[Tanel]

Riigi Infosüsteemi Ameti peadirektori Taimar Peterkopi hinnangul on avaliku sektori teenusepakkujatel aeg hakata loobuma paroolikaardi aktsepteerimisest autentimisvahendina. Amet soovitab koodikaardid kasutusest välja viia, sest paroolikaart autentimisvahendina on muutunud ebaturvaliseks ning sellega seotud pettuste hulk kasvab.

Paroolikaartidel kasutatavaid koode üritatakse varastada nii internetiliikust jälgides kui neid ka kasutajatelt erinevatel viisidel välja pettes. Paroolikaartide koodide teadasaamise vahetu tagajärg ei pruugi olla rahaline vargus, vaid võimalus kasutada inimese digitaalset identiteeti.

Peterkop soovitab paroolikaardi asemel kasutada ID-kaarti, mobiil-ID-d või PIN-kalkulaatoreid. Need on turvalisemad, sest ID-kaardi ja mobiil-ID puhul on ligipääsuks vajalik ka füüsiline seade. PIN-kalkulaatori genereeritav parool kaotab ajas kehtivuse ning on ühekordne. Kõigil kolmel puhul puudub võimalus ligipääsuinfo väljapetmiseks või varastamiseks.

Riigi Infosüsteemi Amet soovitab avalikul sektoril toetada tugevamaid autentimisvahendeid ning lõpetada paroolikaardil põhinev isikutuvastamine aastaks 2019.
Kuna koodikaardi kasutajate hulk on suur, siis soovitab Peterkop anda kasutajatele piisavalt aega tehniliste alternatiivide leidmiseks ning kasutajate harjumuste muutmiseks.

Allikas: https://www.ria.ee/ee/riik-soovitab-koodikaartidest-loobuda.html

[laurx]

koodikaart murdus 2006 aastasl puruks naljakal kombel samal päeval kui esimese id kaardi sain. toimus üldse mitte tahtlikult, käisin id kaardil järel ja õhtul kui mingit toimingut tahtsin sellega teha, avastasin, et seb i koodikaart oli kolmeks jupiks rahakoti vahel.

[siniger]

kasutan ühekordseid koodikaarte kus on 120 unikaalset 4kohalist arvu.
kui olen ära kasutanud 90 nendest, saadab pank mulle uue koodikardi kus on jällegi 120 4kohalist unikaalset numbrit, kust otsast see ebaturvaline on?
uue 120 koodiga kaardi väljastamine on lihtsalt pangale lisakulu (post+ paberist koodikaart)
need seebi ja sweedi kaardid ehk ongi ebakindlad, kuna kaardil kindel arv koode ja juurde neid keegi ei genereeri.
meenub kunagine pangategelaste jutt, et rohkem kui 64 koodi polevat kaardile vaja kuna olevat niigi turvaline ja sellepärast väljastatakse uued plastikust kaardid kus koodid peale trükitud ja vahetada neid polevat vaja. mõtlesin juba toona, et järjekordne lüpsimasin aeti soojaks ja millalgi hakatakse risti vastupidist juttu ajama.

[RCC]

tee mulle nüüd selgeks, kuidas see ennem oli turvaline ja üleöö iga päevaga, samm-sammult protsenthaaval muudkui muutub kaitsetumaks? näita mulle see pettuste nimekiri ette, kes keda pettis - kas jälle maxima pettis 20 sendiga? Kuna idkaart expired, siis on koodikaart ainus võimalus.

[Tanel]

[terminator]

Kasutanud viimased ca 20 aastat Swedbanki koodikaarti-mahub vastupidiselt PIN-kalkulaatorile mugavalt rahakoti vahele. Ei näe milles probleem.

[Tanel]

terminator, ja sul rahakoti vahel kohustuslik ID-kaart täidab seda sama rolli, pealegi saab vajadusel mitmesse panka sisse logida + täidab juhiloa ja mitme kliendikaardi rolli.
Või kas tõesti põhimõtteliselt rikutakse seadust või 25 € 5 aasta peale on ülejõukäiv kulutus?

[Pailaps]

[RCC]

idkaart võib olla kohustuslik, kuid sel juhul on ka riigil see mulle kohustuse korras tasuta tarnida - kostenlos versand.

[Tanel]

RCC, ei, üheski riigis pole pass tasuta.
Eestis on passi asemel kohustuslik isikutunnistus ehk ID-kaart.

Pealegi ID-kaart 25 eurot, pass 40 eurot.
Kas tõesti arvestuslikult 5 eurot aastas käib sulle üle jõu?

[Pailaps]

Tbh on olemas riigipoolne toetus, kui kuulud vähekindlustatud isikute hulka.

[tiirP]

See koodikaartide asendamine PIN-kalkulaatoritega pole ei midagi muud, kui raha teenimise viis. Turvalisusega pole siin midagi pistmist.

[elukaz]

Koodikaart nõuab palju vähem tehnilisi vahendeid, ehk kui sul on id-kaart taskus ja sa teed 100 katset ennast autentida esimese ettejuhtuva sidevahendi juures siis enamasti sa feilid, Koodikaardiga piisab suvalisest limpa telefonist mis suudab panga lehe lahti lugeda.

Ja lisaks see et kui korra id-kaardi pini sisse lööd siis on see "turvaline" ühendus lahti suvalise keskkonna jaoks mis seda kasutada tahab nii kauaks kui kaart masinas. See ei loe kui oma pangasessiooni lõpetad. No ei ole minu silmis turvaline

[The_Boss]

Muidu ikka võimalusel kasutan, jah, ID kaarti, aga nüüd nende sertide uuendamisega pole võimalik enam allkirjastada.
Koodikaart töökindlam ning nagu öeldud, saab suht lambika seadme taga sellega vajaminevad toimingud tehtud (kui just pole vaja väga suurte summadega tegeleda).

mID pole siiani viitsinud uurida, tõenäoliselt on see hoopis mugavaim lahendus, aga kindlasti mitte töökindlam kui paroolikaart.

[dud66]

ID-kaart + Mobiili ID ja ei kujuta isegi enam ette, et mingit koodikaarti või pin-kalkulaatorit kasutaks

ID kaart + pangakaart is all you need

[Tanel]

[The_Boss]

Mhm, varsti käib ära, kui sinnakanti asja.

[ThedEviL]

[elukaz]

Tanel, kas sa pead seda turvaliseks kui sinu üks kord sisse löödud piniga saab siseneda suvalisse tuvastamist nõudvasse keskkonda ilma et peaks pin1 teadma?

[ThedEviL]

[elukaz]

Kui kaua on vaja et pahalane saaks kaardi olemasolu ära kasutada? Kas me räägime tundidest või millisekunditest? Kui mul on sessioon lahti ka kaart selleks vajalik siis mis takistab taustal uut alustamas?

[Pailaps]

PIN sõrmistikuga lugejaid võiks kasutada, sest muidu vastasel juhul õnnestub klaviatuuri puhvri nuhkimine.

Ma tean, et osadel kasutajatel on tobe komme id kaarte lugejas hoida, et hommikul ID kaardiga masinasse sisse logida. Oeh.

[ThedEviL]

[Tanel]

elukaz, kui sa oled kuskil külalisarvutis, siis teed oma toimingu ära, logid välja ja tõmbad kaardi välja. Pole probleemi.
Muus osas oma arvutiga ja brauseriga, nagu ThedEviL juba märkis, on brauseri autentimine täiesti normaalne asi.
Kui ei usalda oma arvutit, logi välja ja tõmba kaart peale iga toimingut välja.

[Vondur]

[The_Boss]

Täpselt. Keelata seda küll ei tohiks. Pigem siis promoda teisi variante, et kasutajaskonda vaikselt üle viia.

[riaak]

[mahno]

Inimesega ongi see viga, et kui kõik on hästi, siis vastutab ise. Kui raha läinud on, siis on pank süüdi. Ja kui andmed lekkinud, siis vastav ametkond süüdi. Seetõttu peab pank ja ametkond oma riski mingil moel haldama ja tunnustama ainult neid autentimisvahendeid, mis riski piisavalt madalale viivad.

Avalik saladus on see (vaevalt et ma kedagi üllatan), et inimesed annavad oma koodikaarte vabalt edasi, vaatamata sellele, et kõikvõimalikud kasutuslepingud, millele kaardi saaja alla on kirjutanud, seda keelavad. ID kaart on asi, mida tavakondanik naljalt edasi ei anna, seetõttu laheneb ka kasutajatunnuste jagamise ja käest-kätte "pärandamise" probleem. Aeg-ajalt tulevad sellised kasutajatunnuste edasi andmise kaasused välja juhul, kui näiteks selgub, et "surnud inimene" kasutab infosüsteemi. Julgelt väidan, et 99% sellistest kasutajatunnuste väärkasutamistest ei tule kunagi välja.

Koodikaart on on turvaliseks kasutamiseks ka liiga kergelt jälgi jätmata kopeeritav.

[Märt.]

[mahno]

Tegelikult on lisaks ID kaardile võimalik endale soetada ka digi-id. Sobib, kui ei soovita mobiil-id-d hankida. Teeb kõike, mida id kaart, peale füüsilise dokumendina käitumise.

[Tanel]

mahno, samal teemal: https://foorum.hinnavaatlus.ee/viewtopic.php?p=9343410#9343410

[netcat]

[quote="Vondur"]