Paroolikaartide aeg on ümber saamas!

Paroolikaardil olevad korduvkasutusega paroolid on kogu maailmas kuulutatud oma aja ära elanud autentimisviisiks, teenusepakkujatel soovitatakse üle minna muude identifitseerimisviiside peale. Turvalise internetikasutuse eesmärgil alandasid pangad alates 2007. a. maist paroolikaardiga tehtavate maksete limiidid 10 000 kroonini päevas. Käesoleval aastal on pankadel plaanis alandada paroolikaardi limiite veelgi. Jutuks on olnud paroolikaardi kasutajale 3000-kroonine päevalimiit

Selge see, et 3000-kroonisest päevalimiidist jääb väheks. Suuremaid limiite saab kasutada logides internetipanka ID-kaardi, PIN-kalkulaartori või Mobiil-ID abil. Minu valik langes ID-kaardi kasuks, no ei tahnud maksta 190 krooni PIN-kalkulaatori eest ega soovind ka vahetada välja oma telefoni SIM-kaarti. ID-kaardi lugeja sain pangast 90 krooniga, kaart ise oli olemas. ID-kaardi koode saab pangakontoritsest 30 krooni eest ning KMA büroodest tasuta! Mugav on ka see, et tegelikult ID-kaardi varianti kasutades jääb paroolikaart kehtima. Et kontoinfot vaadata ja arveid maksta saan ka suvalises arvutis kui koodikaart kaasas juhtub olema. Kusjuures ID-kaardi abil saan logida erinevatesse internetipankadesse. Ebamugav oleks kaasas vedada ühte PIN-kalkulaatorit hanza.neti jaoks ja teist u-netti logimiseks, liiatigi kui need rahakoti vahele ei mahu.

Mäletan klientide pahameelt kevadel, kui alanesid paroolikaardi limiidid. Arvata on, et ka järgmist muudatust ei võeta väga hästi vastu.Kuid tegelikult on see limiitide alandamine ju päris mõistlik, et kui juhtun kaotama enda paroolikaardi olles eelnevalt välja lobisenud ka püsiparooli või kui mõni pahalane läbi minu arvuti internetipanka poeb, siis halvimal juhul on tulevikus kadu 3000 krooni. Alles see oli ju, kui tänu uut tüüpi arvutiviirustele pääsesid pahalased läbi internetipanga võõrastele kontodele ligi.

16 Replies to “Paroolikaartide aeg on ümber saamas!”

  1. Teistpidi on lihtne konstrueerida olukord, kus ID kaart on vähem turvaline kui paroolikaart. Oletame, et pahalasel on õnnestunud tekitada endale ohvri arvutile juurdepääs. Näiteks labaselt, installeerides sinna VNC http://www.google.com/search?q=VNC serveri või mingi muu sarnase funktsionaalsusega tarkvara. Juhul, kui ohver on just käinud pangas ja unustanud ID kaardi masinast eemaldamata ja veebilehitsejal on paroolid meeles saabki pahalane teha ülekandei ohvri arvelt. Sama paroolikaarti kasutava ohvri kontoga teha on oluliselt keerulisem, kas pole?

  2. Minule meeldib see, et paroolikaart on väike ja kompaktne ja ma saan teda rahakoti vahel kaasas kanda. ID-kaardilugeja ei tule arvesse, sest minu töö saadab mind igasugustesse maailma riikidesse igasuguse arvutiühendusega ja ma ei saa seda kaasas tassida ja loota, et ühildub.

    PIN-kalkulaator on jälle suur… No eks hädaga valin selle, kui tõesti 3000 peale limiit läheb, aga ma tunnen väga puudust mingist normaalsest kaugautentimisest, kui mul välismaal olles tekib vajadus korraga suurt summat raha üle kanda.

  3. Siis on variant logida panka mobiil-ID abil aga selleks tuleb EMT esinduses välja vahetada oma telefoni sim-kaart. 😉

    SIM-kaart võimaldab lisaks tavapärastele operatsioonidele ka isiku digitaalset tuvastamist ja digitaalset allkirjastamist. Isiku autentimiseks ja allkirjastamiseks vajalikud sertifikaadid asuvad mobiiltelefoni SIM-kaardil.

  4. Jäi veel lisamata üks puudus Hansapanga ja ID-kaardi suhetes.
    Nimelt küsib HP erinevalt SEB’ist ID-kaardiga sisselogides ka püsiparooli, seda sama mis on kasutusel koos koodikaardiga. Mugav inimene teeb enesele loomulikult järjehoidja kujul: https://www.hanza.net:563/cgi-bin/hanzanet?pageId=hanzanet.bank&field1=userId&value1=XXXXX&field2=fixedPwd&value2=YYYYYY kus XXXXXX on kasutajatunnus ja YYYYYYY vastav püsiparool. Kui see mugav inimene peale seda just paroolikaarti ohtra maasikamoosiga ära pole söönud loob selline püsipaarool järjekordse turvaaugu.

    On veel üks mõttetu parooliküsimine koodikaardikasutajatelt, mille all kannatavad nii HP kui ka SEB. Miks küsitaks koodikaarilt koode selliste maksete puhul, mida pahalasel on võimatu ära kasutada? Mis kasu saaks pahalane näiteks minu elektriarve, pangalaenu või krediitkaardiarve tasumiest? Oleks lihtne (tehniliselt) teha statistikat ja leida et, kuna klient maksis eelmine kuu ja üleeelmine kuu samale saajale umbes sarnase summa siis on see makse suure tõenäosusega OK ja lisakinnitust pole enam vaja. Selline liigne kinnituste küsimine aitab hoopis potentsiaalsel ründajal ohvri koodikaardist kiiremini ülevaade saada,

  5. Mhmm mina saan. Kui sa kasutasid id-kaardi tarkvara laadimiseks exploreri automaatset paigaldust siis võib probleem selles olla. Et id-kaardiga seotud tarkvara Mozillaga korralikult töötaks siis tuleb installida vastav tarkvara, mis on ka kättesaadav id-kaardi lehel. Väga IT-spets mina ei ole :s
    Seega kui see variant ei sobi siis oskan soovitada jällegi vaid Mobiil-ID´d, nagu ka Madisele muud tarka ei oska öelda kui, et ehk Mobiil-ID on väljapääs 🙂

  6. Madis, koodikaardi puhul piisab mõnenädalasest keyloggeri jooksutamisest, et sinu arvelt raha liigutada. ID-kaardi ründamine niisuguse tagaukse kaudu on hoopis rohkem vedamise asi, tehniliselt keerukam pealegi.

  7. Ma küll ei näe põhjust, miks peaksin porti lahti keerama hakkama. Palju mugavam oleks, kui Hansapank lihtsalt pordi ära vahetaks. Sest sama lihtne on mul ka panga vahetamine….

  8. Dr. Barman, ma ei väidagi, et koodikaart parem oleks.

    Kuidas keyloggeriga, teha kindlaks milist koodi pank parasjagu küsib? OK , saab nii, et lisaks klaviatuurile salvestatakse ekraanipilte, selline tegevus on aga juba märksa raskemini varjatav kui lihtne, tihti puht riistvaraline keylogger.
    Aga jah, ID kaardi PIN’id saame märksa lihtsamini, mõnusaks vahetegemiseks on nad isegi erineva pikkusega tehtud,

    Aga mida ma väidan on see, et tavaline kasutaja kipub ID-kaarti masinasse unustama ja sellisel juhul on ta üsna lihtsalt rünnatav.

  9. igasugused id-kaartiga autoriseerimised ja allkirjastamised veebis sisaldavad suurt ohtu. näiteks ühispangas seadete muutmisel palutakse allkirjastada mis tähendab, et sina allkirjastad enda allkirjaga selle .conf faili. aga kui seda süsteemi hakatakse rohkem kasutama? mingid kohad a’la rate hakkavad küsima allkirja seadetele – allkiri mingile failile mida ei näidata julgen oletada, et enamik kasutajaid annaks selle allkirja. aga kas inimene kirjutaks alla mingile dokumendile mida tal läbi lugeda ei anta? näiteks rendileping kinnisvara rentimiseks. ja kahe kolme aasta pärast tuleb inkassator ukse taha ja nõuab vastust, et miks on rent maksmata. ja mine tõesta kohtunikule, et sa tõepoolest ei rentinud 1 toalist korterit tartu, tallinna võimisiganes linna keskuses – allkiri lepingul on ju ehtne.

    ja kas need ajuhiiglased kes digitaalallkirja võrdsustasid omakäelise allkirjaga samal ajal lubades allkirjastada kõikvõimalike failitüüpe ise aru said mis toimub? ja isegi kui nad oleks lubanud allkirjastada vaid .txt faile oleks probleem veebis allkirjastamisega…

    mina ei allkirjastaks ühtki faili mis poleks minu enda tehtud.

  10. Nii palju kui mina olen ID-kaarti veebis kasutanud, pole mult digiallkirja küsitud küll rohkem kui valimiste ajal. Panka logimiseks kasutan autentimist – PIN1. Kui mingi portaal küsiks mult järsku PIN-koodi digialkirja andmiseks (PIN2), siis päris kindlasti minu valvus tõuseks ja näeksin siiski kurja vaeva teada saamaks, millele alla kirjutan. Kuigi jah, inimesed on erinevad – mõni teeb tõepoolest kõike, mis arvuti palub. Rahvale tuleks rohkem selgitada ID-kaardi PIN2 rähendust.

Leave a Reply to Madis Cancel reply

Your email address will not be published. Required fields are marked *