[vendeur]

[Ho Ho]

[vendeur]

[Ho Ho]

[vendeur]

Kui mõni müüja väidaks, et aitab paremini lauslolluse vastu ja sa oled kohustatud ostma ning tegelikult ei aita, kannaks selline müüja nime "petis".

[jkddp]

Selle internetipankade koodikaardile peaks lihtsalt juurde panema kohustusliku id-autentimise kui nad lihtsalt tahavad antud alal turvalist tõsta. sest 1 plus 1 on topelt turvalisus.

[vendeur]

Jah, topelt kontroll, et ikka võimalikult kasutusmugav oleks. Ja arendame uue teenuse ID kaardiga. Teenuse idee: homsest hakkab süüa saama vaid ID kaardiga. Ulatades ID kaardi luuki, tehakse eelmise nädala kommentaaride poliitkorrektsuse kontroll. Ajalehtedesse kommentaaride sisestamisel kohustuslik ID. Ja nii igal lõunal kontrollime kodanike meelsust, lojaalsust ja ustavust. Kui luugi taga ID kaardi peale riiklik server vastab OK, antakse luba panga kaudu lõuna eest maksmiseks. Kui vastus on "NO" või ei tööta server, kutsutakse Falck ja toimetatakse kodanik teadmata suunas / peetakse kinni kuni kontrolli lõpuni (st kuni server tööle hakkab). Kaardilt võetakse ette hoiatamata maha maksmata trahvid, viivistasud, jm võlgnevused. (Kõikvõimalikud kehtivad ja uued kurnatised vt http://www.zone.ee/content/kurnaja.html . Kui peale mahaarvamisi kodaniku arvel raha ikka üle jääb, viiakse peale sööki läbi uus lojaalsuse kontroll. Igaks juhuks broneeritakse tühine summa, mille vabastamiseks peab segaselt sildistatud ja auklikke teid pidi sõitma 2 km kaugusele avaldust kirjutama. Avalduse esitamise paika käiv buss sõidab suvaliselt umbes 1 kord tunnis. Kodanike lojaalsuse kontrolliks on tasuline parkla, et kas maksab parkimistasu. Ja kui maksab, siis võetakse avaldus vastu, kuid broneeringut ei vabastata, vaid arvestatakse broneeritud summa parkimistasu katteks. Sõita saab ka taksoga, kuid peatuda tohivad ainult kindlad taksod, (kusjuures taksopeatuses on kohustus valida esimene vaba takso, milles omakorda tasumine ID kaardiga ja poliitkorrektsuse kontroll).

Kõigi söögikohtade seinal riigis peavad kõrvuti rippuma kahes keeles plakatid samal kõrgusel:

"Pole tähtis, et õigusrikkumise eest oleks määratud karm karistus, tähtis on mitte ükski õigusrikkumine ei läheks karistamatult läbi"
V. I. Lenin

"Ma ei toeta massilisi repressioone, ma toetan ideed, et karistus peab olema vältimatu"
R. Lang

Ja läbi mitmekordse lojaalsuskontroli ime meie armastatud kodumaa riigipiiri ületada õnnestunutel Tax-Free söögikohas selle asemel värviline plakat: Volksinitiative für die Ausschaftung krimineller Ausländer

Eesti muutub käskude-keeldude ühiskonnaks, kus elavad ainuõiged inimesed. Kes mõtlevad vaid grupiviisiliselt, riiklikult ja ühte moodi. Meelsuse kontroll ja pooletoobiste suva jõuab igasse riigi nurka, serverisse ja heinamaale. Ei tohi ju ISIKUL enam mingit valikuvabadust olla, sest siis poleks TURVALISUSE lehm enam püha! Umbusaldus tervele mõistusele, sest inimest ei saa ju usaldada ja käskijaks püha lehm ise! Vaadake, mis liikluses toimub, peab ju! Ärge kartke, isakese kombel hoolitsev minister mõtleb kõigi laulupiduste eest nende turvalisusele! Kas me sellist Eestit tahame, teilt enam ei küsitagi. Mis, kibestunud vä? Tuleb ikka tänaval rõõmustada ja rakette lastes valitsuse tarkust ja Oktoberfesti algust tähistada!

[priitr]

Seda lõime lugedes võivad asjaga vähem kursis olevad inimesed kurat teab mida mõtlema hakata, seega ma üritan asjaga kokkupuutununa need erinevad autentimisviiside elementaarse turvalisuse kiiresti lühidalt kokku võtta.
Pangad tahavad koodikaartidest vabaneda, sest need on korduvalt tõestatult ebaturvalised - koodikaarte on võimalik kopeerida, ükskõik, kas siis füüsiliselt objektilt kaardilt maha kirjutades, arvutil klahvivajutusi salvestades või võltsveebiserverit (MITM) kasutades. Need ründed on sedavõrd lihtsad ja efektiivsed, et võib ainult õnne tänada, et praeguse ajani on suuri probleeme suudetud vältida. Eks sellele on kaasa aidanud ka Eesti inimeste suhteliselt kõrge turvateadlikkus (võrreldes muu maailmaga, mitte võrreldes ideaalolukorraga!), mida ajakirjandus on igati tänuväärselt tõsta aidanud (tõsi küll, ma kahtlustan, pigem sensatsioonijanust, kui rahva haridustaseme tõstmise vajadust tajudes).
Paroolilehed, kui neid kusagil veel kasutatakse, on turvalisemad, kui koodikaart - pealtkuulamine on vähem ohtlik. Kopeerimise oht siiski jääb, ka on taolised suured paberilehed lihtsal ebamugavad klientidele.
PIN-kalkulaator on koodikaardist oluliselt turvalisem - teda ei saa kopeerida ja tema väljastatavate koodide salvestamine pole niivõrd ohtlik, kui koodikaardi puhul. Samas MITM rünnak on ka PIN-kalkulaatori kasutajale ohtlik (ehkki mittetriviaalne ja eeldab kasutaja abi - tundmatu sertifikaadiga veebiserveri aktsepteerimist).
ID-kaart on iseenesest väga hea - mitmeotstarbeline, mittekopeeritav ja MITM rünnakule vastupidav. Ohud jäävad lokaalsesse kliendiarvutisse - võimalik on sisestatavate PIN-koodide vargus (nende kasutamisek on pahategijale siiski samaaegselt vaja ka ohvri ID-kaarti); samuti on võimalik ette kujutada spetsiifilist tarkvara, mis monitoorib ID-kaardi PIN-i kontrollimise operatsioone ja kasutab seejärel 'vaikselt' kaardi privaatvõtmeid. Iseenesest on ID-kaardi OS võimeline tegema ka mittepealtkuulatavaid krüpteeritud tunneleid otse kaardilt sertifitseeritud rakendustesse või, lihtsamal juhul, lubama kaarti kasutada vaid ühel rakendusel korraga, paraku taolise funktsionaalsuse võimaldamine muudaks erinevatel tehnilistel põhjustel kaardi reaalse kasutamise üsna keeruliseks nii tarkvara arendajate, kui ka lõppkasutaja jaoks. Hulga riske võtab maha lihtne reegel - võõrastes üldkasutatavates arvutites kasutada oma kaarti ainult PIN-klaviatuuriga lugejaga, mis praktiliselt välistab ID-kaardi PIN koodide kopeerimise.
Mobiil-ID on ka hea - telefonis PIN-koode salvestavat pahavara üldiselt ei kohta ja telefon on tavaliselt alati kaasas ja, erinevalt ID-kaardist, ei nõua kasutamiseks kliendiarvuti spetsiaalset seadistamist. Võrgus pealtkuulavatel MITM-ründajatel puudub võimalus PIN'ga kinnitatavaid tehinguid sooritada või muuta (eeldusel, et koodide omanik neid telefoni igal nõudmisel suvaliselt ei sisesta). Põhiprobleemiks on Mobiil-ID jaoks praegu veel vähene levik, vaid ühe operaatori toetus ja sõltuvus SMS'de töötlemise-saatmise kiirusest. Samas pole ükski neist probleemidest põhimõtteline ja lahendatakse kindlasti mitte eriti kauges tulevikus. Seega täiesti normaalne lahendus 'mobiilse' ID-kaardi omaniku jaoks (Mobiil-ID aktiveerimine nõuab ID-kaardiga allkirjastamist).

Niipalju siis lühidalt tehnilisest küljest.

Veel midagi, mis pole otseselt seotud ID-kaardiga.
Inimesed, ärge olge nii paranoilised. Ausõna, pangad ei ole teie kiusamise ja petmise peal väljas. Vastupidi, mida paremini läheb panga klientidel, seda rohkem raha nad panka toovad ja selle kasumit kasvatavad. Pangatöötajad ei taha teid ahistada - kui teile ka tundub, et mingi tehniline lahendus on välja töötatud teie kiusamiseks , mõelge sellele, et selliste asjade realiseerimine nõuab aega ja raha, mida müstilise IT asemel oleks võinud eluasemelaenudeks väljastada. Seega peavad eksisteerima reaalsed ohud, millede vähendamiseks talutavale tasemele neid investeeringuid tehaksegi; kõrgeltkvalfitseeritud spetsialistide tööaeg on liiga kallis, et omanikele tulu tootma pidavad pangad seda 'lihtsalt niisama' mingite lahedate asjade tegemiseks saaksid kasutada.

[vendeur]

Tänan ülevaate eest. Lahendus on: kuni välismaal seda PIN-klaviatuuriga lugejat ei ole ja installiõigusi ei tule, kuni väliseestlased ei pea ega soovi ID kaarte, tuleb PIN kalkulaator säilitada. Klient ja tema ligipääs oma rahale välismaalt jääb alles ja asi OK. MITM rünnak on erand, mitte reegel. Äärmisel juhul võib kaaluda mõnede riikide suunal erandit, kuna tsiviliseeritud riigid MITMiga Eesti vastu ei tegele ja AinuID oleks klientide enamikule põhjendamatu nõue.

Ei usu isiklikult ka, et pangad tahavad välismaal elavate klientide rahast lahti saada ja üldse kliente ehk oma raha kuidagi kiusata, segada või karistada. Avalikkuse käest palka saav minister Parts on see, kes räägib sunni kehtestamisest ja kes võib enesele lubada pidevat rusikad taskus olekut. Ükski tavaline, konkurentsi tingimustes tegutsev normaalne eraettevõte niisugust olekut ja tooni endale lubada ei saa, vaid töötab inimeste heaks.

[mikk36]

http://www.id.ee/public/Mobiil_ID_multikas/

[Ho Ho]

[vendeur]

Jah, kahjuks on. Uudises käis jutt vaid ID ja mobiil ID lubamisest. Viimane nõuab välismaal, kus elades on teine mobiilioperaator, rahaülekanneteks lisaks EMT kaardi omamist ja põhjendamatuid lisakulutusi läbi roamingutasude EMT võrku. Sest ÄKKI keegi kuskil paneb kunagi püsti libapangaserveri ja selle pakutud valesertifikaadi mõni dumbuser kogemata aktsepteerib vale klahvi vajutades. (Brauserid hoiatavad sel juhul!). Praktikas seni mitte esinenud murega, mille tõttu kannataks mõni üksik dumbuser, soovitaks kõigi välismaa netipankade kasutajate olukorda ebamugavamaks teha, luues riigi ministri käsul põhjendamatud lisakulud oma rahale ligipääsuks.

[priitr]

[vendeur]

Tähtis on iga ettevõtte vabadus ise teha strateegiline valik, mis on just tema klientidele parim. Riigi ülesanne pole siin üht või teist tehnilist lahendust peale sundida, vaid seda vabadust tagada. On iga ettevõtte otsustada: ehk on mõistlikum ja vähem kulukam sedasama dumbi natukene õpetada õiget klahvi vajutama, mõnes olukorras võibolla koguni mõne kahju üksikjuhtumiga leppida, mitte ehitada miljon korda kallimat, keerukamat ja halduskulusid nõudvat turbesüsteemi? Iga ettevõtja peaks majanduslikult analüüsima kulutuse otstarbekust: jah libaserveril valesti klahvi vajutajatel on küll lihtsam! Aga millise hinnaga?

Kui välismaal elavate inimeste kliendisuhteid ja raha poleks Eesti pankadele vaja, võiks täna hästitoimivale PIN-kalkulaatorile ja klientidele rahuliku südamega vee peale tõmmata. Kliendid on konkurentsiga harjunud. Välisklientidel ei ole Eesti pankade ees olulisi laenuvõlgu, mis neid kinni hoiaks. Loobumiseks ja pangavahetuseks piisab, kui jõukamatele oma rahale ligipääsuks midagi kohmakamat/kulukamat/välismaal mittetoimivamat peale sundida. Pakkudes innovatsioonina tegelikult lisakohmakust ja kulu kõigile, ehk pseudoinnovatsiooni. Kui ID PIN on edasi antav ja varastatav nagu ennegi, kellele ja milleks siis ID üliturvalisuse müüt ja IT ülekulud? ID ei ole mingi võluvits, millesse raha kallamine lahendaks kõik turbeprobleemid.

Iga pank positsioneerib end turul ise, kelle pank ta tahab olla. Iga ettevõte teeb parema otsuse oma klientide jaoks ilma riigi käskudeta, sest ta on kliendile lähemal kui minister. Ka valik jääda dumbmassi pangaks on vaba valik, mida tuleb austada kui ettevõtlusvabaduse ühte osa. Nagu iga teist loomulikku õigust.

SMS laenu pakkujad saab turult välja lüüa sundID teenuse hinnaga küll. Väike hoiu-laenuühistu võibolla ei suuda niisugust nõuet kulude tõttu täita, aga ometi on oma kogukonnale oluline ettevõte. Eks ta siis paneb uksed kinni, selleks et täita seadust, nii nagu ülepingutatud euronõuetega juhtus külapoodides.

[tanel_76]

[tahanteada]

Ho Ho: Jutt ei käi ei paroolikaartidest ega PIN-Kalkulaatoritest, vaid hoopis sellest, et muu maailma eeskujul minnakse üle Biomeetrilistele andmetele. Ehk siis ID-kaart saab samad asjad külge, mis on Kiibiga Europassis 8)

Ehk siis ühildumine Euroopaga Suure Sõbra USA survel Ja veel - pidevalt arenev turvalisem Internet 2 nagunii ei tunnista mingeid sertifikaate, kuna nende turvalisus on liialt väike. Tunnistatakse ainult Biomeetriat - sõrmejälge, käepesa kujutist, silmapõhja rastrit jms... Seda praeguse ID-kaardi madalat turvalisust tunnistasid mingi aeg tagasi isegi KMA-spetsialistid.

[vendeur]

Tahanteada, mitte kuskil Euroopas ei käse EL või riigid teha netipangad vaid biomeetrilise Europassiga. Tulevad endiselt erinevad kaardid, mõnedele kantakse biomeetrilised andmed jne. Ainult Eestis käib rumal jutt vaid ID ja MobiilID abil ligipääsusüsteemist avalikele e-teenustele, mis sisuliselt tähendab seniste oma rahale ligipääsuviiside keelamist netipankades alates 2009. Nagu kommenteeritavast uudisest lugeda võib.

[8]

ID kaardi ärakaotamise vastu unustasid selle loojad teha ühe pisikese ja praktiliselt mittemidagi maksva klassikalise turvatäienduse - kaardi nurgas oleva augu, mille kaudu saaks kaardi nööriga kaela (pealisriiete alla) riputada või kuhuiganes kinni siduda. Nüüd tuleb see auk omal algatusel puurida. Huvitav, kas seda tohib teha, kas auguga kaart (loomulikult auk mitte läbi olulise infoteksti ega kiibi) ikka kehtib?

[cbr]

Minul tekkis siin lugedes selline küsimus, et kas ID-kaart ikka on kopeerimiskindel? Kas modifitseeritud kaardilugejaga ja keyloggeriga poleks võimalik minu identiteeti täiuslikult varastada? Kes kindlustab, et järgmine kord kuskil AIP-is pangaülekannet tehes seda ei tehta?

[tahanteada]

Vendeur: Ma ei r22gi yhest kaardist, vaid et ka ID-le pannakse Biomeetria ja seda n6uab tulevikus nii EL kui k6ige Suurem S6ber USA!
Ja p2ris kindel olen, et tuleb yks ja sama kiip nii ID, passi jaoks ning samuti hakatakse selle modifikatsiooni naha alla systima!
Nii, et kui Wikipedia asjast ei kirjuta, siis tuleb lugeda Paberv2ljaandeid ja kuulata raadiosaateid ning vaadata telerit!

Postitatud mobiililt

[vendeur]

tahanteada: jah, juba kolmas kord loeme. Kasutaja blas tõi juba algul "Turvalisuspoliitika põhisuunad aastani 2015", kus oli 2008 ettepaneku esitamine biomeetriliste andmete kandmiseks. Ning sina kordad seda kaks korda üle:) OK, pole hullu:).

Täpselt ei selgu, kas biomeetria tuleb enne ID kaardile ja siis "VaidID/MobiilID". Või käsutab riik 2009 inimestele praeguse, ilma biomeetriliste andmeteta ja kulumiskõlbmatu IDkaadi ainsaks ligipääsuks pankadele ja sunnib siis hiljem kaarte biomeetriliste vastu vahetama, et pankadele ligi saada.

[daddo]

vendeur, seda et...

... iga pank ei tee ikka ise endale nägu. Iga pank allub selle riigi seadusandlusele, kus ta ennast registreerinud on. Antud juhul Eesti Vabariigi omadele. Ja kui Eesti riik tahab oma kodanikule asja turvalisemaks muuta, siis see on meie endi poolt valitud inimeste pädevuses. Kui see sulle ei meeldi, siis eeldavasti oled sa piisavas eas, et oma senine tegevusvaldkond poliitika vastu vahetada. Valik on sinu.

... sa nimetad korduvalt ID-kaarti (või siis 'isikutunnistus', aga ära palun rüveta seda foorumit oma vaimusünnitistest nimedega selle plastkaardi kohta) ja koodikaarte sama turvaliseks.
Palun seleta mulle kui rumalale, tänases, üha suurenevas phishing maailmas, et mismoodi on koodikaardi koodid ühe Nigeerias pesitseva netipetturi käes sama "turvalised" kui ühe Eesti kodaniku ID-kaardi pin koodid sama isiku käes seal Nigeerias? Kas see nigeerlane sõidab Eestisse seda ID-kaarti varastama? Ja seda isegi juhul, kui dumbuserist Eestis asuv Eesti kodanik on selle omas lauslolluses mõnes rämpspostist saadud lingile klikkides on sisestanud?
Ehk mis loogika järgi on ID-kaart ja koodikaardi koodid sinu peas sama turvalised, kui esimene neist on kasutatav ühel ajahetkel vaid ühe isiku käes ja ühes, kaardi enda, asukohas, samalajal, kui teist varianti, koodikaardi koode võidakse kasutada paralleelselt nii Nigeerias, Hiinas, Venemaal vms. kohas samaaegselt ja vaid mõned hetked peale koodide eneste lekkimist?

[vendeur]

Jah, d, väriseme, väga osav nigeeria nõid võib suuta varastada salasõna ja terve kaarditäie koode korraga. Mõne üksiku koodi kättesaamisest ei piisa, igal järgmisel sisenemisel panga server küsib erinevat koodi, kaht sessiooni erinevalt IP-lt sama võtmega ei lasta tekitada. Aga lahenduseks ID siin mingit AINUeelist ei oma, mis sunniks ID-monopoli peale: PIN-kalkulaator samuti töötab ühe isiku käes ühes asukohas ja on mitmel põhjusel välismaalt ligipääsuks vajalik säilitada. Millest eelpool toodud jutt ka käis.

Panga e-teenuste lepingu järgi vastutab kasutaja iga kahju või internetipanka sekkumise eest naha ja karvadega, pangal mingit riski pole. Riik ID kaardi monopoli pealesundides ei võta mingisugust täiendavat kahjuvastutust, vaid pank paneb kasutajale rohkem kulusid ja piirab klientide ligipääsu välismaalt. Klient maksku rohkem või ärgu välismaalt raha kandku ja vastutagu ikka kõigi turvasigadustest põhjustatud kahjude eest, mis pole tema tehtud. Välisklientidele täna toimiva PIN-kalkulaatori keelamine ja ID/MobiilID monopoli põhjendamatu kehtestamine on tehniliselt rumal ja poolik lahendus ning ebaõiglane ka juriidiliselt.

[Darwin]

Turvalisust analüüsides on siin täiesti ära unustatud üks küllaltki tõsine oht - viirused ja trooja hobused, mille avastamiseni antiviirusprogrammide poolt võib kuluda kuid. Kui selline viirus on koos keylogeriga kuskil OP-süsteemi tuumas sees, pole vajalike andmete saamine ID kaardilt ja ka kaardi PIN koodi salvestamine suurem probleem. ID kaardi puhul taandub kõik lõpuks ikkagi sellele, kelle käes on kontroll arvuti üle. Ja tavaarvutite (eriti veel mõne turismikeskuses asuva internatikohviku arvuti) turvalisus viiruste suhtes on pangandusstandardite järgi allpool igasugust arvestust. Seega pole turvalisuselt PIN kalkulaatorile või ühekordsete koodidega koodilehele mingit alternatiivi. Oleks viisakas poliitikute poolt lõpetada äriprojekti ID-kaart surumine ainsaks identifitseerimisvahendiks, praktikas see niikuinii ei toimi.

[jkddp]

et see tähendab seda, et kindlasti tuleks kasutada oma arvutit, et vähegi turvalisust saavutada?