[daddo]

[daddo]

[Darwin]

See tähendab, et maksimaalset turvalisust pakuvad lahendused, kus vähemalt üks sisselogimiseks või tehingu kinnitamiseks kasutatavatest koodidest on unikaalne (satub arvutisse ainult üks kord, järgmisel korral kasutatakse uut koodi). Praegu on levinud kaks lahendust: PIN kalkulaator või ühekordsete koodidega koodileht.

[daddo]

[Darwin]

Aga ma küsiks ikkagi, et mis peale seda edasi? Ma olen täiesti kindel, et nende sade tuhandete ID-kaardi omanike seas on neid, kelle PIN1 on näiteks '1234' ja PIN2 '12345'. Aga edasi? Mida on ühel suvalisel vandil selle teadmisega teha?

Salakoodi keerulisus ei oma mingit tähtsust. Et Sinu nimel ID kaardiga pangas tehingut teha, on vaja teada kasutajatunnust pangas, püsiparooli ja ID kaardi PIN koodi. Need kõik on muutumatud suurused ja keylogeri poolt salvestatavad esimesel korral, mil peale keylogeri aktiveerumist panka lähed. Veel on vaja, et ID kaart oleks arvutis. Kui viirus on piisavalt sügaval OP-süsteemis, saab ta käivitada IE nii, et aken pole ekraanil nähtav. Seega ajal, mil Sina lähed oma kodanikukohust täitma ja ID kaardiga valimistel hääletama, võtab viirus Sinu nimel pangaga ühendust ja kannab kontolt mõned miljonid kuskile Nigeeriasse. Peale ühekordselt kasutatavate koodide ei suuda Sind selle eest keegi kaitsta.

[DigeBeni]

... peamised põhjused, miks mina eelistan ID kaarti panga koodikaardile:

1. ID kaart toimib nii visuaalse kui ka elektroonilise isikut tõendava dokumendina, koodikaart kõlbab ainult pangatoimingute tegemiseks;
2. ID kaart on kopeerimiskindel ja selle puudumist ehk vargust märkaksin üsna kiiresti ja saaks selle operatiivselt kehtetuks muuta samas, kui koodikaardi võib osav näpumees kopeerida nii, et selle omanik midagi tähelegi ei pane enne, kui tema arvelt raha "müstilistel põhjustel" kaob;
3. ID kaardi erinevad elektroonilised kasutamisvõimalused, vähendavad märgatavalt erinevate koodide meeles pidamise vajadust ja on lootust, et kui koode on vähem, siis vähemalt need paar peetakse ikka meeles, mitte ei kasutata ebaturvalisi meetodeid nende säilitamiseks;
4. ID kaardile tekib kasutamisvõimalusi üha juurde, kuid panga koodikaart jääb alati monofunktsionaalseks.

... koodikaart on minu jaoks lihtsalt üks iganenud võti panka ehk kui mul on olemas mugavam ja universaalsem viis, siis milleks mulle enam koodikaart ? Turvalisus on üldjoontes kasutaja enda teha, kui oma asjadega lohakalt ümber käia, siis ilmselt pole probleemiks ükskõik millise turvameetme kuritarvitamine, kuid kui jälgida elementaarseid turvareegleid, võib ka üsna ebaturvaliste vahenditega ennast keskmisest turvalisemana tunda ...

[daddo]

[Darwin]

PIN koodi kalkulaator iseenesest ei ole mingi juhusliku numbri genereerija vaid allub ikkagi teatud logaritmile, et pangapoolne server ka aru saaks, et tegemist on "õige" koodiga. Ja tänu sellele on täiesti võimalik ka PC peal tarkvaraliselt hakata samu koode genereerima...

Teoreetiliselt küll, aga enne konto lukustumist saad proovida maksimaalselt 3 korda. Et kood ära arvata on vaja "võtit", see aga asub isesesvas füüsilises seadmes, arvutiga mitte ühendatud PIN kalkulaatoris. Kuidas Sa selle sealt kätte kavatsed saada? ID kaardi puhul toksid Sa aga võtme (olgu selleks siis kasvõi "1234") pangasessiooni käigus ise keylogerisse.

[daddo]

[vendeur]

[Darwin]

Mis puutub veel sinu teooriat varjatud IE akendest, siis ära unusta, et selline ülekanne ei ole mingi ühe päringu saatmine panka, vaid eeldab paljuski inimmõistust, kes erinevalt arvutist, saab aru, mis ekraanile kirjutatud on.

See on asja kõige keerulisem külg, viirus peab tundma panga internetilahendust ja suutma sellega suhelda. Kui keylogeri abil panga kasutajatunnuse, püsiparooli ja ID kaardi PIN koodi hankimine on jõukohane algajale häkkerile, siis automaatne suhtlemine pangaga nõuab veidi vilunumat arvutispetsialisti. Ent see on ainult tehniline probleem, mingeid põhimõttelisi takistusi (nagu näiteks PIN kalkulaatori võtme hankimise puhul) ei eksisteeri. Kõik sõltub sellest, kui suur on tahtmine ja palju ollakse valmis kulutama toimiva rakenduse loomiseks. Kogu vajaliku info panga Internetilahenduse kohta saab, saates tankisti panga kliendiks ja sooritades panga kaudu ühe ülekande. Peale seda saab tankisti nime all tarkvara abil automaatseid ülekandeid ka piiramatult katsetada, ilma pangas kahtlusi tekitamata.

Ühest võimalikust rakendusest ma juba varasemas kommentaaris kirjutasin, kui pangal on mitmeid ID kaardi kasutajatest kliente, tasub see kindlasti ära, kuna sobib kõigi nende kontode tühjendamiseks. PIN kalkulaatorid on kõik unikaalsete võtmetega, kui suudad neist ühe koodi lahti murda, ei laiene see teistele.

Ja teine põnev lahendus oleks mitte saata arvutisse viirust, vaid keylogeriga trooja hobune. See muudab asja veelgi lihtsamaks, mingit automaatset suhtlemist pangaga pole vaja, zombiks muudetud arvutit saab häkker juhtida ka Interneti kaudu. Mäletan, kuidas meie peaminister hr. Ansip üritas viimaste valimiste ajal suhteliselt ebaõnnestunult oma ID kaardi PIN koodi telekaamera eest varjata. Oletame, et FSB soovib oma suurimat vaenlast "eesti natsi" diskrediteerida. Saadetakse hr. Ansipi laptopi keyloger koos trooja hobusega, kui Ansip on Internetis ja ID kaardiga pangas, salvestatakse kõik koodid, seejärel informeerib trooja hobune FSB agenti, kes zombistunud arvuti kaudu kannab Ansipi kontolt mõnele neonatside organisatsioonile "toetuseks" paarkümmend tuhat krooni. Täiesti jõukohane ülesanne keskpärasele häkkerile, rääkimata FSB luureagentidest, kulutused minimaalsed, probleemid Eesti mainele korvamatud, rahalises mõttes ilmselt miljardeid. Kõige hullem on, et midagi sisuliselt ei varastata eelnevalt (PIN kalkulaatori või koodilehe kadumist ilmselt märgataks ja saaks politseisse varem avalduse teha), teade natside "toetamisest" avaldatakse vene meedias ilmselt kohe peale ülekande tegemist. Selle asemel, et ID kaardiga eputada, keelaksin mina tähtsamatel kohtadel töötavatel poliitikutel ja tippametnikel ID kaardi kasutamise üldse ära, vaenulikult meelestatud riikide luureorganisatsioonidele ei valmista identiteedivargus ID kaardi abil mingeid probleeme. Ja eks sa siis pärast selgita, et sa pole kaamel, kui mingil sigadusel juba sinu enda allkiri all.

[DigeBeni]

... ebanormaalselt palju eeldusi peaks sellise paranoia reaalsuseks muutumiseks õnnestuma, kas sulle ei tundu ? Pealegi, kui see oleks nii lihtne, arvad sa tõepoolest, et seda poleks juba üritatud ? Niikaua, kui pretsedenti ei luua on kõik sellised teooriad puhas paranoia ...

[priitr]

Neile, kes veel juhuslikult ei tea - (üli)kiire ülevaade PIN-kalkulaatori tööpõhimõttest (time-based autentication, nagu see Eesti internetipankades kasutusel on):
Kalkulaatoris on võti, sama võti on pangas. Kell on kalkulaatoril ja pangal sünkrooniseeritud kalkulaatori programmeerimisel.
Kasutaja tahab koodi. Kalkulaator võtab hetke kellaaja ja krüpteerib selle oma võtmega (3DES näiteks). Tulemuseks mingi kood. Kasutaja esitab koodi pangale, pank dekrüpteerib sama võtmega selle koodi, saab tulemuseks kellaaja. Kui kellaaeg on mingi aktsepteeritava erinevusega hetke kellaajast, on kood õige.
Võtit PIN-kalkulaatorist kätte saada on väga,väga raske.

[tahanteada]

Selline v2ike soovitus, et teema algtekstile lisaks tasuks l2bi lugeda ka t2ispikkuses Informaatikan6ukogu arenguplaan.
Ja soovitan lugeda paberi kujul infot, kuna arvutiekraanilt lugemisega v6ib osa infost kaduma minna.

Postitatud mobiililt

[daddo]

[priitr]

[daddo]

[Sults]

[videvik]

see, kes loobub oma vabadustest "turvalisuse" nimel, ei vääri ei turvalisust ega ka vabadust.

[daddo]

[Sults]

[daddo]

Leian, et see on nüüd küll liialt meelevaldne käitumine, et neid nelja lahendust järjestada kasutaja rumalusele toetudes. On täiesti selge, et lollid on erakordselt andekad ja turvalisuse seisukohast suudavad nad ükskõik millise lahenduse turvalisuse alla viia. Küll aga ei taha ma mitte nõustuda, et kui me oleme juba langenud selleni, et perekonnas on meil mõni liige, kes teise perekonna liikme tagant varastab, et siis saab väita, et üks asi (PIN kalkulaator) on raskemini varastatav kui teine (ID kaart).
Ja olgu tegemist esimese või teisega, kasutajanimed, püsiparoolid saab mõlemal juhul keylogeriga kätte. Minumeelest pole see PIN kalkulaator koos keylogeriga hõivatud kasutajanime ja püsiparooliga päti käes sugugi parem variant, kui ID-kaart PIN koodidega - arve teeb puhtaks ju mõlemaga. Aga sellest hoolimata koostad meelevaldselt nende turvalisuse toppi?

[priitr]

[wader]

Mina soovitan pin kalkulaator kaardilugejasse panna.

[Sults]

[daddo]

[Sults]

[daddo]

[priitr]

Ma ei viitsi enam seda teemat jälgida. Minule teadaolevalt pole keyloggeriga pihta pandud ID-kaardi koodidega veel raha varastatud. MITM rünnet kasutades aga küll. PIN-kalkulaator ei kaitse MITM-ründe vastu. See teadmine on minu jaoks piisav.

[Tanel]

priitr, jälgi ikka ja postita ka, sinu argumenteeritud juttu on hea ja mõnus lugeda
Ma saan aru küll, et tuuleveskitega on raske võidelda, kuid mõnikord tuleb seda teha, kuna muidu võtab võimust paranoia ja teadmatusest tulenev hirm.

[Sults]

[Tanel]

[Sults]

[daddo]

[Sults]

[daddo]

[Sults]

[mikk36]

[Sults]

[mikk36]

[Sults]

[Tanel]

jah, kiipe on ikka riknenud, kuid v2hemalt sihip2raselt kasutusel olnud kaart (ilma fyysiliste vigastusteta) vahetatakse v2lja IMO riigi kulul

[tahanteada]

Tekkis küsimus, et mismoodi rahvas tulevikus hakkama kavatseb saada, kui PIN-koodid muutuvad 128/256/512 sümboliseks

Sel juhul eelistan mina küll Biomeetriat 15-20 minutilisele sümbolitejada kirjutamisele

[vendeur]

Seda, et elusate kudede pidev mõõtmine nende kudede elutegevust ja normaalset funktsiooni ei muuda, ma ei usu. Kui neid iga päev, päevast päeva iga nurga taga mõõta. Biomeetria ohutuse mõttes inimtervisele peaks siis võtma ikkagi koetükile vastava personaalse koodi/pildiriba vmt kasutusele.

Biomeetria ohutus inimesele väärib omaette diskussiooni asjatundjate tasemel. Kel IT-st veel keerukamates elusa looduse teadustes (meditsiin, füüsika, bioloogia) vähemalt doktorikraad ja asja vastu huvi, tasuks lähemalt mõtteid vahetada. Teadmisi asja uudsuse tõttu on maailmas veel vähe. Mis ei tähenda, et ei leidu elektrijäneseid, aktiivselt leekivaid valvevõhikuid, kes mullitavad ja muljetavad poolteadmisi. Asjalikud oma arust ja teadjamate naeruks-haletsuseks. Tegelikult oleks parem kõigil teemadel, kus teadmisi vähe - kas asja uudsuse või isiklikel põhjustel - rahumeeli poolikult mitte sõna võtta. Kõigil vähem müra, rohkem teadlikkust ja villa. Kaasa leekimata, nõustun ette igaühe õigusega uskuda, mida ise tahab

[daddo]

[vendeur]

Relax, daddo. Vastuseks viimasele postile biomeetria kohta oli see, ei mõelnud otseselt sind ega kedagi konkreetset. Enne kirjutamist läbi lugedes selguks ! Sinu vabadust sõna võtta keegi ei piira ja piirata ei saa. Pidasin silmas eestikeelsetes foorumites ja avalikus diskussioonis laiemalt levivat totaalset tühileekimist. Ja see komme võiks tasapisi muutuda. Hea tava arenedes ingliskeelsete tehnikafoorumite eeskujul vm, mida haldajad ja kasutajad vajalikuks peavad. Teadmine ja arvamus on ise asjad, mõttevahetus ja plärtsumine samuti. Kui neil vahet teha, on asjatud kõik väljamõeldud piirangute kujutlused, kes kus võivad sõna võtta.

[daddo]

Aga näita ise eeskuju! Sest kui ma nüüd ei eksi (ei viitsi teemat enam uuesti läbi lugeda), siis olid ju sinugi postitused sinu isiklik seisukoht, millel oli "mulle ei meeldi ja ärgu teised ka kasutagu" maik juures ja ei midagi enamat. Ja sellisel juhul ei saa ma nagu sellest sinu moraalist eriti aru. Et keda see aitama peaks?

Anyway... teema on end minujaoks ammendanud.

[vendeur]

Ei puutu minusse kinnisideed, mida sa külge poogid, või see mida sa lugemata arvad end välja lugevat.
Lugu pidades foorumikülastajatest, keda see dialoog ei pea huvitama, võiks enne lugeda ja otse küsida privas.

[daddo]

Aga mis see ID kaardi pealesurumise jutt siis oli? Sinul kui indiviidil on ju alati olnud ja jääb võimalus ID kaarti mitte mingil moel kasutada. Ja teised otsustagu enda peaga, ehk nende eest mingist pealesurumisest rääkida... pole nagu põhjust.

[vendeur]

Uudis mõttega veelkord läbi. Sisuliselt tahab Parts ID käsu korras muuta ainukohustuslikuks. Vaid ID ja MobiilID. ID ei saaks sel juhul mitte ühelgi eesti internetipanka kasutaval indiviidil jääda vabalt mittekasutatavaks, nagu sa pakud. Minu põhjendused ja vastuväited polnud mitte ID, vaid ID ainulahendusena pealesurumise ebaotstarbekuse vastu. Koos põhjendatud vajadusega PIN kalkulaatori säilitamiseks.