SAMPOPANKKI kertoo turvalukuongelmasta kirjautumissivulla
Matti Kaki
turvalukujen kopiotumisista koska nyt sisäänkirjautumissivulla
on tällainen punaisella kirjoitettu viesti:
"Palveluavainhäiriössä ota yhteys puhelimitse asiakastukeen 0200 2589."
Kun ei kuulunut minkäänlaista selitystä siitä miten minun pitäisi
suhtautua avainlukujen kopioitumiseen niin soitin tuohon numeroon
viime viikolla. Koska asiakasapalveluhenkilö ei osannut vastata
minulle niin lupasivat, että heidän turvallisuuspäällikkönsä ottaa
minuun yhteyttä ja kertoo tilanteesta. Mitään ei toistaiseksi ole
kuulunut. Ilmeisesti Sampopankissa nyt kuhisee ja asiaa selvitellään.
Toivottavasti saavat jotain selvyyttä tilanteeseen.
Tämä ei ole ensimmäinen kerta kun huomautan heille jostain hämmingistä.
Koskaan he eivät ole mitään tunnustaneet mutta aina homma on korjattu
jonkin ajan kuluttua ilmoittamisestani.
--
Matti Kaki at iki dot fi http://www.sci.fi/~oh2bio
=========== Location: 60.414 N 25.097 E ===========
Navigare Necesse Est - Vivere Non Est Necesse
Pasi Viheraho
"Matti Kaki" <oh2bio...@sci.fi.invalid> kirjoitti viestissä
news:d7f5jp$flm$1...@phys-news1.kolumbus.fi...
> Taitaa alkaa pikkuhiljaa vaikuttaa Sampoon tekemäni ilmoitukset
> turvalukujen kopiotumisista koska nyt sisäänkirjautumissivulla
> on tällainen punaisella kirjoitettu viesti:
Mikä kopiotuu minne ja missä tilanteessa?
Jäi hieman epäselväksi....
Voisitko kertoa juurta jaksaen...
mikä kopiotuu ja minne ja miksi?
Jussi Paju
Hae Matin vanhoja vouhotuksia Googlella. Ongelma tiivistettynä oli
kaksiosainen: avainlukukortti lähetettiin postissa tavallisena kirjeenä,
ja kortista oli tarttunut väriä liimalänttiin, jossa se oli ollut kiinni
kirjeessä ja tuosta sitten olisi pystynyt lukemaan jotain yksittäisiä
numeroita tjsp. Tuohan oli siis suuri tietoturvariski ja maailmanloppu
ja ja ja ja...
--
Jussi
:: Te audire no possum. Musa sapientum fixa est in aure.
:: I can't hear you. I have a banana in my ear.
Pasi Viheraho
"Jussi Paju" <Jussi.Paj...@iki.fi> kirjoitti viestissä
news:3a9f7d...@internetti.org...
> Hae Matin vanhoja vouhotuksia Googlella. Ongelma tiivistettynä oli
> kaksiosainen: avainlukukortti lähetettiin postissa tavallisena kirjeenä,
> ja kortista oli tarttunut väriä liimalänttiin, jossa se oli ollut kiinni
> kirjeessä ja tuosta sitten olisi pystynyt lukemaan jotain yksittäisiä
> numeroita tjsp. Tuohan oli siis suuri tietoturvariski ja maailmanloppu
> ja ja ja ja...
>
Periaatteessa turvallisuus on sama kuin heikoin lenkki.eli on tuossa
perääkin.
En minäkään tykkäisi,että tunnuslukuni voidaan lukea kirjekuoren
ulkopuolelta.
Pasi Pikkupeura
> avainlukukortti lähetettiin postissa tavallisena kirjeenä,
> ja kortista oli tarttunut väriä liimalänttiin, jossa se oli
> ollut kiinni kirjeessä
Ja tämä asia siis korjaantui, kun Sampo kertoo webbisivuillaan
asiakaspalvelunsa puhelinnumeron.
Matti Kaki
says...
Nyt oli kyse siitä, että luku oli tarttunut liimaan. Liima oli
paperissa joka tuli mukana. Kun paperin heittää roskiin tai
vastaavaa niin turvallisuusriski on olemassa koska siitä näkyy
kokonainen turvaluku/avainluku yhdistelmä.
Mutta hyvä huomio. Se turvalukukorttihan on muuten lettavissa
kirjekuoren LÄPI. Ei tarvita kuin riittävästi valoa. Turvakortin
numeroiden kontrasti on suuri eikä siellä ole kuin kaksi ohutta
paperia. Olisivat edes laittaneet kuoreen jonka läpi ei näkisi.
Näkyvät aivan silmilläkin. Ei tarvita edes mitään erikoisskanneria.
Kun juttelin heidän nettipankkitukensa kanssa niin he kertoivat
sellaisen asian, että joka kerta uudelleen kirjauduttaessa kysytään
uutta turvalukua. Eli kirjautumalla peräjälkeen riitäävän monta
kertaa pääsee kyseiselle luvulle. Ei tarvitse odotella sitä, että
kortin omistaja etenee sinne saakka. Kuten olin aiemmin ajatellut
Matti Kaki
says...
No niin näkyy Sampo kai luulevan. Tämäkin ehkä osoittaa sitä
tasoa missä heidän turvallisuutensa huitelee. Ajattelevat,
että tuollainen ilmoitus päästää heidät vastuusta.
Kari Asikainen
> No niin näkyy Sampo kai luulevan. Tämäkin ehkä osoittaa sitä
> tasoa missä heidän turvallisuutensa huitelee. Ajattelevat,
> että tuollainen ilmoitus päästää heidät vastuusta.
Mistäs teit sellaisen johtopäätöksen että he näin ajattelevat?
-ka
Janne Kuokkanen
> > Hae Matin vanhoja vouhotuksia Googlella. Ongelma tiivistettynä oli
> > kaksiosainen: avainlukukortti lähetettiin postissa tavallisena kirjeenä,
> > ja kortista oli tarttunut väriä liimalänttiin, jossa se oli ollut kiinni
> > kirjeessä ja tuosta sitten olisi pystynyt lukemaan jotain yksittäisiä
> > numeroita tjsp. Tuohan oli siis suuri tietoturvariski ja maailmanloppu
> > ja ja ja ja...
> Periaatteessa turvallisuus on sama kuin heikoin lenkki.eli on tuossa
> perääkin.
> En minäkään tykkäisi,että tunnuslukuni voidaan lukea kirjekuoren
> ulkopuolelta.
Sanoisin tätä turvallisuusriskiä todella vähäiseksi. Jotta rahoihin
pääsisi käsiksi, tarvitaan vielä asiakasnumero ja henkilökohtainen pin
(ja myöskin se, että ne luvut sattuivat olemaan ne ensimmäiset).
Todellinen paska juttu taasen on se, että noita luottokortteja ym.
ylipäänsä lähetetään kirjaamattomina. Luottokorteilla kun voi tehdä
damagea ilman mitään tunnuksia kunhan ostelee alle 50 euron erissä. Eikä
ne aina henkkareita kysele suuremmissakaan ostoksissa (tästä pitäisi kyllä
periaatteessa napista jos kohdalle sattuu, mutta kun ei viitsi).
Edellä mainittu asia on se, josta pitäisi pankeille (no, en tiedä muiden
pankkien kuin Sampon käytäntöä) antaa palautetta.
Mutta joo, nukkukaa yönne rauhassa kuluttajat -- Matti-setä valvoo
oikeuksianne.
T: Janne
Juha Helin
> Taitaa alkaa pikkuhiljaa vaikuttaa Sampoon tekemäni ilmoitukset
> turvalukujen kopiotumisista koska nyt sisäänkirjautumissivulla
> on tällainen punaisella kirjoitettu viesti:
> "Palveluavainhäiriössä ota yhteys puhelimitse asiakastukeen 0200 2589."
Olet ilmeisesti siis Sampoon ilmoittanut että et löytänyt asiakastuen
numeroa verkkopankin kirjautumissivulta ja nyt tuo on korjattu?
Vai luuletko että että tuo avainlukujen kirjekuoren liimaan
kopioituneesta numerosta tekemäsi ilmoitus olisi aiheuttanut tuon.
Sinun kirjoituksiasi lukeneena voin vilpittömästi suositella sinulle
rahojesi tallettamista pankin tallelokeroon tai vaihtoehtoisesti oman
kassakaapin hankkimista, jolloin ne ovat turvassa verkossa tehtäviltä
rikoksilta.
Verkkopankkien toteutuksessa on aina tehtävä valintoja turvallisuuden ja
käytettävyyden välillä. Kotimaisten verkkopankkien osalta tuntuisi tuo
tasapaino olevan hyvin kohdallaan, vai onko jollain parempaa tietoa
verkkopankkien heikkouksia hyödyntämällä tehdyistä väärinkäytöksistä.
> Ilmeisesti Sampopankissa nyt kuhisee ja asiaa selvitellään.
Tää oli kyllä paras.
--
jussi
Matti Kaki
says...
>
>
>Matti Kaki wrote:
>> Taitaa alkaa pikkuhiljaa vaikuttaa Sampoon tekemäni ilmoitukset
>> turvalukujen kopiotumisista koska nyt sisäänkirjautumissivulla
>> on tällainen punaisella kirjoitettu viesti:
>> "Palveluavainhäiriössä ota yhteys puhelimitse asiakastukeen 0200 2589."
>
>Olet ilmeisesti siis Sampoon ilmoittanut että et löytänyt asiakastuen
>numeroa verkkopankin kirjautumissivulta ja nyt tuo on korjattu?
>Vai luuletko että että tuo avainlukujen kirjekuoren liimaan
>kopioituneesta numerosta tekemäsi ilmoitus olisi aiheuttanut tuon.
Jälkimmäistä arvelen. Olin viime viikolla puhelinyhteydessä verkkopankin
tukeen ja siellä kertoivat, että tästä liimajutusta ON tullut muitakin
valituksia. Kun sitten pyysin turvallisuuspaäällikön kommenttia niin
tuo punainen teksti ilmestyi kirjautumissivulle.
>Sinun kirjoituksiasi lukeneena voin vilpittömästi suositella sinulle
>rahojesi tallettamista pankin tallelokeroon tai vaihtoehtoisesti oman
>kassakaapin hankkimista, jolloin ne ovat turvassa verkossa tehtäviltä
>rikoksilta.
Minulla on niin vähän rahaa yleensä tililläni etten kyllä ole kovin
peloissani niistä. Sen sijaan ajattelen ihan yleistä turvallisuutta.
Eivät nämä kuluttajaryhmässä kirjoitteluni yleensäkään ole vain ja
ainoastaan henkilökohtaisia vaan ajattelen asioita myös muiden kannalta.
Olen odottanut jo 20 vuotta tallelokeroa Keravan Sammosta mutta vielä
ei ole tärpännyt.
>Verkkopankkien toteutuksessa on aina tehtävä valintoja turvallisuuden ja
>käytettävyyden välillä. Kotimaisten verkkopankkien osalta tuntuisi tuo
>tasapaino olevan hyvin kohdallaan, vai onko jollain parempaa tietoa
>verkkopankkien heikkouksia hyödyntämällä tehdyistä väärinkäytöksistä.
>
>> Ilmeisesti Sampopankissa nyt kuhisee ja asiaa selvitellään.
>
>Tää oli kyllä paras.
Nojoo. Taitaa valitettavasti olla niin, etteivät korviansa lotkauta.
Turvallisuusasiat eivät täällä Suomessa ole vielä oikein hanskassa.
Pasi Kovanen
> ylipäänsä lähetetään kirjaamattomina. Luottokorteilla kun voi tehdä
> damagea ilman mitään tunnuksia kunhan ostelee alle 50 euron erissä. Eikä
> ne aina henkkareita kysele suuremmissakaan ostoksissa (tästä pitäisi kyllä
> periaatteessa napista jos kohdalle sattuu, mutta kun ei viitsi).
Nordealla piti aiemmin uusi Visa hakea konttorista ja se oli todella kypsää,
koska konttorille ehtiminen virka-aikana oli ylipäänsä haastavaa ja jonossa
oli aina edellä kymmenen uuden korttisopimuksen laatijaa.
Postitus tavallisena kirjeenä ei mielestäni ole ongelma koska vastuu siirtyy
kortinkäyttäjälle vasta kun hän on kortin käpäliinsä saanut. Tietysti harmia
kertyy jos joku sattuu korttia väärinkäyttämään mutta loppupelissä
esim. Luottokunta siinä ottaa siipeensä.
Muistaakseni pankkikorteilla henkilötunnuksen katsomisraja on 50 euroa
mutta esim. Visalla Luottokunnan ohjeiden mukaan korkeampi (niiden
web-sivuilta ei nopeasti katsoen raja silmiin sattunut). Tämän vuoksi
joissakin
kaupoissa ei luottokorttia käytettäessä vielä 50 euron kohdalla pahveja
kysytä.
// Pasi
Janne Kuokkanen
> >Sinun kirjoituksiasi lukeneena voin vilpittömästi suositella sinulle
> >rahojesi tallettamista pankin tallelokeroon tai vaihtoehtoisesti oman
> >kassakaapin hankkimista, jolloin ne ovat turvassa verkossa tehtäviltä
> >rikoksilta.
>
> Minulla on niin vähän rahaa yleensä tililläni etten kyllä ole kovin
> peloissani niistä. Sen sijaan ajattelen ihan yleistä turvallisuutta.
> Eivät nämä kuluttajaryhmässä kirjoitteluni yleensäkään ole vain ja
> ainoastaan henkilökohtaisia vaan ajattelen asioita myös muiden kannalta.
Sampo-nettipankin turvallisuus on riittävä. Jos Sampon systeemillä
jotenkin onnistuu varastuttamaan rahansa niin on syytä katsoa peiliin.
Mikään turvasysteemi ei voi suojata käyttäjän omalta typeryydeltä. Sillä
muovisella koodilätkällä kukaan ei tee yksinään mitään, ja kukaanhan ei
ole niin pöljä, että kantaa asiakasnumeroa, pin-lukua ja koodilätkää
lompakossa, eihän?
> Olen odottanut jo 20 vuotta tallelokeroa Keravan Sammosta mutta vielä
> ei ole tärpännyt.
Tuota noin, oletko ikinä tarkastanut, että todella olet jonossa :)
> >> Ilmeisesti Sampopankissa nyt kuhisee ja asiaa selvitellään.
> >
> >Tää oli kyllä paras.
Jep, samaa mieltä. Kuhisee... heh... ja selvitellään...
> Nojoo. Taitaa valitettavasti olla niin, etteivät korviansa lotkauta.
> Turvallisuusasiat eivät täällä Suomessa ole vielä oikein hanskassa.
Jos on vainoharhainen niin mikään ei ole riittävän turvallista.
T: Janne
Kari Asikainen
Aivan. Ja uutta tekniikkaa on helppo syyttää kun se ei ole itselle niin
tuttua, samalla kun onnellisesti ohitetaan "perinteiset" porsaanreiät.
(Mikä ei tietysti yhtään vähennä uuden tekniikan heikkouksien
merkitystä, mutta joskus tuntuu että riittää kun kuviossa on mukana
"Internet" on hyvin teoreettinenkin ongelma heti järkyttävän paha.)
Myös väite siitä että turvallisuusasiat olisivat Suomessa huonosti
hanskassa on kummallinen (oletan että tässä tarkoitetaan nyt
verkkopankkeja).
Olen itse käyttänyt Syp/Merita/Nordea -Soloa telesampo-ajoista lähtien
ja sekä Solossa että muissakin, vasta www:n päälle Suomessa
toteutetuissa pankkiratkaisuissa on alusta asti ollut käytössä
jonkinlaiset kertakäyttötunnukset. Paljon myöhemmin esimerkiksi USA:ssa
toteutetuissa ratkaisuissa on luotettu pelkkiin kiinteisiin tunnuksiin
ja salasanoihin, mikä osaltaan selittää nykyistä phishingin suosiota.
Jos tällaisia heittoja heittelee olisi mukava kuulla jotain
perusteitakin eikä pelkästään "musta tuntuu" -arvioita asiasta.
Jotain osoittaa tämänkin viestin Subject-kenttä - kirjoittaja
automaattisesti olettaa, että kun kirjautumissivulle on lisätty tieto
puhelinnumerosta johon soittaa ongelmatapauksissa, niin silloin yritys
kertoo ongelmista.
Ilmeisesti Nordeassakin on massiivinen käyttäjätunnus-ongelma kun olivat
näköjään vaihtaneet (ihan oikein) käyttäjätunnus-kentän
PASSWORD-tyyppiseksi kirjautumissivulla jolloin se näkyy tähtinä eikä
ole niin helposti kurkittavissa olkapään yli.
-ka
Matti Kaki
jaku...@mail.student.oulu.fi says...
>
>
>On Tue, 31 May 2005, Matti Kaki wrote:
>
>> >Sinun kirjoituksiasi lukeneena voin vilpittömästi suositella sinulle
>> >rahojesi tallettamista pankin tallelokeroon tai vaihtoehtoisesti oman
>> >kassakaapin hankkimista, jolloin ne ovat turvassa verkossa tehtäviltä
>> >rikoksilta.
>>
>> Minulla on niin vähän rahaa yleensä tililläni etten kyllä ole kovin
>> peloissani niistä. Sen sijaan ajattelen ihan yleistä turvallisuutta.
>> Eivät nämä kuluttajaryhmässä kirjoitteluni yleensäkään ole vain ja
>> ainoastaan henkilökohtaisia vaan ajattelen asioita myös muiden kannalta.
>
>Sampo-nettipankin turvallisuus on riittävä. Jos Sampon systeemillä
>jotenkin onnistuu varastuttamaan rahansa niin on syytä katsoa peiliin.
>Mikään turvasysteemi ei voi suojata käyttäjän omalta typeryydeltä. Sillä
>muovisella koodilätkällä kukaan ei tee yksinään mitään, ja kukaanhan ei
>ole niin pöljä, että kantaa asiakasnumeroa, pin-lukua ja koodilätkää
>lompakossa, eihän?
Ei ole. Olet kyllä oikeassa. Itse on se kaikkein heikoin lenkki.
>> Olen odottanut jo 20 vuotta tallelokeroa Keravan Sammosta mutta vielä
>> ei ole tärpännyt.
>
>Tuota noin, oletko ikinä tarkastanut, että todella olet jonossa :)
Juu. Monen monta kertaa. Sanovat aina, että edellä on monta.
Lokeroita on hyvin vähän ja niitä kuulemma vapautuu aniharvoin.
Olisikohan ollut niin, että parinkymmenen vuoden aikana muutama.
Matti Kaki
says...
>
>
>Janne Kuokkanen wrote on 31.5.2005 16:53:
>> On Tue, 31 May 2005, Matti Kaki wrote:
>
>>> Nojoo. Taitaa valitettavasti olla niin, etteivät korviansa lotkauta.
>>> Turvallisuusasiat eivät täällä Suomessa ole vielä oikein hanskassa.
>>
>>
>> Jos on vainoharhainen niin mikään ei ole riittävän turvallista.
>
>Aivan. Ja uutta tekniikkaa on helppo syyttää kun se ei ole itselle niin
>tuttua, samalla kun onnellisesti ohitetaan "perinteiset" porsaanreiät.
>(Mikä ei tietysti yhtään vähennä uuden tekniikan heikkouksien
>merkitystä, mutta joskus tuntuu että riittää kun kuviossa on mukana
>"Internet" on hyvin teoreettinenkin ongelma heti järkyttävän paha.)
>
>Myös väite siitä että turvallisuusasiat olisivat Suomessa huonosti
>hanskassa on kummallinen (oletan että tässä tarkoitetaan nyt
>verkkopankkeja).
>
>Olen itse käyttänyt Syp/Merita/Nordea -Soloa telesampo-ajoista lähtien
>ja sekä Solossa että muissakin, vasta www:n päälle Suomessa
>toteutetuissa pankkiratkaisuissa on alusta asti ollut käytössä
>jonkinlaiset kertakäyttötunnukset. Paljon myöhemmin esimerkiksi USA:ssa
>toteutetuissa ratkaisuissa on luotettu pelkkiin kiinteisiin tunnuksiin
>ja salasanoihin, mikä osaltaan selittää nykyistä phishingin suosiota.
Kyllä ainakin minulla oli jo SYP:issä Telnetaikaan kertakäyttöiset
turvaluvut. Ne olivat paperilapulla. En muista koskaan pystyneeni
käytämään verkkopankkia ilman vastaavia turvalukuja. Telnet nyt
ei ehkä ole se ihan turvallisin. :-)
>Jos tällaisia heittoja heittelee olisi mukava kuulla jotain
>perusteitakin eikä pelkästään "musta tuntuu" -arvioita asiasta.
Jos asia kiinnostaa niin etsi vanhoja artikkeleitani.
>Jotain osoittaa tämänkin viestin Subject-kenttä - kirjoittaja
>automaattisesti olettaa, että kun kirjautumissivulle on lisätty tieto
>puhelinnumerosta johon soittaa ongelmatapauksissa, niin silloin yritys
>kertoo ongelmista.
Siinä kun kerrotaan nimenomaan juuri tästä turvalukuasiasta.
Se ei ole mikään yleinen ilmoitus yleisistä ongelmista vaan:
"Palveluavainhäiriössä ota yhteys puhelimitse asiakastukeen 0200 2589."
Siis nimenomaan palveluavainhäiriöissä eli turvalukuhäitiriöissä.
>Ilmeisesti Nordeassakin on massiivinen käyttäjätunnus-ongelma kun olivat
>näköjään vaihtaneet (ihan oikein) käyttäjätunnus-kentän
>PASSWORD-tyyppiseksi kirjautumissivulla jolloin se näkyy tähtinä eikä
>ole niin helposti kurkittavissa olkapään yli.
Saisi Sampokin tehdä noin.
Sami Setälä
> kypsää, koska konttorille ehtiminen virka-aikana oli ylipäänsä
> haastavaa ja jonossa oli aina edellä kymmenen uuden korttisopimuksen
> laatijaa.
Osuuspankki ainakin kysyi korttisopimusta tehtäessä, että haluatko jatkossa
noutaa kortin konttorista, vaiko toimitettavaksi kotiin tavallisessa
kirjeessä. Ensimmäinen kortti pitää Osuuspankilla noutaa aina konttorista.
> Postitus tavallisena kirjeenä ei mielestäni ole ongelma koska vastuu
> siirtyy kortinkäyttäjälle vasta kun hän on kortin käpäliinsä saanut.
> Tietysti harmia kertyy jos joku sattuu korttia väärinkäyttämään mutta
> loppupelissä esim. Luottokunta siinä ottaa siipeensä.
Miten todistat, ettet ole korttia saanut, jos sen joku postista pihistää?
Olisi vähän turhan helppoa vinguttaa kortilla pienehköjä summia muutaman
viikon ajan, ja sitten pokkana mennä väittämään, ettei korttia koskaan ole
tullutkaan. Toki joku kassa voi jotain muistaa, ja jostain saattaisi
vahingossa löytyä valvontakamerakuvaakin, mutta aikamoinen soppa siitä
varmasti syntyisi ennen kuin maksujen lopullinen maksaja selviäisi.
-Sami-
Kari Asikainen
> In article <d7hrj1$amc$1...@phys-news1.kolumbus.fi>, kari...@vapaapudotus.net
> says...
>>Olen itse käyttänyt Syp/Merita/Nordea -Soloa telesampo-ajoista lähtien
>>ja sekä Solossa että muissakin, vasta www:n päälle Suomessa
>>toteutetuissa pankkiratkaisuissa on alusta asti ollut käytössä
>>jonkinlaiset kertakäyttötunnukset. Paljon myöhemmin esimerkiksi USA:ssa
>>toteutetuissa ratkaisuissa on luotettu pelkkiin kiinteisiin tunnuksiin
>>ja salasanoihin, mikä osaltaan selittää nykyistä phishingin suosiota.
>
>
> Kyllä ainakin minulla oli jo SYP:issä Telnetaikaan kertakäyttöiset
> turvaluvut. Ne olivat paperilapulla. En muista koskaan pystyneeni
> käytämään verkkopankkia ilman vastaavia turvalukuja. Telnet nyt
> ei ehkä ole se ihan turvallisin. :-)
No juurihan minä tuossa samaa sanoin. Ja tämä on kansainvälisesti ollut
aika edistynyttä, kun vielä vuosikymmen noiden systeemien jälkeen on
muualla toteutettu paljon heikompia järjestelmiä. Eli siis mihin
perustat sen, että nimenomaan Suomessa turvallisuusasiat eivät ole
hallinnassa?
> Jos asia kiinnostaa niin etsi vanhoja artikkeleitani.
Olet maininnut mm. uloskirjautumis-ongelmasta johon vastasin hyvinkin
seikkaperäisesti ja selvitin miten selainpohjaiset ohjelmistot ko.
tilanteessa toimivat ja mikä on mahdollista, plus mikä ei, ja miksi se,
että toinen palvelu ensikokeilulla "päästää takaisin sisään" ja toinen
ei, ei ole murtautujalle hirveän merkityksellistä. Lisäksi olet
aikaisemmin nostanut mekkalaa vanhan Opera-versiosi skriptivaroituksista
ja nyt uusimpana nämä "liimatunnusluvut". Tässä nyt ulkomuistista
muutama asia - varmaan olet muitakin maininnut. Kaikki ovat pieniä
asioita joilla on hyvin vähän merkitystä itse palvelun
kokonaisturvallisuuteen.
Todennäköisesti ne turvallisuuspäälliköt eivät ole siksi vaivautuneet
vastaamaan sinulle henkilökohtaisesti.
Toki hyvään asiakaspalveluun tuollaisten kauneusvirheiden korjaaminen
kuuluu, mutta iso yritys ei aina valitettavasti ihan jokaista palautetta
vie "tuotantoportaaseen" asti, tai se vai olla niin kallista että se ei
kannata.
-ka
Matti Kaki
says...
Tässä olen eri mieltä. Tavallisena käyttäjänä nämä seikat voivat
tuntua sinusta merkityksettömiltä mutta ne kuitenkin ovat merkki
jostain virheestä. Se, miten ne ilmenevät, ei kerro välttämättä
kovinkaan paljon.
Yksi räikeimmistä puutteista mielestäni on ollut 40 bit (!) suojaus.
Puolustelevat sitä silölä, että kaikilla ei ole selaimia jotka
tukevat rankempaa salausta. Niin, että se siitä minun Operastani.
>Todennäköisesti ne turvallisuuspäälliköt eivät ole siksi vaivautuneet
>vastaamaan sinulle henkilökohtaisesti.
Tähän asti kyllä ovat vastanneet. Ja nytkin on luvattu.
>Toki hyvään asiakaspalveluun tuollaisten kauneusvirheiden korjaaminen
>kuuluu, mutta iso yritys ei aina valitettavasti ihan jokaista palautetta
>vie "tuotantoportaaseen" asti, tai se vai olla niin kallista että se ei
>kannata.
Luulenpa, etteivät halua huolestuttaa päälliköitä. Olisi varmaan
noloa mennä sanomaan, että nyt on jotain hämminkiä verkkopankissa.
Joku kyllä kertoi, että Sammossakin seurataan näitä nyyssejä.
Lasse
: Ilmeisesti Nordeassakin on massiivinen käyttäjätunnus-ongelma kun olivat
: PASSWORD-tyyppiseksi kirjautumissivulla jolloin se näkyy tähtinä eikä
: ole niin helposti kurkittavissa olkapään yli.
Katos katos. Huomauttelin tuosta asiasta aikanaan minäkin eli voinen
katsoa parannuksen omaksi ansiokseni =) Vuosi oli muistaakseni 1998 tai
sinne päin. Sanoivat, että ovat muuttamassa sitä kenttää =P
L
Osmo R
>
>> Ilmeisesti Nordeassakin on massiivinen käyttäjätunnus-ongelma kun
>> olivat näköjään vaihtaneet (ihan oikein) käyttäjätunnus-kentän
>> PASSWORD-tyyppiseksi kirjautumissivulla jolloin se näkyy tähtinä
>> eikä ole niin helposti kurkittavissa olkapään yli.
>
>
> Saisi Sampokin tehdä noin.
>
Ei ole syytä, koska se Sammon asiakasnumero ei ole mitenkään salaista
tietoa. Sehän on printattu kortteihin eli kun vie lompakon saa sen
kuitenkin haltuunsa. Sammossa on se pin-koodi salaisena tietona.
Sampo on paremmin jäsentänyt minkä tieton pitää olla salaista ja minkä
ei. Käyttäjätunnus ei yleisesti ole salaista tietoa. Nordeassa homma on
hieman oudosti ja sentakia pääsi mainittu tietoturvalapsus syntymään.
Nordeassahan perusteltiin asiakastunnuksen näkymistä sillä, että
yleensäkin käyttäjätunnukset näkyvät. Tässä nähdään mikä vaara on, kun
lähtee sooloilemaan sen suhteen mikä on salaista tietoa ja mikä ei.
Osmo
Ari Saastamoinen
> muovisella koodilätkällä kukaan ei tee yksinään mitään, ja kukaanhan ei
> ole niin pöljä, että kantaa asiakasnumeroa, pin-lukua ja koodilätkää
> lompakossa, eihän?
Mulla ainakin on toi koodilätkä lompakossa, kuten VISA-korttikin.
PIN-koodia tosin ei ole minnekään kirjoitettuna. Missä ihmeessä mä
tota koodilätkää sitten pitäisin jos en lompakossa, kun keuitenkin
haluan, sitä pitää mukana, jos sattuisi olemaan jotain pankkiasiaa
esim. duunissa ollessa. Ja VISA-korttia taitaa suurin osa muistakin
ihmisistä kuljettaa mukanaan.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Osmo R
> Janne Kuokkanen <jaku...@mail.student.oulu.fi> writes:
>
>
>>muovisella koodilätkällä kukaan ei tee yksinään mitään, ja kukaanhan ei
>>ole niin pöljä, että kantaa asiakasnumeroa, pin-lukua ja koodilätkää
>>lompakossa, eihän?
>
>
> Mulla ainakin on toi koodilätkä lompakossa, kuten VISA-korttikin.
> PIN-koodia tosin ei ole minnekään kirjoitettuna. Missä ihmeessä mä
> tota koodilätkää sitten pitäisin jos en lompakossa, kun keuitenkin
> haluan, sitä pitää mukana, jos sattuisi olemaan jotain pankkiasiaa
> esim. duunissa ollessa. Ja VISA-korttia taitaa suurin osa muistakin
> ihmisistä kuljettaa mukanaan.
>
No mulla se on päässä. Kuitenkin se on myös lompakossa jos minulla on
siellä Sammon automaattikorttikin.
Osmo
Miro T Wikgren
>
> Ei ole syytä, koska se Sammon asiakasnumero ei ole mitenkään salaista
> tietoa. Sehän on printattu kortteihin eli kun vie lompakon saa sen
> kuitenkin haltuunsa. Sammossa on se pin-koodi salaisena tietona.
> Sampo on paremmin jäsentänyt minkä tieton pitää olla salaista ja minkä
> ei. Käyttäjätunnus ei yleisesti ole salaista tietoa.
No, miten sen nyt ottaa. Kyllä se vain on niin että mitä enemmän on
salaista tietoa sitä vaikeampi on murtautua verkkopankkiin. Sammossahan
*ainoa* salainen tieto on nelinumeroinen luku ('pin-koodi'). Käsi ylös
kunka, moni käyttää verkkopankissa samaa koodia kuin
pankki-/automaattikortissa? Varkaalle riittää että kurkistaa olan yli
minkä pin-koodin uhri naputtelee automaattiin ja sen jälkeen nappaa uhrin
lompakon, siitä löytyykin loput tarvittavat tiedot tilin tyhjentämiseen.
Sampo
Käyttäjätunnus: julkinen
Salasana: tasan 4 numeroa (10000 mahdollista yhdistelmää)
Turvalukulista: turvaton, joihinkin toimintoihin riittää että varas tietää
yhden käyttämättömän turvaluvun.
Aktia:
Käyttäjätunnus: salainen, 8(?) numeroa
Salasana: 6-8 kirjainta tai numeroa (n. 5500000000000 yhdistelmää)
Turvalukulista: turvallinen(?)
--
Miro.
Erkki D
>
> Ari Saastamoinen wrote:
>
> > Mulla ainakin on toi koodilätkä lompakossa, kuten VISA-korttikin.
> > tota koodilätkää sitten pitäisin jos en lompakossa
>
Tuota minä kutsuisin valokuvamuistiksi!
E "loppukevennys" D
Kalevi Kasvi
news:Pine.OSF.4.58.05...@sirppi.helsinki.fi...
>>
> No, miten sen nyt ottaa. Kyllä se vain on niin että mitä enemmän on
> salaista tietoa sitä vaikeampi on murtautua verkkopankkiin. Sammossahan
> *ainoa* salainen tieto on nelinumeroinen luku ('pin-koodi'). Käsi ylös
> kunka, moni käyttää verkkopankissa samaa koodia kuin
> pankki-/automaattikortissa? Varkaalle riittää että kurkistaa olan yli
> minkä pin-koodin uhri naputtelee automaattiin ja sen jälkeen nappaa uhrin
> lompakon, siitä löytyykin loput tarvittavat tiedot tilin tyhjentämiseen.
Mitkä loput tiedot?
Varkaalla on nyt automaattikortti ja sen tunnusluku, mitä muuta tarvitaan?
Päivittäisen nostorajan muuttaminen ei ainakaan minun pankissani onnistu
ilman konttorilla käyntiä, joten eihän tiliä välttämättä tyhjäksi saa,
useimmiten kuitenkin.
--
Kalevi Kasvi
Matti Kaki
says...
>
>
>Matti Kaki wrote:
>
>>
>>> Ilmeisesti Nordeassakin on massiivinen käyttäjätunnus-ongelma kun
>>> olivat näköjään vaihtaneet (ihan oikein) käyttäjätunnus-kentän
>>> PASSWORD-tyyppiseksi kirjautumissivulla jolloin se näkyy tähtinä
>>> eikä ole niin helposti kurkittavissa olkapään yli.
>>
>>
>> Saisi Sampokin tehdä noin.
>>
>
>Ei ole syytä, koska se Sammon asiakasnumero ei ole mitenkään salaista
>tietoa. Sehän on printattu kortteihin eli kun vie lompakon saa sen
>kuitenkin haltuunsa. Sammossa on se pin-koodi salaisena tietona.
>Sampo on paremmin jäsentänyt minkä tieton pitää olla salaista ja minkä
>ei. Käyttäjätunnus ei yleisesti ole salaista tietoa.
Olen tässä mielessä eri mieltä. On huono asia, että se
on painettuna korttiin. Kerta kaikkiaan. Sitä tietoa
kun ei tarvita missään kortin käyttötilanteessa.
Sampopankin kortissa tuo on selkeä turvallisuusriski.
Matti Kaki
says...
Tämä on ihan hyvä mutta ei enää kohta toimi yhtä helposti koska
Sampo on muuttamassa systeemiään. Kohta tarvitaan sisäänkirjautumisen
yhteydessä turvalukua. Tietysti hyvämuistinen voi muistaa useamman
lukusarjan mutta vaikeuttaa huomattavasti ulkomuistamista. Ja se myös
rasittaa aivojen muistikeskusta tarpeettomasti.
Matti Kaki
wik...@cc.helsinki.fi says...
Tämä on hyvä. On äärimmäisen ihmeellistä, että Sampopankki
ei viitsi tuota salasanaa tehdä paremmin. Esimerkiksi
tuollainen itse valittu 6-8 merkkiä on erittäin hyvä ja
se on käytössä kaikissa ulkomaisissa systeemeissä missä
itse olen asiakkaana.
Olen tästä useaan kertaan Sammolle kertonut mutta siellä
ollaan sitä mieltä, että tiuo neljän numeron PIN-koodi on
riittävä turvallisuusaste. Perustelivat silläkin, että
on helpompi muistaa neljä numeroa. Muitta kun asiakas voi
itse valita oman salasanansa niin voi tehdä juuri sellaisen
yhdistelmän jonka itse muistaa. Vaikkapa joulu6 tai 25wattia.
Janne Kuokkanen
> Janne Kuokkanen <jaku...@mail.student.oulu.fi> writes:
>
> > muovisella koodilätkällä kukaan ei tee yksinään mitään, ja kukaanhan ei
> > ole niin pöljä, että kantaa asiakasnumeroa, pin-lukua ja koodilätkää
> > lompakossa, eihän?
>
> Mulla ainakin on toi koodilätkä lompakossa, kuten VISA-korttikin.
> PIN-koodia tosin ei ole minnekään kirjoitettuna. Missä ihmeessä mä
> tota koodilätkää sitten pitäisin jos en lompakossa, kun keuitenkin
> haluan, sitä pitää mukana, jos sattuisi olemaan jotain pankkiasiaa
> esim. duunissa ollessa. Ja VISA-korttia taitaa suurin osa muistakin
> ihmisistä kuljettaa mukanaan.
Samoin, koodilätkä on minullakin mukana. Asiakasnumeron, tilinumeron ja
pinin muistan ulkoa.
Niin ja MC on tietenkin mukana, eihän sillä muuten mitään tee...
Luottokortteja aina silloin tällöin joutuu vääriin käsiin tavalla tai
toisella, sille ei voi mitään.
Tässä tuli nyt aikaisemmin kommenttia pinin lyhyydestä. Mielestäni viisi
numeroa olisi järkevämpi vaihtoehto huolimatta siitä, että se on jo hieman
hankalampi muistaa. Vapaavalintaisten salasanojen ongelma on se, että ne
ovat... no, vapaavalintaisia. Turvallisuudesta ei enää voida puhua jos
joka toisella salasana on oma nimi tai jotain muuta yhtä nerokasta.
T: Janne
Kari Asikainen
> Tässä olen eri mieltä. Tavallisena käyttäjänä nämä seikat voivat
> tuntua sinusta merkityksettömiltä mutta ne kuitenkin ovat merkki
> jostain virheestä. Se, miten ne ilmenevät, ei kerro välttämättä
> kovinkaan paljon.
Ovat merkki jostain virheestä, ja voivat toki aiheuttaa epäluottamusta
käyttäjässä joka ei ole hyvä asia (innostuithan sinäkin siitä
vaahtoamaan). Johtopäätös että ne olisivat merkki tietoturvaongelmasta
on kyllä todennäköisesti väärä.
Saati sitten tästä johdettu johtopäätös että Suomessa
turvallisuusasioita hoidettaisiin huonosti yleisesti niinkuin esitit.
> Yksi räikeimmistä puutteista mielestäni on ollut 40 bit (!) suojaus.
> Puolustelevat sitä silölä, että kaikilla ei ole selaimia jotka
> tukevat rankempaa salausta. Niin, että se siitä minun Operastani.
AES 256bit on tuo salaus ainakin nyt.
Kyseessä on tässäkin asiassa todennäköisesti kokonaiskustannukset -
Sammolla on voinut olla vanhojen selainten (esim. kännykkä, joku muu
"eksoottinen" päätelaite) käyttäjiä jotka ovat tarvinneet ko. palvelua,
ja jos nämä vaikka ovat hyvin maksavia yrityskäyttäjiä on arvioitu
pienemmäksi riskiksi heikompi salaus ja väärinkäytösten korvaaminen kuin
näiden asiakkaiden menettäminen.
Salauksen vahvuus on tottakai tärkeä asia, mutta edes sen salauksen
murtamalla "reaaliajassa" ei vielä aiheuteta välttämättä katastrofia.
Suomessa tänäkin päivänä hoidetaan vielä paljon yritysten
rahaliikennettä täysin salaamattomilla yhteyksillä julkisessakin
Internetissä.
Salauksen tason nostamista paljon paremmin väärinkäytöksiä ehkäisevä
toimenpide olisi esimerkiksi vanhojen selainten käytön estäminen niin
pitkälle kuin se on mahdollista, koska niissä on usein aukkoja joilla
erilaiset phishing/mitm -hyökkäykset ovat helppoja toteuttaa.
Tätäkään ei kuitenkaan tehdä, koska kokonaiskustannukset menetettyinä
asiakkaina olisivat liian suuret.
> Tähän asti kyllä ovat vastanneet. Ja nytkin on luvattu.
Hieno juttu. Kuten vaikka Raimo Saarelan kokemuksista PayPalin kanssa
voit huomata niin Suomessa siis turvallisuusasiat ovat hyvällä mallilla
kun saat oikein henkilökohtaista palvelua, toisin kuin kansainväliseltä
suuryritykseltä.
> Luulenpa, etteivät halua huolestuttaa päälliköitä. Olisi varmaan
Luulepa vain :)
-ka
Pasi Kovanen
> > siirtyy kortinkäyttäjälle vasta kun hän on kortin käpäliinsä saanut.
> > Tietysti harmia kertyy jos joku sattuu korttia väärinkäyttämään mutta
> > loppupelissä esim. Luottokunta siinä ottaa siipeensä.
>
> Miten todistat, ettet ole korttia saanut, jos sen joku postista pihistää?
Muistan lukeneeni että tällaisia tapauksia on ollut hyvin vähän, ja
Luottokunta
on ne suosiolla kärsinyt. Varsinaista todistustaakkaa ei ole siis langetettu
kortin haltijalle. Luonnollisesti tämä riski on tiedostettu, mutta väitän
että
tulee huomattavasti halvemmaksi vaikka kärsiäkin vähän luottotappiota kuin
lähettää
miljoona(?) korttia kirjattuna.
Pasi Kovanen
> näköjään vaihtaneet (ihan oikein) käyttäjätunnus-kentän
> PASSWORD-tyyppiseksi kirjautumissivulla jolloin se näkyy tähtinä eikä
> ole niin helposti kurkittavissa olkapään yli.
Kas. Nyt on pakko myöntää että entisenä Nordean asiakkaana lähetin
niille jo useampia vuosia sitten tästä aiheesta palautetta ;-)
Aiemmin käyttäjätunnus näkyi selväkielisenä ja muuttuvat tunnukset
tähtinä. Kysyin, miksi he menettelevät niin - tämä antaa ajattelemattomalle
käyttäjälle kuvan siitä, että käyttäjätunnuksesta ei tarvitse niinkään
kantaa
huolta.
Silloin vastaus oli että käyttäjät typottelisivat liikaa
käyttäjätunnuksia(!!).
Ilmeisesti joko näppäimistöjen tai Solo-asiakkaiden evoluutio on mennyt
eteenpäin tässä välissä.
Jani Miettinen
Matti Kaki
kari...@vapaapudotus.net says...
>
>
>Matti Kaki wrote on 31.5.2005 20:34:
>
>> Tässä olen eri mieltä. Tavallisena käyttäjänä nämä seikat voivat
>> tuntua sinusta merkityksettömiltä mutta ne kuitenkin ovat merkki
>> jostain virheestä. Se, miten ne ilmenevät, ei kerro välttämättä
>> kovinkaan paljon.
>
>Ovat merkki jostain virheestä, ja voivat toki aiheuttaa epäluottamusta
>käyttäjässä joka ei ole hyvä asia (innostuithan sinäkin siitä
>vaahtoamaan). Johtopäätös että ne olisivat merkki tietoturvaongelmasta
>on kyllä todennäköisesti väärä.
En "vaahdonnut" vaan olen esittänyt asian mielestäni asiallisesti.
Hyvin todennäköisesti onvatkin vääriä mutta koska ne näkyvät _ulos_
hälyttävinäkin merkkeinä niin Sammon olisi varmaan syytä tehdä jotain.
>> Yksi räikeimmistä puutteista mielestäni on ollut 40 bit (!) suojaus.
>> Puolustelevat sitä silölä, että kaikilla ei ole selaimia jotka
>> tukevat rankempaa salausta. Niin, että se siitä minun Operastani.
>
>AES 256bit on tuo salaus ainakin nyt.
Jassoo. Mistäs olet tuollaisen tiedon saanut? Sammon verkkopankistako?
Voin kyllä kertoa, että noin tiukkaa salausta ei voida käyttää koska
128 bittinen on kovin jonka saa jokainen käyttöönsä.
Sammon sivulla http://tinyurl.com/a83zh sanotaan edelleenkin näin:
"Verkkopankki käyttää 128-bittistä SSL-salausta.
Ellei selaimesi tue 128-bittistä salausta, yhteys
muodostetaan 40-bittisellä salauksella."
Matti Kaki
says...
>
>
>Matti Kaki wrote on 31.5.2005 20:34:
>
>> Tässä olen eri mieltä. Tavallisena käyttäjänä nämä seikat voivat
>> tuntua sinusta merkityksettömiltä mutta ne kuitenkin ovat merkki
>> jostain virheestä. Se, miten ne ilmenevät, ei kerro välttämättä
>> kovinkaan paljon.
>
>Ovat merkki jostain virheestä, ja voivat toki aiheuttaa epäluottamusta
>käyttäjässä joka ei ole hyvä asia (innostuithan sinäkin siitä
>vaahtoamaan). Johtopäätös että ne olisivat merkki tietoturvaongelmasta
>on kyllä todennäköisesti väärä.
En "vaahdonnut" vaan olen esittänyt asian mielestäni asiallisesti.
Hyvin todennäköisesti onvatkin vääriä mutta koska ne näkyvät _ulos_
hälyttävinäkin merkkeinä niin Sammon olisi varmaan syytä tehdä jotain.
>> Yksi räikeimmistä puutteista mielestäni on ollut 40 bit (!) suojaus.
>> Puolustelevat sitä silölä, että kaikilla ei ole selaimia jotka
>> tukevat rankempaa salausta. Niin, että se siitä minun Operastani.
>
>AES 256bit on tuo salaus ainakin nyt.
Jassoo. Mistäs olet tuollaisen tiedon saanut? Sammon verkkopankistako?
Voin kyllä kertoa, että noin tiukkaa salausta ei voida käyttää koska
128 bittinen on kovin jonka saa _jokainen_ ilmaiseksi käyttöönsä.
Voi olla, että nettiyhteytesi jopa toimiikin tuolla salauksella
mutta ei Sampo sellaista tietääkseni käytä. Tai en ole ainakaan
löytänyt sellaista mahdollisuutta mistään. Koska salauksessakin
pätee sama kuin muissakin, se on yhtä vahva kuin sen heikoin lenkki.
Sammon sivulla http://tinyurl.com/a83zh sanotaan edelleenkin näin:
"Verkkopankki käyttää 128-bittistä SSL-salausta.
Ellei selaimesi tue 128-bittistä salausta, yhteys
muodostetaan 40-bittisellä salauksella."
--
Kari Asikainen
> In article <d7k11g$d8r$1...@phys-news1.kolumbus.fi>, kari...@vapaapudotus.net
> says...
>>AES 256bit on tuo salaus ainakin nyt.
>
>
> Jassoo. Mistäs olet tuollaisen tiedon saanut? Sammon verkkopankistako?
No sieltäpä juuri. Firefoxilla kirjautumissivulta tuplaklikkaamalla
lukon kuvaa pääsee tutustumaan sertifikaattiin ja käytettyyn salaukseen.
> Voin kyllä kertoa, että noin tiukkaa salausta ei voida käyttää koska
> 128 bittinen on kovin jonka saa _jokainen_ ilmaiseksi käyttöönsä.
Fiksu www-palvelin ja fiksu selain osaavat tarvittaessa neuvotella
keskenään paremmastakin salauksesta jos kumpikin osapuoli sitä tukee.
> Voi olla, että nettiyhteytesi jopa toimiikin tuolla salauksella
Ei minun "nettiyhteyteni" mitenkään salattu ole.
-ka
Juha Helin
>
> Jassoo. Mistäs olet tuollaisen tiedon saanut? Sammon verkkopankistako?
> Voin kyllä kertoa, että noin tiukkaa salausta ei voida käyttää koska
> 128 bittinen on kovin jonka saa _jokainen_ ilmaiseksi käyttöönsä.
En tiedä mistä Kari tuon tiedon on saanut, mutta vilkaisin Sammon
verkkopankkia ja salaus on Firefoxin mukaan AES-256 256bit, sama juttu
Nordealla ja Handelsbankenilla. OP:lla näytti olevan RC4 128bit.
> Voi olla, että nettiyhteytesi jopa toimiikin tuolla salauksella
> mutta ei Sampo sellaista tietääkseni käytä. Tai en ole ainakaan
> löytänyt sellaista mahdollisuutta mistään. Koska salauksessakin
> pätee sama kuin muissakin, se on yhtä vahva kuin sen heikoin lenkki.
>
> Sammon sivulla http://tinyurl.com/a83zh sanotaan edelleenkin näin:
>
> "Verkkopankki käyttää 128-bittistä SSL-salausta.
> Ellei selaimesi tue 128-bittistä salausta, yhteys
> muodostetaan 40-bittisellä salauksella."
Ei taida luulo olla tiedon väärtti, eikä kaikkea kannata uskoa mitä
internetistä lukee :)
Ja mitä sitten vaikka tuo olisikin 128bit, luuletko että joku istuu
langalla ja purkaa salauksen lennosta saadakseen vain sen istunnon ajan
toimivan maksupalvelun. Paljon helpompaa ja tuottoisampaa olisi hankkia
pääsy jonkin maksuliikennepalveluja asiakkailleen tarjoavan
tilitoimiston järjestelmiin ja siirtää sitä kautta asiakasyritysten rahoja.
Mutta kun nuo verkkopankit sinun mielestäsi on turvattomia, niin kerropa
nyt ihan omin sanoin miten niiden turvallisuus mielestäsi pitäisi toteuttaa.
--
jussi
Osmo R
> No, miten sen nyt ottaa. Kyllä se vain on niin että mitä enemmän on
> salaista tietoa sitä vaikeampi on murtautua verkkopankkiin.
> Sammossahan *ainoa* salainen tieto on nelinumeroinen luku
> ('pin-koodi').
Tämä sentään on ainosti salainen toisin kuin Nordean asiakastunnus,
jonka Nordeakin olettaa säilytettävän printattuna.
> Käsi ylös kunka, moni käyttää verkkopankissa samaa koodia kuin
> pankki-/automaattikortissa? Varkaalle riittää että kurkistaa olan yli
> minkä pin-koodin uhri naputtelee automaattiin ja sen jälkeen nappaa
> uhrin lompakon, siitä löytyykin loput tarvittavat tiedot tilin
> tyhjentämiseen.
Riski lähinnä on toisinpäin eli tunnuksen voisi onkia esim sopivalla
ohjelmalla ja sitten käyttää automaattikorttia tilin tyhjentämiseen.
> Sampo
>
> Käyttäjätunnus: julkinen Salasana: tasan 4 numeroa (10000 mahdollista
> yhdistelmää) Turvalukulista: turvaton, joihinkin toimintoihin riittää
> että varas tietää yhden käyttämättömän turvaluvun.
>
> Aktia:
>
> Käyttäjätunnus: salainen, 8(?) numeroa Salasana: 6-8 kirjainta tai
> numeroa (n. 5500000000000 yhdistelmää) Turvalukulista: turvallinen(?)
>
>
Tuossa on aivan liikaa muistettavaa normaalille käyttäjälle. Jso
muistettavaa on liikaa, se kirjoitetaan paperille. On myös
mielenkiintoista vetää hatusta sanoja "turvaton" ja "turvallinen".
Osmo
>
>
>
> -- Miro.
>
Osmo R
>
> Tämä on ihan hyvä mutta ei enää kohta toimi yhtä helposti koska
> Sampo on muuttamassa systeemiään. Kohta tarvitaan sisäänkirjautumisen
> yhteydessä turvalukua.
Tuo on merkittävä huononnus. Kun odottaa tilille jotain summaa,
kirjautuu usein sisään. Tämä on kätevää, jos sen voi tehdä pelkästään
muistissa olevan tiedon avulla.
Osmo
Juha Helin
> Tämä on ihan hyvä mutta ei enää kohta toimi yhtä helposti koska
> Sampo on muuttamassa systeemiään. Kohta tarvitaan sisäänkirjautumisen
> yhteydessä turvalukua. Tietysti hyvämuistinen voi muistaa useamman
> lukusarjan mutta vaikeuttaa huomattavasti ulkomuistamista. Ja se myös
> rasittaa aivojen muistikeskusta tarpeettomasti.
No tuohan on nyt sitten ihan perseestä. Jos haluaa vilkaista mikä on
päivän tilanne (sijoitukset, saldo, vakuutukset (joo nekin on tuolla),
onko vaimo/lapset taas käynyt sokkarilla/mäkkärillä, näitä normaaleja
pankkiasioita) niin joutuu kaivamaan sen kortin lompakosta joka on
tuolla takin taskussa.
Tähän asti sitä turvalukua on tarvittu ainoastaan rahan siirtoihin ja
omien tietojen muuttamiseen (ja jostain kumman syystä viestintään pankin
kanssa), joka on ollut aivan riittävää.
Jos tuollaiseen mennään niin siinä verkkopankin perustoimintojen
käytettävyys kärsii joidenkin hysteerikkojen takia. Eikö niille voisi
perustaa omaa pankkia, jossa pitäisi käyttää ziljoonan merkin salasanoja
ja muuttuvat turvaluvut lähetettäisiin telepaattisesti suoraan päähän.
prkle.
--
jussi
Osmo R
> Tähän asti sitä turvalukua on tarvittu ainoastaan rahan siirtoihin ja
> omien tietojen muuttamiseen (ja jostain kumman syystä viestintään
> pankin kanssa), joka on ollut aivan riittävää.
Ajatus kai on, että avainkortti on vastannut allekirjoitusta, joten
sen käyttö viestinnässä on luontevaa. Jos jatkossa ei maksamisessa
vaadita uutta avaintunnusta heikkenee tietoturva merkittävästi, koska
jos saldon katsomisen jälkeen unohtaa logata ulos voi kuka tahansa
mennä siirtämään rahat pois.
Osmo
Matti Kaki
says...
>
>
>Matti Kaki wrote:
>> In article <d7k11g$d8r$1...@phys-news1.kolumbus.fi>, kari...@vapaapudotus.net
>>>AES 256bit on tuo salaus ainakin nyt.
>>
>> Jassoo. Mistäs olet tuollaisen tiedon saanut? Sammon verkkopankistako?
>> Voin kyllä kertoa, että noin tiukkaa salausta ei voida käyttää koska
>> 128 bittinen on kovin jonka saa _jokainen_ ilmaiseksi käyttöönsä.
>
>En tiedä mistä Kari tuon tiedon on saanut, mutta vilkaisin Sammon
>verkkopankkia ja salaus on Firefoxin mukaan AES-256 256bit, sama juttu
>Nordealla ja Handelsbankenilla. OP:lla näytti olevan RC4 128bit.
>
>> Voi olla, että nettiyhteytesi jopa toimiikin tuolla salauksella
>> mutta ei Sampo sellaista tietääkseni käytä. Tai en ole ainakaan
>> löytänyt sellaista mahdollisuutta mistään. Koska salauksessakin
>> pätee sama kuin muissakin, se on yhtä vahva kuin sen heikoin lenkki.
>>
>> Sammon sivulla http://tinyurl.com/a83zh sanotaan edelleenkin näin:
>>
>> "Verkkopankki käyttää 128-bittistä SSL-salausta.
>> Ellei selaimesi tue 128-bittistä salausta, yhteys
>> muodostetaan 40-bittisellä salauksella."
>
>Ei taida luulo olla tiedon väärtti, eikä kaikkea kannata uskoa mitä
>internetistä lukee :)
Olisi pitänyt kyllä heti suhtautua epäilyksellä kosk tuo on SAMMON
internetsivu jolloin (sinunkaan mielestäsi) siihen ei pidä luottaa.
>Ja mitä sitten vaikka tuo olisikin 128bit, luuletko että joku istuu
>langalla ja purkaa salauksen lennosta saadakseen vain sen istunnon ajan
>toimivan maksupalvelun. Paljon helpompaa ja tuottoisampaa olisi hankkia
>pääsy jonkin maksuliikennepalveluja asiakkailleen tarjoavan
>tilitoimiston järjestelmiin ja siirtää sitä kautta asiakasyritysten rahoja.
>
>Mutta kun nuo verkkopankit sinun mielestäsi on turvattomia, niin kerropa
>nyt ihan omin sanoin miten niiden turvallisuus mielestäsi pitäisi toteuttaa.
No vaikka nyt ensin ottaa pois se 40 bit salaus. 120 bit on jo hyvä.
Sitten asiakastunnus voisi olla salainen. Sen lisäksi kun salasana
olisi tarpeeksi pitkä kuten 8 merkkiä (numeroita, kirjaimia isoin ja
pienin) niin esim. takana kurkkivalla olisi huomattavasti vaikeampi
katsoa mikä se salasana nyt olikaan. Siitä voisi Sampo aloittaa.
Matti Kaki
says...
Nythän Sammon asiakastunnus on 8 numeroa. Jos salasana olisi mahdollista
valita mieleisekseen 6-8 -merkkiseksi niin kyllä ihminen kuin ihminen
sen pienellä opastuksella oppii valikoimaan sellaiseksi, että muistaa.
Teppo Oranne
>>Tuossa on aivan liikaa muistettavaa normaalille käyttäjälle. Jso
>>muistettavaa on liikaa, se kirjoitetaan paperille. On myös
>>mielenkiintoista vetää hatusta sanoja "turvaton" ja "turvallinen".
>
>
> Nythän Sammon asiakastunnus on 8 numeroa. Jos salasana olisi mahdollista
> valita mieleisekseen 6-8 -merkkiseksi niin kyllä ihminen kuin ihminen
> sen pienellä opastuksella oppii valikoimaan sellaiseksi, että muistaa.
>
Olisiko sinun salasanasi "salasana" , "qwerty" vai "mattikaki"
Janne Kuokkanen
> Jos tuollaiseen mennään niin siinä verkkopankin perustoimintojen
> käytettävyys kärsii joidenkin hysteerikkojen takia. Eikö niille voisi
> perustaa omaa pankkia, jossa pitäisi käyttää ziljoonan merkin salasanoja
> ja muuttuvat turvaluvut lähetettäisiin telepaattisesti suoraan päähän.
> prkle.
Viimeiseksi mainittu ei valitettavasti taida onnistua -- nämä hysteerikot
nimittäin osaavat suojautua tällaiselta foliohatuilla :)
T: Janne
Ari Saastamoinen
> Tämä on ihan hyvä mutta ei enää kohta toimi yhtä helposti koska
> Sampo on muuttamassa systeemiään. Kohta tarvitaan sisäänkirjautumisen
> yhteydessä turvalukua. Tietysti hyvämuistinen voi muistaa useamman
Pyh. eikö tota nykyistä voisi pitää. Musta on hyvä, että voin katsoa
tilitapahtumia yms. kaivamatta sitä korttia lompakosta. Ja niissä nyt
ei mitään niin salaista ole, että mua ei haittaa vaikka joku muukin
näkisi, että onko tililläni rahaa. Se riittää, että rahansiirrot
varmistetaan numerolla. (Saako tuosta huononnuksesta syyttää Mattia
reklamaatioineen? :)
Ari Saastamoinen
> No mulla se on päässä. Kuitenkin se on myös lompakossa jos minulla on
> siellä Sammon automaattikorttikin.
No siehän sälli oot. Mulla ei ole tullut ikinä mieleenkään yrittää
opetella tuota korttia mieleeni. Tietysti noista vois vaan opetella
vaikka pari seuraavaa numeroa, mutta sekin tuntuu hölmöltä, kun niitä
kuitenkin tarvii sen verran harvoin, että tarvittaessa ne on kuitenkin
kerinnyt jo unohtamaan, ja mielestäni on aika turhaa
muistinkapasiteetin kuluttamista yrittää muistaa noita
kertakäytösalasanoja.
Ari Saastamoinen
> Jassoo. Mistäs olet tuollaisen tiedon saanut? Sammon verkkopankistako?
> Voin kyllä kertoa, että noin tiukkaa salausta ei voida käyttää koska
> 128 bittinen on kovin jonka saa _jokainen_ ilmaiseksi käyttöönsä.
>
> Voi olla, että nettiyhteytesi jopa toimiikin tuolla salauksella
> mutta ei Sampo sellaista tietääkseni käytä. Tai en ole ainakaan
> löytänyt sellaista mahdollisuutta mistään. Koska salauksessakin
> pätee sama kuin muissakin, se on yhtä vahva kuin sen heikoin lenkki.
Mulla ainakin, jos meen sammon sisäänkirjautumissivulle ja sieltä
katson, mitä selain salauksesta väittää, niin kyllä mun selain ainakin
väittää käytetyn salauksen olevan AES-256. Ja tuo siis on nimenomaan
se, jota Sampo käyttää (joltain muulta saitilta toi selain saattaa
näyttää sitten jotain muuta, riippuen sen saitin käyttämästä
salauksesta)
Kari Asikainen
> No vaikka nyt ensin ottaa pois se 40 bit salaus. 120 bit on jo hyvä.
Miksi?
Eikö samalla logiikalla pitäisi kietää reikäisten selainten käyttö
kokonaan koska niissä on aukkoja joilla huijaaminen onnistuu paljon
helpommin kuin tuon salauksen murtamalla - jopa reilusti pienemmällä
tietotaidolla riippumatta siitä kuinka vahvaa salausta selain tukee.
Kuten sanoin jo aikaisemmin - salauksen murtaminen ei ole vielä mikään
katastrofi. Sillä saa haltuunsa yhden ainoan session tietoliikennettä;
kun käytössä on lisäksi kertakäyttösalasanat ei pelkällä salauksen
murtamisella vielä tee yhtään mitään.
Jos oikeasti tavoitteena on saada rahaa eikä esimerkiksi vain osoittaa
pystyvänsä murtamaan jonkun salauksen, niin liikkeelle lähdetään ihan
muista asioista kuin salauksen bittiluvuista.
Jos on huolissaan salauksen vahvuudesta kannattaa käyttää nykyaikaista
selainta. Testasin nyt Sampoa Opera 8:lla ja Firefoxilla - kumpikin
neuvotteli 256 bitin AES-salauksen. Joku marginaaliselain nimeltä
Internet Explorer ei osannut kuin 128 bittiä eikä kerro mitä algoritmia
käytetään.
Minä olisin paljon enemmän huolissani keskiverto-kotikäyttäjän
Windowssin sisältämästä troijalais- ja spywarearmeijasta kuin salauksen
bittimäärästä käytettäessä vaikkapa kännykän selainta webbipankin käyttöön.
> Sitten asiakastunnus voisi olla salainen. Sen lisäksi kun salasana
> olisi tarpeeksi pitkä kuten 8 merkkiä (numeroita, kirjaimia isoin ja
> pienin) niin esim. takana kurkkivalla olisi huomattavasti vaikeampi
> katsoa mikä se salasana nyt olikaan. Siitä voisi Sampo aloittaa.
Ihan hyvä idea, mutta ei käytännössä toisi paljonkaan lisäturvaa
nykyiseen systeemiin mutta hankaloittaisi asioimista koska
jos salasana olisi "vaikea" ja sitä ei voisi vaihtaa tai se
"pakottaisiin" sisältämään noita kaikkia asioita ihmiset kirjoittaisivat
sen ylös lapulle varastettavaksi. Jos taas salasanan voisi itse päättää
suurin osa ihmisistä valitsisi helpon salasanan.
Asiakastunnuksen salaisuus taas johtaisi siihen, että käyttäjän täytyy
muistaa ulkoa 2 tunnusta. Jälleen kerran niiden määrä jotka sen
kuitenkin kirjoittaisivat ylös siihen samaan lappuun missä ovat
kertakäyttösalasanatkin ei ehkä olisi ihan pieni. Systeemeistä ei
kannata tehdä liian monimutkaisia. Nordean järjestelmä on siitä hyvä,
että tyhmempikin tajuaa että asiakasnumeroa ei kannata kirjoittaa ylös -
ainakaan siihen tunnuslakanaan - koska silloin tili on on auki lompakon
varastajalle. Jos "salaisia" elementtejä on liikaa ei niitä ylös
kirjoittava vähän yksinkertaisempi jamppa tule ajatelleeksi millaisen
riskin hän ottaa.
-ka
Tämä jo enempi turvallisuus- kuin kuluttaja-asiaa mutta minä olen kohta
sanottavani toivottavasti sanonut joten enpä jaksa siirtää enää jatkoja
minnekään.
Matti Kaki
Ei voi olla totta. Oletko joskus kytännyt takanani? Olin kyllä
valinnut tuon qwerty:n hyvin huolellisesti ja ajattelin, ettei
kukaan voisi niin ihmeellistä sanaa keksiä. Vaihdan sen zxcvbn:ksi.
Matti Kaki
jaku...@mail.student.oulu.fi says...
Ostin kaksi pakettia hyvää alumiinifoliota Keravan Prismasta.
Euron kappale. Sinne jäi vielä monta pakkausta. Suosittelen.
Folio on syytä rypistää jolloin se heijastaa säteet mielivaltaisesti
eri suuntiin eikä näin voi kimmota mistään takaksin ja olla vaaraksi.
Matti Kaki
>
>
>Matti Kaki <oh2bio...@sci.fi.invalid> writes:
>
>> Jassoo. Mistäs olet tuollaisen tiedon saanut? Sammon verkkopankistako?
>> Voin kyllä kertoa, että noin tiukkaa salausta ei voida käyttää koska
>> 128 bittinen on kovin jonka saa _jokainen_ ilmaiseksi käyttöönsä.
>>
>> Voi olla, että nettiyhteytesi jopa toimiikin tuolla salauksella
>> mutta ei Sampo sellaista tietääkseni käytä. Tai en ole ainakaan
>> löytänyt sellaista mahdollisuutta mistään. Koska salauksessakin
>> pätee sama kuin muissakin, se on yhtä vahva kuin sen heikoin lenkki.
>
>Mulla ainakin, jos meen sammon sisäänkirjautumissivulle ja sieltä
>katson, mitä selain salauksesta väittää, niin kyllä mun selain ainakin
>väittää käytetyn salauksen olevan AES-256. Ja tuo siis on nimenomaan
>se, jota Sampo käyttää (joltain muulta saitilta toi selain saattaa
>näyttää sitten jotain muuta, riippuen sen saitin käyttämästä
>salauksesta)
Opera kertoo näin: TLS v1.0 128 bit C4 (1024 bit RSA/SHA)
Matti Kaki
says...
>
>
>Matti Kaki wrote:
>
>> No vaikka nyt ensin ottaa pois se 40 bit salaus. 120 bit on jo hyvÃĪ.
>
>Miksi?
Kysyitkö miksi 40 bittinen pitäisi poistaa? Vai miksi 128 bit on hyvä?
128 bittisaen salauksen murtamiseen tarvitaan niin paljon konetehoa
ja niin pitkä aika ettei sitä kerta kaikkiaan voi murtaa yhden
nettipankki-istunnon aikana.
>MinÃĪ olisin paljon enemmÃĪn huolissani keskiverto-kotikÃĪyttÃĪjÃĪn
>Windowssin sisÃĪltÃĪmÃĪstÃĪ troijalais- ja spywarearmeijasta kuin salauksen
>bittimÃĪÃĪrÃĪstÃĪ kÃĪytettÃĪessÃĪ vaikkapa kÃĪnnykÃĪn selainta webbipankin
>kÃĪyttÃķÃķn.
Tämä on todellakin aivan eri luokan vaara kuin salausalgoritmin pienuus.
Siinä on keyloggereiden sun muiden lisäksi vaara, että koneesta menee
muutakin "salaista" maailmalle.
>> Sitten asiakastunnus voisi olla salainen. Sen lisÃĪksi kun salasana
>> olisi tarpeeksi pitkÃĪ kuten 8 merkkiÃĪ (numeroita, kirjaimia isoin ja
>> pienin) niin esim. takana kurkkivalla olisi huomattavasti vaikeampi
>> katsoa mikÃĪ se salasana nyt olikaan. SiitÃĪ voisi Sampo aloittaa.
>
>Ihan hyvÃĪ idea, mutta ei kÃĪytÃĪnnÃķssÃĪ toisi paljonkaan lisÃĪturvaa
>nykyiseen systeemiin mutta hankaloittaisi asioimista koska
>jos salasana olisi "vaikea" ja sitÃĪ ei voisi vaihtaa tai se
>"pakottaisiin" sisÃĪltÃĪmÃĪÃĪn noita kaikkia asioita ihmiset kirjoittaisivat
>sen ylÃķs lapulle varastettavaksi. Jos taas salasanan voisi itse pÃĪÃĪttÃĪÃĪ
>suurin osa ihmisistÃĪ valitsisi helpon salasanan.
Kyllä se pitäisi voida itse valita juuri sellaiseksi kuin haluaa.
Silloin pitää ymmärtää, että salasanan olisi oltava sellainen
ettei kukaan muu voisi sitä käkätä kuten lapsen tai koiran nimi.
Risto Paasivirta
Matti Kaki <oh2bio...@sci.fi.invalid> wrote:
>>katson, mitä selain salauksesta väittää, niin kyllä mun selain ainakin
>>väittää käytetyn salauksen olevan AES-256. Ja tuo siis on nimenomaan
SSL/TLS protokollat sopivat käytettävät salaukset yhteyttä
muodostettaessa, josta syystä eri selaimilla voi tulla eri tulos
samasta serveristä. (Jos esoteeriset yksityiskohdat kiihoittavat,
http://www.ietf.org/rfc/rfc2246.txt ja ei kun tavaammaan...)
Risto
--
main(){char*a="main(){char*a=%c%s%c;printf(a,34,a,34);}";printf(a,34,a,34);}
Teppo Oranne
> In article <429dc0f8$0$28531$f8ea...@news.gohome.fi>, te...@mpoli.fi says...
>
>>
>>
>>>>Tuossa on aivan liikaa muistettavaa normaalille käyttäjälle. Jso
>>>>muistettavaa on liikaa, se kirjoitetaan paperille. On myös
>>>>mielenkiintoista vetää hatusta sanoja "turvaton" ja "turvallinen".
>>>
>>>
>>> Nythän Sammon asiakastunnus on 8 numeroa. Jos salasana olisi mahdollista
>>> valita mieleisekseen 6-8 -merkkiseksi niin kyllä ihminen kuin ihminen
>>> sen pienellä opastuksella oppii valikoimaan sellaiseksi, että muistaa.
>
>
>>Olisiko sinun salasanasi "salasana" , "qwerty" vai "mattikaki"
>
>
> Ei voi olla totta. Oletko joskus kytännyt takanani? Olin kyllä
> valinnut tuon qwerty:n hyvin huolellisesti ja ajattelin, ettei
> kukaan voisi niin ihmeellistä sanaa keksiä. Vaihdan sen zxcvbn:ksi.
>
Joskus aikoinaan kun katottiin niin nuo kaksi ensimmäistä edusti jotain
kolmea prossaa 10 000:sta salasanasta. Ja se on paljon ja oli aikaa
ennen yleistä Internettiä. Nykyään tilanne lienee paljon huonompi.
Osmo R
> Osmo R <ok...@hotmail.com> writes:
>
>
>>No mulla se on päässä. Kuitenkin se on myös lompakossa jos minulla on
>>siellä Sammon automaattikorttikin.
>
>
> No siehän sälli oot. Mulla ei ole tullut ikinä mieleenkään yrittää
> opetella tuota korttia mieleeni.
En poyhunut siitä avainkortista vaan asiakasnumerosta. Ei ole mitään
mieltä panna mieleen mitään turhia lukuja.
3,14159265358979323846264338327951058
Osmo
Osmo R
>
>
> No vaikka nyt ensin ottaa pois se 40 bit salaus. 120 bit on jo hyvä.
> Sitten asiakastunnus voisi olla salainen.
Miksi? Mielestäni on ihan hyvä, ettei se ole salainen. Ainoa onhelma
siitä, ettei se ole salainen on, että sen voi lukita ilkeyttään. Tosin
eihän se täysin julkinenkaan ole. Se on printattu kortteihin ja
tiliotteisiin, mutta ei se ole mitenkään yleisessä tiedossa.
Osmo
Matti Kaki
says...
Etkö tuon tarkemmalla muista? :-)
3.14159265358979323846264338327950288419716939937510582097494459230781640628620
8998628034825342117067982148086513282306647093844609550582231725359408128481117
4502841027019385211055596446229489549303819644288109756659334461284756482337867
8316527120190914564856692346034861045432664821339360726024914127372458700660631
5588174881520920962829254091715364367892590360011330530548820466521384146951941
5116094330572703657595919530921861173819326117931051185480744623799627495673518
8575272489122793818301194912983367336244065664308602139494639522473719070217986
0943702770539217176293176752384674818467669405132000568127145263560827785771342
7577896091736371787214684409012249534301465495853710507922796892589235420199561
1212902196086403441815981362977477130996051870721134999999837297804995105973173
2816096318595024459455346908302642522308253344685035261931188171010003137838752
8865875332083814206171776691473035982534904287554687311595628638823537875937519
5778185778053217122680661300192787661119590921642019893809525720106548586327886
5936153381827968230301952035301852968995773622599413891249721775283479131515574
8572424541506959508295331168617278558890750983817546374649393192550604009277016
7113900984882401285836160356370766010471018194295559619894676783744944825537977
4726847104047534646208046684259069491293313677028989152104752162056966024058038
1501935112533824300355876402474964732639141992726042699227967823547816360093417
2164121992458631503028618297455570674983850549458858692699569092721079750756
Matti Kaki
says...
>>Mutta kun nuo verkkopankit sinun mielestäsi on turvattomia, niin kerropa
>>nyt ihan omin sanoin miten niiden turvallisuus mielestäsi pitäisi toteuttaa.
>
> No vaikka nyt ensin ottaa pois se 40 bit salaus. 120 bit on jo hyvä.
Mitä minä tuossa höpäjän? Eikä kukaan edes korjannut. Piti olla 128 bit.
Kalevi Kasvi
news:d7mcde$dss$4...@phys-news1.kolumbus.fi...
> In article <d7kf2b$4vp$2...@phys-news1.kolumbus.fi>,
> oh2bio...@sci.fi.invalid
> says...
>
>>>Mutta kun nuo verkkopankit sinun mielestäsi on turvattomia, niin kerropa
>>>nyt ihan omin sanoin miten niiden turvallisuus mielestäsi pitäisi
>>>toteuttaa.
>>
>> No vaikka nyt ensin ottaa pois se 40 bit salaus. 120 bit on jo hyvä.
>
> Mitä minä tuossa höpäjän? Eikä kukaan edes korjannut. Piti olla 128 bit.
Tyhmä ei huomaa ja viisas ei välitä ;-)
--
Kalevi Kasvi
Miro T Wikgren
> Miro T Wikgren wrote:
>
> > Sampo
> >
> > Käyttäjätunnus: julkinen Salasana: tasan 4 numeroa (10000 mahdollista
> > yhdistelmää) Turvalukulista: turvaton, joihinkin toimintoihin riittää
> > että varas tietää yhden käyttämättömän turvaluvun.
> >
> > Aktia:
> >
> > Käyttäjätunnus: salainen, 8(?) numeroa Salasana: 6-8 kirjainta tai
> > numeroa (n. 5500000000000 yhdistelmää) Turvalukulista: turvallinen(?)
>
> On myös
> mielenkiintoista vetää hatusta sanoja "turvaton" ja "turvallinen".
Touché.
Oikeat sanat ovat tietysti "toimimaton" ja "toimiva".
Sampo Pankin suurin turvamoka lienee kuitenkin se että varas voi tyhjentää
tilisi tarvitsematta tietää yhtään turvalukua, jos olet unohtanut
kirjautua ulos verkkopankista. Turvalukuahan kysytään ainoastaan *ennen*
ensimmäisen maksun tekemistä, sen jälkeen maksuja voi tehdä mielin määrin
ilman mitään tarkistuksia.
--
Miro.
Matti Kaki
wik...@cc.helsinki.fi says...
Hitsi. Olet oikeassa.
Juttelin tästä uloskirjautumisjutusta Sammon nettituen kanssa ja
sieltä neuvoivat erittäin hyvän kikan. Mikäli selain vaan tukee
sitä niin kannattaa valita asetus joka automaattisesti poistaa
keksit (cookies) kun selainikkunan sulkee. Operassa tosin ei
ole tuota mahdollisuutta. Siellä on vain "Delete new cookies
when exiting opera" eli vaatii koko selaimen sulkemisen mikä
on suuri operaatio koska minulla on yleensä kymmeniä ikkunoita
auki yhtaikaa.
Ari Saastamoinen
> En poyhunut siitä avainkortista vaan asiakasnumerosta. Ei ole mitään
> mieltä panna mieleen mitään turhia lukuja.
Minä puhuin nimenomaan tuosta avainkortista, johon sinä heti
kommentoit pitäväsi sitä muistissa. Tottakai minäkin asiakasnumeroni
muistan ulkoa (Tai ite asiassa jos kysytään, niin joudun oikein
miettimään, mutta osaan sen näppiksellä syöttää jopa sokkona :)
Mutta kun oli puhe myöskin siitä, että onko asiakasnumero lompakossa,
niin sanoin, että on, kun mielestäni VISA-kortti on sellainen vehje,
jonka mukanaolemisesta on keskimäärin hyötyä.
Mika Pirhonen
> Olen tästä useaan kertaan Sammolle kertonut mutta siellä
> ollaan sitä mieltä, että tiuo neljän numeron PIN-koodi on
> riittävä turvallisuusaste. Perustelivat silläkin, että
> on helpompi muistaa neljä numeroa. Muitta kun asiakas voi
> itse valita oman salasanansa niin voi tehdä juuri sellaisen
> yhdistelmän jonka itse muistaa. Vaikkapa joulu6 tai 25wattia.
Eihän mikään *sala*sana saa sisältää mitään sanaa millään kielellä.
Mika.
Matti Kaki
says...
Syy? Jos salasana on jokin nimi tai sana joka on itselle tuut
niin mikä ettei sitä voisi käyttää salasanana? Ei sen tarvitse
olla "hU5Dm8Bz". Se voi olla vaikka "höpsistä" tai "tinamuki".
Kalevi Kasvi
> In article <429f61d1$0$30699$9b53...@news.fv.fi>,
> mika.k.t...@iki.fi
> says...
>>
>>
>>Matti Kaki wrote:
>>
>>> Olen tästä useaan kertaan Sammolle kertonut mutta siellä
>>> ollaan sitä mieltä, että tiuo neljän numeron PIN-koodi on
>>> riittävä turvallisuusaste. Perustelivat silläkin, että
>>> on helpompi muistaa neljä numeroa. Muitta kun asiakas voi
>>> itse valita oman salasanansa niin voi tehdä juuri sellaisen
>>> yhdistelmän jonka itse muistaa. Vaikkapa joulu6 tai 25wattia.
>>
>>Eihän mikään *sala*sana saa sisältää mitään sanaa millään kielellä.
>
> Syy? Jos salasana on jokin nimi tai sana joka on itselle tuut
> niin mikä ettei sitä voisi käyttää salasanana? Ei sen tarvitse
> olla "hU5Dm8Bz". Se voi olla vaikka "höpsistä" tai "tinamuki".
Siksi että esimerkiksi tinamuki löytyy sanakirjan sanoja yhdistelemällä.
Itseasiassa ihmettelen miksi sama mies joka pitää liimassa olevaa
numeroparia turvallisuusriskinä, ei kuitenkaan pidä sanakirjassa olevaa
salasanaa ongelmana.
Ajatteles nyt, sinun salasanasi "tinamuki" löytyy jokaisen suomalaisen
kirjahyllystä.
--
Kalevi Kasvi
Matti Kaki
says...
>
>
>"Matti Kaki" <oh2bio...@sci.fi.invalid> wrote in message
>news:d7p12j$3g0$2...@phys-news1.kolumbus.fi...
>> In article <429f61d1$0$30699$9b53...@news.fv.fi>,
>> mika.k.t...@iki.fi
>> says...
>>>
>>>
>>>Matti Kaki wrote:
>>>
>>>> Olen tästä useaan kertaan Sammolle kertonut mutta siellä
>>>> ollaan sitä mieltä, että tiuo neljän numeron PIN-koodi on
>>>> riittävä turvallisuusaste. Perustelivat silläkin, että
>>>> on helpompi muistaa neljä numeroa. Muitta kun asiakas voi
>>>> itse valita oman salasanansa niin voi tehdä juuri sellaisen
>>>> yhdistelmän jonka itse muistaa. Vaikkapa joulu6 tai 25wattia.
>>>
>>>Eihän mikään *sala*sana saa sisältää mitään sanaa millään kielellä.
>>
>> Syy? Jos salasana on jokin nimi tai sana joka on itselle tuut
>> niin mikä ettei sitä voisi käyttää salasanana? Ei sen tarvitse
>> olla "hU5Dm8Bz". Se voi olla vaikka "höpsistä" tai "tinamuki".
>
>Siksi että esimerkiksi tinamuki löytyy sanakirjan sanoja yhdistelemällä.
So what? Salasanahakkeriohjelmat kokeilevat satunnaislukugeneraattotilla.
Vai tarkoitatko, että tuollainen salasana olisi jonkun helppo keksiä?
>Itseasiassa ihmettelen miksi sama mies joka pitää liimassa olevaa
>numeroparia turvallisuusriskinä, ei kuitenkaan pidä sanakirjassa olevaa
>salasanaa ongelmana.
Siksi, että on huomattavsti helpompaa kokeilla säännönmukaisesti
10000 numeroyhdistelmää kuin jonkun itse keksimää salasanaa. Se voi
olla jokin mikä ei sanakirjasta löydy (miksi ei saisi sankirjastas
löytyä?) kuten vaikkapa "sikakuru" tai "lööperiä". Jos haluaa oikein
hankaloittaa niin laittaa vaikka "sikAkuru" tai "lÖÖperiä".
>Ajatteles nyt, sinun salasanasi "tinamuki" löytyy jokaisen suomalaisen
>kirjahyllystä.
En silti ymmärrä miksi se olisi salasana _niin_ huono. Jos ajatellaan
noin nin niitä sanoja on satojatuhansia ja jos salasana on tehty niin,
että siinä on isoja ja pieniä kirjaimia niin saapaha olla aika onnekas
se joka sanakirjan avulla murtautuu johonkin. Ja kun se murtautuja ei
tosiaankaan tiedä onko henkilöllä käytössään sekava vai selkokielinen
salasana. Näin sanakirjan sanojen lisääminen salasanamahdfollisuuksiin
laajentaa salasanojen mahdollisuutta entisestäänkin.
Risto Lankinen
"Kalevi Kasvi" <kalevi...@ebaana.net> wrote in message
news:42a016e4$0$22839$39db...@news.song.fi...
> "Matti Kaki" <oh2bio...@sci.fi.invalid> wrote in message
> news:d7p12j$3g0$2...@phys-news1.kolumbus.fi...
> >
> > niin mikä ettei sitä voisi käyttää salasanana? Ei sen tarvitse
> > olla "hU5Dm8Bz". Se voi olla vaikka "höpsistä" tai "tinamuki".
>
> Siksi että esimerkiksi tinamuki löytyy sanakirjan sanoja yhdistelemällä.
Vielä helpommin se löytyy aapisen kirjaimia yhdistelemällä.
- Risto -
P.S. Tästähän voineekin jo päätellä että turvallisin salasana on
sellainen, minkä syöttämiseen ei ole edes olemassa näppäimistöä.
- Risto -
Ari Wuolle
> "Delete new cookies when exiting opera" eli vaatii koko selaimen
> sulkemisen mikä on suuri operaatio koska minulla on yleensä
> kymmeniä ikkunoita auki yhtaikaa.
Sama rajoitus taitaa olla muissakin selaimissa - eli piparit
poistetaan vasta kun koko selain suljetaan. Tuota voi tietysti kiertää
useita eri selainohjelmia. Eli pitää ne kymmenet ikkunat auki vaikka
Firefoxissa ja mennä pankkiin Operalla. Näin pelkkä Operan
lopettaminen sulkee vain pankin ikkunan.
Onneksi Nordealla ja Handelsbankenilla tilisiirrot vahvistetaan niiden
syöttämisen jälkeen. Näin auki unohtueella selaimella ei pysty
tekemään juuri muuta kuin ihailemaan saldoa.
Ari Wuolle
Janne Kuokkanen
> So what? Salasanahakkeriohjelmat kokeilevat satunnaislukugeneraattotilla.
> Vai tarkoitatko, että tuollainen salasana olisi jonkun helppo keksiä?
Laitappa Googleen hakusanaksi "sanakirjahyökkäys".
> Siksi, että on huomattavsti helpompaa kokeilla säännönmukaisesti
> 10000 numeroyhdistelmää kuin jonkun itse keksimää salasanaa. Se voi
> olla jokin mikä ei sanakirjasta löydy (miksi ei saisi sankirjastas
> löytyä?) kuten vaikkapa "sikakuru" tai "lööperiä". Jos haluaa oikein
> hankaloittaa niin laittaa vaikka "sikAkuru" tai "lÖÖperiä".
Hyvä salasana sisältää kirjaimia (isoja ja pieniä), numeroita ja kenties
jonkun erikoismerkin tai kaksi. Edelleen, kirjaimet eivät saisi muodostaa
sanakirjasta löytyvää sanaa.
Kuulostaako liian hankalalta muistaa? No ei hätää, ihminen on sen verran
fiksu, että se kehittää näppärästi jonkun muistisäännön...
> >Ajatteles nyt, sinun salasanasi "tinamuki" löytyy jokaisen suomalaisen
> >kirjahyllystä.
>
> En silti ymmärrä miksi se olisi salasana _niin_ huono. Jos ajatellaan
> noin nin niitä sanoja on satojatuhansia ja jos salasana on tehty niin,
> että siinä on isoja ja pieniä kirjaimia niin saapaha olla aika onnekas
> se joka sanakirjan avulla murtautuu johonkin. Ja kun se murtautuja ei
> tosiaankaan tiedä onko henkilöllä käytössään sekava vai selkokielinen
> salasana. Näin sanakirjan sanojen lisääminen salasanamahdfollisuuksiin
> laajentaa salasanojen mahdollisuutta entisestäänkin.
Usko jo. Jos joku _todella_ haluaa urkkia salasanan selville niin se on
aivan varma, että yksi hyökkäysmetodeista on sanakirja: tällä metodilla
kun selviää lähes kaikkien 'laiskojen' salasana. Ei ne tietokoneet, jotka
käyvät läpi näitä lukemattomia kombinaatioita, valita työtaakasta.
T: Janne
Kari Asikainen
> niin mikä ettei sitä voisi käyttää salasanana? Ei sen tarvitse
> olla "hU5Dm8Bz". Se voi olla vaikka "höpsistä" tai "tinamuki".
Muut jo kertoivatkin miksi jokin selväkielinen salasana on huono asia.
Ensimmäinen salasanaehdotuksesi on hyvä, jälkimmäiset kaksi eivät.
Todistit juuri samalla että antamalla ihmisille mahdollisuus itse
määrätä "pitkä" salasana ei välttämättä tuo erityisesti lisäturvaa
verrattuna vaikkapa Sammon pin-koodiin.
Vinkki miten saat helposti luotua hyvän salasanan:
Keksi jokin lause, jossa on vähintään 8 sanaa ja numeroita. Tämän
jälkeen ota sanojen alkukirjaimet ja numerot, ja muodosta näistä
salasana - vaihda 1 tai 2 kirjainta isoiksi kirjaimiksi.
Näin sinulla on salasana joka on helppo muistaa, mutta silti
"siansaksaa" jolloin sanakirjahyökkäys ei siihen tehoa.
-kas
Matti Kaki
Olisi myynnissä Nykysuomen Sanakirja. 3 osaa. Vuodelta 1966.
En myy hakkereille enkä voroille. :-)
Matti Kaki
says...
Aika hyvä ohje. Erinomainen.
Mutta ihan tosissaan. Onko joku oikeasti hyökännyt salasanojen
kimppiuun sanakirjan kanssa? Siis ihan oikeasti? Vaatii kyllä
hyvin pitkän ajan koska jos vaikka voi kerrallaan yrittää kolme
kertaa ja sitten pitää olla tauko. Niin jos sanakirjassa on
96000 sanaa niin niiden syöttömiseen kuluu 32000 kertaa!
Jos tekee sen kerran tunnissa vuorokauden ympäri niin aikaa
kuluu 1333 päivää. Sitten pitää alkaa uudestan laittamalla
eka kirjain isoksi jos salasanan keksijä onkin ollut ovela.
Ei oikein taida lyödä leiville. Ei edes vedelle ja leivälle. :-)
Jari Eskelinen
>> Siksi että esimerkiksi tinamuki löytyy sanakirjan sanoja yhdistelemällä.
> Vielä helpommin se löytyy aapisen kirjaimia yhdistelemällä.
Sitten kun lasket montako vaihtoehtoa tulee käydä läpi kun löydetään
salasana "tinamuki" yhdistelemällä kirjaimia ja montako, kun yhdistellään
suomen kielen sanoja, niin sitten jo oivallat miksi tinamuki on erittäin
huono salasana. Lakse vielä vielä sellaiset mahdollisuudetkin, että käytät
"ovelaa" kirjoitusasua kuten t1N4Muk!. Taitaa siltikin vielä löytyä
nopsemmin sanakirjahyökkyksellä ko. salasana, kuin läpikäymällä kaikki
merkit.
Tämän kun oivaltaa, niin jo tuntuu että turvallisen salasnan muistaminen on
mahdotonta, etenkin jos niitä tarvitsee useampia. Sen jälkeen odottaakin
oivaltamista kehittyneemmät menetelmät, jotka olisi pitänyt olla yleisessä
käytössä jo 10 vuotta sitten, mutta ei ole käytössä vieläkään. Eli.
hardware-pohjaiset autentikointilaitteet, joiden turvallisuus perustuu sekä
lyhyeen salasanaan, että hardwareen jota ilman ei salat aukene. Nimim. ei
ole tarvinnut enää vuoteen muistaa kuin tasan yksi nelimerkkinen pin-koodi
ja pitää USB-dongelia mukana.
Ps. Ja juu, koska pankit vetävät tunnukset lukkoon muutaman virheelilsen
yrityksen jälkeen, niin riski ei ole kovin suuri vaikka pankkiyhteyden
salasana olisikin tinamuki.
--
Jari Eskelinen - jari.eske...@iki.fi
http://www.iki.fi/jari.eskelinen/
Risto Lankinen
"Jari Eskelinen" <jarpat...@iki.fi> wrote in message
news:kjo5n2-...@jarpatus.dyndns.org...
> Risto Lankinen kirjoitteli:
>
> >> Siksi että esimerkiksi tinamuki löytyy sanakirjan sanoja
yhdistelemällä.
> > Vielä helpommin se löytyy aapisen kirjaimia yhdistelemällä.
>
> Sitten kun lasket montako vaihtoehtoa tulee käydä läpi kun löydetään
> salasana "tinamuki" yhdistelemällä kirjaimia ja montako, kun yhdistellään
> suomen kielen sanoja, niin sitten jo oivallat miksi tinamuki on erittäin
> huono salasana.
Suomenkielen redundanssi on jossain 25%-30% paikkeilla
[eli sen vrrn voi krjaimsta jttää ps ja slti vstin voi viel ymmrt]
Sanaparin "tinamuki" (8 kirjainta) entropia vastaa siten noin
kuutta satunnaista kirjainta. Huonompi toki, mutta ei paljoa.
Toinen tapa: Jos sanakirjassa on 100.000 sanaa, niin siinä on
10 miljardia sanaparia. Suomenkielessä on 21 kirjainta jolloin
8-kirjaimisia merkkiyhdistelmiä on noin 38 miljardia. Näistä
muita kuin sanoja on siis 28 miljardia <-vs-> 10 miljardia
sanaa, eli parannus kyllä mutta ei läheskään niin suuri kuin
näytät luulevan.
> Lakse vielä vielä sellaiset mahdollisuudetkin, että käytät
> "ovelaa" kirjoitusasua kuten t1N4Muk!. Taitaa siltikin vielä löytyä
> nopsemmin sanakirjahyökkyksellä ko. salasana, kuin läpikäymällä kaikki
> merkit.
Kaikki lisäjekkuilut pelkästään kaventavat suhteellista eroa.
- Risto -
Juha Ruismäki
> Mutta ihan tosissaan. Onko joku oikeasti hyökännyt salasanojen
> kimppiuun sanakirjan kanssa? Siis ihan oikeasti?
Siis nuo hyökkäykset perustuvat siihen, että on jotain
materiaalia, johon koneen voi antaa hyökätä. Ennen vanhaan
ne olivat jotain unixien password-tiedostoja tai Windowsien
vastaavia salasanatiedostoja. Samoin materiaalina voi olla
verkosta haisteltuja ja kerättyjä challenge-response pareja,
joista lähdetään sitten hakemaan sanastosta sopivaa salasanaa.
> Vaatii kyllä hyvin pitkän ajan koska jos vaikka voi kerrallaan
> yrittää kolme kertaa ja sitten pitää olla tauko.
Muuten olen sitä mieltä, että jos järjestelmään pystyy
käytännössä edes yrittämään sanastohyökkäystä, niin siinä on
jotain pahasti vialla.
Juha
Kari Asikainen
> Mutta ihan tosissaan. Onko joku oikeasti hyökännyt salasanojen
> kimppiuun sanakirjan kanssa? Siis ihan oikeasti? Vaatii kyllä
On. Tämä on vanhimpia tapoja murtaa salasanoja kun salasanojen kryptatut
vastineet on jotenkin saatu haltuun (tietokanta tai vaikkapa Unixin
passwd-tiedosto tai Windowsin salasanatietokanta). Unix-varianteissa
siirryttiin käyttämään ns. shadow -tiedostoja salasanoissa juuri
sanakirjahyökkäysten takia. Monissa Unix-järjestelmissä vielä nykyäänkin
vaikka sanakirjahyökkäykset eivät ole enää niin helppoja toteuttaa
salasanaa vaihdettaessa järjestelmä tarkastaa salasanan jotain
sanakirjatiedostoa vasten ja ei anna vaihtaa salasanaa mikäli se on
sanakirjasana.
Olitkin jo oikeilla jäljillä siinä, miten sanakirjahyökkäystä vastaan
pystyy suojatumaan, eli kasvattamalla (mahdollisesti exponentiaalisesti)
aikaa millä välillä salasanoja voi kokeilla, tai tunnuksen lukitsemalla
väärien yritysten jälkeen.
Pankin järjestelmässä tällä ei siis ole oikein käytännön merkitystä
ellet saa jotenkin haltuusi kaikkien käyttäjien kryptattuja salasanoja,
mutta tällöin onkin jo jotain muuta pielessä...
Sammon PIN-koodin tapauksessa pointti onkin nimenomaan se, että ei
oikein ole väliä onko niitä vaihtoehtoja 10 tuhatta vai 10 miljoonaa,
koska koko systeemin turva perustuu siihen että sitä pin-koodia ei saa
vapaasti yrittää syöttää mielivaltaisen montaa kertaa, ja jo 3/10 000
(vai montako yritystä se Sampo kestikään?) on senverran pieni
todennäköisyys että pankki ei ole nähnyt riskianalyysissään tarvetta
erilaiseen järjestelmään, joka ei mm. sanakirjasanojen takia olisi
välttämättä edes vahvempi kaikissa tapauksissa.
-ka
Osmo R
.
>
> Mutta ihan tosissaan. Onko joku oikeasti hyökännyt salasanojen
> kimppiuun sanakirjan kanssa? Siis ihan oikeasti?
Helsingin ylipopistolla ylläpito aikanaan teki niin ja lukitsi kaikki,
jotka löytyivät. Sitten porukka meni henkkareiden kanssa avaamaan niitä.
> Vaatii kyllä
> hyvin pitkän ajan koska jos vaikka voi kerrallaan yrittää kolme
> kertaa ja sitten pitää olla tauko. Niin jos sanakirjassa on
> 96000 sanaa niin niiden syöttömiseen kuluu 32000 kertaa!
Ennen /etc/passwd tiedodosto olivat kaikkien luettavissa, jolloin
niihin sai rauhassa ajaa sanakirjaa läpi. Tietysti tämä oli paljon
pahempi moka kuin itse salasana.
> Jos tekee sen kerran tunnissa vuorokauden ympäri niin aikaa
> kuluu 1333 päivää. Sitten pitää alkaa uudestan laittamalla
> eka kirjain isoksi jos salasanan keksijä onkin ollut ovela.
> Ei oikein taida lyödä leiville. Ei edes vedelle ja leivälle. :-)
Hyökkääjä voi vaihdella käyttäjätunnuksia ja koneita vähän väliä.
Tietysti tällöin riski ysittäiselle kättäjälle on pieni, mutta
systeemiin pääsyn riski kasvaa.
Osmo
Matti Kaki
says...
>
>
>Matti Kaki wrote on 3.6.2005 13:33:
>
>> Mutta ihan tosissaan. Onko joku oikeasti hyökännyt salasanojen
>> kimppiuun sanakirjan kanssa? Siis ihan oikeasti? Vaatii kyllä
>
>On. Tämä on vanhimpia tapoja murtaa salasanoja kun salasanojen kryptatut
>vastineet on jotenkin saatu haltuun (tietokanta tai vaikkapa Unixin
>passwd-tiedosto tai Windowsin salasanatietokanta). Unix-varianteissa
>siirryttiin käyttämään ns. shadow -tiedostoja salasanoissa juuri
>sanakirjahyökkäysten takia. Monissa Unix-järjestelmissä vielä nykyäänkin
>vaikka sanakirjahyökkäykset eivät ole enää niin helppoja toteuttaa
>salasanaa vaihdettaessa järjestelmä tarkastaa salasanan jotain
>sanakirjatiedostoa vasten ja ei anna vaihtaa salasanaa mikäli se on
>sanakirjasana.
Jassoo. Mielenkiintoista.
>Sammon PIN-koodin tapauksessa pointti onkin nimenomaan se, että ei
>oikein ole väliä onko niitä vaihtoehtoja 10 tuhatta vai 10 miljoonaa,
>koska koko systeemin turva perustuu siihen että sitä pin-koodia ei saa
>vapaasti yrittää syöttää mielivaltaisen montaa kertaa, ja jo 3/10 000
>(vai montako yritystä se Sampo kestikään?) on senverran pieni
>todennäköisyys että pankki ei ole nähnyt riskianalyysissään tarvetta
>erilaiseen järjestelmään, joka ei mm. sanakirjasanojen takia olisi
>välttämättä edes vahvempi kaikissa tapauksissa.
Siinä kyllä joku intohimoinen ja viitseliäs voi kokeilla pitkän
ajan kuluessa. Ei mene kuin 3333,3 kertaa niin on ainankin mennyt
läpi. Ja jos otetaan mukaan sattuma niin on paljon suurempi
todennäköisyys naputella ne oikeat neljä numeroa kuin 8 merkkiä.
Kari Asikainen
> Siinä kyllä joku intohimoinen ja viitseliäs voi kokeilla pitkän
> ajan kuluessa. Ei mene kuin 3333,3 kertaa niin on ainankin mennyt
Saattaisi se tilin omistaja ihmetellä ja vaihtaa sekä asiakasnumeroaa
että salasanaansa kun on joutunut käymään sadatta kertaa pankissa
henkkareiden kanssa avaamassa palvelun uudestaan.
> läpi. Ja jos otetaan mukaan sattuma niin on paljon suurempi
> todennäköisyys naputella ne oikeat neljä numeroa kuin 8 merkkiä.
Jos otetaan mukaan sattuma ja kokeillaan salasanoja "lumikola", "toyota"
ja "kesämökki" vaikka 3333,3:een käyttäjätunnukseen niin voisi oikein
hyvin tärpätä...
-ka
Mikko Järvinen
> Hyvä salasana sisältää kirjaimia (isoja ja pieniä), numeroita ja kenties
> jonkun erikoismerkin tai kaksi. Edelleen, kirjaimet eivät saisi muodostaa
> sanakirjasta löytyvää sanaa.
Hyvä salasana ei kyllä sisällä ääkkösiä ja erikoismerkkienkin kanssa
pitää harkita toiseenkin kertaan. Kumminkin törmää tilanteeseen, että
niitä pitäisi kirjoittaa jollain hämärällä näppäimistöasettelulla
jossa niitä ei ole tai ei oikein tiedä missä ne ovat.
--
Mikko Järvinen - ech at iki dot fi - http://www.iki.fi/ech/
Matti Kaki
says...
>
>
>Matti Kaki wrote:
>
>> Siinä kyllä joku intohimoinen ja viitseliäs voi kokeilla pitkän
>> ajan kuluessa. Ei mene kuin 3333,3 kertaa niin on ainankin mennyt
>
>Saattaisi se tilin omistaja ihmetellä ja vaihtaa sekä asiakasnumeroaa
>että salasanaansa kun on joutunut käymään sadatta kertaa pankissa
>henkkareiden kanssa avaamassa palvelun uudestaan.
:-) Mutta eikös kolme kertaa voi yrittää ilman lukitusta?
>> läpi. Ja jos otetaan mukaan sattuma niin on paljon suurempi
>> todennäköisyys naputella ne oikeat neljä numeroa kuin 8 merkkiä.
>
>Jos otetaan mukaan sattuma ja kokeillaan salasanoja "lumikola", "toyota"
>ja "kesämökki" vaikka 3333,3:een käyttäjätunnukseen niin voisi oikein
>hyvin tärpätä...
Nojoo. Noita salasanoja kyllä voisi olla _aika_ monta.
Jari Pirhonen
>
> Mutta ihan tosissaan. Onko joku oikeasti hyökännyt salasanojen
> kimppiuun sanakirjan kanssa? Siis ihan oikeasti? Vaatii kyllä
> hyvin pitkän ajan koska jos vaikka voi kerrallaan yrittää kolme
> kertaa ja sitten pitää olla tauko. Niin jos sanakirjassa on
Salasanojen hashit täytyy kerätä jostain ensi talteen: tiedostosta, verkosta,...
Sitten voidaan ajaa sanakirjatarkastus ja sanakirjat voivat siältää myös
erikoissanastoa, klingonia, latinaa, elokuvien hahmoja, jne. Luonnollisesti
kannattaa ottaa mukaan "kohderyhmään" liittyvää erikoistermistöä.
Nykyään homma käy nopeammin Rainbow tables tekniikalla, jossa salasanahashit on
ajettu valmiiksi jättimäiseen tauluun ja sitten vain verrataan haluttua hashia
taulun arvoihin.
Salasanan vahvuuteen vaikuttaa entropia eli kuinka paljon satunnaisuutta on
mukana. Koskapa salasana syötetään näppäimistöltä, ei bittejä voi ihan
satunnaiseksi saadakaan. Entropia per merkki vaihtelee välillä 2,5 bittiä (vain
isot tai pienet kirjaimet) ja 6,5 bittiä (satunnainen, näppäimistön kaikkia
merkkejä hyödyntävä salasana, isot ja pienet kirjaimet). Tasoon 6,5 bittiä
entropiaa per merkki ei taida päästä ellei salasana ole koneellisesti generoitu.
Jari
Mika Pirhonen
>>Sammon PIN-koodin tapauksessa pointti onkin nimenomaan se, että ei
>>oikein ole väliä onko niitä vaihtoehtoja 10 tuhatta vai 10 miljoonaa,
>>koska koko systeemin turva perustuu siihen että sitä pin-koodia ei saa
>>vapaasti yrittää syöttää mielivaltaisen montaa kertaa, ja jo 3/10 000
>>(vai montako yritystä se Sampo kestikään?) on senverran pieni
>>todennäköisyys että pankki ei ole nähnyt riskianalyysissään tarvetta
>>erilaiseen järjestelmään, joka ei mm. sanakirjasanojen takia olisi
>>välttämättä edes vahvempi kaikissa tapauksissa.
>
> Siinä kyllä joku intohimoinen ja viitseliäs voi kokeilla pitkän
> ajan kuluessa. Ei mene kuin 3333,3 kertaa niin on ainankin mennyt
> läpi. Ja jos otetaan mukaan sattuma niin on paljon suurempi
> todennäköisyys naputella ne oikeat neljä numeroa kuin 8 merkkiä.
Sinä se et tuosta mahdollisuudesta (lue:'mahdottomuudesta') anna
periksi. Et sitten millään.
Ja edelleenkin, se järjestelmä todennäköisesti varoittaa ylläpitoa
asiakkaan epänormaalista käyttäytymisestä, mikäli salasanaa arvotaan
tuhansia kertoja.
Mika.
Mika Pirhonen
>>> itse valita oman salasanansa niin voi tehdä juuri sellaisen
>>> yhdistelmän jonka itse muistaa. Vaikkapa joulu6 tai 25wattia.
>>
>>Eihän mikään *sala*sana saa sisältää mitään sanaa millään kielellä.
>
> Syy? Jos salasana on jokin nimi tai sana joka on itselle tuut
> niin mikä ettei sitä voisi käyttää salasanana? Ei sen tarvitse
> olla "hU5Dm8Bz". Se voi olla vaikka "höpsistä" tai "tinamuki".
Sinussa kyllä on aivan selvästi poliitikkoainesta. Vihje: takki.
Mika.
Janne Kuokkanen
> Janne Kuokkanen <jaku...@mail.student.oulu.fi> wrote:
> > Hyvä salasana sisältää kirjaimia (isoja ja pieniä), numeroita ja kenties
> > jonkun erikoismerkin tai kaksi. Edelleen, kirjaimet eivät saisi muodostaa
> > sanakirjasta löytyvää sanaa.
>
> Hyvä salasana ei kyllä sisällä ääkkösiä ja erikoismerkkienkin kanssa
> pitää harkita toiseenkin kertaan. Kumminkin törmää tilanteeseen, että
> niitä pitäisi kirjoittaa jollain hämärällä näppäimistöasettelulla
> jossa niitä ei ole tai ei oikein tiedä missä ne ovat.
Hmmm, joo ei tietenkään ääkkösiä sentään. Jälkimmäiseen olen kyllä
törmännyt kun jouduin käyttämään jotain kummallista näppistä. Tästä kyllä
selviää kun kokeilee, että mistä hitosta mikäkin merkki tulee (tietysti,
käytetyn erikoismerkin tulisi sisältyä niihin ensimmäisiin 128:aan).
Matkoillahan näitä tilanteita tulee enimmäkseen vastaan.
T: Janne
Janne Kuokkanen
> Jos otetaan mukaan sattuma ja kokeillaan salasanoja "lumikola", "toyota"
> ja "kesämökki" vaikka 3333,3:een käyttäjätunnukseen niin voisi oikein
> hyvin tärpätä...
Tyypiltä, jonka salasana on "toyota", ei todennäköisesti löydy tililtä
latiakaan... (toyota-miehet/naiset, olen pahoillani :)
T: Janne
Matti Kaki
says...
>
>
>Matti Kaki wrote:
>
>>>Sammon PIN-koodin tapauksessa pointti onkin nimenomaan se, että ei
>>>oikein ole väliä onko niitä vaihtoehtoja 10 tuhatta vai 10 miljoonaa,
>>>koska koko systeemin turva perustuu siihen että sitä pin-koodia ei saa
>>>vapaasti yrittää syöttää mielivaltaisen montaa kertaa, ja jo 3/10 000
>>>(vai montako yritystä se Sampo kestikään?) on senverran pieni
>>>todennäköisyys että pankki ei ole nähnyt riskianalyysissään tarvetta
>>>erilaiseen järjestelmään, joka ei mm. sanakirjasanojen takia olisi
>>>välttämättä edes vahvempi kaikissa tapauksissa.
>>
>> Siinä kyllä joku intohimoinen ja viitseliäs voi kokeilla pitkän
>> ajan kuluessa. Ei mene kuin 3333,3 kertaa niin on ainankin mennyt
>> läpi. Ja jos otetaan mukaan sattuma niin on paljon suurempi
>> todennäköisyys naputella ne oikeat neljä numeroa kuin 8 merkkiä.
>
>Sinä se et tuosta mahdollisuudesta (lue:'mahdottomuudesta') anna
>periksi. Et sitten millään.
Ei todellakaan ole mahdotonta. Miten perustelet sen mahdottomaksi?
Mikäli systeemi antaa käydä tunnin välein kokeilemassa kolmea eri
PIN-koodia niin piankos se tili on auki. Ei tässä pitäisi olla mitään
vaikeata ymmärtää. 10 h päivässä vaikka niin se on 30 koodia päivässä
ja näin ollen aikaa kuluu _koko_ lukuskaalan läpikäymiseen kolmisen
kuukautta. Ja kun jättää pois samoja numeroita sisältävät niin vähenee
entisestäänkin. Ja kun tiedetään, että ihmisillä on paha tapa ottaa
PIN-koodiksi joko puhelinnumeron alku tai syntymäpäivä ja -kuukausi
niin niistä on hyvä alkaa.
Valitettavasti aika moni turvapuolellakin ajattelee laillasi. Olisi
ehkä syytä herätä. Ja Sampokin on heräämässä vaikka vähän hitaasti.
>Ja edelleenkin, se järjestelmä todennäköisesti varoittaa ylläpitoa
>asiakkaan epänormaalista käyttäytymisestä, mikäli salasanaa arvotaan
>tuhansia kertoja.
Jos näin on niin siinä tapauksessa tietenkin ollaan vahvemmalla puolella.
Nordeassa muuten on ollut jo pitkään käytössä systeemi missä joka
kerta kysytään turvalukua sisäänkirjautuessa. Ja koska Sampokin
on siihen siirtymässä niin ovat ilmeisesti viimein todenneet, että
pelkkä asiakastunnukseen ja 4-numeroiseen PIN-koodiin perustuva
systeemi on liian turvaton. Tuskin muuten menisivät muutamaan. :-D
Teppo Oranne
>
>
> Ei todellakaan ole mahdotonta. Miten perustelet sen mahdottomaksi?
>
> Mikäli systeemi antaa käydä tunnin välein kokeilemassa kolmea eri
> PIN-koodia niin piankos se tili on auki. Ei tässä pitäisi olla mitään
> vaikeata ymmärtää. 10 h päivässä vaikka niin se on 30 koodia päivässä
> ja näin ollen aikaa kuluu _koko_ lukuskaalan läpikäymiseen kolmisen
> kuukautta. Ja kun jättää pois samoja numeroita sisältävät niin vähenee
> entisestäänkin. Ja kun tiedetään, että ihmisillä on paha tapa ottaa
> PIN-koodiksi joko puhelinnumeron alku tai syntymäpäivä ja -kuukausi
> niin niistä on hyvä alkaa.
>
Mutta jos lopetetaan olettamiset ja pitäydytään tosiasioissa, homma on
mahdoton.
Sammossa siis tarvitaan asiakastunnus, jonka siis voi saada haltuunsa.
Sitten pitää päästä sisään sillä 4-numeroisella koodilla, jota voit
arvata kaksi kertaa ja jos kolmaskin epäonnistuu, tili on lukossa ja
vaatii tilinhaltijan henkilökohtaisen käynnin konttorissa.
Jos on meedion kykyjä eikä kuitenkaan halua rikastua lottoamalla, eli
pääsee tästä läpi, näkee tilin saldon. Seuraavaksi tarvitaan siitä
avainkortista numerosarja, joka siis pitää olla juuri se joka on
vuorossa. Vuoro ei vaihdu yrittämällä vaan vasta sitten kun ko. numero
on käytetty kertaalleen onnistuneesti.
Ja kaiken tämän sattuman jälkeen päästään katsomaan tavallisen rahvaan
tiliä, jolta voisi siis siirtää omalle tililleen seitsemän euroa ja
siirto näkyy tiliotteessa ja tapahtuma on melkoisen helppo jäljittää
viranomaisten avulla.
Voi kuinka paljon helpompaa onkaan tyytyä ihan vain varastamaan rahaa
tai omaisuutta perinteisin keinoin.
Matti Kaki
>> Ei todellakaan ole mahdotonta. Miten perustelet sen mahdottomaksi?
>>
>> Mikäli systeemi antaa käydä tunnin välein kokeilemassa kolmea eri
>> PIN-koodia niin piankos se tili on auki. Ei tässä pitäisi olla mitään
>> vaikeata ymmärtää. 10 h päivässä vaikka niin se on 30 koodia päivässä
>> ja näin ollen aikaa kuluu _koko_ lukuskaalan läpikäymiseen kolmisen
>> kuukautta. Ja kun jättää pois samoja numeroita sisältävät niin vähenee
>> entisestäänkin. Ja kun tiedetään, että ihmisillä on paha tapa ottaa
>> PIN-koodiksi joko puhelinnumeron alku tai syntymäpäivä ja -kuukausi
>> niin niistä on hyvä alkaa.
>Mutta jos lopetetaan olettamiset ja pitäydytään tosiasioissa, homma on
>mahdoton.
>
>Sammossa siis tarvitaan asiakastunnus, jonka siis voi saada haltuunsa.
>Sitten pitää päästä sisään sillä 4-numeroisella koodilla, jota voit
>arvata kaksi kertaa ja jos kolmaskin epäonnistuu, tili on lukossa ja
>vaatii tilinhaltijan henkilökohtaisen käynnin konttorissa.
Onko tämä nyt varma tieto? Tuosta on liikkunut erilaisia arveluja.
Mutta jos ajatellaan, että kaksi kertaa voi kokeilla eikä siinä
ole mitään aikarajaa milloin voi seuraavan kerran yrittää niin
kauan ei kestä päästä sisään.
>Jos on meedion kykyjä eikä kuitenkaan halua rikastua lottoamalla, eli
>pääsee tästä läpi, näkee tilin saldon. Seuraavaksi tarvitaan siitä
>avainkortista numerosarja, joka siis pitää olla juuri se joka on
>vuorossa. Vuoro ei vaihdu yrittämällä vaan vasta sitten kun ko. numero
>on käytetty kertaalleen onnistuneesti.
Ei pidä paikkaansa. Kysyin tätä Sammosta ja kertoivat, että joka
kerta uudelleen kirjauduttaessa kysytään seuraavaa numeroa. Eli
kun on ensin onnistunut kirjautumaan sivulle, voi kokeilla sitä
liimaan jäänyttä numeroa ja jos ei onnistu niin poistuu ja kirjautuu
uudestaan jolloin se on mennyt yhden pykälän eteenpäin. Koska nämä
numerosarjat menevät vielä suurenemisjärjestyksessä ei ole kovin
vaikeaa arvioida koska on tulossa juuri se numero jonka omaa.
>Ja kaiken tämän sattuman jälkeen päästään katsomaan tavallisen rahvaan
>tiliä, jolta voisi siis siirtää omalle tililleen seitsemän euroa ja
>siirto näkyy tiliotteessa ja tapahtuma on melkoisen helppo jäljittää
>viranomaisten avulla.
Voi olla tilillä paljonkin. Eikä poliisi henkilöä millään löydä
jos joku on avannut väärillä kenkkareilla tilin jostain pankista
ja käy vaan nostamassa rahat ja häipyy kuin tuhka tuuleen.
Teppo Oranne
> Onko tämä nyt varma tieto? Tuosta on liikkunut erilaisia arveluja.
> Mutta jos ajatellaan, että kaksi kertaa voi kokeilla eikä siinä
> ole mitään aikarajaa milloin voi seuraavan kerran yrittää niin
> kauan ei kestä päästä sisään.
Tai jos ajatellaan että ei olisi ollenkaan mitään tunnuksia vaan kaikki
voisi suoraan vapaasti käyttää kaikkien tilejä niin olisi vielä helpompaa...
>
>
>>Jos on meedion kykyjä eikä kuitenkaan halua rikastua lottoamalla, eli
>>pääsee tästä läpi, näkee tilin saldon. Seuraavaksi tarvitaan siitä
>>avainkortista numerosarja, joka siis pitää olla juuri se joka on
>>vuorossa. Vuoro ei vaihdu yrittämällä vaan vasta sitten kun ko. numero
>>on käytetty kertaalleen onnistuneesti.
>
>
> Ei pidä paikkaansa. Kysyin tätä Sammosta ja kertoivat, että joka
> kerta uudelleen kirjauduttaessa kysytään seuraavaa numeroa. Eli
> kun on ensin onnistunut kirjautumaan sivulle, voi kokeilla sitä
> liimaan jäänyttä numeroa ja jos ei onnistu niin poistuu ja kirjautuu
> uudestaan jolloin se on mennyt yhden pykälän eteenpäin. Koska nämä
> numerosarjat menevät vielä suurenemisjärjestyksessä ei ole kovin
> vaikeaa arvioida koska on tulossa juuri se numero jonka omaa.
>
Kysäse uudestaan.
>
> Voi olla tilillä paljonkin. Eikä poliisi henkilöä millään löydä
> jos joku on avannut väärillä kenkkareilla tilin jostain pankista
> ja käy vaan nostamassa rahat ja häipyy kuin tuhka tuuleen.
>
Ja näinkö on tapahtunut?
Matti Kaki
>> Onko tämä nyt varma tieto? Tuosta on liikkunut erilaisia arveluja.
>> Mutta jos ajatellaan, että kaksi kertaa voi kokeilla eikä siinä
>> ole mitään aikarajaa milloin voi seuraavan kerran yrittää niin
>> kauan ei kestä päästä sisään.
>Tai jos ajatellaan että ei olisi ollenkaan mitään tunnuksia vaan kaikki
>voisi suoraan vapaasti käyttää kaikkien tilejä niin olisi vielä helpompaa...
Tämä ei onnistu koska joka tapauksessa tarvitaan käyttäjätunnus
jotta pääsisi oikeaan tiliin käsiksi. Miksi ehdotat tällaista?
>>>Jos on meedion kykyjä eikä kuitenkaan halua rikastua lottoamalla, eli
>>>pääsee tästä läpi, näkee tilin saldon. Seuraavaksi tarvitaan siitä
>>>avainkortista numerosarja, joka siis pitää olla juuri se joka on
>>>vuorossa. Vuoro ei vaihdu yrittämällä vaan vasta sitten kun ko. numero
>>>on käytetty kertaalleen onnistuneesti.
>>
>> Ei pidä paikkaansa. Kysyin tätä Sammosta ja kertoivat, että joka
>> kerta uudelleen kirjauduttaessa kysytään seuraavaa numeroa. Eli
>> kun on ensin onnistunut kirjautumaan sivulle, voi kokeilla sitä
>> liimaan jäänyttä numeroa ja jos ei onnistu niin poistuu ja kirjautuu
>> uudestaan jolloin se on mennyt yhden pykälän eteenpäin. Koska nämä
>> numerosarjat menevät vielä suurenemisjärjestyksessä ei ole kovin
>> vaikeaa arvioida koska on tulossa juuri se numero jonka omaa.
>Kysäse uudestaan.
Onko sinulla jotain muuta tietoa asiasta? Ennemmin minä uskon
Sammon nettipankin neuvontaa kuin mutujuttuja. Vai oletko
kokeillut?
Teppo Oranne
> In article <42a2b457$0$17832$f8ea...@news.gohome.fi>, te...@mpoli.fi says...
>
>
>>> Onko tämä nyt varma tieto? Tuosta on liikkunut erilaisia arveluja.
>>> Mutta jos ajatellaan, että kaksi kertaa voi kokeilla eikä siinä
>>> ole mitään aikarajaa milloin voi seuraavan kerran yrittää niin
>>> kauan ei kestä päästä sisään.
>
>
>>Tai jos ajatellaan että ei olisi ollenkaan mitään tunnuksia vaan kaikki
>>voisi suoraan vapaasti käyttää kaikkien tilejä niin olisi vielä helpompaa...
>
>
> Tämä ei onnistu koska joka tapauksessa tarvitaan käyttäjätunnus
> jotta pääsisi oikeaan tiliin käsiksi. Miksi ehdotat tällaista?
>
>
Koska sinäkin oletat että saisi loputtomasti kokeilla kaksi tunnusta
kerrallaan ja tähänkin oletukseen perustuen esität tietoturvan olevan
huono.
Samalla tavalla voidaan olettaa tunnukseksi kelpaavan aina 0000 joka on
koodaajan jättämä takaovi systeemiin ja tästä johtopäätöksenä todetaan
että tietoturva on todella huono.
Onneksi tämänlaisilla oletuksilla ei ole mitään tekemistä todellisuuden
kanssa.
Olisi kiva tietää onko suomessa ikinä onnistuneesti vohkittu
nettipankkien kautta kenenkään rahoja.
Kari Asikainen
> Voi olla tilillä paljonkin. Eikä poliisi henkilöä millään löydä
> jos joku on avannut väärillä kenkkareilla tilin jostain pankista
> ja käy vaan nostamassa rahat ja häipyy kuin tuhka tuuleen.
Jos kerran hommaan liittyy henkkarien väärentämisiä niin miksi ihmeessä
ei käy nostamassa heti aluksi rahaa väärennetyillä henkkareilla? Säästyy
paljolta vaivalta...
-ka
Matti Kaki
Jos on niin ei pankki siitä varmaan mielellän huutele. :-)
Ja nyt kannattaa muistaa, että kerta se on ensimmäinenkin.
Suomikin on nyt "maailmanmaa" emmekä ole enää missään Herran
kukkarossa. Kannattaa ottaa huomioon, että suurimmat vohkinnat
kuten nämä OTTO-automaattien lukulaitesieppaukset on tehty
ulkomaisten ammattirikollisten toimesta.
Matti Kaki
says...
Hyvä kysymys. Siihenhän ei tarvitsisi kuin henkilön nimi ja
henkilötunnus ja väärennetyt paperit. Pankki kertoo niitä
vastaan kaikki tilit mitä kyseinen henkilö omaa sekä saldot.
Tämä on yksi syy siihen miksi henkilötunnusta ei pidä levitellä.
Toisaalta toisena henkilönä esiintyminen on kertaluokkaa vaikeampaa
kuin jonakin keksittynä henkilönä oleminen. Riittää kun keksitty
henkilötunnus on oikeaa muotoa ja tarkistussumma toimii. Valokuva
voi olla ihan oikea oma kuva. Pankit eivät tietääkseni ota niistä
kuvista kopioita. Turvakamera kuvaa mutta nekin säilytetään vain
tietyn ajan. Toisaalta nykyinen tietokoneellinen kuvankaappaus
helpottaa tätäkin säilytystä ja ne voidaan helposti arkistoida
pitkänkin aikaa.
On sitä paitsi hyvin suuri vaara, että pankissa tunnetaan kyseinen
henkilö. Etenkin jos tällä on runsaasti rahaa tilillään.
Osmo R
Tili ei mene lukkoon vaan tunnukset. Kolmannella menee lukkoon. Mikä
tässä on niin vaikeaa? Tietysti voisi yrittää kolme kertaa kullekin
tunnukselle ja sitten vaihtaa tunnusta. Tunnuksia tosin teoriassa on
sata ,miljoonaa, kun Sammolla taitaa olla muutama sata tuhatta
asiakasta. Sivutuotteena homma melkohyvin lamauttaisi verkkopankin
kuntunnuksia menisi lukkoon jatkuvasti. En tiedä onko tuolle jotain
teknistä estoa.
>> Ja kaiken tämän sattuman jälkeen päästään katsomaan tavallisen
>> rahvaan tiliä, jolta voisi siis siirtää omalle tililleen seitsemän
>> euroa ja siirto näkyy tiliotteessa ja tapahtuma on melkoisen helppo
>> jäljittää viranomaisten avulla.
>
>
> Voi olla tilillä paljonkin. Eikä poliisi henkilöä millään löydä jos
> joku on avannut väärillä kenkkareilla tilin jostain pankista ja käy
> vaan nostamassa rahat ja häipyy kuin tuhka tuuleen.
>
Pitää kuitenkin muistaa, että pankki vastaa asiakkaan rahoista.
Osmo
Osmo R
>>
>> Ei pidä paikkaansa. Kysyin tätä Sammosta ja kertoivat, että joka
>> kerta uudelleen kirjauduttaessa kysytään seuraavaa numeroa. Eli kun
>> on ensin onnistunut kirjautumaan sivulle, voi kokeilla sitä liimaan
>> jäänyttä numeroa ja jos ei onnistu niin poistuu ja kirjautuu
>> uudestaan jolloin se on mennyt yhden pykälän eteenpäin. Koska nämä
>> numerosarjat menevät vielä suurenemisjärjestyksessä ei ole kovin
>> vaikeaa arvioida koska on tulossa juuri se numero jonka omaa.
>>
>
>
> Kysäse uudestaan.
>
Ei tuossa mitään kysymistä ole. Noin se on. Minä olen istse havionnut
sen kun olin muistaakseni kopioinut numeron väärin elektroniseen muistiooni.
Osmo
Osmo R
>
> Jos on niin ei pankki siitä varmaan mielellän huutele. :-)
>
> Ja nyt kannattaa muistaa, että kerta se on ensimmäinenkin. Suomikin
> on nyt "maailmanmaa" emmekä ole enää missään Herran kukkarossa.
> Kannattaa ottaa huomioon, että suurimmat vohkinnat kuten nämä
> OTTO-automaattien lukulaitesieppaukset on tehty ulkomaisten
> ammattirikollisten toimesta.
>
Ja noissakaan asiakkaat eivät jääneet ilman rahojaan. Pankki mitottaa
tietoturvansa ottaen huomioon kustannukset, asiakkaalle aiheutetun
vaivan ja riskin. Siksi pelkkä aukon olemassaolo ei välttämättä ole ongelma.
Osmo