To: taavi_talvik
Ometigi pole nagu kosta, et röövlid Mobiil-ID kaudu pangakontodele nii massiliselt ligi pääsevad, Smart-ID kaudu aga küll.
1 Like
Siis ei tohi endale uusi nutiseadmeid nii tihti soetada või kui inimene soetab, siis tuleb iga kord läbida protseduur, kus konkreetne nutiseade tuvastatakse nii, et see on konkreetse füüsiliselt tuvastatud isiku käes. Alati on võimalik isikul ju kasutada enda ID-kaarti kui tal mobiiltelefoni enam Smart-ID-ga pole. Nüüd saab lausa seda tehnoloogiat kasutada, kus surud oma ID-kaardi vastu mobiili ja suhtlus toimub üle NFC, nii et kasutad oma ID-kaarti koos mobiiliga. Mingeid lubadusi on vist võib-olla antud et see hakkab toimima, aga seda peab nüüd igaüks ise lugema, kui kaugele on see tehnoloogia arenenud. Ma pole ise seda testinud. Mingid valijarakenduste pilootprojektid töötavat sellega, näiteks.
Seega mina ei näe olulist vahet, kas võtmepaari abil krüpteeritakse kraami ID-kaardi kiibi poolt, SIM-kaardi kiibi poolt, või teeb seda mobiiltelefoni trükkplaadil olev turvakivi. Lihtsalt see kõik peab olema tuvastatud isikutuvastusena kusagil ametlikus kontoris, kus konkreetne tuvastatud seade seotakse konkreetse füüsilise inimesega.
1 Like
QR kood tundub turvalisem, PINi võib ohvrilt ka telefoni teel küsida, väites et see on osa isikutuvastusest.
1 Like
to: marker
Tuleb saavutada olukord kus selle PIN-ga pole röövlil midagi peale hakata, kui röövlil endal pole kasutada füüsilist kiipi, mis sisaldab PIN-ga seotud salajast võtit. Ning seda salajast võtit ei saa kiibist kätte. Kõik muud viisid on turvalisuse imiteerimine.
Vot ei tea, aga kahtlane on küll, et FB messenger pole juba ammu ammu iidamast aadamast PIN koodi üle küsinud messagete dekrüpteerimiseks. Ehk nad teavad niigi 
Võib olla.
USA’s pole päriselt salajane sõnumivahetus legaalnegi
1 Like
Palun täpsustust: Kui kurikael saab teada smart-id PIN1-e, siis on tal võimalik luua mobiili-id konto?
1 Like
“Me räägime nüüd siin praegu QR-koodist, mille saab inimene teisest seadmest sisse lugeda. Kui nüüd on petturid tegelikult kliendiga ühenduses, kasutavad tavaarvutit, inimesel on ekraan, siis tegelikult ka selle lahendusega saavad nad seda QR-koodi sinna petulehele kuvada ja klient saab selle samamoodi sisse skännida,” ütles LHV jaepanganduse juht Annika Goroško.
Oot aga suvalisele lehele ju ei saa Smart-ID QR koodi kuvada, peab olema lepinga ja siis on pahalane kohe teada. Või olen ma valesti aru saanud Smart-ID-st?
https://www.err.ee/1609925093/pangad-alles-kaaluvad-turvalisema-smart-id-kasutusele-votmist
1 Like
Mis takistab QR koodi kuvamist suvalisele lehele?
Smart-ID vastava teenuse koodi?
Praeguse olukorra suurim puudus oli, et paljud asutused hakkasid SmartId d telefoni teel isikutuvastuseks kasutama ja pahalased said seda simuleerides inimese eest mingitel veebilehtedel autoriseerida. Kõige levinumalt riigiportaalis. QR koodi kasutatavatele lehtedele enam nii ligi ei saa.
No vaata järele, see on Smart-ID kood.
Kui paha näeb sisselogimisaknas QR koodi, siis ta saab seda sama koodi ju edastada-näidata oma suvalisel veebilehel. Striimida, screenshottida, midaiganes.
Telefoni teel isikutuvastamisel ei saa
No vot, siis ongi pees sellega ka.
Pahalase jaoks on päris suur vahe, kas küsida lihtsalt PIN1 või suuta ohver reaalselt saada ka mingile lehele mingeid asju skännima, eriti vanainimeste puhul. Lisaks peab leht vastama väidetavale autentimist nõudvale organisatsioonile.
UKs ma pean kõik väljaminevad maksed äpis üle kinnitama ja seal näidatakse inimese nime või saava organisatsiooni nime. Juba see välistab mitmeid petuskeeme.
2 Likes
Kui kurjategija on jõudnud oma pettusega nii kaugele, et kurjategija saab su pangakontole (internetipangas) ligi tema enda poolt tekitatud Smart-ID -ga (või näiteks mõne UK analoogiga), siis internetipangas ta saab suunata kõik andmed tema mobiilis olevasse äppi ja seal äpis ta kinnitab kõik tehingud üle. Ja sina koos oma mobiiliga ja seal oleva äpiga ei teaks sellest tegevusest mitte midagi.
Vähemalt ma saan aru, et Eestis toimiks asjad nii kui on vaja äpikinnitust pangatehingute tegemisel.
Või kuidas on sinu UK pangas see garanteeritud, et see äpp on ikka sinu käes ja keegi pole seda vahepeal ära nihverdanud?
Ma kolisin oma Lloyds äpi uude telefoni ca kuu tagasi. Peale installi pidi samadel alustel sisse logima nagu veebisaiti.
Smart-ID analoogi mu teada siin pole. On paar eraäppi, nagu Post Office ID, aga need ei ole väga laialt kasutuses. Kui mul seda viimati vaja läks, siis ma pidin alustuseks QR koodi skaneerima.
Ma arvan, et üks suur probleem Eesti süsteemi puhul on ka riigi pin koodide konkreetne mitteseotus panga vms teenusega.
Kui skämmer helistab ja laseb pin sisestada, siis see on tunduvalt lihtsam, kui skämmer helistab ja küsib, et mis pangas oled ja siis et anna selle panga kasutajanimi, salasõna ja siis logi olemasolevas seadmes sisse ja kinnita, et tahad seda kuhugi uude seadmesse installida.
Raulir, süsteem peab olema selline, kus skämmeril/kurjategijal pole sinu PIN1, PIN2, PIN3 … jne midagi peale hakata. Sest lihtsalt pole võimalik. Skämmeril/kurjategijal peab olema veel lisaks see midagi, mis on tal puudu ja mis ei paljune. See ongi nende süsteemide mõte. SMART-ID ei kanna seda süsteemi mõtet ja isegi kui seda siduda pangaga, siis ega see midagi muuda.
Ka neid kuningriigi eraäppe tuleks sellise pilguga vaadata.
Kunagi ammu räägiti, et SMART-ID loodi seetõttu, kuna turule ilmusid mobiiltelefonid kus polnud SIM-kaarti. Aga mingi turvalisuse kivi on seal sees trükkplaadil ikkagi. Kui aga süsteem programmeerida selliseks, kus seda kivi tegelikult vaja pole, siis ongi kogu süsteem taandunud selliseks turvalisuseks kus on ainult kasutajanimi ja parool. Või noh siis isikukood ja PIN1 ja PIN2.
4 Likes
Just. Põhiprobleem, et Smart-ID autendiga on võimalik kõiki turvaseadeid internetipangas üle kirjutada, mitte ainult ülekandeid teha. Seda nt Swedbanki puhul isegi ärikliendi puhul - kaotada nt. ära ülekande neljasilma kinnitamise nõue. Mis on küll mega mugav, aga samas turvanonsenss.
Aitaks kasvõi see, et mingite fundamentaalsete turvaseadete muudatuste puhul (nt uue mobiiliäpi ühekordne autent ja sidumine kasutajaga, et see oleks truvaline 2-step verification vahend, nagu raulir kirjeldab), on mingi laadi ühekordne topeltautent, nt SmartID+MobiilID, SmartID+Veriff, vms.