praegune kellaaeg 16.06.2024 16:42:53
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 11:59:02
|
|
|
Tanel kirjutas: |
And the paranoia is setting in...
tsitaat: |
Hetkel siis minu hinnangul on internetipanga autoriseerimisevahendite järjestus turvalisuse (kliendi seisukohalt) kahanevas järjekorras selline:
1. Ühekordsed paroolilehed
2. PIN-kalkulaator
3. korduvkasutusega paroolikaardid
4. mobiil-ID
5. ID-kaart
|
Muud juttu ma isegi enam ei kommenteeriks, täpselt sama tõeväänamine ja faktidel mittepõhineva jutu korduv keerutamine.
Kui sa leiad ja tood reaalsed faktid, siis kuulaksin neid heameelega võiksin isegi sinu "klubiga" liituda 8)
Seniks aga "võiksid" ja "arvaksid" arvamusavaldused kategoriseeruvad kenasti "naised saunas rääkisid" kategooriasse 8)
tsitaat: |
Sooviks nüüd ikkagi kuulda, kuidas on panga kliendil võimalik veenduda, et maksekorralduse digiallkirjastamisel panga loodud programmijupi abil allkirjastatakse ikka ja ainult seda maksekorraldust?
|
See on puhtalt riigi ja panga usaldamise küsimus. Nagu sa usaldad pangale oma raha kasutamiseks (pank võib ju pankrotti minna jne.).
Teoreetiliselt ja tehniliselt on see ilmselt üsna võimalik, aga kas sul on muid käegakatsutavaid fakte peale selle paranoilise tõdemuse, et su oponendid peavad tõestama et nad pole kaamlid? |
Mis puutub panga kui äriühingu usaldamisesse (riigi usaldamine ei puutu siin absoluutselt asjasse!), siis võiks ID-ioodid endale selgeks teha, et oma raha pangale usaldamine toimub konkreetsete lepingute raames ja piiratud summade ulatuses. Seda riski saab kasutaja ise juhtida, valides panka ja otsustades selle summa üle, mida ta konkreetses pangas hoiab. Olemas on ka riigipoolsed garantiid juhuks, kui pank peaks hoiustajate rahadega tünga tegema ja pankrotti minema. Valgel paberilehel digiallkirjade pangale ulatamine võib ju olla usalduse küsimus, kuid turvalisusega pole sellel mingit pistmist. Selline tegevus on nimelt absoluutselt ebaturvaline! Sellise käitumise tagajärjed võivad olla väga tõsised, märksa tõsisemad, kui kontol olevast paarikümnest tuhandest kroonist ilma jäämine!
Millist käegakatsutavat fakti sa üldse küsid? Selle kohta, et kasutaja ei saa tuvastada, mida panga loodud programmijunn parajasti allkirjastab?
Mina väidan, et vähemalt 99% Eesti elanikest ei ole võimelised panga loodud ID-kaardiga maksekorralduste programmijunni tegevusest aru saama isegi siis, kui see jookseb debuggeril koodirea haaval ega suudaks isegi allkirjastamisel jooksvat koodi samm-sammult jälgides aru saada, kas digiallkirjastatakse maksekorraldust või oma kodu pandiks panemise lepingut. Millist tõestust sulle selleks vaja on?
|
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
23.04.2009 11:59:26
|
|
|
Pada sõimab katelt, sellist paranoilist maailmalõpu kuulutamist (mis ei põhine faktidel) ma ka päris kindlasti ei salli siin foorumis.
Nagu ma juba sulle mainisin, too välja konkreetsed tõendid/faktid, mitte et mina ei pea tõestama, et ma pole kaamel
Praegune paranoiline süüdistus pankade suunas (et tegelikult maksekorralduse allkirjastamisega müüd maha oma maja ja ämma) on väga tõsine.
Kas sul on selle tõestuseks ka mõned faktid tuua või on tegemist laest võetud spekulatsiooniga?
Kordan, kui sa suudad seda mulle veenvalt tõestada, liitun sinu klubiga ning aitan tõde ka siin foorumis levitada
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
SKG
HV Ihaldatuim Poissmees
liitunud: 27.01.2003
|
23.04.2009 12:02:33
|
|
|
Tanel, mis Sults-i jutus nii naeruväärset on? Ta ju tõi välja võimalikke musti stsenaariume, mis võivad ka ID-kaardi kasutamisel juhtuda.
_________________ 17/1/2023, Scart: "Selle sajandi senise möödunud aja üks suuremaid skandaale on hetkel lahti rullumas..." |
|
Kommentaarid: 373 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
3 :: |
313 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 12:07:01
|
|
|
Tanel kirjutas: |
Pada sõimab katelt, sellist paranoilist maailmalõpu kuulutamist (mis ei põhine faktidel) ma ka päris kindlasti ei salli siin foorumis.
Nagu ma juba sulle mainisin, too välja konkreetsed tõendid/faktid, mitte et mina ei pea tõestama, et ma pole kaamel
Praegune paranoiline süüdistus pankade suunas (et tegelikult maksekorralduse allkirjastamisega müüd maha oma maja ja ämma) on väga tõsine.
Kas sul on selle tõestuseks ka mõned faktid tuua või on tegemist laest võetud spekulatsiooniga?
Kordan, kui sa suudad seda mulle veenvalt tõestada, liitun sinu klubiga ning aitan tõde ka siin foorumis levitada |
Mina räägin, et selline asi on võimalik, mitte seda, et sellisne asi on juhtunud. Ma ei ole pangandusringkonnas insider ja minuni toimunud pettustest otseteavet ei jõua. Saan oma info vaid meedia vahendusel ja meedias ei ole tõesti veel (rõhutan, VEEL) ühestki sellisest juhtumist teada antud. Mina aga tahan juhtida tähelepanu, et selline võimalus ID-kaardi kuritarvitamiseks on pankadel olemas ja on vaid nende endi õiguskuulekuse ja moraali küsimus, kas nad seda mingil hetkel kasutavad või mitte. Pankade moraali ei hinda ma aga kuigi kõrgeks, klientide raha omastamise näiteid on tuua Eestiski (pensionifondid, muud fondid, jne. jne.), maailmamastaabis on aga juhtunud igasuguseid põnevaid juhtumeid.
viimati muutis Sults 23.04.2009 12:08:53, muudetud 1 kord |
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
23.04.2009 12:07:48
|
|
|
Naeruväärseks teeb asja paranoiline süüdistus pankade suunas, et tegelikult maksekorralduse allkirjastamisega müüd maha oma maja ja ämma.
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 12:09:42
|
|
|
Tanel kirjutas: |
Naeruväärseks teeb asja paranoiline süüdistus pankade suunas, et tegelikult maksekorralduse allkirjastamisega müüd maha oma maja ja ämma. |
Tanel!
Ohu võimalikkusele viitamine ei ole süüdistamine! Palun ära utreeri!
|
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
23.04.2009 12:12:31
|
|
|
tsitaat: |
Mina aga tahan juhtida tähelepanu, et selline võimalus ID-kaardi kuritarvitamiseks on pankadel olemas ja on vaid nende endi õiguskuulekuse ja moraali küsimus, kas nad seda mingil hetkel kasutavad või mitte.
|
ma polegi seda välistanud, vaid ma väidan, et tegemist on paranoiaga ja selle võimaluse sildistamine pankadele on väga tõsine süüdistus, mis sisuliselt võrdub usalduse kaotusega.
Eestis, kui demokraatlikus riigis oleks selline asi suhtkindlalt välistatud ja seepärast ma selle üle niiväga ei muretseks ning paanikat ei külvaks.
Sooviksin, et Hr. Sults oponeeriks mingis meediakanalis avalikult mõne vastava ametkonna/panganduse esindajaga ja arutletaks faktidepõhjaselt riskide ja võimaluste teemal .
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 12:58:13
|
|
|
Tanel kirjutas: |
tsitaat: |
Mina aga tahan juhtida tähelepanu, et selline võimalus ID-kaardi kuritarvitamiseks on pankadel olemas ja on vaid nende endi õiguskuulekuse ja moraali küsimus, kas nad seda mingil hetkel kasutavad või mitte.
|
ma polegi seda välistanud, vaid ma väidan, et tegemist on paranoiaga ja selle võimaluse sildistamine pankadele on väga tõsine süüdistus, mis sisuliselt võrdub usalduse kaotusega.
Eestis, kui demokraatlikus riigis oleks selline asi suhtkindlalt välistatud ja seepärast ma selle üle niiväga ei muretseks ning paanikat ei külvaks.
Sooviksin, et Hr. Sults oponeeriks mingis meediakanalis avalikult mõne vastava ametkonna/panganduse esindajaga ja arutletaks faktidepõhjaselt riskide ja võimaluste teemal . |
Muide, paranoia on vaimuhaigus ja ma kahtlen, kas sa oled pädev vastavat diagnoosi panema.
Ingliskeelsest Wikipediast: "Paranoia is a thought process characterized by excessive anxiety or fear, often to the point of irrationality and delusion."
Ehk siis mõtteprotsess, mis põhjustab hirme kujutletavate (reaalsuses mitteeksisteerivate) ohtude ees. Allkirjastatud valgete paberilehtede usaldamise kuritarvitamise võimalus pankade poolt on aga reaalne oht. Ma ei räägi siin sellest, et mingid rohelised mehikesed suudavad sõrmenipsuga ID-kaardi kloonida vms. Mingil põhjusel sa ju tühjal lehel paberile antud allkirja pangale ei usalda, või usaldad? Tegemist on ju ikka sama panga ja samade panga töötajatega ning kuritarvitamise risk on praktiliselt ühesugune.
Mina väidan, et minu hinangud ID-kaardi ohtudele ei ole sugugi paranoilisemad, kui ID-kaardi nurgaadvogaatide hinnangud koodikaardi ohtudele.
Ma ei ole mingi nn "arvamusliider", kellesarnaseid meediakanalid heal meelel vahendavad, seega kardan, et isegi tahtmise korral ei pruugi traditsioonilises meedias sel teemal sõna saamine olla minu võimuses. Internetis, ehk uues meedias ma ju sel teemal sõna võtan ja vähemalt sina ei tohiks küll väita, et ma teen seda anonüümselt, sest minu tegelik isik peaks olema sulle teada või siis soovi korral hõlpsasti teada saadav. Oleksin ülimalt õnnelik, kui mõni pädev pangaonu või -tädi põhjendaks siin minu kirjeldatud ohtude naeruväärsust ja tegelikult mitteeksisteerimist. Aga ka selle pangaonu /-tädi siia meelitamine ei pruugi olla minu võimuses. Äkki sa, Tanel, pöördud mõne pädeva pangaametniku poole kes siis tuleks ja hajutaks oma sisukate põhjendustega minu (ja võibolla ka mõnede teiste) poolt maalitud ohte?
Minu jutu mõte on selles, et ei ole mingit alust väita, et ID-kaart oleks internetipangas turvalisem kui koodikaardid. Tõsi küll, ohud on mõneti erineva iseloomuga ja teatavaid ohte annab ID-kaardi abil mõningal määral vähendada. Kuid samas tekivad täiesti uued ohud ja mitmete ohtude realiseerumine jääb lihtsalt selle taha, et maailmas levinud pahavara ei ole siiani (rõhutan, SIIANI!) ID-kaardi rünnetele spetsialiseerunud ja spetsialiseerunud pahavara ei ole vist (rõhutan, VIST!) veel loodud.
Ohtude realiseerumise kohta veel niipalju, et minuni ei ole jõudnud ka infot selle kohta, et keegi oleks oma rahast ilma jäänud koodikaardi koodide märkamatul kuritarvitamisel pahareti poolt. Vähemalt on selliste juhtumite arv piisavalt marginaalne et sellisest põhjustatud kahjunumbrit meedias välja tuua. Olen vaid näinud naljakirju, kus palutakse saata oma koodikaardi koodid ja kasutajatunnused kas meili teel või sisestada kusagile veebilehele. See on aga ju täiesti anekdoot ja kui keegi on selle peale liimile läinud, ei ole kuidagi välistatud, et sama isik ei oleks liimile läinud ka siis, kui talle oleks tulnud samalt aadressilt kiri palvega saata oma ID-kaart ja pin koodid kaardil sertifikaatide uuendamiseks kusagile suvalisele aadressile.
viimati muutis Sults 23.04.2009 13:24:58, muudetud 1 kord |
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
salasilm66
HV vaatleja
liitunud: 30.03.2009
|
23.04.2009 13:05:10
|
|
|
tanel tundub raudselt mõne panga palgal või on see lähiajal plaanis. Seletage kasutusvõimalusi nt. välismaal käies, id kaarti kasutada ei saa, mobiil id samuti paljudes võrkudes kasutuskõlbmatu, jääb üle ainult kirvehinnaga pinkalkulaator
|
|
tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
23.04.2009 13:12:44
|
|
|
salasilm66 kirjutas: |
tanel tundub raudselt mõne panga palgal või on see lähiajal plaanis. Seletage kasutusvõimalusi nt. välismaal käies, id kaarti kasutada ei saa, mobiil id samuti paljudes võrkudes kasutuskõlbmatu, jääb üle ainult kirvehinnaga pinkalkulaator |
A mina olen ruhnu karu palgal.Ta palkas mu eelseisva PR kampaania jaoks.Tasu saan meekärgedes
|
|
Kommentaarid: 89 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
79 |
|
tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
23.04.2009 13:24:34
|
|
|
Sults: Aga alates sellest ajast, kui arvutid ja internet tekkis, on kogu aeg häkkerid rünnanud ja häkkinud igal ajal, igal pool ja kõike, kuhu võib üritada ligi pääseda.
Üsna värske vastav uudis Delfist: "Häkkerid pääsesid ligi Pentagoni kalleimale projektile."
http://www.delfi.ee/news/eesti/eesti_uudised/article.php?id=22947605
|
|
Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
tagasi üles |
|
|
Carl
HV kasutaja
liitunud: 16.11.2002
|
23.04.2009 13:26:15
|
|
|
Mind on sama asi vaevanud: kuidas ma saan teada, millele ma alla kirjutan weebikeskkonnas?
Kirjutasin ID supporti sellise maili:
Tere,
väga tore mäng ID kaardi promomiseks: http://www.arvutikaitse.ee/loos/
tekkis küsimus, et kuidas digiallkirja andmisel ma tegelikult saan näha,
mida ma allkirjastan ?
Vajutan weebis nupule, küsitake pin2 ja kõik. Samahästi võiksin oma hinge ju
maha müüa.
Ma loodan, et olen millestki väga valesti aru saanud ja tegelikult saab
allkirjastatavat asja kuidagi kontrollida. Kuidas ?
-------- vastus oli selline ------------
Tere
Teie tähelepanek on väga õige - enne allkirjastamist peab alati kindlasti allkirjastatava sisuga tutvuma. Ja seda on Teil ka antud juhul võimalik teha. Loosilehel, kus Teilt küsitakse telefoni ja emaili ja kus Teile pakutakse võimalust allkirjastada mängutingimused kas ID-kaardiga või Mobiil-ID-ga, on üleval rida "Mängutingimused leiad siit", kusjuures sõnale/lingile "siit" vajutades saategi kätte allkirjastatavad mängutingimused - failina reeglid.pdf.
Head ID-kaardi ja Mobiil-ID kasutamist!
Ahto Jaago
Ahto Jaago
AS Sertifitseerimiskeskus
Tarkvarainsener
mob: +372 581 60156
tel. +372 6101 883
e-mail: ahto.jaago@sk.ee
Siis uurisin, et kuidas ma ikkagi näen, et ma tegelikult kirjutan alla samale pdf failile, mida seal saidil näidatakse?
Vastus... emmm.. poolteist aastat kirjutavad nad seda vastust juba.. ootan huviga.
Kui mõni ID kunn seda loeb, siis ticket ID 2457
|
|
Kommentaarid: 48 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
45 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 13:29:45
|
|
|
tahanteada kirjutas: |
Sults: Aga alates sellest ajast, kui arvutid ja internet tekkis, on kogu aeg häkkerid rünnanud ja häkkinud igal ajal, igal pool ja kõike, kuhu võib üritada ligi pääseda.
Üsna värske vastav uudis Delfist: "Häkkerid pääsesid ligi Pentagoni kalleimale projektile."
http://www.delfi.ee/news/eesti/eesti_uudised/article.php?id=22947605 |
Seda minagi, häkkerid tegutsevad! Ja kuna ID-kaardil puudub tehnoloogiline eelis, mis välistaks ründed ID-kaarti kasutavate pangaklientide suhtes, siis jäävad häkkerite ründed ka siis edasi kestma, kui kõik pangakliendid kasutaksid ainult ID-kaarti. Või mida sa tahtsidki väita? Ma ei saanud hästi aru, kas see oli oponeeriv või toetav avaldus. Kas seal Pentagonis oli tegemist panga koodikaartide väljapüügi abil infosüsteemi sisse saamisega?
|
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
23.04.2009 13:31:16
|
|
|
Sults kirjutas: |
Ma ei saanud hästi aru, kas see oli oponeeriv või toetav avaldus. |
Neutraalsest oled kuulnud?.Nagu Rootsi riik nt
|
|
Kommentaarid: 89 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
79 |
|
tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
23.04.2009 13:37:55
|
|
|
Sults: Selles suhtes Sind kindlasti toetav, et mida rohkem kõikvõimalikke IT (ID) lahendusi tekib, seda suuremaks muutub ka häkkerite huvi ligi pääseda mingisugusele süsteemile või informatsioonile. Ja pole ju vahet, kas see isikutuvastus ja ligipääs käib meil toimiva ID-kaardi või muus süsteemis toimiva mõne teistsuguse elektroonilise tuvastusega.
Uskuda võib, et Pentagonis suudeti kätte saada nii sõrmejälje kui silma iirise tuvastamise info ja siis toimus selle info kasutamine enda huvides. Ei usu, et vastasel korral neile infoserveritele oleks ligi pääsetud.
|
|
Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 13:40:15
|
|
|
tomorrow kirjutas: |
Sults kirjutas: |
Ma ei saanud hästi aru, kas see oli oponeeriv või toetav avaldus. |
Neutraalsest oled kuulnud?.Nagu Rootsi riik nt |
Olen küll!
Ma lihtsalt kartsin, et ei suutnud kohe kommentaari mõttele täielikult pihta saada.
|
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
Max Powers
liitunud: 21.03.2003
|
23.04.2009 13:46:59
|
|
|
Eks see ole kaupmehe (antud juhul siis pangad) enda otsustada, kuidas nad selles osas käituvad. Samas see, et nad paljud otsused omavahel eelnevalt kokkulepivad on natuke kahtlane.
Võivad nad ju ka tasud jms laua taga omavahel paika panna.
Sama lugu oli ka otsusega mitte lubada alates 01.01.2009 ilma EMV toeta kaardimakse terminale Eestis. Loomulikult lõpetasid nad ammu enne seda kuupäeva EMV toeta kassasüsteemide sertifitseerimise.
Õnneks ei saa nad kuidagi keelata välismaiste pankade teenuste kasutamist kaardimaksete teostamiseks.
|
|
Kommentaarid: 215 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
2 :: |
182 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 13:51:52
|
|
|
Carl kirjutas: |
Vastus... emmm.. poolteist aastat kirjutavad nad seda vastust juba.. ootan huviga.
Kui mõni ID kunn seda loeb, siis ticket ID 2457 |
Tänan sind väga asjakohase ja ilmeka näite eest!
|
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
blas
Kreisi kasutaja
liitunud: 27.01.2002
|
23.04.2009 14:07:28
|
|
|
Häda oli selles, et kodanikud kasutavad e-teenuste tarbeks panga kaudu tuvastamist. E-deklaratsioonil oli lausa ID kaardi banner vist ees, mis tuli esmalt kinni panna.
Ja kogu teema käib tegelikult kasutusharjumuse juurutamise nimel-hakkad panka ID-kaardiga kasutama, hakkad muud ka. Ok, turvalahendused peavad ennetama mitte sabas sörkima
aga sellised kollijutud. Pigem on risk see, et keegi su kaardi tuuri paneb ja poes maksmas käib, kui et paroolikaardiga konto tühjaks teeb (püsiparooli ikka vaja ju). Kui nüüd seda blokkida väitega, et inimesed kannavad püsiparooli koodikaardile kirjutatuna kaasas siis selline inimene kannab oma pinne id kaardile kirjutatuna samuti.
Muide, kas digidoci installimisel antakse jätkuvalt teadet, et 10 allkirja kuus on tasuta ja rohkema eest peab plekkima ning kas kellelegi on rohkemate allkirjade eest arve tulnud:P
_________________ The truth is out there |
|
Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
75 |
|
tagasi üles |
|
|
Gizmoz
Kreisi kasutaja
liitunud: 24.09.2005
|
23.04.2009 14:18:56
|
|
|
blas kirjutas: |
Häda oli selles, et kodanikud kasutavad e-teenuste tarbeks panga kaudu tuvastamist. E-deklaratsioonil oli lausa ID kaardi banner vist ees, mis tuli esmalt kinni panna.
Ja kogu teema käib tegelikult kasutusharjumuse juurutamise nimel-hakkad panka ID-kaardiga kasutama, hakkad muud ka. Ok, turvalahendused peavad ennetama mitte sabas sörkima
aga sellised kollijutud. Pigem on risk see, et keegi su kaardi tuuri paneb ja poes maksmas käib, kui et paroolikaardiga konto tühjaks teeb (püsiparooli ikka vaja ju). Kui nüüd seda blokkida väitega, et inimesed kannavad püsiparooli koodikaardile kirjutatuna kaasas siis selline inimene kannab oma pinne id kaardile kirjutatuna samuti.
Muide, kas digidoci installimisel antakse jätkuvalt teadet, et 10 allkirja kuus on tasuta ja rohkema eest peab plekkima ning kas kellelegi on rohkemate allkirjade eest arve tulnud:P |
Imho , kasvatad võlga enese tuvastamise eest
Pole paha , küll sulle ükspäev see ID saadab korraliku arve
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
tagasi üles |
|
|
DigeBeni
HV Guru
liitunud: 06.11.2001
|
23.04.2009 16:03:07
|
|
|
Sults,
tsitaat: |
Allkirjastatud valgete paberilehtede usaldamise kuritarvitamise võimalus pankade poolt on aga reaalne oht. |
... usud sa tõepoolest, et ükski pank julgeks võtta sellist riski ? Pangad kardavad sellist võimalust kordades rohkem, kui kõige paranoilisem klient oma kõige märjemates õudusunenägudes. Piisaks vähimast kahtlusest ja panga usaldusväärsus on üleöö kempsust alla lastud. Ükski pank ei saa endale lubada sellist usalduskriisi, isegi kõige lihtsama klendi tasandil. Sellised süüdistused on absurdi tipp ...
_________________
|
|
Kommentaarid: 193 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
5 :: |
160 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 16:37:48
|
|
|
DigeBeni kirjutas: |
Sults,
tsitaat: |
Allkirjastatud valgete paberilehtede usaldamise kuritarvitamise võimalus pankade poolt on aga reaalne oht. |
... usud sa tõepoolest, et ükski pank julgeks võtta sellist riski ? |
Jah, ma usun seda! Panga jaoks on risk praktiliselt olematu, sest ta saab valida, kelle puhul, milleks ja millises ulatuses ta sellist võimalust kuritarvitab.
Mina ei usu hetkekski, et pank (või õigemini mõni selle töötaja) jätaks pikemas perspektiivis sellise võimaluse kuritarvitamata. Seda, et pangale on oma nahk ja kasum kõige lähemal, tasub meenutada kasvõi SEB likviidsusfondi likviidsuse likvideerimise näitel (vt ka selles blogis toodud riskide ja tulude jagamise maatriksit, mis iseloomustab hästi pankade suhtumist klienti).
viimati muutis Sults 23.04.2009 17:28:08, muudetud 1 kord |
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 17:10:14
|
|
|
Sults, kas sa oled täpsemalt tuvunud sertifikaatide ja smart cardide tehnilise poolega? Oskad sa täpsemalt rääkida pahalste rünnetest ID kaardi vastu? Mina ei tea, et oleks võimalik kuidagi privaatvõtit smart cardi pealt kätte saada. Võibolla tead sa midagi rohkem, mil juhul sa võiksid seda täpsustada.
Väheke kirjandust ka:
http://en.wikipedia.org/wiki/Keystroke_logging#Smart_cards
Ühesõnaga PIN koodi võivad nad sul kätte saada küll aga kui keegi pärast PIN koodi kättesaamist ei tule sul hambaid sisse lööma ja ID kaarti ära varastama peaksid suht kaitstud olema igasuguste väärkasutamiste vastu.
_________________ ebastabiilne |
|
Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
tagasi üles |
|
|
Sults
HV veteran
liitunud: 06.09.2004
|
23.04.2009 17:22:48
|
|
|
someOtherDude kirjutas: |
Sults, kas sa oled täpsemalt tuvunud sertifikaatide ja smart cardide tehnilise poolega? Oskad sa täpsemalt rääkida pahalste rünnetest ID kaardi vastu? Mina ei tea, et oleks võimalik kuidagi privaatvõtit smart cardi pealt kätte saada. Võibolla tead sa midagi rohkem, mil juhul sa võiksid seda täpsustada.
Väheke kirjandust ka:
http://en.wikipedia.org/wiki/Keystroke_logging#Smart_cards
Ühesõnaga PIN koodi võivad nad sul kätte saada küll aga kui keegi pärast PIN koodi kättesaamist ei tule sul hambaid sisse lööma ja ID kaarti ära varastama peaksid suht kaitstud olema igasuguste väärkasutamiste vastu. |
Jah, ma olen tutvunud ID-kaardi tehnoloogiaga ning tunnen ka sertifikaatidel põhineva autentimise teooriat.
Ma ei ole siin küll rääkinud konkreetsetest rünnetest ID-kaardi vastu, kuid küllap ka see võib võimalikuks osutuda. Siiski arvan, et privaatvõtme kangutamist ID-kaardi seest ei lähe vaja mitte ühegi minu poolt eelpool kirjeldatud kuritarvitamise viisi juures, mistõttu ma ei pea vajalikuks privaatvõtmete välja lugemise võimaluse üle diskuteerida.
Küsimus on rohkem selles, et kasutaja enda poolt vabatahtlikult sisestatud ID-kaarti on võimalik kasutada kas pahavara või siis näiteks panga rakenduse poolt millegi sellise allkirjastamiseks, millest kaardi omanik üldse teadlik pole. Läheb panka, hakkab oma arvates maksekorraldust allkirjastama, kuid pank laseb tal selle asemel allkirjastada hoopis midagi muud. Ja kaardi omanikul puudub võimalus kontrollida, mida ta reaalselt allkirjastab.
Sama kehtib ka pahavara kohta. Pistad kaardi vabatahtlikult lugejasse, pahavara tajub, et sisestati ID-kaart ja on võimeline kaardi seesoleku kestel tegema sellega suvalisi kaardi funktsioone kasutavaid toiminguid, kui kõigest ühe pangamakse käigus on see sama pahavara eelnevalt kinni püüdnud PIN1 ja PIN2. Kasutaja võiks teoreetiliselt midagi kahtlustada vaid juhul, kui ta peaks ranget arvestust ID-kaardiga antud allkirjade üle. Kui allkirju tuleb anda aga sageli, näiteks igale pangamaksele, siis ei ole selline asi reaalselt võimalik.
viimati muutis Sults 23.04.2009 17:39:50, muudetud 1 kord |
|
Kommentaarid: 38 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
35 |
|
tagasi üles |
|
|
someOtherDude
HV kasutaja
liitunud: 03.11.2002
|
23.04.2009 17:41:16
|
|
|
Ometi räägid mingitest troojalastest ja asjadest.
Jah tõesti kui sessioon on püsti siis on võimalus seda rünnata aga see on vaid nii kaua kui sessioon on püsti.
Versus, see et su paroolikaardist tehakse pilt või saadakse mingi hulk koode kätte, peale mida on võimalik ilma paroolikaardita juba sessioon püsti tõmmata.
Mille põhjal sa oma pingerea kokku panid täpsemalt? Mida arvestasid turvalisuse juures ja mida mitte? Samamoodi isegi kui su PIN2 kätte saadakse pole võimalik signeerida ilma kaardita asju. Selleks on sul ikkagi vaja füüsilist eset kui ka PIN koodi ehk midagi mis sul on ja midagi mida sa tead. Sellest ka two-factor authentication.
_________________ ebastabiilne |
|
Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
tagasi üles |
|
|
|
lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|