Avaleht
uus teema   vasta Uudised »  Pressiteated »  RIA aprillikuu raport: kurjategijad lõid inimeste teadmata Smart-ID kontod märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
mine lehele eelmine  1, 2, 3  järgmine
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 18:20:54 vasta tsitaadiga

napoleon kirjutas:
Betamax kirjutas:
WäntWõll kirjutas:
Mõlemad ongi turvalised icon_idea.gif
"Tihendi! häda ei saa lahendada artikliga kuskil veebis, ühiskondlik üldteadmine või valus õppetund toovad selguse.

Kahjuks ei ole nagu näha. Turvalisust saab hinnata ka selle järgi, kas ja kuidas on selle puhul võimalik kasutajat ära petta.
Mobiil-ID puhul see "nipp" ei toimi, sest piiratud ühe seadmega ja seotud füüsilise objektiga. Isegi, kui sa koodid kätte saad kaugelt, siis kontot sa teha ei saa.
Tihendi viga, aga kahju on tehtud ja:
tsitaat:
RIA alustas Smart-ID teenusepakkuja SK ID Solutionsi tegevuse suhtes järelevalvemenetlust.


Kas sa said ikka aru, kuidas see pettus täpselt toimus? Tegelikult saab täpselt samasuguse pettuse toime panna ka käsitsi antava allkirjaga. No näiteks tulen sulle ukse taha mingi pakk näpus ja ütlen et olen kuller. Võimalik, et olen enne infot hankinud ja tean, et sa mingi pakki ootad. Ulatan sulle paki ja viskan ette mingi paberi ja näitan näpuga, kuhu allkiri panna. Kui sa ei süvene, millele alla kirjutad, siis võib see paber olla hoopis sisuga "Käesolevaga siirdub kogu sinu maine vara ...", mingi volitus sinu nimel tehingute tegemiseks vms.
Kui inimene süüdimatult õngitsuskirjas oleval lingil klikib ja ei süübi ka sellesse, millele alla kirjutab, siis on see ikka suhteliselt tihendi probleem.

Sain küll aru. Ma tean, kuidas phishing toimub. Su käsitsi volitusele kirjutatava allkirja näide ei päde.
Probleem on aga selles, et isikupõhist autentimisviisi on võimalik sellisel kujul kloonida. Mobiil-ID kasutades sa saad seda teha samal viisil vaid ühe korra. Järgmistel kordadel küsitakse ohvrilt jälle PINe. Vahet pole, kas sa said need phishinguga kätte või mitte.
Smart-ID puhul tehti ühe sellise phishinguga uus konto teise seadmesse ja toimetati edasi. Ohvrilt ei küsita enam midagi ja ta ei tea asjast enne kahjude ilmsikstulekut miskit. Selles on point. See on sisuliselt sama nagu tehtaks su passist 1:1 koopia ja kasutatakse seda kuritegudeks.
Kommentaarid: 685 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 531
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 18:26:14 vasta tsitaadiga

Betamax kirjutas:
napoleon kirjutas:
Betamax kirjutas:
WäntWõll kirjutas:
Mõlemad ongi turvalised icon_idea.gif
"Tihendi! häda ei saa lahendada artikliga kuskil veebis, ühiskondlik üldteadmine või valus õppetund toovad selguse.

Kahjuks ei ole nagu näha. Turvalisust saab hinnata ka selle järgi, kas ja kuidas on selle puhul võimalik kasutajat ära petta.
Mobiil-ID puhul see "nipp" ei toimi, sest piiratud ühe seadmega ja seotud füüsilise objektiga. Isegi, kui sa koodid kätte saad kaugelt, siis kontot sa teha ei saa.
Tihendi viga, aga kahju on tehtud ja:
tsitaat:
RIA alustas Smart-ID teenusepakkuja SK ID Solutionsi tegevuse suhtes järelevalvemenetlust.


Kas sa said ikka aru, kuidas see pettus täpselt toimus? Tegelikult saab täpselt samasuguse pettuse toime panna ka käsitsi antava allkirjaga. No näiteks tulen sulle ukse taha mingi pakk näpus ja ütlen et olen kuller. Võimalik, et olen enne infot hankinud ja tean, et sa mingi pakki ootad. Ulatan sulle paki ja viskan ette mingi paberi ja näitan näpuga, kuhu allkiri panna. Kui sa ei süvene, millele alla kirjutad, siis võib see paber olla hoopis sisuga "Käesolevaga siirdub kogu sinu maine vara ...", mingi volitus sinu nimel tehingute tegemiseks vms.
Kui inimene süüdimatult õngitsuskirjas oleval lingil klikib ja ei süübi ka sellesse, millele alla kirjutab, siis on see ikka suhteliselt tihendi probleem.

Sain küll aru. Ma tean, kuidas phishing toimub. Su käsitsi kirjutatava allkirja näide ei päde.
Probleem on aga selles, et isikupõhist autentimisviisi on võimalik sellisel kujul kloonida. Mobiil-ID kasutades sa saad seda teha samal viisil vaid ühe korra. Järgmistel kordadel küsitakse ohvrilt jälle PINe. Vahet pole, kas sa said need phishinguga kätte või mitte.
Smart-ID puhul tehti ühe sellise phishinguga uus konto teise seadmesse ja toimetati edasi. Ohvrilt ei küsita enam midagi ja ta ei tea asjast enne kahjude ilmsikstulekut miskit. Selles on point.



See käsitsi antava allkirja näide pädeb väga hästi, täpselt samasugune kelmus nagu phishing, kus üritatakse asjast vale mulje jätta. Kui meelitan sind alla kirjutama üldvolitusele, siis põmst võin pangast sinu nimel laenu võtta, su auto(d) maha müüa jne., teha ei saaks ma vaid toiminguid, mille peab notari juures tegema või mis notariaalset volitust nõuavad.
Sellega olen muidugi põhimõtteliselt nõus, et smart id saamiseks peaks olema ka mingi füüsiline isikutuvastus ehk pead kuhugi füüsiliselt kohale minema ja isikut tõendava dokumendi esitama, et see leping saada. Aga noh, eks see oli neil tõenäoliselt taotluslik, et füüsiliselt kuhugi minema ei pea, ma vist poleks ka viitsinud endale siis smart id-d teha vaid oleks mõlenud, et mobiili id juba on, nah ma viitsin kuhugi kohale minna ja järjekorras seista.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 18:39:22 vasta tsitaadiga

Kuritegu on kuritegu. Jah. Aga volitus ei ole sama nagu digitaalne isikutunnistus või isiku tuvastamise vahend. Tee erinevused selgeks. Volituse sa annad kellelegi, kes on tuvastatav ja kes peab end tuvastama, kui volitust kasutab. Volitusel on piirid ja piirangud nii funktsionaalsuselt kui ka seaduslikult. Smart-ID antud allkiri seevastu on võrdväärne käsitsi kirjutatud, Mobiil-ID ja ID-kaardiga antud allkirjaga. Kui keegi nüüd selle Smart-ID teise seadmesse püsti paneb, nagu seda ka tehti, siis saab täiesti anonüümselt VÄGA palju sinu nime taha peitudes teha. Ja see teeb asja ohtlikuks.
See on ka põhjus, miks ma pole Smart-ID kasutusele võtnud. Eriti, kui vaadata ka HV Foorumis teemasid, kus otsiti viise, kuidas Smart-ID kontot ühest seadmest teise kloonida või siis ühes seadmes mitut Smart-ID kontot kasutada.
Kommentaarid: 685 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 531
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 18:46:26 vasta tsitaadiga

Nojah, see on muidugi õige, et volituse puhul oleks vaja veel tankisti, kelle nimele see volitus teha(mitte et neid ei leiaks, anna poe taga mõnele joodikule pudel viina ja on rõõmuga nõus).
AGA antud teema valguses on sul hoopis kasulik see smart id teha. See annab sulle selle eelise, et kui keegi teine peaks phishing'u või muu triki abil sinu nimel smart id konto tegema, siis smart id puhul tuleb pin küsimine igasse seadmesse, kus sul kehtiv konto on. Ehk siis vähemalt näed, et midagi kahtlast toimub ja jõuad ehk konto kinni panna enne kui midagi väga hullu juhtub. Kui sul üldse smart id-d pole ja keegi teine kuidagi sinu nimel smart id konti teeb, siis sa isegi ei tea, et midagi juhtunud on enne kui oma tühja konto jääki vaatad.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 18:48:48 vasta tsitaadiga

Pigem tuleks süsteem kindlamaks teha, et ma ei peaks "igaks juhuks" mingeid kontosid kusagile tegema hakkama icon_lol.gif
Kommentaarid: 685 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 531
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 18:53:56 vasta tsitaadiga

Nõus, aga sina ega mina ei saa süsteemi muuta ehk see konto tegemine on workaround seniks kuni süsteem muudetakse kindlamaks.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 19:14:11 vasta tsitaadiga

Eks see ole see hind, mida maksta tuleb, et asi massidesse viia. Erafirma kah.
Selleks, et ma Smart-ID kasutama hakkaksin, peaks see olema sama "unikaalne" nagu Mobiil-ID. Jah, sa saaksid seda ise seadistada, aga vaid ühes seadmes korraga ja enne teise seadmesse ei saa, kui eelmises deaktiveeritud vms. Elementaarne turvalisus. Kuidas seda lahendada? Neil peaks seal nupumehi palgal piisavalt olema, et mõni lahendus leida.
Mugavus mugavuseks, aga ei saa nii olla, et mul on korraga korteris, maamajas ja armukese juures igaks juhuks identsed ID-kaardid või passid, sest äkki üks hävineb füüsiliselt või maamajja minnes unustan korterisse.
Kommentaarid: 685 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 531
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dirty Harry
HV Guru

liitunud: 04.09.2002



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 19:22:22 vasta tsitaadiga

Betamax kirjutas:
Jah, sa saaksid seda ise seadistada, aga vaid ühes seadmes korraga ja enne teise seadmesse ei saa, kui eelmises deaktiveeritud vms. Elementaarne turvalisus. Kuidas seda lahendada?
See ongi üks smart-id pointe, et saab mitmes seadmes kasutada korraga. Mugavus versus turvalisus.
Kommentaarid: 177 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 143
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 19:25:33 vasta tsitaadiga

Tegelikult ID kaardi kontekstis isegi saad omale maakoju või armukese juurde digi-id võtta. Seda muidugi välja ei loe, kas ainult ühe või saab neid mitu ka olla.
Aga smart-id asemel oleks vast lahenduseks võibolla hoopis moodsam mobiili id, mis liigutab andmeid 4g võrgus mitte üle sms-i. Smart id ainuke eelis mobiili id ees ju ongi see, et smart id on kiirem.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 19:30:28 vasta tsitaadiga

tsitaat:

mobiili id, mis liigutab andmeid 4g võrgus mitte üle sms-i

ee, wut, ikka üle SMS peaks see olema.
Vähemalt välismaal maksad PIN sisestamise eest SMS hinda ja seetõttu mõistlikum ID-kaarti või Smart-ID kasutada

EDIT: https://tehnika.postimees.ee/4379813/ettevaatust-mobiil-id-kasutamine-valismaal-voib-pohjustada-megaarve

tsitaat:
Eestis on Mobiil-ID tehingud kõikidele klientidele tasuta. Aga kuidas ikkagi on mobiil-IDd kasutades võimalik endale nii suur arve tekitada? Põhjus on selles, et iga mobiil-ID kasutamise korra pealt saadab kliendi telefon koduriiki lausa kaks SMSi: isiku tuvastamiseks ja digiallkirja andmiseks.

tsitaat:
Alles eile kirjutas Postimees juhtumist, kus peaministri üleskutsest ajendatud naine oli teinud endale mobiil-ID ja asus seda ohtralt välismaal olles kasutama – selle abil veebipankadesse sisse logima ja ülekandeid tegema. Tagajärg: tavapärasest ligi 80 eurot suurem mobiiliarve ning vähese infojagamise süüdistused nii peaministri kui Telia aadressile.

_________________
NordVPN tarkvara nüüd soodsamalt
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 19:31:25 vasta tsitaadiga

Tanel, palju sul välismaal ikka neid mobiili id kasutamisi on? 3-4tk on absoluutarvudes köömes, andmemaht on ju olematu.
Aga noh, vabalt võib olla ka seadistatav, kas roamingus kasutada SMSi või andmesidet. Kui kuskil wifi levialas jälle oled, siis SMS midagi maksab, aga net on tasuta.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 14.05.2019 19:35:14 vasta tsitaadiga

napoleon, no kui ettevõtja oled, siis neid autentimisi ikka tuleb icon_wink.gif
Kui sa väljaspool Euroopa Liitu ei käi, siis muidugi savi.

_________________
NordVPN tarkvara nüüd soodsamalt
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
scorpionx
HV vaatleja

liitunud: 01.10.2007




sõnum 14.05.2019 21:12:11 vasta tsitaadiga

Betamax kirjutas:
See on ka põhjus, miks ma pole Smart-ID kasutusele võtnud. Eriti, kui vaadata ka HV Foorumis teemasid, kus otsiti viise, kuidas Smart-ID kontot ühest seadmest teise kloonida või siis ühes seadmes mitut Smart-ID kontot kasutada.

Tead sa ka, kas kellelgi ka õnnestus? Ma olen sattunud vaid spekuleerivaid postitusi 'kuidas' võiks saada icon_smile.gif

Betamax kirjutas:
Pigem tuleks süsteem kindlamaks teha, et ma ei peaks "igaks juhuks" mingeid kontosid kusagile tegema hakkama icon_lol.gif

Nõrk lüli on ikkagi mobiil-ID kasutaja, kes heauskselt sisestas oma mobiil-ID PIN-koode. Teisisõnu ei veendutud, millisest teenusest autentimis-/signeerimispäring tuleb ja kas kontrollkoodid matchivad.
Paneb mõnevõrra imestama, sest Eesti mastaabis mobiil-ID ei ole nõnda uus teenus, aga kas ja kui palju kasutajaid siis kuvatavat kontrollkoodi teenusepakkuja lehel vs seadmel kuvatav üldse vaatavad.

Ei suutnud üles leida x-aasta tagust teemat (tegelikult väga ei otsinud ka), kui ettevõtjaportaalist öösiti inimestele mobiil-ID osas päringuid saadeti lootuses, et saab kellegi nimel allkirja anda. Ühe kirja tüki leidsin (või ehk oli seep seesama), aga see vist ei ole seotud sellesamusega, küll aga mõte jääb samaks: https://arileht.delfi.ee/news/uudised/petturid-ongitsevad-kergeusklike-mobiil-id-pin-koode?id=66084404
Kommentaarid: 8 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 8
tagasi üles
vaata kasutaja infot saada privaatsõnum
filx
HV kasutaja
filx

liitunud: 12.09.2006




sõnum 14.05.2019 21:45:32 vasta tsitaadiga

scorpionx kirjutas:
Betamax kirjutas:
See on ka põhjus, miks ma pole Smart-ID kasutusele võtnud. Eriti, kui vaadata ka HV Foorumis teemasid, kus otsiti viise, kuidas Smart-ID kontot ühest seadmest teise kloonida või siis ühes seadmes mitut Smart-ID kontot kasutada.

Tead sa ka, kas kellelgi ka õnnestus? Ma olen sattunud vaid spekuleerivaid postitusi 'kuidas' võiks saada icon_smile.gif

Betamax kirjutas:
Pigem tuleks süsteem kindlamaks teha, et ma ei peaks "igaks juhuks" mingeid kontosid kusagile tegema hakkama icon_lol.gif

Nõrk lüli on ikkagi mobiil-ID kasutaja, kes heauskselt sisestas oma mobiil-ID PIN-koode. Teisisõnu ei veendutud, millisest teenusest autentimis-/signeerimispäring tuleb ja kas kontrollkoodid matchivad.
Paneb mõnevõrra imestama, sest Eesti mastaabis mobiil-ID ei ole nõnda uus teenus, aga kas ja kui palju kasutajaid siis kuvatavat kontrollkoodi teenusepakkuja lehel vs seadmel kuvatav üldse vaatavad.

Ei suutnud üles leida x-aasta tagust teemat (tegelikult väga ei otsinud ka), kui ettevõtjaportaalist öösiti inimestele mobiil-ID osas päringuid saadeti lootuses, et saab kellegi nimel allkirja anda. Ühe kirja tüki leidsin (või ehk oli seep seesama), aga see vist ei ole seotud sellesamusega, küll aga mõte jääb samaks: https://arileht.delfi.ee/news/uudised/petturid-ongitsevad-kergeusklike-mobiil-id-pin-koode?id=66084404


Viskan ka puud alla. Jah, nõrk lüli on lõpp kasutaja. See on paratamatus. Sellega peaks teenuse pakkuja arvestama, et x olukorrad tekivad. Võta mõni suurem gigant ette, nt Google. Nii kui tekib mingi kahtlane login on kohe häire kellad püsti. Smart ID puhul ma saan aru, et lisa confirmi ei eksisteerinud. Ma ei hakka isegi rääkima kas miski fraud detection üldse on implementeeritud. Antud uudis näitab väga hästi, et mitte.
TL;DR Jah, kasutaja pole kõige turva teadlikum. Teenusepakkuja võiks ka antud olukordade vältimiseks natuke vaeva näha ja kommunikeeruda enda poolseid mõõda laskmisi.

_________________
Think positive!
Viljar Bauman
👨‍👩‍👧‍👦 father;🧙security wizard;👨‍🔬life engineer;👫 socialist


viimati muutis filx 14.05.2019 22:36:57, muudetud 1 kord
Kommentaarid: 32 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
mati29
Kreisi kasutaja
mati29

liitunud: 23.03.2005




sõnum 14.05.2019 21:46:16 vasta tsitaadiga

https://foorum.hinnavaatlus.ee/viewtopic.php?t=522511
Kinnistuportaalist saadeti..

_________________
Number profiili! Keskmine EKRE valija toetab Eesti alkotootjaid ja Soome riiki maksudega, meie riiki ka laevapiletite kaudu.
Kommentaarid: 162 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 143
tagasi üles
vaata kasutaja infot saada privaatsõnum
CALEB
HV kasutaja

liitunud: 27.03.2006




sõnum 15.05.2019 04:14:34 vasta tsitaadiga

Turvalisuse huvides ma mitte kunagi ei logi panka sisse mobiiltelefonist.

Panka login sisse ühest seadmest (näiteks lauaarvutist) ja Smart ID pin koodi trükin sisse teisest seadmest - moblast. (mobiil ainult pin koodi jaoks, sisse logimine koos kasutajatunnusega alati mõnest teisest seadmest, mis pole mobiil ega tahvel.)

Ehk siis kaht erinevat seadet kasutan, et mitte keegi tropp ei saaks mu tegevusele jälile. icon_wink.gif
Kommentaarid: 2 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum
n3wb0y
HV kasutaja
n3wb0y

liitunud: 25.05.2009



Autoriseeritud ID-kaardiga

sõnum 15.05.2019 07:01:15 vasta tsitaadiga

Keegi hõikab maja eest öösel : "Hei, viska autovõtmed!"
Sina vastu: "Kohe!"
Selline on minu nägemus sellest.
Kommentaarid: 22 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 22
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 15.05.2019 07:17:36 vasta tsitaadiga

n3wb0y kirjutas:
Keegi hõikab maja eest öösel : "Hei, viska autovõtmed!"
Sina vastu: "Kohe!"
Selline on minu nägemus sellest.

tsitaat:
Öösel koputatakse uksele.
"Kas teil puid on vaja?"
"Hulluks olete läinud või? Meile pole mitte midagi vaja!"
Hommikul mindi hoovi, puid ei olnud!

_________________
NordVPN tarkvara nüüd soodsamalt
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
arny
Kreisi kasutaja

liitunud: 08.01.2012




sõnum 15.05.2019 07:30:16 vasta tsitaadiga

Tanel kirjutas:
arny, sama ühe inimesega seotud Smart-ID saab mitmele seadmele teha. Näiteks mul on Smart-ID nii kahes moblas kui tahvlis olemas.


aga mida see muudab mitmes seadmes smart id on. Kui sul on smart id olemas siis nad ju seda uuesti teha ei saa ja kõik ok. Hetkel ikkagi kasutati ära mobiil id poolt, et smart id konto luua. Siin kohal oleks ilmselt lihtne smart id konto loomist üle mobiil id mitte lubada. Ise tegin kah kunagi id kaardi abil selle. Kogu virrvarr viib selleni, et mobiil id ei saa siis ju usaldada allkirja andmisel. Vahet pole kuhu sa seda kasutad kui kaabakad saavad sedasi pini teada. Ja nagu aru saan siis mobiil id puhul tuleb pin sms-iga ve. Smart id kasutab ju oma süsteemi pini jaoks. Pole mobiil id-ga üldse kursis kui aus olla.

_________________
Kommentaarid: 10 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 9
tagasi üles
vaata kasutaja infot saada privaatsõnum
degreal
HV veteran

liitunud: 07.01.2002




sõnum 15.05.2019 08:29:02 vasta tsitaadiga

Tõsi ta on aga Smart-IDga pätid saavad mitu kuud segamatult tegutseda, piisab vaid ühest õngitsusest kus kasutaja tähelepanu on hajunud. Ära varastatud mobiil või id-kaart tuleb rutem välja. samuti ka pidevad mobiil-id pin-i küsimised. Kuigi jah - piisab ka ühest allkirjast et palju pahandust teha.
Kommentaarid: 25 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 23
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004




sõnum 15.05.2019 12:48:42 vasta tsitaadiga

SmartID oli kompromiteeritav vaid seetõttu, et seda on võimalik luua päris lihtsalt kompromiteeritava mID abil (eeldab mID kasutaja tähelepanematust, mida võiks umbkaudselt hinnata 90% kanti kasutajatest).
Kui SmartID loomiseks nõutaks ID-kaarti, siis poleks see läbi läinud üldse, sest ID-kaardiga MITM rünne ei tööta, olgu omanik nii tähelepanematu kui tahes. Kaardi omaniku nimel mingi libalehe vahendusel kuhugi sisse logida sellega ei saa, rääkimata PIN2-ga allkirjastamisest.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tomorrow
HV Guru
Tomorrow

liitunud: 08.02.2006



Autoriseeritud ID-kaardiga

sõnum 18.05.2019 14:26:36 vasta tsitaadiga

Dogbert, Võibolla olen ma midagi valesti aru saanud aga: mID pole mul kunagi olnud ja ei kavatse teha kah. Esiteks see on tasuline, teiseks nõuab uut SIM kaarti ja kolmandaks on näidanud ennast väga ebatöökindlana. Nüüd veel lisaks turvaprobleem kah (isegi kui see on pmst kasutaja süü).
Smart-ID tegin samas ära lauaarvuti ja ID kaardiga. Täpset prodseduuri enam ei mäleta aga mID kindlasti vaja ei länud.
Kommentaarid: 89 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 79
tagasi üles
vaata kasutaja infot saada privaatsõnum
napoleon
Unknown virus
napoleon

liitunud: 08.12.2008



Autoriseeritud ID-kaardiga

sõnum 18.05.2019 19:26:54 vasta tsitaadiga

Tomorrow, Smart ID tegemiseks pole mID must have, saab id kaardiga ka. Lihtsalt mID on üks võimalus ja see on mugavam kuna ei pea hakkama ID kaarti ja lugejat välja otsima ja palvetama, et ID kaart seekord töötaks ilma et jälle restardi peab tegema.
Üldiselt on mID täpselt sama turvaline kui kööginuga. Põhimõtteliselt saad ju kööginoaga endal näpud otsast lõigata ja mingi eriti õnnetu kokkusattumuse korral võib see tõenäoliselt ka kogemata juhtuda, kuid siiski enamik inimesi ei tee seda ei meelega ega kogemata.
Kommentaarid: 76 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 59
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004




sõnum 20.05.2019 10:21:27 vasta tsitaadiga

napoleon, nii see on. Kui ei vaata mida lõikad, siis... pagan teab mille ära võid lõigata. icon_lol.gif

ID-kaart on aga "kaitsega" nuga, millega saab lõigata ainult teatud tingimustel (kui kliendi poolt ID-kaardi salajase võtmega krüpteeritud andmed avanevad serveris selle kaardi avaliku võtmega). Kui võtmed ei klapi (andmed on krüpteeritud mingi muu võtmega), siis sessioon katkeb lihtsalt - datat ei saa kätte ja "nuga ei lõika".

Mis mu jutu point oli:

Et viga ei olnud SmartID-s ja et SmartID turvalisus pole rohkem kompromiteeritud või kompromiteeritav kui mID oma. Lihtsalt kuna mID-d saab luua ainult ID-kaardiga, siis ei ole mID-ga sama trikki võimalik teha. Kui SmartID loomiseks oleks turvanõue sama karm, siis ei oleks see õnnestunud ka SmartID-ga.

Ehk kokkuvõtteks - selle SmartID "turvaprobleemi" saaks likvideerida väga lihtsalt, kui tema loomiseks ei oleks võimalik kasutada SmartID-ga sama turvalisuse tasemega mID-d, vaid nõutaks kõrgeimat, võltsimis- ehk MITM kindlat turvalisuse taset, mida näiteks mID enda loomiseks nõutakse, st ID-kaarti.

Eks see teeks SmartID loomise mõnele inimesele keerulisemaks, kuid see jääks endiselt lihtsamaks ja kiiremaks mID loomisest.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 30.09.2001



Autoriseeritud ID-kaardiga

sõnum 20.05.2019 13:38:10 vasta tsitaadiga

tsitaat:

Tegelikult pole id kaart ka 100% turvaline

ee, wut?

_________________
NordVPN tarkvara nüüd soodsamalt
HV valuutakalkulaator
Kommentaarid: 461 loe/lisa Kasutajad arvavad:  :: 12 :: 7 :: 356
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
näita postitusi alates eelmisest:   
uus teema   vasta Uudised »  Pressiteated »  RIA aprillikuu raport: kurjategijad lõid inimeste teadmata Smart-ID kontod mine lehele eelmine  1, 2, 3  järgmine
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.