[Tanel]

Jaapani elektroonikahiid Hitachi hakkas Poolasse tarnima kõrgtehnoloogilisi sularahaautomaate, mis tuvastavad isiku sõrme veresoonte mustri järgi.

Masinatest saab raha välja võtta lihtsalt asetades oma sõrme infrapunalugejale, mis identifitseerib isiku sõrmes või käeseljal oleva unikaalse veresoonte mustri järgi. Arvatakse, et tänu sellistele sularahaautomaatidele võivad varsti pangakaardid saada osaks minevikust.

Loe edasi: http://tarbija24.postimees.ee/2802846/euroopasse-joudnud-sularahaautomaadid-tuvastavad-isiku-veresoonte-mustri-jargi

[Tanel]

hondaa, vii end tehnoloogiaga kurssi, enne kui lahmima tuled.
See pole tavaline sõrmejälgelugeja, vaid veresoonte mustri lugeja

Tuvastatakse elusa, vereringega sõrme.
http://www.hitachi.eu/veinid/documents/veinidwhitepaper.pdf



Fujitsul on põhimõtteliselt sama asi välja-arendatud, aga käelaba veresoonte lugemiseks.

[tahanteada]

Tanel: Ja HVF-i Uudisvihjete all on seesama teema juba ammu olemas.

Postimehe loo originaallink ka:
Forget fingerprints – banks are starting to use vein patterns for ATMs
http://www.theguardian.com/money/2014/may/14/fingerprints-vein-pattern-scan-atm

[Tanel]

tahanteada, kui sa natuke pikemalt viitsiksid eestikeelse sissejuhatuse kirjutada, oleks tõenäosus uudisvihje uudiseks vormistada mitu korda suurem.

[hondaa]

Tanel, saan väga hästi aru, et tegemist on teise tehnoloogiaga, aga mõte jääb samaks. Miks riskida oma kehaga kui on olemas ennast tõestanud turvalisuse viisid? 100% turvaline pole miski, ent eelistan siiski, et mult pekstaks see PIN number välja, mitte meeleheidlikkus proovis ei lõigata sõrme maha või veel hullem, võetakse kogu täiega kaasa. Võibolla on asi ainult minus

[Tanel]

hondaa, sa ikka saad aru, et selle mahalõigatud sõrmega ei saa sa autentida midagi
Lisaks on vaja PIN kood sisestada. Ka praegu saab pätt su väevõimuga automaadi juurde vedada ja sundida raha välja võtma.
Selle vastu ei aita ükski turvalahendus.

[hondaa]

Tanel, jah, sain aru, et mahalõigatud sõrmega ei saa, sellest ka sõna meeleheidlikkult mu viimases postituses. Kui PIN on vaja niikuinii sisestada, siis ei näe antud lahendusel mingit mõtet.
Enivei jään enda arvamuse juurde, et enda keha ei seo ma ühegi turvalisuse lahendusega, eelistan, et see jääb ühte tükki. Hetkel ju võib olla võimatu mahalõigatud sõrmega minna raha välja võtma, kuid see ei tähenda, et aasta, 2 või 5 pärast see võimatu oleks. Ükski summa pole väärt enda kehaosast ilma jäämisest, kui sul on teine arvamus, siis hea küll, maitse üle ei vaielda

[Tanel]

[Max Powers]

Tehke röövlitele ka selgeks, et toimib ainult elusa inimesega.

Muidu saavad nad oma teadmised hollivuudist.

[Sold OUT]

On siin sõnavõtjatel siis miljonid pangakontol, et vaja niimoodi põdeda? Kas sõrmede massiline mahalõikamine on sagenenud peale sõrmejäljelugejate kasutuselevõttu?


Täiesti mõistatamatu kuidas iga tehnoloogiauuenduse juures on kindel kontingent, kes väidab kui kehv kõik on ja kuidas seda kunagi kasutama ei hakka või kuidas tema praegune 600 euroneultrabook on kõvasti parem kui alles väljalastud teisest kategooriast vidin. Ilmselgelt 90ndatel vingusid samad vennad mobiiltelefoni yle, et nemad kunagi ei osta 30000 eest telefonikäkki....

[Auron]

Ei meeldi mõte sellest, et pean näpuga kuskil sama klaasi otsas nühkima mida mingi alkašš käppis peale seda kui põõsa all number 2'te teind oli ja Nike'i tõmbas. Praeguseid nuppe vajutan võtmega kuna tundub, et ega keegi neid kunagi ei puhasta.

[DVDRW]

Paroolide ja pinidega kipub olema see jama, et neid on liiga palju igalpool. Keskmiselt on vaja ühel inimesel meeles pidada vist ~20 parooli. Ja neid võiks muuta ka ~iga poole a tagant näiteks
Peab ikka aju olema.
Millal saabub aeg kui meil pole vaja meeles pidada ühtegi parooli ega pini?

Ründe kaitseks (revolver meele kohal) võiks olla erali fake pin, mis kuvab arvel hästi vähe raha. Kui selle pini sisestad, siis läheb põhi PIN lukku, mida saad siis ainult pangakontoris telleril lasta lahti teha.
Sel juhul ei saa röövel kuidagi kindlaks teha kas panin fake või päris pini ja polegi vaja, sest põhi PIN lukus anyway juba

Praegu vast limiitidega saab hakkama.

[Tanel]

Auron, kes see klaasi otsas nühkimisest on rääkinud?


Teiseks, PIN koodi peab anyway sisestama, mida teed ka täna "räpasel" numbrisõrmistikul.

[tahanteada]

Soovitan soojalt läheneda teemale teise probleemi alt - nimelt iga päevaga hoogustuvad häkkerite rünnakud igasugustele arvutiseeritud süsteemidele. Sealt on siis näha, miks maailmas järjest popimaks muutub selline mitmetasandiline turvalisus.

PS: Ja mis panka puutub, siis pangal on lihtsam ja ka odavam nõuda kliendist mitmetasandilist turvanõuete täitmist, kui riskida sellega, et häkker viib kliendi raha minema ning seejärel tuleb kliendiga pikki kohtuprotsesse läbi käia ja kaotuse korral kulutada veel suuremaid summasid.

[LKits]

Ei peagi olema miljonid, sest ei oma tähtsust, kui palju varga jaoks raha oluline on, sina võid ju kõik säästud kaotada.
4 numbrit pangakonto kaitsmiseks ei ole piisav lahendus ja mina küll pooldan seda turvalist lahendust.

[degreal]

Nõrk automaat. Robocoini automaat teeb ikka näost pilti, nõuab passi asetamist skänneri peale, peo veene peab 3x skännima. Ja siis väike PIN kood ka otsa.

[Max Powers]

[LKits]

[pppd]

Biomeetrilisel tuvastusel on paraku üks põhimõtteline ning kõrvaldamatu puudus - arvestades et igasugust vahetult tuvastatavat staatilist tunnust (mida paraku kõik need sõrmejäljed, silma võrkkestad, veenimustrid jms) on võimalik ühe korraga maha lugeda, kopeerida ning vähema või rohkema vaeva ja täpsusega kloonida, siis tunnuse kompromiteerumise korral ei ole seda võimalik lihtsalt vahetada (nagu saab vahetada kiipkaardi v. mingi muu tokeni). Kui seda asja nüüd väga lihtsustatult kokku võtta, siis biomeetriline tunnus pole midagi erakordset, vaid lihtsalt üks esindaja kategooriast 'something you have', mille ainsaks sisuliseks eeliseks on mugavus - igal inimesel on see juba olemas (loe: ei pea täiendavaid kulutusi tegema tunnuste tootmiseks ja väljajagamiseks) ja alati kaasas, samuti on tavakasutajal seda suht raske kellelegi kolmandale edasi anda, kuid suurteks miinuseteks on kopeeritavus, vahetamise võimatus ning kerge riknevus. Üheks täiendavaks komponendiks mingisse mitmefaktorilisesse tuvastusse - miks mitte, suur revolutsioon isikutuvastuses - kindlasti mitte. Pangaautomaati ainsaks tuvastuselemendiks - UNUSTAGE ÄRA!

[Tanel]

pppd, uskumatu - järjekordne kasutaja, kes ei süvene tehnoloogiasse ja hakkab kohe lahmima
Kallid kasutajad, viige end enne kurssi teemaga, kui hakkate sõna võtma

Veenid (õigemini selle muster) on igal inimesed unikaalsed (nagu silmaiiriski). Erinevalt sõrmejälgedest, mida saab kopeerida, siis absoluutselt unikaalse mustriga veene ja nendes voolavat verd (õigemini hemoglobiini) pole võimalik kopeerida

Veelkord, palun tutvuge enne materjalidega kui sõna võtate http://www.hitachi.eu/veinid/

Hemoglobiin ka verevärvnik ka globulaarne kromoproteiin (lühendatult Hb) on enamikel suletud vere- ja lümfiringlusega selgroogsetel punastes verelibledes ringlev valk (hingamispigment), mis sisaldab rauda ning seob ja transpordib hapnikku.
Allikas: http://et.wikipedia.org/wiki/Hemoglobiin

[pppd]

oot, Tanel, tõmba hinge, loe uuesti ja mõtle rahulikult. Ma tõepoolest ei süvenenud siin põhjani selle konkreetse tehnoloogia nüanssidesse, vaid lisasin üldise kommentaari biomeetrilise tuvastuse (mille alla VeinID kindlasti kuulub) olemuse, eeliste ja puuduste kohta. VeinID puhul on isiku tuvastamiseks kasutatavaks tunnuseks sõrme veenide unikaalne muster (mille olemasolu või unikaalsust ma ei proovinudki kahtluse alla seada), mis on aga paraku siiski a) igavene b) staatiline ja c) vahetult loetav, kopeeritavus antud kontekstis ei tähenda mitte lihast ja verest sõrme üksühele kopeerimise võimet, vaid selle "liha ja vere" poolt loodava kujutise ning sellest tuletatavate parameetrite salvestatavust ning vajadusel nende alusel sellise objekti loomist, mis tekitab konkreetset tunnust lugeva sensori jaoks sama kujutise.

EDIT: ma olen täiesti nõus Hitachi väidetega et see meetod on täpsem kui näo- või sõrmejäljetuvastus ning mugavam ja odavamalt implementeeritav kui iirisetuvastus... aga see on ikkagi biomeetria, koos sellest tulenevate hädadega. Kordan - üheks komponendiks mitmefaktorilises isikutuvastamise süsteemis kõlbab see väga hästi ning tundub et oluliselt paremini kui kõik eelnevalt tuntud ja kasutatud biomeetrilised tuvastusmeetodid.

[Sold OUT]

Ja milline on nüüd tõenäosus, et suvaline pätt tänavalt uimastab su, veab su keha oma salajasesse laborisse ja hakkab sinu kehaosasid kloonima?


Need, kellel on varandust, ei hoia seda nagunii mingil suvalisel pangakontol mida kaitseb vaid PIN. Nende rahaga tegelevad inimesed kes teenivad selle pealt ilmselt iga kuu rohkem kui eesti keskmise palga saaja aastas.

[LKits]

[pppd]

[Sold OUT]

Sinu jaoks ongi kogu elu lihtne nagu 1-2-3? Nagu filmis - teeb pildi ja juba kõrval parkivas mikrobussis prillidega vend prindib 3D printeriga sõrmesid ja võrkkestasid?

[Tanel]

Liiga palju ollivuudi filme on vaadatud

[Max Powers]

Kiipkaart ja pin on suhteliselt turvaline tegelikult

[Tanel]

Max Powers, eks ongi, kõik on suhteline. Kõik me kasutame seda ja kui kaardikopeerimisseadmed välja arvata, siis suuremaid prohmakaid pole olnud.
Biomeetriline tuvastus on esiteks turvalisem ja teiseks samm pangakaardivabale pangandusele.

[degreal]

Nõustun pppd-ga. Praegusel hetkel võib tunduda ulme teha sõrme veenidest 3D pilt aga ropu rahaga on see võimalik. Aga see tehnoloogia muutub järjest odavamaks. Praegu maksab ehk miljard eurot. paari aasta pärast miljon eurot. Lõpuks maksab 10k€, mis tähendab seda et turvalisus on murtud. Olen kindel et tol hetkel kui iirise ja veenikoopiate tegemine on mainstreami läinud, on kiipkaart endiselt murdmatu. Kiipkaardi sees on privaatvõti mis kunagi sealt ei lahku.

Ehk mina järeldan siit seda, et biomeetrilise tuvastuse ainus eesmärk on kinni püüda mõtteroimareid.

EDIT: typos

[pppd]

Tanel, Super AMOLED, põhimõtteliselt selle vastu te ju ei vaidle et biomeetriline tunnus ei ole vajadusel vahetatav/uuendatav, ainuke erimeelsus tundub olevat selle koha peal kas kunagi üldse võib tekkida vajadus selle vahetamiseks? Jäägem selles viimases siis eriarvamusele...

degreal, mõtle sellele et selle veenipildi teeb ju seesama sensor ise ning sellest pildist tuletatud parameetreid võrreldakse siis panga andmebaasis talletatuga. Rohkemat kui seda pilti või neid parameeterid polegi vaja...

[Tanel]

[LKits]

Kiipkaart oma olemuselt on turvaline, aga kuna rahakotti on võimalik rotti lasta ja PIN-koodi pealt vaadata, siis ei ole see sugugi turvaline. Biomeetriline turvalahendus on hea - naljalt ikka kätt maha ei võta, vähemalt eraisiku tasandil ja kindlasti mitte alla 1000 euro (vms mitte suure summa) pärast.

[pppd]

Et teil siin jalgu rohkem maapinnal hoida, kordan ma üle ühe asjaolu, mille paljud tunduvad olevat ära unustanud - sellise sensoriga ATM ei tuvasta tegelikult ei isikut ega sõrme, see teeb "läbivalgustuspildi" tema sensori vaatevälja asetatud objektist ja võrdleb saadud mustrit panga andmebaasi talletatuga. Unustage ära sellised sisulised mõisted nagu "inimene", "isik", "sõrm", "veen", "elu", "hemoglobiin" jms ning mõelge sellele, mida "näeb" ATM-i sensor.

[Max Powers]

Ära näita siis teistele oma PIN koodi

[jägaja]

Ahh ei ole siin midagi, et miskisuguse Hitachi vennad on targemad keskimisest HV kasutajast.

Mingi viimase aja moeröögatus, sõnaga funktsionaalne... paistab HV foorumites silma viimasel ajal, ehk on vähk vennike seal peidus

[tahanteada]

[LKits]

[Sold OUT]

Kõige nõrgem lyli on ikkagi alati inimene. Ärge laske endalt asju rotti panna ja ärge kaotage asju

[Max Powers]

[Sold OUT]

PCI-DSS vaja läbi töötada enne sõnavõtte kaartide teemal

[pppd]

Juhin tähelepanu, et mina ei ole väitnud et millegi tegemine oleks lihtsam või keerulisem, ning seeläbi turvalisem või mitte. Turvalisuse hindamisel ei saa lähtuda ainult mingi üksikkomponendi üksikomadusest, vaid vaadata tervikut ning jälle oleme me tagasi biomeetriliste tuvastusmeetodite üldiste omaduste juures. Praegu tuleb enamus elektroonilise panganduse kahjudest mitte taskuvaraste poolt rotti pandud kaartidest, vaid sissemurdmistest pankade või maksevahendajate süsteemidesse ja sealt saadud kaardiandmete ärakasutamisest - oletame nüüd et samamoodi pannakse vasakule terve panga klientide veenimustrite baas. Otsesed kahjud otsesteks kahjudeks, aga kuidas sellest olukorrast nüüd välja tulla? Kaartide puhul läheks kõik kaardid kinni ja kliendid saavad uued kaardid, aga mida sa sõrme veenimustritega teed? Mingit vähegi mõistlikku strateegiat ma siin ei näegi, sõrme välja ei vaheta, ongi nii et ühe tõsise turvaintsidendi tulemusel jäävad need kliendid nüüd eluks ajaks samasuguse ATM-i kasutamise õiguseta. Sitt tehnoloogia, ütleks mina sellise kliendina...

[tahanteada]

[Sold OUT]

Jah. Mina hoiangi raha teleka kõrval riiulis sellepärast.

[pppd]

[tahanteada]

See on tegelikult juba aastaid kestnud nähtus kus välismaal jõuavad turvateemad 1-2 päevaga Meediasse, meil võtab see aega tihti nädalaid või ei jõua üleüldse kusagile. Ja siis pärast probleem kui mingi jama on olnud ja sellest midagi kuuldud pole.

PS: Muide, sellesama teema "lekitasin" mina Postmehe ajakirjanikele ja tegin seda tükk aega pärast seda kui olin selle teema HVF-i Uudisterubriiki pannud. Ja siis kulus ka veel mitu päeva, enne kui PM sellest loo lõpuks tegi.
Loo "lekitamise" eesmärk oli tegelikult see, et näha kas mõni Eesti pankdest ka sõna võtab ning avalikustab, et kas Eestisse ka taolised ATM-id jõuavad.

[Tomorrow]

[LKits]

Ja siis need memmekesed jätavad meelde vale PIN koodi, saavad infarkti, kui raha pangakontolt kadunud ning politsei käed selja taha väänab

Iseenesest töötaks küll tegelikult

[jägaja]

[ArturTT]

[tahanteada]