kreisi kasutaja
liitunud: 23.03.2005
|
|
Kommentaarid: 162 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
143 |
|
tagasi üles |
|
|
CALEB
HV kasutaja
liitunud: 27.03.2006
|
15.05.2019 05:14:34
|
|
|
Turvalisuse huvides ma mitte kunagi ei logi panka sisse mobiiltelefonist.
Panka login sisse ühest seadmest (näiteks lauaarvutist) ja Smart ID pin koodi trükin sisse teisest seadmest - moblast. (mobiil ainult pin koodi jaoks, sisse logimine koos kasutajatunnusega alati mõnest teisest seadmest, mis pole mobiil ega tahvel.)
Ehk siis kaht erinevat seadet kasutan, et mitte keegi tropp ei saaks mu tegevusele jälile.
|
|
Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
tagasi üles |
|
|
n3wb0y
HV kasutaja
liitunud: 25.05.2009
|
15.05.2019 08:01:15
|
|
|
Keegi hõikab maja eest öösel : "Hei, viska autovõtmed!"
Sina vastu: "Kohe!"
Selline on minu nägemus sellest.
|
|
Kommentaarid: 22 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
22 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
15.05.2019 08:17:36
|
|
|
n3wb0y kirjutas: |
Keegi hõikab maja eest öösel : "Hei, viska autovõtmed!"
Sina vastu: "Kohe!"
Selline on minu nägemus sellest. |
tsitaat: |
Öösel koputatakse uksele.
"Kas teil puid on vaja?"
"Hulluks olete läinud või? Meile pole mitte midagi vaja!"
Hommikul mindi hoovi, puid ei olnud! |
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
arny
Kreisi kasutaja
liitunud: 08.01.2012
|
15.05.2019 08:30:16
|
|
|
Tanel kirjutas: |
arny, sama ühe inimesega seotud Smart-ID saab mitmele seadmele teha. Näiteks mul on Smart-ID nii kahes moblas kui tahvlis olemas. |
aga mida see muudab mitmes seadmes smart id on. Kui sul on smart id olemas siis nad ju seda uuesti teha ei saa ja kõik ok. Hetkel ikkagi kasutati ära mobiil id poolt, et smart id konto luua. Siin kohal oleks ilmselt lihtne smart id konto loomist üle mobiil id mitte lubada. Ise tegin kah kunagi id kaardi abil selle. Kogu virrvarr viib selleni, et mobiil id ei saa siis ju usaldada allkirja andmisel. Vahet pole kuhu sa seda kasutad kui kaabakad saavad sedasi pini teada. Ja nagu aru saan siis mobiil id puhul tuleb pin sms-iga ve. Smart id kasutab ju oma süsteemi pini jaoks. Pole mobiil id-ga üldse kursis kui aus olla.
_________________
|
|
Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
9 |
|
tagasi üles |
|
|
degreal
HV veteran
liitunud: 07.01.2002
|
15.05.2019 09:29:02
|
|
|
Tõsi ta on aga Smart-IDga pätid saavad mitu kuud segamatult tegutseda, piisab vaid ühest õngitsusest kus kasutaja tähelepanu on hajunud. Ära varastatud mobiil või id-kaart tuleb rutem välja. samuti ka pidevad mobiil-id pin-i küsimised. Kuigi jah - piisab ka ühest allkirjast et palju pahandust teha.
|
|
Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
23 |
|
tagasi üles |
|
|
Dogbert
HV Guru
liitunud: 03.05.2004
|
15.05.2019 13:48:42
|
|
|
SmartID oli kompromiteeritav vaid seetõttu, et seda on võimalik luua päris lihtsalt kompromiteeritava mID abil (eeldab mID kasutaja tähelepanematust, mida võiks umbkaudselt hinnata 90% kanti kasutajatest).
Kui SmartID loomiseks nõutaks ID-kaarti, siis poleks see läbi läinud üldse, sest ID-kaardiga MITM rünne ei tööta, olgu omanik nii tähelepanematu kui tahes. Kaardi omaniku nimel mingi libalehe vahendusel kuhugi sisse logida sellega ei saa, rääkimata PIN2-ga allkirjastamisest.
_________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus. |
|
Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
18.05.2019 15:26:36
|
|
|
Dogbert, Võibolla olen ma midagi valesti aru saanud aga: mID pole mul kunagi olnud ja ei kavatse teha kah. Esiteks see on tasuline, teiseks nõuab uut SIM kaarti ja kolmandaks on näidanud ennast väga ebatöökindlana. Nüüd veel lisaks turvaprobleem kah (isegi kui see on pmst kasutaja süü).
Smart-ID tegin samas ära lauaarvuti ja ID kaardiga. Täpset prodseduuri enam ei mäleta aga mID kindlasti vaja ei länud.
|
|
Kommentaarid: 89 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
79 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
18.05.2019 20:26:54
|
|
|
Tomorrow, Smart ID tegemiseks pole mID must have, saab id kaardiga ka. Lihtsalt mID on üks võimalus ja see on mugavam kuna ei pea hakkama ID kaarti ja lugejat välja otsima ja palvetama, et ID kaart seekord töötaks ilma et jälle restardi peab tegema.
Üldiselt on mID täpselt sama turvaline kui kööginuga. Põhimõtteliselt saad ju kööginoaga endal näpud otsast lõigata ja mingi eriti õnnetu kokkusattumuse korral võib see tõenäoliselt ka kogemata juhtuda, kuid siiski enamik inimesi ei tee seda ei meelega ega kogemata.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Dogbert
HV Guru
liitunud: 03.05.2004
|
20.05.2019 11:21:27
|
|
|
napoleon, nii see on. Kui ei vaata mida lõikad, siis... pagan teab mille ära võid lõigata.
ID-kaart on aga "kaitsega" nuga, millega saab lõigata ainult teatud tingimustel (kui kliendi poolt ID-kaardi salajase võtmega krüpteeritud andmed avanevad serveris selle kaardi avaliku võtmega). Kui võtmed ei klapi (andmed on krüpteeritud mingi muu võtmega), siis sessioon katkeb lihtsalt - datat ei saa kätte ja "nuga ei lõika".
Mis mu jutu point oli:
Et viga ei olnud SmartID-s ja et SmartID turvalisus pole rohkem kompromiteeritud või kompromiteeritav kui mID oma. Lihtsalt kuna mID-d saab luua ainult ID-kaardiga, siis ei ole mID-ga sama trikki võimalik teha. Kui SmartID loomiseks oleks turvanõue sama karm, siis ei oleks see õnnestunud ka SmartID-ga.
Ehk kokkuvõtteks - selle SmartID "turvaprobleemi" saaks likvideerida väga lihtsalt, kui tema loomiseks ei oleks võimalik kasutada SmartID-ga sama turvalisuse tasemega mID-d, vaid nõutaks kõrgeimat, võltsimis- ehk MITM kindlat turvalisuse taset, mida näiteks mID enda loomiseks nõutakse, st ID-kaarti.
Eks see teeks SmartID loomise mõnele inimesele keerulisemaks, kuid see jääks endiselt lihtsamaks ja kiiremaks mID loomisest.
_________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus. |
|
Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
20.05.2019 14:38:10
|
|
|
tsitaat: |
Tegelikult pole id kaart ka 100% turvaline
|
ee, wut?
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
|