verkkopankkiin autentikointi
Jyrki Saarinen
tietääkseni) tarjoa autentikointia sähköisellä henkilökortilla
(eli HST-kortilla), kuin OP? Luulisi että noihin
kertakäyttökoodeihin ym. perustuva TUPAS-järjestelmä olisi aika
lailla kalliimpi..
--
Jyrki Saarinen
http://koti.welho.com/jsaari88/
Kaarlo Vapaaoksa
> Mikäköhän mahtaa olla, ettei muut pankit (ainaakaan minun
> tietääkseni) tarjoa autentikointia sähköisellä henkilökortilla
> (eli HST-kortilla), kuin OP? Luulisi että noihin
> kertakäyttökoodeihin ym. perustuva TUPAS-järjestelmä olisi aika
> lailla kalliimpi..
Voisi olla aika kova paikka millekään pankille Suomessa tarjota pelkkää
HST-autentikointia. Joten se ei kuluna tulisi nykyisten järjestelmien
tilalle vaan lisäksi. Myös kustannuksiltaan.
carlos
Jyrki Saarinen
> Voisi olla aika kova paikka millekään pankille Suomessa tarjota pelkkää
> HST-autentikointia. Joten se ei kuluna tulisi nykyisten järjestelmien
> tilalle vaan lisäksi. Myös kustannuksiltaan.
En tietenkään tarkoittanut, että pelkkää HST-autentikointia
pitäisi tarjota. Mitään suurta teknistä estettä en tässä pysty
näkemään, sillä noiden kertakäyttökoodien jakelu ja kirjanpito
täytyy olla paljon kalliimpaa, kun HST-tuen tekeminen
webbisovellukseen:
1) kortinlukijoita on nykyisin hyvin saatavilla joka alusta,
ostin juuri USB-lukijan (19€), joka toimi Ubuntu 7.10:ssa
heittämällä
2) selainten tuki PKCS#11-palikoille ja digitaaliselle
allekirjoitukselle on hyvä jopa vaihtoehtoisissa
käyttöjärjestelmissä
3) www-serveissä ei tarvitse kuin kääntää SSL class 3 päälle
4) useimmat www-serverit tarjoavat jonkin mekanismin, jolla
päästään SSL-kättelyssä asiakaspäästä tulleeseen asiakkaan
varmenteeseen, jossa on sähköinen asiointitunnus
Kaarlo Vapaaoksa
> Kaarlo Vapaaoksa <car...@iki.fi> wrote:
> > Voisi olla aika kova paikka millekään pankille Suomessa tarjota pelkkää
> > HST-autentikointia. Joten se ei kuluna tulisi nykyisten järjestelmien
> > tilalle vaan lisäksi. Myös kustannuksiltaan.
> En tietenkään tarkoittanut, että pelkkää HST-autentikointia
> pitäisi tarjota. Mitään suurta teknistä estettä en tässä pysty
> näkemään, sillä noiden kertakäyttökoodien jakelu ja kirjanpito
> täytyy olla paljon kalliimpaa, kun HST-tuen tekeminen
> webbisovellukseen:
Eli käytännössä HST:n kulut tulisivat vanhan systeemin päälle. Se, että
pienelle osalle ei tarvitsisi enää postittaa vanhoja tunnuksia, ei paljoa
säästäisi. Sitten pitäisi löytää se ROI HST-autentikoinnin toteutukselle.
Veikkaisin, että pankit vaihtavat mieluusti sellaiseen järjestelyyn, jonka
voivat saavuttavan suuren suosion asiakkaiden keskuudessa. HST:n suosion
kasvua ei voi oikein haukkua räjähdysmäiseksi.
Toteutus ei sinänsä pitäisi olla hirveän vaikeaa, mutta siihen on silti
syytä käyttää "pankkikerrointa". Simppeleistä tuntuvista asioista tulee
isoja projekteja tai täysiä mahdottomuuksia. Siellä on paljon menneisyyden
painolaseja, sekä henkisiä että teknisiä.
carlos
Osmo R
> Mikäköhän mahtaa olla, ettei muut pankit (ainaakaan minun
> tietääkseni) tarjoa autentikointia sähköisellä henkilökortilla
> (eli HST-kortilla), kuin OP? Luulisi että noihin
> kertakäyttökoodeihin ym. perustuva TUPAS-järjestelmä olisi aika
> lailla kalliimpi..
>
Olisi kallis tarjota oma palvelu sinulle. En koskaan aikaisemmin
ole kuullut, että joku käyttäisi ko. kortin sähköisiä ominaisuuksia.
Osmo
Jyrki Saarinen
> Olisi kallis tarjota oma palvelu sinulle. En koskaan aikaisemmin
> ole kuullut, että joku käyttäisi ko. kortin sähköisiä ominaisuuksia.
No onhan HST-kortilla paljon muitakin palveluita, kuin pelkästään
OP:n verkkopankki.
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>> Olisi kallis tarjota oma palvelu sinulle. En koskaan aikaisemmin
>> ole kuullut, että joku käyttäisi ko. kortin sähköisiä ominaisuuksia.
>
> No onhan HST-kortilla paljon muitakin palveluita, kuin pelkästään
> OP:n verkkopankki.
>
toimi vielä, kun se pitäisi tehdä).
Osmo
Jussi Pihlajamäki
Niinpä, varsinkin kun keskimäärin kortin voimassaolo taitaa olla lyhempi
kuin kahden muuttoilmoituksen välinen aika. Lisäksi muuttoilmoituksen
tekeminenkin onnistuu nykyisin verkkopankkitunnuksilla.
HST-kortin huono puoli on se, että kortin lisäksi pitäisi mukana kantaa
myös lukijaa - ellei sitten käytä verkkopankkia vain kotoa. Lisäksi voi
olla ettei lukijalaitetta voisi käyttää esim. työkoneella.
Opiskelijat varsinkaan tuskin innostuisivat HST-kortin käytöstä:
kaikille yliopiston opiskelijoiden käytössä oleviin koneisiin lukijan
hankkiminen olisi hyvin kallista, ja jos lukija pitäisi erikseen lainata
jostain, se ei kuitenkaan olisi koskaan vapaana.
Jyrki Saarinen
> Opiskelijat varsinkaan tuskin innostuisivat HST-kortin käytöstä:
> kaikille yliopiston opiskelijoiden käytössä oleviin koneisiin lukijan
> hankkiminen olisi hyvin kallista, ja jos lukija pitäisi erikseen lainata
> jostain, se ei kuitenkaan olisi koskaan vapaana.
Ei ne lukijat maksa kuin pari kymppiä kpl.
Kaarlo Vapaaoksa
> Jussi Pihlajamäki <jussi.pi...@poistatama.hotmail.com.invalid> wrote:
> > Opiskelijat varsinkaan tuskin innostuisivat HST-kortin käytöstä:
> > kaikille yliopiston opiskelijoiden käytössä oleviin koneisiin lukijan
> > hankkiminen olisi hyvin kallista, ja jos lukija pitäisi erikseen lainata
> > jostain, se ei kuitenkaan olisi koskaan vapaana.
> Ei ne lukijat maksa kuin pari kymppiä kpl.
Josta päästäänkin siihen että miksi sijoittaa edes sitä paria kymppiä per
kone, jos niillä ei ole juuri mitään käyttöä. Jos pankit siirtyisivät
yleisesti käyttämään tuota, voisi suosiokin nousta, mutta pankit eivät
harrasta hyväntekeväisyyttä.
Hyvinkin voi olla, että tulee jokin muu henkilökohtainen
tunnistautumiskeino, joka menee HST:stä ohi. Valitettavasti valtiokin on
antanut jo periksi niin päin että useisiin palveluihin voi autentikoitua
pankkitunnuksilla.
Sirukortin sijaan usb-tikku voisi olla menestyvämpi fyysinen tapa sähköiseen
tunnistautumiseen.
Esteethän eivät ole pitkiin aikoihin olleet varsinaisesti teknisiä.
carlos
Ari Saastamoinen
> No onhan HST-kortilla paljon muitakin palveluita, kuin pelkästään
> OP:n verkkopankki.
No teoriassa sitä voisi käyttää omien juttujen salaukseen, mutta
käytännössä ei voi, kun tuon kortin sisältämästä avaimesta ei saa
itselleen varmuuskopiota, joten kortin kadotessa tai rikkoutuessa
noita salattuja tiedostoja ei voisi edes itsekään käyttää.
Ja sitten paranoidimmat eivät luota valtion ilmoitukseen, että
avaimesta ei ole varmuuskopioita, joten eivät sitä uskalla käyttää
muuhun kuin valtion omiin palveluihin, joihin valtiolla ei muutenkaan
ole tarvetta valehdella olevansa kortin omistaja.
Kumpikin noista ongelmista olisi ratkaistavissa sillä, että käyttäjä
voisi itse ladata salausavaimen kortille, ja valtio sitten ainoastaan
signeeraisi sen. Tuolle ei olisi mitään teknistä estettä ja ongelma
on pelkästään poliittinen, eikä noita joidenkin ongelmallisiksi
katsomia asioita haluta korjata.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Jyrki Saarinen
> Hyvinkin voi olla, että tulee jokin muu henkilökohtainen
> tunnistautumiskeino, joka menee HST:stä ohi. Valitettavasti valtiokin on
> antanut jo periksi niin päin että useisiin palveluihin voi autentikoitua
> pankkitunnuksilla.
Nythän Elisa ja TeliaSonera ovat tarjonneet jo pitkään RSA-avainta
SIM-kortilla. Jostain syystä niitäkään ei taida kovin montaa sataa
käytössä olla.. tuo olisi jo aika paljon näppärämpi systeemi kuin
HST-kortti.
Jyrki Saarinen
> Ai se klassinen muuttoilmoitus (harmi vaan, jos nettiyhteys ei
> toimi vielä, kun se pitäisi tehdä).
Onhan noita aika helvetin paljon muitakin:
http://www.etu-klubi.fi/vrk/etuklubi/home.nsf/etuindex?readform&url=http://www.etu-klubi.fi/vrk/etuklubi/home.nsf/pages/index_fin
Jyrki Saarinen
>> No onhan HST-kortilla paljon muitakin palveluita, kuin pelkästään
>> OP:n verkkopankki.
>
> No teoriassa sitä voisi käyttää omien juttujen salaukseen, mutta
> käytännössä ei voi, kun tuon kortin sisältämästä avaimesta ei saa
> itselleen varmuuskopiota, joten kortin kadotessa tai rikkoutuessa
> noita salattuja tiedostoja ei voisi edes itsekään käyttää.
Eiköhän "omien juttujen" salaamiseen ole paljon järkevämmät menetelmät,
esim. salaus symmetrisellä salausmenetelmällä, missä avain on generoitu
esim. passphrasesta turvallisella tavalla.
> Ja sitten paranoidimmat eivät luota valtion ilmoitukseen, että
> avaimesta ei ole varmuuskopioita, joten eivät sitä uskalla käyttää
> muuhun kuin valtion omiin palveluihin, joihin valtiolla ei muutenkaan
> ole tarvetta valehdella olevansa kortin omistaja.
Pieni paranoia on tietty aina hyvä juttu, mutta tämä taitaa mennä aika
pitkälle jo.. :)
Tapio Sokura
> Kumpikin noista ongelmista olisi ratkaistavissa sillä, että käyttäjä
> voisi itse ladata salausavaimen kortille, ja valtio sitten ainoastaan
> signeeraisi sen. Tuolle ei olisi mitään teknistä estettä ja ongelma
> on pelkästään poliittinen, eikä noita joidenkin ongelmallisiksi
> katsomia asioita haluta korjata.
Muistelen, että laatuvarmenteita (jollainen HST-kortin varmennekin on)
koskeva EU-direktiivi vaatii, että avain pitää luoda kortilla itsellään
ja siitä ei saa olla kopiota kortin ulkopuolella. Tämä siis olisi joko
todellisena tai teennäisenä syynä sille, miksi avain on siellä kortilla
valmiina, eikä käyttäjä voi sitä itse luoda ja pyytää valtiota
allekirjoittamaan. Tuetuksi formaatiksi voisi valtio kyllä ottaa myös
USB-tikut, jolloin ei tarvitse erillistä lukijalaitetta.
Harmi että HST:tä hyödynnetään niin vähän nykyään, menee kallis valtion
tarjoama varmennusinfrastruktuuri paljolti hukkaan. HST-autentikoinnin
käyttö mm. apachessa on varsin yksinkertaista, kuten toisessa
postauksessa selitettiinkin. Hieman hankalampaa on HST-allekirjoitusten
teko, mutta niitä muutenkin tarvitsee harvemmin. Allekirjoituksissa on
myös suuremmat riskit, mistäpä koskaan tiedät allekirjoituttaako kone
sinulla miljoonan euron velkatakauksen vai sen mitä ruudullaan väittää
allekirjoituttavansa.
Tapio
Osmo R
> Hyvinkin voi olla, että tulee jokin muu henkilökohtainen
> tunnistautumiskeino, joka menee HST:stä ohi. Valitettavasti valtiokin on
> antanut jo periksi niin päin että useisiin palveluihin voi autentikoitua
> pankkitunnuksilla.
Miten niin valitettavasti? Tunnut tekniikkafriikkien tapaan
ajattelevan että ihmisen pitää palvella tekniikkaa, eikä
päinvastoin. Minä näe taas asian toisinpäin. Ei ole mieltä
rakentaa systeemejä, joita kansalaiseteivtä voi käyttää, koska
pitäisi ostaa maksullinen kortti ja lukulaite.
Osmo
Osmo R
> Nythän Elisa ja TeliaSonera ovat tarjonneet jo pitkään RSA-avainta
> SIM-kortilla. Jostain syystä niitäkään ei taida kovin montaa sataa
> käytössä olla.. tuo olisi jo aika paljon näppärämpi systeemi kuin
> HST-kortti.
Tuossa on ongelma, että se ei toimi kaikilla puhelimilla. Lisäksi
miten tuota oikein käytetään netin kanssa. Eivät kaikki halua
käyttää pankkia kännykällä.
Osmo
Osmo R
>
> Harmi että HST:tä hyödynnetään niin vähän nykyään, menee kallis valtion
> tarjoama varmennusinfrastruktuuri paljolti hukkaan.
Miksi ihmeessä harmittelet moista. Minusta tämä sähköinen
henkilökortti on digi-TV:hen verrattava katastrofi. Kumpikaan ei
menestyisi ellei vaihtoehtoja olisi otettu pois. Onneksi minulla
on kuvallinen kelakortti, joten ei tarvitse maksaa moisesta lelusta.
Osmo
Jyrki Saarinen
Kyllä toimii kaikilla GSM phase 2 -luureilla, ja näitä puhelimia ovat
käytännössä kaikki (jos nyt ihan vanhimpia Nokialaisia ei lasketa).
Autentikoituminen kännykällä ei tarkoita pankin käyttöä käynnykällä.
Homma menee niin, että puhelimeen tulee allekirjoitettava haasteviesti
verkkopankilta, käyttäjä syöttää vakion PIN-koodin, jonka takana siis
RSA:n salainen avain on, ja jos allekirjoituksen vastaanottava palvelin
hyväksyy allekirjoituksen ja käyttäjän varmenteen, se sanoo
verkkopankille "ok", ja verkkopankki päästää käyttäjän _selaimen_ sisään
verkkopankkiin.
Jyrki Saarinen
> rakentaa systeemejä, joita kansalaiseteivtä voi käyttää, koska
> pitäisi ostaa maksullinen kortti ja lukulaite.
Kortinlukija maksaa parikymppiä, henkilökortti muutaman kympin
muistaakseni. Henkilöpaperit ihminen tarvitsee joka tapauksessa, ja passi
ja ajokorttikin ovat maksullisia. Mikä olikaan pointtisi?
Jyrki Saarinen
> teko, mutta niitä muutenkin tarvitsee harvemmin. Allekirjoituksissa on
> myös suuremmat riskit, mistäpä koskaan tiedät allekirjoituttaako kone
> sinulla miljoonan euron velkatakauksen vai sen mitä ruudullaan väittää
> allekirjoituttavansa.
Tätä varten allekirjoitus verifioidaan palvelimen toimesta, jota
verkkopankki käyttää allekirjoituksen pyytämiseen.
Verifiointipalvelimella on siis tiedossaan se teksti, jonka verkkopankki
halusi käyttäjän allekirjoittavan. Eihän tässä muuten olisi mitään
järkeä, jos allekirjoitusta ei tarkistettaisi.
Eli:
olkoon allekirj=RSA_salainen(tiiviste(teksti1)), jonka käyttäjä luo,
teksti1 on käyttäjän allekirjoittama tieto. Olkoon teksti2 verkkopankin
lasku.
Tällöin allekirjoitus on verifioitu (eli käyttäjä on allekirjoittanut
täsmälleen sen, mitä verkkopankki halusikin, joss on voimassa
tiiviste(teksti2)=RSA_julkinen(allekirj). Allekirjoitus siis takaa tiedon
eheyden, käyttäjän identiteetin (olettaen, että käyttäjän julkisen
avaimen uskotaan kuuluvan nimenomaan hänelle, tätä varten on olemassa
kolmas luotettu osapuoli, ns. varmentaja, esim. Väestörekisterikeskus) ja
kiistämättömyyden (oletten että verifiontipalvelin on luotetun tahon
hallinnassa ja allekirjoitustapahtuma arkistoidaan esim. tietokantaan),
joka siis tarkoittaa sitä, että käyttäjä ei voi kieltää
allekirjoittaneensa esim. laskua verkkopankissa.
Wikipedia kertoo lisää:
http://en.wikipedia.org/wiki/Digital_signature
(jostain syystä nämä asiat on aika tuttuja, 7 vuotta näiden asioiden
kanssa on tullut tehtyä töitä..)
Jyrki Saarinen
> menestyisi ellei vaihtoehtoja olisi otettu pois. Onneksi minulla
> on kuvallinen kelakortti, joten ei tarvitse maksaa moisesta lelusta.
Mitä ihmettä kuvallisella Kelakortilla tekee:
"Kuvallisella Kela-kortilla voi pankeissa ja posteissa todistaa
henkilöllisyytensä. Se ei käy henkilötodistuksena ulkomailla, eikä
esimerkiksi Suomen Alkoissa."
Sitä paitsi, HST-korttiin saa myös sairasvakuutustiedot niin halutessan,
joten se käy Kelakortin sijasta.
Mika Iisakkila
> Kortinlukija maksaa parikymppiä, henkilökortti muutaman kympin
> muistaakseni. Henkilöpaperit ihminen tarvitsee joka tapauksessa, ja passi
> ja ajokorttikin ovat maksullisia. Mikä olikaan pointtisi?
Saanko minä yrittää? Sen lisäksi että toimivat o.t.o
henkilöllisyystodistuksina, passilla pääsee ulkomaille, ajokortilla
voi ajaa autoa, mutta HST-kortilla ei tee mitään. No ehkä järjestelee
kokkelia viivoiksi paremmin kuin passilla.
--
http://www.hut.fi/u/iisakkil/ --Foo.
Jyrki Saarinen
>> Kortinlukija maksaa parikymppiä, henkilökortti muutaman kympin
>> muistaakseni. Henkilöpaperit ihminen tarvitsee joka tapauksessa, ja passi
>> ja ajokorttikin ovat maksullisia. Mikä olikaan pointtisi?
>
> Saanko minä yrittää? Sen lisäksi että toimivat o.t.o
> henkilöllisyystodistuksina, passilla pääsee ulkomaille, ajokortilla
> voi ajaa autoa, mutta HST-kortilla ei tee mitään. No ehkä järjestelee
> kokkelia viivoiksi paremmin kuin passilla.
No joo, eipä tullut moinen mieleen, kun en autoa omista.. eikös kokkelia
järjestetä viivoiksi luottokortilla ennemminkin.. (eipä silti että olisi
kokemusta)
Kaarlo Vapaaoksa
> No teoriassa sitä voisi käyttää omien juttujen salaukseen, mutta
> käytännössä ei voi, kun tuon kortin sisältämästä avaimesta ei saa
> itselleen varmuuskopiota, joten kortin kadotessa tai rikkoutuessa
> noita salattuja tiedostoja ei voisi edes itsekään käyttää.
Tuo kortin katoaminen on hyvä pointti myös pankkikäytössä. Aikanaan sain
Nordealta (saatto olla joku vanhemipikin nimi) parissa päivässä uudet
tunnusluvut kun kahvitahra oli liuottanut siitä vanhasta lämpöpaperilapusta
osan lukukelvottomaksi. Kuulemma joutuivat toimimaan kuin olisi ollut
hukkunut ja kuolettamaan vanhan siksi aikaa että uusi tuli.
Uuden HST-kortin kanssa taitaa kestää useampi viikko. Eipä oikein huvittaisi
olla niin kauaa nykysuomessa ilman online-pankkipalveluja. Eli
käyttökelvotooo ainoaksi ratkaisuksi, ja jos se ei ole ainoa ratkaisu, niin
se on lähinnä turha lisämauste.
carlos
Kaarlo Vapaaoksa
> Kaarlo Vapaaoksa wrote:
> > Hyvinkin voi olla, että tulee jokin muu henkilökohtainen
> > tunnistautumiskeino, joka menee HST:stä ohi. Valitettavasti valtiokin on
> > antanut jo periksi niin päin että useisiin palveluihin voi autentikoitua
> > pankkitunnuksilla.
> Miten niin valitettavasti? Tunnut tekniikkafriikkien tapaan
> ajattelevan että ihmisen pitää palvella tekniikkaa, eikä
> päinvastoin.
Ehkä olen tekniikkafriiki, mutta minusta olisi ihan hyvä, että olisi jokin
yleisessä käytössä oleva autentikointimenetelmä, jonka suurinpiirtein kuka
tahansa voisi ottaa käyttöön.
Tärkeintä siinä on kuitenkin että sitä ei tungeta pakolla käyttöön, vaan
motivoidaan kansalaiset käyttämään sitä tarjoamalla jotain oikeaa
hyötyä. Nykyhinnat eivät sinänsä minunkaan mielestä ole ongelma.
carlos
Sami Setälä
> henkilöllisyystodistuksina, passilla pääsee ulkomaille, ajokortilla
> voi ajaa autoa, mutta HST-kortilla ei tee mitään. No ehkä järjestelee
> kokkelia viivoiksi paremmin kuin passilla.
HST-kortilla on jo vuosia saanut matkustaa EU-alueella, nykyään se kelpaa
jopa itä-euroopan eu-jäsenvaltioihin. Siinä syy miksi itse tuon kortin
keväällä tulin hankkineeksi. Passia kun ei pirullakaan saa lompakkoon.
OP:n tapauksessa hst-kortti kaiken lisäksi vielä säästää käyttäjän noilta
kertakäyttöisiltä avainluvuilta.
-Sami-
Pekka Peura
> Osmo R <ok...@hotmail.com> wrote:
>> Kaarlo Vapaaoksa wrote:
>
>> Miten niin valitettavasti? Tunnut tekniikkafriikkien tapaan
>> ajattelevan että ihmisen pitää palvella tekniikkaa, eikä
>> päinvastoin.
>
> Ehkä olen tekniikkafriiki, mutta minusta olisi ihan hyvä, että olisi jokin
> yleisessä käytössä oleva autentikointimenetelmä, jonka suurinpiirtein kuka
> tahansa voisi ottaa käyttöön.
>
On kyllä "low-tech-ratkaisu", mutta toimii kuin junan vessa. Ihmiset
ovat tottuneet niitä käyttämään, ei ole tarvetta hankkia ja asentaa
kortinlukijoita ohjelmistoineen, ei tarvi käydä HST-kortin
hankintabyrokratiaa läpi joka viides vuosi poliisilaitoksella.
Pankkitunnusten käyttömahdollisuus on ilahduttavasti lisääntynyt mitä
erilaisimmissa verkkopalveluissa. Samaa ei voi kyllä sanoa HST-kortista.
Jos valtio olisi oikeasti halunnut saada HST-kortin läpimurron
aikaiseksi, se olisi pitänyt Viron tapaan antaa kaikille, eikä yrittää
rahastaa 40 EUR/5-v kortista jolla ei ole oikein mitään käyttöä. Tai
käyhän se Euroopassa matkustusasiakirjasta, mutta samalla hintaa saa
passinkin, joka kelpaa sitten muuaallakin.
Jyrki Saarinen
> Tärkeintä siinä on kuitenkin että sitä ei tungeta pakolla käyttöön, vaan
> motivoidaan kansalaiset käyttämään sitä tarjoamalla jotain oikeaa
> hyötyä. Nykyhinnat eivät sinänsä minunkaan mielestä ole ongelma.
Esim. Virossa on mielestäni tehty aika järkevästi, siellä kaikille on
jaettu henkilökortti, jossa on RSA-avainpari (no, tämän varmaan
tiesitkin, mutta kaikki eivät varmaan tienneet). Tämä mahdollistaa mm.
sähköisen äänestämisen. Nyt varmaan joku älähtää, että henkilön antama
ääni voidaan yhdistää henkilöön, ts. ääni ei ole anonyymi. Tähän voisi
sitten vastata, että tuskinpa ainakaan länsimaisessa yhteiskunnassa
ketään kiinnostaa mitä puoletta Virtanen äänesti. Älähdyksen hengessä
voisi sitten myöskin kuvitella tilanteen, missä äänestyskoppiin on
sijoitettu valvontakamera.
Mutta jos nyt unohdetaan tarpeeton paranoia: se taho, jota kiinnostaa
ketä Virtanen äänesti, voisi myös olla kykenevä manipuloimaan
äänestystulosta. Sähköisessä äänestämisessä pitäisi vaan pystyä
luottamaan sen palvelimen toimittajaan ja hostaajaan, että äänen
vastaanottamisen jälkeen äänestäjän identifioiva tieto tiputetaan pois.
Tämä olisi helppoa esim. siten, että on kaksi palvelinta: toinen - esim.
VRK:n hallinnoima - tarkistaa äänestäjän identiteetin, jonka jälkeen
pelkkä ääni välitetään itse äänestysjärjestelmään. Siitä miten Virossa
tämä oli toteutettu, ei mulla ole mitään käsitystä, mutta julkisuudessa
ollut puhe siitä, että nykytekniikka ei anna myöten sähköiseen
äänestykseen, on aikalailla sontaa.
Jyrki Saarinen
> Pankkitunnusten käyttömahdollisuus on ilahduttavasti lisääntynyt mitä
> erilaisimmissa verkkopalveluissa. Samaa ei voi kyllä sanoa HST-kortista.
Ainakin valtion palveluissa HST on mukana pankkitunnusten kanssa
autentikoitumisvaihtoehtona.
Pankithan tarjoavat TUPAS-tunnistusta johonkin hintaan kolmansille
osapuolille. Ehkä tässä on yksi syy miksei pankkeja kiinnosta HST-kortin
käyttö, TUPAS on niille bisnes (minkäsuuruinen bisnes, niin siitä ei
minulla ole mitään käsitystä, mutta muistelen eräästä lähteestä, jota nyt
en viitsi tässä mainita, että yhden TUPAS-tunnistuksen hinta olisi n.
10mk).
Jyrki Saarinen
> Uuden HST-kortin kanssa taitaa kestää useampi viikko. Eipä oikein huvittaisi
> olla niin kauaa nykysuomessa ilman online-pankkipalveluja. Eli
> käyttökelvotooo ainoaksi ratkaisuksi, ja jos se ei ole ainoa ratkaisu, niin
> se on lähinnä turha lisämauste.
Ei siinä noin kauaa kestä, hakemuksen jättämisestä kyttikselle, kortti
kolahti postiluukusta muistaakseni alle viikossa.
Tässä valossa en ole jälkimmäisen lauseesi kanssa ihan samaa mieltä.
Viime kerralla kun suljin Sammon verkkopankkitunnukset hädissäni
(turhaan, PIN-koodia kun ei kukaan tiedä, asiakasnumero on kuitenkin
pankki/luottokortissa Sammon tapauksessa), niin uuden turvakortin tulo
kesti n. viikon. Sen jälkeen piti käydä henkilökohtaisesti Sammon
konttorissa aktivoimassa tunnukset uudelleen, mikä tarkoitti n. parin
tunnin istumista odotellessa. Tietty ajan olisi voinut varata etukäteen..
Ex-muijalla oli Nuurdean verkkopankki käytössä, ja sen käyttö tuntui
olevan aika paljon ikävämpää, kun Sammon siihen aikaan. Nuurdean
systeemissä piti yliviivailla käytettyjä kertakäyttökoodeja ym.
inhottavaa puuhaa. Mitäs sitten jos ei ole kynää mukana? ;) No, Sampohan
nyt sitten kunnostautui kysymällä uuden kertakäyttökoodin joka tapahtuman
välissä. Tietty tässä on tietty logiikka, joku voi unohtaa
verkkopankkisessionsa auki julkiselle koneelle ja siirrellä uhrin fyffet
omalle tililleen. Tämä on varmaan aika klassinen esimerkki tapauksesta
tietoturva vs. käytettävyys. Sitä en kyllä ymmärrä, miksi Sampo siirtyi
jokin aika sitten kysymään kertäkäyttökoodeja satunnaisessa
järjestyksessä (tosin tuntuma on sellainen, ettei se järjestys niin
satunnainen ole; tähän mennessä kaikki kysytyt koodit ovat olleet
turvakortin samalla puolella.. :)), tämä voisi viitata ainoastaan todella
huonoon satunnaislukugeneraattoriin, mutta en jaksa uskoa että tämä olisi
todellinen syy.
Ihmettelmpä miten mummot ja vaarit pärjäävät, kun maksuautomaatit ovat
aika harvinaisia nykyään, ja kauhean monella vanhemmalla ihmisellä tuskin
on halua tai kykyä käyttää verkkoa tähän tarkoitukseen. Kai he sitten
käyvät maksamassa laskunsa pankissa.. (ja maksavat siitä itsensä
kipeiksi, jolleivat ole jo.. :))
Jussi Paju
>
> Pankithan tarjoavat TUPAS-tunnistusta johonkin hintaan kolmansille
> osapuolille. Ehkä tässä on yksi syy miksei pankkeja kiinnosta HST-kortin
> käyttö, TUPAS on niille bisnes (minkäsuuruinen bisnes, niin siitä ei
> minulla ole mitään käsitystä, mutta muistelen eräästä lähteestä, jota nyt
> en viitsi tässä mainita, että yhden TUPAS-tunnistuksen hinta olisi n.
> 10mk).
Ollut ehkä joskus vuonna kivi ja kuokka, nykyään nuo ovat ihan
kohtuuhintaisia (olettaen että kolmannen osapuolen ei tarvitse
tunnistaa asiakastaan joka raossa, vaan käyttää TUPAS-tunnistusta vain
varmistamaan että tunnus kuuluu tietylle henkilölle).
Esimerkiksi Sampo-pankin hinnastossa tuo on näin:
--clip--
Varmennepalvelu (hintoihin sisältyy ALV 22 %)
- käyttöönotto 170,00
- kuukausimaksu 12,20/kk
- tunnistaminen 0,42/kerta
--clip--
Eli ainakin Sammossa hinta on sama kuin verkkomaksuilla.
(Tunnistamistapahtuma maksaa saman kuin saapuva verkkomaksu, aloitus-
ja kk-hinnat ovat samat molemmissa palveluissa.)
--
Jussi
:: Te audire no possum. Musa sapientum fixa est in aure.
:: I can't hear you. I have a banana in my ear.
Matti Savolainen
"Jyrki Saarinen" <jy...@NOSPAMwelho.com.invalid> kirjoitti viestissä
news:fhh48m$bj3$2...@nyytiset.pp.htv.fi...
> Onhan noita aika helvetin paljon muitakin:
>
http://www.etu-klubi.fi/vrk/etuklubi/home.nsf/etuindex?readform&url=http://www.etu-klubi.fi/vrk/etuklubi/home.nsf/pages/index_fin
Kävin tuolla sivulla. Hyvin oli palvelut (edut) piilotettu.
En löytänyt ensimmäistäkään.
-Matti-
Jyrki Saarinen
>> Pankithan tarjoavat TUPAS-tunnistusta johonkin hintaan kolmansille
>> osapuolille. Ehkä tässä on yksi syy miksei pankkeja kiinnosta HST-kortin
>> käyttö, TUPAS on niille bisnes (minkäsuuruinen bisnes, niin siitä ei
>> minulla ole mitään käsitystä, mutta muistelen eräästä lähteestä, jota nyt
>> en viitsi tässä mainita, että yhden TUPAS-tunnistuksen hinta olisi n.
>> 10mk).
>
> Ollut ehkä joskus vuonna kivi ja kuokka, nykyään nuo ovat ihan
> kohtuuhintaisia (olettaen että kolmannen osapuolen ei tarvitse
> tunnistaa asiakastaan joka raossa, vaan käyttää TUPAS-tunnistusta vain
> varmistamaan että tunnus kuuluu tietylle henkilölle).
>
> Esimerkiksi Sampo-pankin hinnastossa tuo on näin:
>
> --clip--
> Varmennepalvelu (hintoihin sisältyy ALV 22 %)
> - käyttöönotto 170,00
> - kuukausimaksu 12,20/kk
> - tunnistaminen 0,42/kerta
> --clip--
>
> Eli ainakin Sammossa hinta on sama kuin verkkomaksuilla.
> (Tunnistamistapahtuma maksaa saman kuin saapuva verkkomaksu, aloitus-
> ja kk-hinnat ovat samat molemmissa palveluissa.)
Ok, hyvä että selvensit, oma tieto oli jostain ajalta miekka ja kypärä.
Löytyykö tämä hinnasto muuten Sammon weppisivuilta jostain?
No, kuitenkin TUPAS on selkeästi pankeille bisnes - miten kannattava,
siitä en sitten osaa sanoa. Julkisen avaimen menetelmästä kun ei sitten
bisnestä saa millään, siis pankit. VRK:n LDAP-hakemistoonkin kun
pääsee ihan ilmaiseksi hakemaan kansalaisten varmenteita
(ldap.fineid.fi).
https://www.tunnistus.fi/ tarjoaa autentikointipalvelua, mukaanlukien HST
ja pankkitunnukset - tiedä sitten häntä paljonko Työministeriö pulittaa
pankeille autentikointitapahtumista. Mutta tuskin tämä valtion instanssi
kuitenkin bisnestä yrittää tällä tehdä..?
Aika jännää, että tuossa --clip-- -ja --clip-- -rivien välissä puhutaan
"varmennepalvelusta" - lieneekö tahatonta vai tahallista..
PS. autentikoinnin/tunnistamisen sijaan pitäisi puhua todentamisesta,
mutta näitä käytetään aika kirjavasti sekaisin
Jyrki Saarinen
>> http://www.etu-klubi.fi/vrk/etuklubi/home.nsf/etuindex?readform&url=http://www.etu-klubi.fi/vrk/etuklubi/home.nsf/pages/index_fin
>
> Kävin tuolla sivulla. Hyvin oli palvelut (edut) piilotettu.
> En löytänyt ensimmäistäkään.
Mitäs jos olisit copypastettanut sen koko URL:n selaimeen? No, joka
tapauksessa:
1. mene URL:iin http://www.etu-klubi.fi
2. vasemmalla on linkki "palvelut", klikkaa sitä
3. nyt vasemmalta löytyy eri palveluita HTML-muodossa, sekä sitten
PDF-muotoinen lista kaikista (? 29.6.2007) palveluista
Pikaisesti laskettuna eri palveluita näyttäisi olevan luokkaa 20 kpl.
Seppo Loisa
>Sellainenhan on: Pankkitunnukset.
Se ei toimi HST-kortilla :-P
Pitäisikö siis hakea pankista joku pahvinen tunnuslukulista tuota
varten. En taida viitsiä...
>Jos valtio olisi oikeasti halunnut saada HST-kortin läpimurron
>aikaiseksi, se olisi pitänyt Viron tapaan antaa kaikille, eikä yrittää
>rahastaa 40 EUR/5-v kortista jolla ei ole oikein mitään käyttöä.
Tuossahan se ydinkysymys on. Alunperinhän henkilökortin piti korvata
myös täysin absurdi ja tarpeeton byrokratian kukkanen eli KELA-kortti
mutta joku virkamiespomo jossain instanssissa halusi pitää KELA-kortin
erillisenä. Eli HST:ltä vedettiin matto alta jo ennen sen aloitusta.
Itse HST näyttäisi kuihtuvan pikkuhiljaa "projektitautiin". Ketään ei
tunnu kiinnostavat tuotantokäyttö, kaikki resurssit oli satsattu
projektin käynnistämiseen.
Jyrki Saarinen
> Tuossahan se ydinkysymys on. Alunperinhän henkilökortin piti korvata
> myös täysin absurdi ja tarpeeton byrokratian kukkanen eli KELA-kortti
> mutta joku virkamiespomo jossain instanssissa halusi pitää KELA-kortin
> erillisenä. Eli HST:ltä vedettiin matto alta jo ennen sen aloitusta.
>
> Itse HST näyttäisi kuihtuvan pikkuhiljaa "projektitautiin". Ketään ei
> tunnu kiinnostavat tuotantokäyttö, kaikki resurssit oli satsattu
> projektin käynnistämiseen.
Näinhän se taitaa ikävä kyllä olla, ainakin täällä Suomessa. Muualla,
esim. Turkissa käytetään kännykän SIM-kortilla olevaa
RSA (salaista) -avainta ties mihin verkkopankissa:
"Transfers to another YKB account
Transfers to a credit card number
Regular transfer to another YKB account at a predetermined date
Transfers to another bank (EFT - Electronic Funds Transfer
EFT from credit card
Payment of another bank???s credit card debts
World card and other credit card transactions
Cash advances
Moneygram transactions
Betting payments
Changing limits for credit card withdrawals
The Yapi Kredi bank is one of the 13 Turkish banks that allow customers
to use mobile signatures to authenticate themselves and sign
transactions."
URL koko artikkeliin on:
http://www.valimo.com/news_and_events/news/2007/101
Suomessa tilanne on kaiketi aika huono tämän suhteen, valtaoperaattorit
kyllä tarjoavat PKI-SIM-kortteja, mutta kun ei ole sovelluksia, ei niitä
haluta, ja kun niitä ei haluta, ei ole sovelluksia (ja tähän kohtaan
sitten rekursiota muutama kierros.. :)) Eli vielä heikompi tilanne kuin
HST:lla, vaikka potentiaali olisi vaikka mihin.
Lauri Nurmi
> Kortinlukija maksaa parikymppiä, henkilökortti muutaman kympin
> muistaakseni. Henkilöpaperit ihminen tarvitsee joka tapauksessa, ja passi
> ja ajokorttikin ovat maksullisia.
Henkilöpapereista on tietysti käytännössä hyötyä, mutta pakkohan sellaisia
ei ole omistaa "joka tapauksessa".
Jussi Pihlajamäki
> Jussi Pihlajamäki <jussi.pi...@poistatama.hotmail.com.invalid> wrote:
>
>> Opiskelijat varsinkaan tuskin innostuisivat HST-kortin käytöstä:
>> kaikille yliopiston opiskelijoiden käytössä oleviin koneisiin lukijan
>> hankkiminen olisi hyvin kallista, ja jos lukija pitäisi erikseen lainata
>> jostain, se ei kuitenkaan olisi koskaan vapaana.
>
> Ei ne lukijat maksa kuin pari kymppiä kpl.
>
Pari kymppiä jokaiseen työasemakäytössä olevaan koneeseen lisää.
Varsinkin kun tuosta ei olisi mitää hyötyä opiskelu- tai tutkimuskäytössä.
Nykyiset pankkitunnukset eivät maksa käyttäjälle eikä tietokoneen
omistajalle kuin tietoliikenneyhteyksien hinnan sekä pankkien
tunnuksista perimän maksun. Eli käytännössä kaikki kulut tulisivat tähän
päälle.
Kertakäyttöiset tunnukset täytyisi säilyttää rinnalla, koska pankit
eivät halua menettää sellaisia asiakkaita jotka eivät halua sähköistä
henkilökorttia. Eli niistäkään ei tulisi käytönnässä lainkaan säästöä
(postituskulut säästäisivät jonkin verran, mutta HST-kortin tunnistuksen
vaatimat järjestelmämuutokset söisivät sen hyödyn hyvin nopeasti).
Jyrki Saarinen
> Nykyiset pankkitunnukset eivät maksa käyttäjälle eikä tietokoneen
> omistajalle kuin tietoliikenneyhteyksien hinnan sekä pankkien
> tunnuksista perimän maksun. Eli käytännössä kaikki kulut tulisivat tähän
> päälle.
Ilmeisesti käytät pankkia, joka ei peri mitään palvelumaksuja?
> Kertakäyttöiset tunnukset täytyisi säilyttää rinnalla, koska pankit
> eivät halua menettää sellaisia asiakkaita jotka eivät halua sähköistä
> henkilökorttia. Eli niistäkään ei tulisi käytönnässä lainkaan säästöä
> (postituskulut säästäisivät jonkin verran, mutta HST-kortin tunnistuksen
> vaatimat järjestelmämuutokset söisivät sen hyödyn hyvin nopeasti).
Joo. No, jos Sampo pystyi muokkaamaan verkkopankin softaa s.e.
kertakäyttökoodeja alettiin kysymään "satunnaisessa" järjestyksessä,
niin tuskinpa se softa on kovin kädettömästi tehty.
Ko. suoritukseen verrattuna HST-suoritus on aika simppeli juttu. Mutta
sitä en nyt tässä ala kertaamaan, se on mainittu jo.
Kerttu Pollari-Malmi
> Ihmettelmpä miten mummot ja vaarit pärjäävät, kun maksuautomaatit ovat
> aika harvinaisia nykyään, ja kauhean monella vanhemmalla ihmisellä tuskin
> on halua tai kykyä käyttää verkkoa tähän tarkoitukseen. Kai he sitten
> käyvät maksamassa laskunsa pankissa.. (ja maksavat siitä itsensä
> kipeiksi, jolleivat ole jo.. :))
>
Taitaa suuri osa mummoista ja vaareista käyttää maksupalvelua, joka on
kuitenkin selvästi edullisempi kuin konttorissa maksaminen..
Kerttu Pollari-Malmi
Jussi Pihlajamäki
> Jussi Pihlajamäki <jussi.pi...@poistatama.hotmail.com.invalid> wrote:
>
>> Nykyiset pankkitunnukset eivät maksa käyttäjälle eikä tietokoneen
>> omistajalle kuin tietoliikenneyhteyksien hinnan sekä pankkien
>> tunnuksista perimän maksun. Eli käytännössä kaikki kulut tulisivat tähän
>> päälle.
>
> Ilmeisesti käytät pankkia, joka ei peri mitään palvelumaksuja?
Ei verkkopankkimaksuista muita kuin tunnusten kuukausimaksun 0-1,00
euroa kuussa (asiakasryhmästä riippuen). Ja tuo on siis Nordean
henkilöasiakkaiden hinnasto.
> Joo. No, jos Sampo pystyi muokkaamaan verkkopankin softaa s.e.
> kertakäyttökoodeja alettiin kysymään "satunnaisessa" järjestyksessä,
> niin tuskinpa se softa on kovin kädettömästi tehty.
> Ko. suoritukseen verrattuna HST-suoritus on aika simppeli juttu. Mutta
> sitä en nyt tässä ala kertaamaan, se on mainittu jo.
Tokihan niitä järjestelmiä pystyy muuttelemaan miten paljon vaan,
kysymys lähinnä kuuluukin että mitkä muutokset on tarpeellisia tai
välttämättömiä.
Tapio Sokura
> Tapio Sokura <oh2...@iki.fi> wrote:
>>teko, mutta niitä muutenkin tarvitsee harvemmin. Allekirjoituksissa on
>>myös suuremmat riskit, mistäpä koskaan tiedät allekirjoituttaako kone
>>sinulla miljoonan euron velkatakauksen vai sen mitä ruudullaan väittää
>>allekirjoituttavansa.
> Tätä varten allekirjoitus verifioidaan palvelimen toimesta, jota
> verkkopankki käyttää allekirjoituksen pyytämiseen.
> Verifiointipalvelimella on siis tiedossaan se teksti, jonka verkkopankki
> halusi käyttäjän allekirjoittavan. Eihän tässä muuten olisi mitään
> järkeä, jos allekirjoitusta ei tarkistettaisi.
En tarkoita tätä, vaan sitä, että käyttäjä ei pysty tietämään mitä
tarkkaan ottaen allekirjoittaa, koska se kaikki liikkuu bitteinä koneen
sisällä ja lukijan välillä. Vaikka allekirjoituksen pyytävä ohjelma
näyttääkin ruudulla sen mitä olet allekirjoittamassa, voisi murrettu
kortinhallintaohjelma lähettää kortille tiivisteen ihan jostain muusta
dokumentista allekirjoitettavaksi.
Ongelma ei siis ole siinä, ettäkö sähköisten allekirjoitusten algoritmit
olisivat epäluotettavia, vaan siinä, että käyttäjä ei voi varmasti
tietää mitä on allekirjoittamassa. Varsinkin jos käyttää jotain muuta
kuin omaa konettaan, josta tietää tai ainakin luulee tietävänsä mitä
siinä on.
Tapio
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>> rakentaa systeemejä, joita kansalaiseteivtä voi käyttää, koska
>> pitäisi ostaa maksullinen kortti ja lukulaite.
>
> Kortinlukija maksaa parikymppiä, henkilökortti muutaman kympin
> muistaakseni. Henkilöpaperit ihminen tarvitsee joka tapauksessa, ja passi
> ja ajokorttikin ovat maksullisia. Mikä olikaan pointtisi?
Minusta kuusi kymppiä on kova hinta siitä, että pääsee leikkimään
tuollaisilla sähköisillä palveluilla. Monilla on joku muu
henkilöllisyystodistus, jota he käyttävät. Useimmilla se on
ajokortti tai passi tai vaikka kuvallinen kelakortti.
Ajokortti toki on maksullnen, ja kokonaisuutena hyvinkin kallis.
Se kuitenkin antaa mahdollisuden ajaa autoa. Passi taas
mahdollistaa matkustamisen ulkomaille - myös EU:n ulkopuolelle.
Henkilökortti on vain henkilökortti, joskin se myös toimii
matkustyisasiakirjana EU:ssa.
Lisäksi tulee ottaa huomioon sähköisen henkilökortin lyhyt
voimassaoloaika, käsittääksnei nykyään se on nejä vuotta. Kun
vielä oli normaali henkkari, se oli voimassa 10 vuotta ja
hintakin oli halvempi.
Sensijaan pankkitunukseni maksavat vain euron kuussa ja niillä
saan kätevästi käytettyä pankkia kotoa. On kätevää, että niitä
voi läyttää myös muissa palveluissa.
Osmo
>
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
> Ehkä olen tekniikkafriiki, mutta minusta olisi ihan hyvä, että olisi jokin
> yleisessä käytössä oleva autentikointimenetelmä, jonka suurinpiirtein kuka
> tahansa voisi ottaa käyttöön.
Periaatteessahan tuo on hyvä, kunhan asiakasta ei panna ostamaan
sitä. Sähköinen asiointi säästää esim. viranomaisten
kustannuksia. On siksi älytöntä, että asiakas joutuu maksamaan
tästä. Näitä erimerkkejä on paljon: YTV:n matkakortin joutuu
erikseen ostamaan. Ennen riitti ostaa itse matkat. Kirjastosta
saa ilmoituksen varauksesta kotiin ilman kustannuksia, mutta
tekstarina se maksaa asiakkaalle. Siis minua ärsyttää se, miten
ina uusi tekniikka aina tietää asiakkaalle laskua. En minä halua
maksaa tekniikasta vaan niistä palveluista.
> Tärkeintä siinä on kuitenkin että sitä ei tungeta pakolla käyttöön, vaan
> motivoidaan kansalaiset käyttämään sitä tarjoamalla jotain oikeaa
> hyötyä. Nykyhinnat eivät sinänsä minunkaan mielestä ole ongelma.
Toki siitä voidaan antaa oikeaa hyötyä. Ei kuitenkaan pidä rajata
ko. hyötyä esim. pankkitunnuksia käyttänättömien ulottumattomiin
vain siksi, jotta HST yleistyisi.
Osmo
Osmo R
> No, kuitenkin TUPAS on selkeästi pankeille bisnes - miten kannattava,
> siitä en sitten osaa sanoa. Julkisen avaimen menetelmästä kun ei sitten
> bisnestä saa millään, siis pankit. VRK:n LDAP-hakemistoonkin kun
> pääsee ihan ilmaiseksi hakemaan kansalaisten varmenteita
> (ldap.fineid.fi).
>
Nyt siis viranomainen maksaa pankille palvelusta. HST-kortilla
asiakas maksaa laskun kortin hinnan muodossa. Tällälailla
viranomaispalvelut tehtäisiin defacto maksullisksi asiakkaille.
Esim. työttämyysaikaa koskevan ilmoituksen tekeminen maksaisi.
Osmo
Osmo R
> Tuossahan se ydinkysymys on. Alunperinhän henkilökortin piti korvata
> myös täysin absurdi ja tarpeeton byrokratian kukkanen eli KELA-kortti
> mutta joku virkamiespomo jossain instanssissa halusi pitää KELA-kortin
> erillisenä. Eli HST:ltä vedettiin matto alta jo ennen sen aloitusta.
Kyse on tietoturvasta. Ihmisen terveystiedot eivät kuulu mille
tahansa henkilökortin katsojalle.
Osmo
Osmo R
> Esim. Virossa on mielestäni tehty aika järkevästi, siellä kaikille on
> jaettu henkilökortti, jossa on RSA-avainpari (no, tämän varmaan
> tiesitkin, mutta kaikki eivät varmaan tienneet). Tämä mahdollistaa mm.
> sähköisen äänestämisen. Nyt varmaan joku älähtää, että henkilön antama
> ääni voidaan yhdistää henkilöön, ts. ääni ei ole anonyymi. Tähän voisi
> sitten vastata, että tuskinpa ainakaan länsimaisessa yhteiskunnassa
> ketään kiinnostaa mitä puoletta Virtanen äänesti. Älähdyksen hengessä
> voisi sitten myöskin kuvitella tilanteen, missä äänestyskoppiin on
> sijoitettu valvontakamera.
Sis vähätteletkö vaalisaalisuuden merkitystä?
Osmo
Osmo R
>> on kuvallinen kelakortti, joten ei tarvitse maksaa moisesta lelusta.
>
> Mitä ihmettä kuvallisella Kelakortilla tekee:
>
> "Kuvallisella Kela-kortilla voi pankeissa ja posteissa todistaa
> henkilöllisyytensä. Se ei käy henkilötodistuksena ulkomailla, eikä
> esimerkiksi Suomen Alkoissa."
Mitä ihmettä laitaat tuossa?
> Sitä paitsi, HST-korttiin saa myös sairasvakuutustiedot niin halutessan,
> joten se käy Kelakortin sijasta.
Joo, voin harkita tuollaista, kunhan sinä maksat sen.
Osmo
Osmo R
> Kaarlo Vapaaoksa <car...@iki.fi> wrote:
>
>> Uuden HST-kortin kanssa taitaa kestää useampi viikko. Eipä oikein huvittaisi
>> olla niin kauaa nykysuomessa ilman online-pankkipalveluja. Eli
>> käyttökelvotooo ainoaksi ratkaisuksi, ja jos se ei ole ainoa ratkaisu, niin
>> se on lähinnä turha lisämauste.
>
> Ei siinä noin kauaa kestä, hakemuksen jättämisestä kyttikselle, kortti
> kolahti postiluukusta muistaakseni alle viikossa.
Niion ja paljon tuo maksoikaan?
>
> Tässä valossa en ole jälkimmäisen lauseesi kanssa ihan samaa mieltä.
> Viime kerralla kun suljin Sammon verkkopankkitunnukset hädissäni
> (turhaan, PIN-koodia kun ei kukaan tiedä, asiakasnumero on kuitenkin
> pankki/luottokortissa Sammon tapauksessa), niin uuden turvakortin tulo
> kesti n. viikon. Sen jälkeen piti käydä henkilökohtaisesti Sammon
> konttorissa aktivoimassa tunnukset uudelleen, mikä tarkoitti n. parin
> tunnin istumista odotellessa. Tietty ajan olisi voinut varata etukäteen..
Käsittääksnei konttorista olisi saanyt tunnukset heti.
>
> Ex-muijalla oli Nuurdean verkkopankki käytössä, ja sen käyttö tuntui
> olevan aika paljon ikävämpää, kun Sammon siihen aikaan. Nuurdean
> systeemissä piti yliviivailla käytettyjä kertakäyttökoodeja ym.
Se on Nordea ja äännetään Nordea, joten miksi puhut Nuurdeasta?
> inhottavaa puuhaa. Mitäs sitten jos ei ole kynää mukana? ;) No, Sampohan
> nyt sitten kunnostautui kysymällä uuden kertakäyttökoodin joka tapahtuman
> välissä. Tietty tässä on tietty logiikka, joku voi unohtaa
> verkkopankkisessionsa auki julkiselle koneelle ja siirrellä uhrin fyffet
> omalle tililleen. Tämä on varmaan aika klassinen esimerkki tapauksesta
> tietoturva vs. käytettävyys.
Tuo Sammon vika oli aika merkittävä. Käsittääksnei yhdessä
vaiheessa luku annettiin vain lopussa. Nykyään se on alussa ja
lopussa (jos maksettu).
> Sitä en kyllä ymmärrä, miksi Sampo siirtyi
> jokin aika sitten kysymään kertäkäyttökoodeja satunnaisessa
> järjestyksessä (tosin tuntuma on sellainen, ettei se järjestys niin
> satunnainen ole; tähän mennessä kaikki kysytyt koodit ovat olleet
> turvakortin samalla puolella.. :)), tämä voisi viitata ainoastaan todella
> huonoon satunnaislukugeneraattoriin, mutta en jaksa uskoa että tämä olisi
> todellinen syy.
Tai siihen, että olet käyttänyt toisen puolen. Satunnaisella
järjestyksellä torjutaan ainakin olan yli lukijoita. Ei ole
mahdollista muistaa koko korttia.
>
> Ihmettelmpä miten mummot ja vaarit pärjäävät, kun maksuautomaatit ovat
> aika harvinaisia nykyään, ja kauhean monella vanhemmalla ihmisellä tuskin
> on halua tai kykyä käyttää verkkoa tähän tarkoitukseen. Kai he sitten
> käyvät maksamassa laskunsa pankissa.. (ja maksavat siitä itsensä
> kipeiksi, jolleivat ole jo.. :))
Eivät ne mummot ja vaarit automaattejakaan juuri käytä. He
asioivat klassalala ja käyttävät maksupalvelua.
Osmo
>
Osmo R
>>> SIM-kortilla. Jostain syystä niitäkään ei taida kovin montaa sataa
>>> käytössä olla.. tuo olisi jo aika paljon näppärämpi systeemi kuin
>>> HST-kortti.
>> Tuossa on ongelma, että se ei toimi kaikilla puhelimilla. Lisäksi
>> miten tuota oikein käytetään netin kanssa. Eivät kaikki halua
>> käyttää pankkia kännykällä.
>
> Kyllä toimii kaikilla GSM phase 2 -luureilla, ja näitä puhelimia ovat
> käytännössä kaikki (jos nyt ihan vanhimpia Nokialaisia ei lasketa).
Käsite "ihan vanhin" on epämääräinen, koska toisille se on puoli
vuotta vanha.
> Autentikoituminen kännykällä ei tarkoita pankin käyttöä käynnykällä.
> Homma menee niin, että puhelimeen tulee allekirjoitettava haasteviesti
> verkkopankilta, käyttäjä syöttää vakion PIN-koodin, jonka takana siis
> RSA:n salainen avain on, ja jos allekirjoituksen vastaanottava palvelin
> hyväksyy allekirjoituksen ja käyttäjän varmenteen, se sanoo
> verkkopankille "ok", ja verkkopankki päästää käyttäjän _selaimen_ sisään
> verkkopankkiin.
Kyseessä on maksullinen palvelu, joka maksaa n. pari euroa
kuussa. En näe mitään järkeä maksaa tuollaisesta.
Osmo
Jyrki Saarinen
>>> miten tuota oikein käytetään netin kanssa. Eivät kaikki halua
>>> käyttää pankkia kännykällä.
>>
>> Kyllä toimii kaikilla GSM phase 2 -luureilla, ja näitä puhelimia ovat
>> käytännössä kaikki (jos nyt ihan vanhimpia Nokialaisia ei lasketa).
>
> Käsite "ihan vanhin" on epämääräinen, koska toisille se on puoli
> vuotta vanha.
Älä viitsi jauhaa ns. paskaa. Jokainen nykyinen känny pystyy
ottamaan sisuksiinsa kortin missä on RSA:n salainen avain.
>> Autentikoituminen kännykällä ei tarkoita pankin käyttöä käynnykällä.
>> Homma menee niin, että puhelimeen tulee allekirjoitettava haasteviesti
>> verkkopankilta, käyttäjä syöttää vakion PIN-koodin, jonka takana siis
>> RSA:n salainen avain on, ja jos allekirjoituksen vastaanottava palvelin
>> hyväksyy allekirjoituksen ja käyttäjän varmenteen, se sanoo
>> verkkopankille "ok", ja verkkopankki päästää käyttäjän _selaimen_ sisään
>> verkkopankkiin.
>
> Kyseessä on maksullinen palvelu, joka maksaa n. pari euroa
> kuussa. En näe mitään järkeä maksaa tuollaisesta.
PKI on aika paljon halvempi systeemi kuin TUPAS.
Jyrki Saarinen
> Lisäksi tulee ottaa huomioon sähköisen henkilökortin lyhyt
> voimassaoloaika, käsittääksnei nykyään se on nejä vuotta. Kun
> vielä oli normaali henkkari, se oli voimassa 10 vuotta ja
> hintakin oli halvempi.
Onhan tässäkin pointti. Mutta, kenen talous oikeasti kaatuu siihen,
että täytyy viiden vuoden välein pulittaa kyttiksellä 40€?
> Sensijaan pankkitunukseni maksavat vain euron kuussa ja niillä
> saan kätevästi käytettyä pankkia kotoa. On kätevää, että niitä
> voi läyttää myös muissa palveluissa.
Niin, TUPAS on pankkien mielestä hyvä
Jyrki Saarinen
Juurihan äsken julistit, jotta sinulla on kuvallinen kelakortti?
Siellä apoteekissa se farmaseutti luultavasti skannaa naaman, ja sen
jälkeen Osmo Ronkaisestakin on merkki. Isoveli valvoo.
Jyrki Saarinen
> tästä. Näitä erimerkkejä on paljon: YTV:n matkakortin joutuu
> erikseen ostamaan. Ennen riitti ostaa itse matkat. Kirjastosta
Menitkö konkurssiin tästä asiasta? Mene sossuun, niinhän ne
tummematkin kaverit tekevät.
Jyrki Saarinen
>>> menestyisi ellei vaihtoehtoja olisi otettu pois. Onneksi minulla
>>> on kuvallinen kelakortti, joten ei tarvitse maksaa moisesta lelusta.
>>
>> Mitä ihmettä kuvallisella Kelakortilla tekee:
>>
>> "Kuvallisella Kela-kortilla voi pankeissa ja posteissa todistaa
>> henkilöllisyytensä. Se ei käy henkilötodistuksena ulkomailla, eikä
>> esimerkiksi Suomen Alkoissa."
>
> Mitä ihmettä laitaat tuossa?
Siis ilmeisesti "lainaat"? Se sun kuvallinen kelakortti ei käy
viinakaupassa. Tämäkö se oli se ongelma?
>> Sitä paitsi, HST-korttiin saa myös sairasvakuutustiedot niin halutessan,
>> joten se käy Kelakortin sijasta.
>
> Joo, voin harkita tuollaista, kunhan sinä maksat sen.
Anna tilinumero, mä voin heittää sen 40€. Ehto on se, että käydään
bissellä jossain.
Jyrki Saarinen
Missä vaiheessa niin tein mielestäsi?
Ellen nyt ihan väärin muista, niin sinähän olet aika useasti ollut
sitä mieltä, että poliisille pitää antaa lisää valtaa - eihän kunnon
kansalaisella ole mitään salattavaa. Jostain kumman syystä en diggaa
siitä että kotonani olisi kamera bla bla bla bla.. tätä paskaa on
varmaan turha jatkaa.
Jyrki Saarinen
>> Tätä varten allekirjoitus verifioidaan palvelimen toimesta, jota
>> verkkopankki käyttää allekirjoituksen pyytämiseen.
>> Verifiointipalvelimella on siis tiedossaan se teksti, jonka verkkopankki
>> halusi käyttäjän allekirjoittavan. Eihän tässä muuten olisi mitään
>> järkeä, jos allekirjoitusta ei tarkistettaisi.
>
> En tarkoita tätä, vaan sitä, että käyttäjä ei pysty tietämään mitä
> tarkkaan ottaen allekirjoittaa, koska se kaikki liikkuu bitteinä koneen
> sisällä ja lukijan välillä. Vaikka allekirjoituksen pyytävä ohjelma
> näyttääkin ruudulla sen mitä olet allekirjoittamassa, voisi murrettu
> kortinhallintaohjelma lähettää kortille tiivisteen ihan jostain muusta
> dokumentista allekirjoitettavaksi.
Niin, ja sitten FBI vainoaa, jne. eikö sua yhtään sitten huolestuta,
jotta tn. pankeilla on huono satunnaislukugeneraatori, jonka avulla
voidaan sitten esittää esim. sinua.
Ylipäätään näissä jutuissa on siitä kysymys, jotta keneen luotat, ja
miksi niin.
Ensimmäiseen lauseesi sanoisin, jotta olet aika tärkeä jätkä, jos
joku ei tyydy perinteiseen keyloggeriin.
No, _pieni_ paranoia on aina ihan hyvä juttu. Se pistää fiksut
ihmiset ajattelemaan.
> Ongelma ei siis ole siinä, ettäkö sähköisten allekirjoitusten algoritmit
> olisivat epäluotettavia, vaan siinä, että käyttäjä ei voi varmasti
> tietää mitä on allekirjoittamassa. Varsinkin jos käyttää jotain muuta
> kuin omaa konettaan, josta tietää tai ainakin luulee tietävänsä mitä
> siinä on.
Mikä on tn. että satunnaisen tallaajaan koneeseen on asennettu
keyloggeri?
Jyrki Saarinen
>> Ei siinä noin kauaa kestä, hakemuksen jättämisestä kyttikselle, kortti
>> kolahti postiluukusta muistaakseni alle viikossa.
>
> Niion ja paljon tuo maksoikaan?
40€.
>> Ex-muijalla oli Nuurdean verkkopankki käytössä, ja sen käyttö tuntui
>> olevan aika paljon ikävämpää, kun Sammon siihen aikaan. Nuurdean
>> systeemissä piti yliviivailla käytettyjä kertakäyttökoodeja ym.
>
> Se on Nordea ja äännetään Nordea, joten miksi puhut Nuurdeasta?
Oliko Osmolla jotain sanottavaakin?
>> Sitä en kyllä ymmärrä, miksi Sampo siirtyi
>> jokin aika sitten kysymään kertäkäyttökoodeja satunnaisessa
>> järjestyksessä (tosin tuntuma on sellainen, ettei se järjestys niin
>> satunnainen ole; tähän mennessä kaikki kysytyt koodit ovat olleet
>> turvakortin samalla puolella.. :)), tämä voisi viitata ainoastaan todella
>> huonoon satunnaislukugeneraattoriin, mutta en jaksa uskoa että tämä olisi
>> todellinen syy.
>
> Tai siihen, että olet käyttänyt toisen puolen. Satunnaisella
> järjestyksellä torjutaan ainakin olan yli lukijoita. Ei ole
> mahdollista muistaa koko korttia.
No niin, tässä lauseessa paljastat oman asiantuntemuksesi.
(ja ei, koodeja on n kpl jäljellä, ja jostain kumman syystä ne
sattuvat osumaan kortin samalle puolelle) Sinulla voisi varmaan
tietoturva-asiantuntijana olla mielipide siitä, miten
satunnaislukujen satunnainen kysyminen lisää em. asiaa.
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>>>> miten tuota oikein käytetään netin kanssa. Eivät kaikki halua
>>>> käyttää pankkia kännykällä.
>>> Kyllä toimii kaikilla GSM phase 2 -luureilla, ja näitä puhelimia ovat
>>> käytännössä kaikki (jos nyt ihan vanhimpia Nokialaisia ei lasketa).
>> Käsite "ihan vanhin" on epämääräinen, koska toisille se on puoli
>> vuotta vanha.
>
> Älä viitsi jauhaa ns. paskaa. Jokainen nykyinen känny pystyy
> ottamaan sisuksiinsa kortin missä on RSA:n salainen avain.
>
En jauha paskaa vaan kyse on siitä että en todella tiedä mitä
tarkoitat. Mistä tiedät millaisia kännyköitä ihmisilä on?
>>> Autentikoituminen kännykällä ei tarkoita pankin käyttöä käynnykällä.
>>> Homma menee niin, että puhelimeen tulee allekirjoitettava haasteviesti
>>> verkkopankilta, käyttäjä syöttää vakion PIN-koodin, jonka takana siis
>>> RSA:n salainen avain on, ja jos allekirjoituksen vastaanottava palvelin
>>> hyväksyy allekirjoituksen ja käyttäjän varmenteen, se sanoo
>>> verkkopankille "ok", ja verkkopankki päästää käyttäjän _selaimen_ sisään
>>> verkkopankkiin.
>> Kyseessä on maksullinen palvelu, joka maksaa n. pari euroa
>> kuussa. En näe mitään järkeä maksaa tuollaisesta.
>
> PKI on aika paljon halvempi systeemi kuin TUPAS.
>
Siis mitä? Puhu suomea.
Osmo
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>> Lisäksi tulee ottaa huomioon sähköisen henkilökortin lyhyt
>> voimassaoloaika, käsittääksnei nykyään se on nejä vuotta. Kun
>> vielä oli normaali henkkari, se oli voimassa 10 vuotta ja
>> hintakin oli halvempi.
>
> Onhan tässäkin pointti. Mutta, kenen talous oikeasti kaatuu siihen,
> että täytyy viiden vuoden välein pulittaa kyttiksellä 40€?
Kyse ei ole siitä kaatuisiko talous vaan siitä, että en näe syytä
maksaa tuollaista.
>
>> Sensijaan pankkitunukseni maksavat vain euron kuussa ja niillä
>> saan kätevästi käytettyä pankkia kotoa. On kätevää, että niitä
>> voi läyttää myös muissa palveluissa.
>
> Niin, TUPAS on pankkien mielestä hyvä
>
Minunkin mielestäni on hyvä ettei tarviotse maksaa extraa jostain
tunnistumisesta. Maksun maksakoon se, joka haluaa minut tunnistaa.
Osmo
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>>> Tuossahan se ydinkysymys on. Alunperinhän henkilökortin piti korvata
>>> myös täysin absurdi ja tarpeeton byrokratian kukkanen eli KELA-kortti
>>> mutta joku virkamiespomo jossain instanssissa halusi pitää KELA-kortin
>>> erillisenä. Eli HST:ltä vedettiin matto alta jo ennen sen aloitusta.
>> Kyse on tietoturvasta. Ihmisen terveystiedot eivät kuulu mille
>> tahansa henkilökortin katsojalle.
>
> Juurihan äsken julistit, jotta sinulla on kuvallinen kelakortti?
Olenko minä sanonut, että minulla on kelakortissani
terveystietoja? Toisilla niitä on, toisilla ei ole.
> Siellä apoteekissa se farmaseutti luultavasti skannaa naaman, ja sen
> jälkeen Osmo Ronkaisestakin on merkki. Isoveli valvoo.
Kyse on siitä, että kun menee videovuokraamoon tm. ei hänelle
kuulu se mitä kroonisia sairauksia ihmisellä on. Toki kukin
yksilö voi tehdä päätöksen siitä onko tässä niin paljoa
salattavaa, mutta yleisellä tasolla sitä ei voi tehdä.
Tietysti tulevaisuudessa, kun siirrytään täysin sähköiseen
käyttöön apteekeissa voisi printatut terveysmerkinät jättää pois.
Osmo
Osmo R
> Ellen nyt ihan väärin muista, niin sinähän olet aika useasti ollut
> sitä mieltä, että poliisille pitää antaa lisää valtaa - eihän kunnon
> kansalaisella ole mitään salattavaa. Jostain kumman syystä en diggaa
> siitä että kotonani olisi kamera bla bla bla bla.. tätä paskaa on
> varmaan turha jatkaa.
>
Kumma, kun minä en muista olleeni tuota mieltä.
Osmo
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>> tästä. Näitä erimerkkejä on paljon: YTV:n matkakortin joutuu
>> erikseen ostamaan. Ennen riitti ostaa itse matkat. Kirjastosta
>
> Menitkö konkurssiin tästä asiasta? Mene sossuun, niinhän ne
> tummematkin kaverit tekevät.
Kyse on periaatteesta ja pienistä puoista tulee iso virta.
Uudelle ytekniikalle on tyypiöllistä, että niin kustannuksia kuin
vastuutakin siirretään asiakkaalle päin. Esimerkkinä vastuusta
se, että jos pankkikortti kopioidaan, vastuu jää pankilletai
kaupalle, mutta uudessa tekniikassa, jos tunnusluku luetaan olan
yli kaupassa ja kortti varastetaan ja tili tyhjennetään jää
vastuu asiakkaalle.
Mielestäni on aika outoa miten kritiikitömästi tämä kustannusten
ja vastuun siirto hyväksytään.
Sossu muuten ei normaalisti maksa bussimatkoja.
Osmo
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>>>> menestyisi ellei vaihtoehtoja olisi otettu pois. Onneksi minulla
>>>> on kuvallinen kelakortti, joten ei tarvitse maksaa moisesta lelusta.
>>> Mitä ihmettä kuvallisella Kelakortilla tekee:
>>>
>>> "Kuvallisella Kela-kortilla voi pankeissa ja posteissa todistaa
>>> henkilöllisyytensä. Se ei käy henkilötodistuksena ulkomailla, eikä
>>> esimerkiksi Suomen Alkoissa."
>> Mitä ihmettä laitaat tuossa?
>
> Siis ilmeisesti "lainaat"? Se sun kuvallinen kelakortti ei käy
> viinakaupassa. Tämäkö se oli se ongelma?
Siis tarkoitin "lainaat". Kun jotain laitetaan lainausmerkkeihin,
niin kyse on lainauksesta ja silloin lähde on mainittava.
Osmo
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>>> Ei siinä noin kauaa kestä, hakemuksen jättämisestä kyttikselle, kortti
>>> kolahti postiluukusta muistaakseni alle viikossa.
>> Niion ja paljon tuo maksoikaan?
>
> 40€.
Uudet verkkopankin tunnukset eivät maksa mitään.
>> Tai siihen, että olet käyttänyt toisen puolen. Satunnaisella
>> järjestyksellä torjutaan ainakin olan yli lukijoita. Ei ole
>> mahdollista muistaa koko korttia.
>
> No niin, tässä lauseessa paljastat oman asiantuntemuksesi.
>
> (ja ei, koodeja on n kpl jäljellä, ja jostain kumman syystä ne
> sattuvat osumaan kortin samalle puolelle) Sinulla voisi varmaan
> tietoturva-asiantuntijana olla mielipide siitä, miten
> satunnaislukujen satunnainen kysyminen lisää em. asiaa.
>
Kun lukuja kysytään satunaisesti, ei minkään kolmen neljän
lukusarjan muistamisella voi päästä käsiksi tiliin, koska ei voi
tietää mitä lukua pankki tulee kysymään. Siis pitää olla kortti
tai ainakin kuva siitä mukana.
Siitä miksi ne kysytään samalta puolelta en tiedä. Turvallisuutta
toki parantaisi, jos kysely kohdistuisi koko korttiin satunnaisesti.
Osmo
Mika Iisakkila
> Onhan tässäkin pointti. Mutta, kenen talous oikeasti kaatuu siihen,
> että täytyy viiden vuoden välein pulittaa kyttiksellä 40¤?
Miksi kukaan haluaisi käydä edes viiden vuoden välein kyttiksellä
pulittamassa yhtään mitään asiasta, jota ilmankin pärjää? Passin saa¹
about samaan hintaan kymmeneksi vuodeksi. Ajokortista maksoin 300 mk
vuonna 1986 ja se kelpaa edelleen (ainakin siihen asti, että vielä
pari repaletta katoaa jonnekin).
¹no ei saa enää, olen siis voittaja, kun hain sen viime vuonna
--
http://www.hut.fi/u/iisakkil/ --Foo.
Jyrki Saarinen
>>>> käytännössä kaikki (jos nyt ihan vanhimpia Nokialaisia ei lasketa).
>>> Käsite "ihan vanhin" on epämääräinen, koska toisille se on puoli
>>> vuotta vanha.
>>
>> Älä viitsi jauhaa ns. paskaa. Jokainen nykyinen känny pystyy
>> ottamaan sisuksiinsa kortin missä on RSA:n salainen avain.
>
> En jauha paskaa vaan kyse on siitä että en todella tiedä mitä
> tarkoitat. Mistä tiedät millaisia kännyköitä ihmisilä on?
No, GSM phase 2 on mahdollistanut niinkin uuden jutun kuin
tekstiviestit:
http://www.cellular.co.za/gsm-phase.htm
>> PKI on aika paljon halvempi systeemi kuin TUPAS.
>
> Siis mitä? Puhu suomea.
PKI = julkisen avaimen infrastruktuuri
TUPAS = pankkien kertakäyttökoodit
Näin siis hieman yksinkertaistettuna.
Jyrki Saarinen
> Siitä miksi ne kysytään samalta puolelta en tiedä. Turvallisuutta
> toki parantaisi, jos kysely kohdistuisi koko korttiin satunnaisesti.
Perusteletko vielä millä tavalla kertakäyttökoodien kysyminen
satunnaisessa järjestyksessä parantaa tietoturvaa
Jyrki Saarinen
> No, GSM phase 2 on mahdollistanut niinkin uuden jutun kuin
> tekstiviestit:
> http://www.cellular.co.za/gsm-phase.htm
Pyydän anteeksi, kyse siis oli phase 2+ -luureista. Niitä on ollut
saatavilla sitten vuoden 1998.
Kaarlo Vapaaoksa
> Osmo R <ok...@hotmail.com> wrote:
> > Siitä miksi ne kysytään samalta puolelta en tiedä. Turvallisuutta
> > toki parantaisi, jos kysely kohdistuisi koko korttiin satunnaisesti.
> Perusteletko vielä millä tavalla kertakäyttökoodien kysyminen
> satunnaisessa järjestyksessä parantaa tietoturvaa
Tekee phishing-hyökkäyksen käytännön toteutuksesta huomattavasti
hankalampaa, kun pitää joko kalastella uhrilta koko tunnuslistan sisältö tai
järjestää niin, että kalastelusovellus on realiaikaisesti pankkiin
yhteydessä ja tekee temppunsa samalla kun uhri täyttää tietoja.
Jälkimmäinenkin on aika hankala toteuttaa jos tunnuksia tarvii antaa
useamman kerran.
Taannoisissa Nordean yritelmissä yrittivät saada ihmiset antamaan kaikki
tunnuksensa. Tyhmyydellä ei ole maksimia, ja joku senkin oli mennyt
tekemään, mutta luulisin että yksittäisen tunnuksen olisi saanut kalastettua
paljon useammalta.
carlos
Ari Saastamoinen
> PKI on aika paljon halvempi systeemi kuin TUPAS.
Perustele. Tuollaisen numerolistan painaminen on todella halpaa, ja
normaalikuluttajilla yksi listä kestänee jonkun pari vuotta, joten ei
postituskulujakaan kauheasti mene. Tuollainen HST-kortti on
merkittävästi kalliinpi kuin pelkkä lukulista, ja sitäkin tarvii
postitella, ja sen lisäksi tarvitaan kaikille asiakkaille
kortinlukijat. Ja mikäli edellisestä ymmärsin, niin joku ehdotti, että
autentikointi tapahtuu kännykän kautta, jolloin säästytään tuolta
lukulaitteen hankinnalta, mutta tuossa ratkaisussa sitten
teleoperaattorit laskuttanevat erikseen joka transaktiosta.
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Sami Setälä
> satunnaisessa järjestyksessä parantaa tietoturvaa
Silloin "ohimennen" listan näkevän henkilön on paljon vaikeampi esimerkiksi
painaa mieleen seuraava kelpo koodi. Samasta syystä useimmat pankit nykyään
kehoittavat olemaan yliviivaamatta jo käytettyjä koodeja.
-Sami-
Tapio Sokura
> Ylipäätään näissä jutuissa on siitä kysymys, jotta keneen luotat, ja
> miksi niin.
Vaikka luottaisinkin pankkiin tai valtioon kuin siihen klassiseen
peruskallioon, ei se vaikuta siihen, että joku voi murtautua koneelle,
jolla käytän ym. tahojen tarjoamia palveluita. Rikollisiin harvemmin
kannattaa luottaa.
> Ensimmäiseen lauseesi sanoisin, jotta olet aika tärkeä jätkä, jos
> joku ei tyydy perinteiseen keyloggeriin.
Nykypäivänä tilanne lienee se, että todennäköisyys joutua HST-huijauksen
kohteeksi on hyvin pieni, suorastaan olematon. Pitäisin keskeisenä syynä
vähäisyyteen kuitenkin sitä, että sirukortteja käytetään hyvin vähän
nykyään yhteiskunnassa (Suomessa ja maailmalla) sopimusten
tekoon/allekirjoituksiin. Jos homma yleistyy ja näyttää että
huijauksilla voisi tehdä rahaa, kiinnostunevat rikollisetkin siitä.
Spämmäys, konekaappaukset yms ovat olleet pisnestä jo pitkään ja niihin
kelpaa kenen tahansa verkossa oleva tietokone, ei uhrin itsessään
tarvitse olla sen tärkeämpi kuin ihmisten keskimäärin.
Tapio
Jyrki Saarinen
>> PKI on aika paljon halvempi systeemi kuin TUPAS.
>
> Perustele. Tuollaisen numerolistan painaminen on todella halpaa, ja
> normaalikuluttajilla yksi listä kestänee jonkun pari vuotta, joten ei
Sammon tapauksessa kyseessä on muovinen kortti, jossa on luokka 100 kpl
kertakäyttökoodeja. Se kestää ainakin minulla tyypillisesti n. kuukauden,
kun Sammon verkkopankki kysyy noita koodeja jatkuvasti.
> autentikointi tapahtuu kännykän kautta, jolloin säästytään tuolta
> lukulaitteen hankinnalta, mutta tuossa ratkaisussa sitten
> teleoperaattorit laskuttanevat erikseen joka transaktiosta.
Eivät ainakaan vielä laskuta loppukäyttäjiä. No, tietty allekirjoituksen
lähettämisestä syntyvät pari tekstaria joutuu maksamaan.
Jyrki Saarinen
>> PKI = julkisen avaimen infrastruktuuri
>> TUPAS = pankkien kertakäyttökoodit
>>
>> Näin siis hieman yksinkertaistettuna.
>
> Yksinkertaistat ehkä hiukan liikaa. TUPAS on palveluntarjoajalle tapa
> tunnistaa käyttäjät hyödyntäen pankkien tunnistusmekanismeja.
> TUPAS-palvelussa voidan siis käyttää esim. PKI:a itse käyttäjän
> tunnistamiseen (ja OP tarjoaakin tämän mahdollisuuden HST-kortilla).
Asiaa hieman sivuten; tarjoaako muuten www.tunnistus.fi kyseistä
todennuspalvelua, ja jos niin mihin hintaan, tietääkö kukaan?
Jyrki Saarinen
Mikä on todennäköisyys, että verkkopankkia käytetään muualla kuin kotona tai
duunissa
Jouni Nordlund
Minä käytän usein kauppakeskuksen käytävällä sijaitsevaa, pankin
omistamaa ja ylläpitämää laitteistoa koska siinä on viivakoodin lukija.
Oletettavasti moni muukin.
--
Jouni Nordlund
Nimellistä trollausta vuodesta 1999.
Kaarlo Vapaaoksa
> Mikä on todennäköisyys, että verkkopankkia käytetään muualla kuin kotona tai
> duunissa
Sinulla ilmeisesti aika pieni, kun joudut kyselemään. Itse olen ainakin
matkoilla käyttänyt mitä moninaisemmista paikoista. Harvemmin varmaan ihan
pakkotilanteita tulee, mutta kun kerran mahdollisuus on, niin miksi odotella
että pääsee kotiin.
carlos
Jyrki Saarinen
>> Mikä on todennäköisyys, että verkkopankkia käytetään muualla kuin kotona tai
>> duunissa
>
> Sinulla ilmeisesti aika pieni, kun joudut kyselemään. Itse olen ainakin
> matkoilla käyttänyt mitä moninaisemmista paikoista. Harvemmin varmaan ihan
> pakkotilanteita tulee, mutta kun kerran mahdollisuus on, niin miksi odotella
> että pääsee kotiin.
Seuraako ne laskut sua matkoille..? :)
Antti Alhonen
> Sammon tapauksessa kyseessä on muovinen kortti, jossa on luokka 100 kpl
> kertakäyttökoodeja. Se kestää ainakin minulla tyypillisesti n. kuukauden,
> kun Sammon verkkopankki kysyy noita koodeja jatkuvasti.
Kuukauden?? Ootko tosissas.
Niin, Osuuspankki kysyy avainlukua vain kerran, joten itsellä tuo
vaatisi kolme erillistä nettipankkikäyntiä joka päivä, että saisi
kuukaudessa kaikki menemään.
Mutta joo, kyllä joillain se lista voi mennä niinkin lyhyessä ajassa
kuin parissa kuukaudessa loppuun. Kokonaiskustannuksia arvioidessa
vaan oleellista on, miten suuret massat käyttäytyvät, ja
keskimääräisessä taloudessa lista kestää varmaan noin vuoden. Kuluja
systeemistä siis tulee alle euro vuodessa per asiakas. Jotta se
viiden vuoden välein uusittava kortti tulisi halvemmaksi, se saisi
maksaa siis enintään vitosen, eikä kortinlukija mitään.
Avainlukulistat on ylivoimaisesti halvin ja kätevin ja ennen kaikkea
yksinkertainen menetelmä.
Jos sen kanssa haluttaisiin vielä säästää, pankki voisi yhdistää
joka tapauksessa silloin tällöin lähettämänsä mainospostin ja
"tarjousten" lähettämisen samaan kuoreen uuden listan kanssa.
--
Antti Alhonen.
Ville Nummela
> Jyrki Saarinen wrote:
>> Sammon tapauksessa kyseessä on muovinen kortti, jossa on luokka 100
>> kpl kertakäyttökoodeja. Se kestää ainakin minulla tyypillisesti n.
>> kuukauden, kun Sammon verkkopankki kysyy noita koodeja jatkuvasti.
> Niin, Osuuspankki kysyy avainlukua vain kerran, joten itsellä tuo
> vaatisi kolme erillistä nettipankkikäyntiä joka päivä, että saisi
> kuukaudessa kaikki menemään.
Kyllä se osuuspankkikin noita koodeja kyselee muuallakin kuin
sisäänkirjautumisen yhteydessä. Esimerkiksi jos teet verkkopankin
kautta jonkin sopimuksen, tai lähetät valtuutuksen jonkin asian
suorittamiseksi, kysytään "ylimääräinen" koodi. Kai se toimii silloin
ikään kuin allekirjoituksen korvikkeena.
-Ville
Kari Asikainen
> Jyrki Saarinen wrote:
>> Sammon tapauksessa kyseessä on muovinen kortti, jossa on luokka 100
>> kpl kertakäyttökoodeja. Se kestää ainakin minulla tyypillisesti n.
>> kuukauden, kun Sammon verkkopankki kysyy noita koodeja jatkuvasti.
>
> Kuukauden?? Ootko tosissas.
Sammossa systeemi taitaa olla sellainen että se tosiaan kysyy uutta
koodia aina, Nordeallahan on ne pysyvät luvut kertakäyttöisten lisäksi.
> Avainlukulistat on ylivoimaisesti halvin ja kätevin ja ennen kaikkea
> yksinkertainen menetelmä.
Halvin ehkä, yksinkertaisin ei, kätevinkään ei minusta - mieluummin
autentikoisin itseni kortilla + pin-koodilla enkä avainluvulla ja
salaisella asiakasnumerolla. Ei se HST erityisen onnistunut projekti
ole, mutta tuo pankkien avainlukuautentikointi on vain vähän parempi
ratkaisu joka on puolivillainen (josta ovat vielä päässeet rahastamaan).
> Jos sen kanssa haluttaisiin vielä säästää, pankki voisi yhdistää
> joka tapauksessa silloin tällöin lähettämänsä mainospostin ja
> "tarjousten" lähettämisen samaan kuoreen uuden listan kanssa.
Taitaisi säästöt hukkua siihen että niitä "tarjouksia" pitäisi kohdistaa
aina juuri silloin kun asiakkaalta on se avainlukukortti loppumassa.
Mutta hyvä idea, ehkä nyt siis saamme tulevaisuudessa nauttia myös
mainoksista sen avainlukulistan kera...
-ka
Mikko Saukkoriipi
>
>> Jos sen kanssa haluttaisiin vielä säästää, pankki voisi yhdistää
>> joka tapauksessa silloin tällöin lähettämänsä mainospostin ja
>> "tarjousten" lähettämisen samaan kuoreen uuden listan kanssa.
>
> Taitaisi säästöt hukkua siihen että niitä "tarjouksia" pitäisi kohdistaa
> aina juuri silloin kun asiakkaalta on se avainlukukortti loppumassa.
> Mutta hyvä idea, ehkä nyt siis saamme tulevaisuudessa nauttia myös
> mainoksista sen avainlukulistan kera...
>
Ei tarvitse kohdistella mitään kunhan niitä mainoksia lähettää tarpeeksi
usein, että listoja jää asiakkaille varastoon.
Jarkko Setälä
<jy...@NOSPAMwelho.com.invalid> wrote in message
<fhqesu$9js$2...@nyytiset.pp.htv.fi>
>Seuraako ne laskut sua matkoille..? :)
Esim Osuuspankin tapauksessa kertakäyttökoodia tarvitaan myös
muuhunkin, kuin maksujen syöttämiseen, kuten esim. luottokortin tai
tilien saldon tarkistamiseen nettipankin kautta, puhelinpankin
puolelta tarkistuksiin ei tarvita kuin ne ns. pysyvät
käyttäjätunnustiedot, ja kuten sanottua, pankin kautta
tunnistautumista käytetään muuhunkin palveluun kuin pankkipalveluun,
ja kuten Carlos sanoi, kun se kerta on helppoa tehdä "missä vaan",
puhelin- tai nettipankilla, niin miksi odottaa turhaan, että pääsee
johonkin fyysisesti turvalliseen paikkaan, kuten oma hima tai duuni.
---Jacke---
Pekka Peura
>
> Esim Osuuspankin tapauksessa kertakäyttökoodia tarvitaan myös
> muuhunkin, kuin maksujen syöttämiseen, kuten esim. luottokortin tai
> tilien saldon tarkistamiseen nettipankin kautta, puhelinpankin
> puolelta tarkistuksiin ei tarvita kuin ne ns. pysyvät
> käyttäjätunnustiedot, ja kuten sanottua, pankin kautta
OP:ssä kyllä näkee saldot ilman kertakäyttökoodeja. Tapahtumien
selaaminen sen sijaan vaatii niitä.
Osmo R
> Osmo R <ok...@hotmail.com> wrote:
>
>> Siitä miksi ne kysytään samalta puolelta en tiedä. Turvallisuutta
>> toki parantaisi, jos kysely kohdistuisi koko korttiin satunnaisesti.
>
> Perusteletko vielä millä tavalla kertakäyttökoodien kysyminen
> satunnaisessa järjestyksessä parantaa tietoturvaa
Se estää systeemiin pääsyn vain muutaman koodin tietämisellä.
Pitää olla koko kortti (tai ainakin sen kuva) hallussa.
Osmo
Osmo R
Varsin suuri. Kaikilla ei ole nettiyhteuttä kotona tai työssä,
esim. monilla työttömillä ei ole näin. he käyttävät esim.
kirjastoja tai pankkien verkkopäätteitä. Lisäksi eihän ihminen
aina ole kotona tai työssä yksin.
Osmo
Jani Markkanen
Kaikilla ei ole töissä omaa konetta, omasta työhuoneesta puhumattakaan.
Noita nettipäätteitä pankkiasiointiin on lisäksi myös pankeissa ja
kauppakeskuksissa kokoajan enemmän.
Djp
--
Mielipiteeni on voinut muuttua, mutta ei se tosiasia että olen oikeassa.
Jyrki Saarinen
>> Sammon tapauksessa kyseessä on muovinen kortti, jossa on luokka 100 kpl
>> kertakäyttökoodeja. Se kestää ainakin minulla tyypillisesti n. kuukauden,
>> kun Sammon verkkopankki kysyy noita koodeja jatkuvasti.
>
> Kuukauden?? Ootko tosissas.
No ehkä 1,5 kk. Laskuja tulee luukusta joka toinen päivä kuitenkin, useampi
kappale.
Osmo R
> Jyrki Saarinen <jy...@NOSPAMwelho.com.invalid> writes:
>
>> PKI on aika paljon halvempi systeemi kuin TUPAS.
>
> Perustele. Tuollaisen numerolistan painaminen on todella halpaa, ja
> normaalikuluttajilla yksi listä kestänee jonkun pari vuotta, joten ei
> postituskulujakaan kauheasti mene. Tuollainen HST-kortti on
> merkittävästi kalliinpi kuin pelkkä lukulista, ja sitäkin tarvii
> postitella, ja sen lisäksi tarvitaan kaikille asiakkaille
> kortinlukijat. Ja mikäli edellisestä ymmärsin, niin joku ehdotti, että
> autentikointi tapahtuu kännykän kautta, jolloin säästytään tuolta
> lukulaitteen hankinnalta, mutta tuossa ratkaisussa sitten
> teleoperaattorit laskuttanevat erikseen joka transaktiosta.
Näissä täytyy myös muistaa kuka sen maksun maksaa. Uusi
teknologia on yleensä aina tiennyt maksun siirtämistä asiakkaalle
ja näin tässäkin.
Osmo
Osmo R
> Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
>
>>> PKI on aika paljon halvempi systeemi kuin TUPAS.
>> Perustele. Tuollaisen numerolistan painaminen on todella halpaa, ja
>> normaalikuluttajilla yksi listä kestänee jonkun pari vuotta, joten ei
>
> Sammon tapauksessa kyseessä on muovinen kortti, jossa on luokka 100 kpl
> kertakäyttökoodeja. Se kestää ainakin minulla tyypillisesti n. kuukauden,
> kun Sammon verkkopankki kysyy noita koodeja jatkuvasti.
Minulla on sammossa vain säästötili, joten en juuri käytä sitä.
Rahaa kuitenin tuosta menee pyöreät nolla euroa kuukaudessa ja
nolla euroa vuodessa. Jos kysyt mitä se sitten pankille maksaa
niin sanon, ettei voisi vähempää kinnostaa.
>
>> autentikointi tapahtuu kännykän kautta, jolloin säästytään tuolta
>> lukulaitteen hankinnalta, mutta tuossa ratkaisussa sitten
>> teleoperaattorit laskuttanevat erikseen joka transaktiosta.
>
> Eivät ainakaan vielä laskuta loppukäyttäjiä. No, tietty allekirjoituksen
> lähettämisestä syntyvät pari tekstaria joutuu maksamaan.
Kiva kun pysyt yhdessä virkeessä kumoamaan omat sanasi.
Osmo
>
Osmo R
> Mikäköhän mahtaa olla, ettei muut pankit (ainaakaan minun
> tietääkseni) tarjoa autentikointia sähköisellä henkilökortilla
> (eli HST-kortilla), kuin OP? Luulisi että noihin
> kertakäyttökoodeihin ym. perustuva TUPAS-järjestelmä olisi aika
> lailla kalliimpi..
>
Löysin kivan artikelin sähköisestä henkilökortista:
http://www.tietoviikko.fi/doc.te?f_id=1116888
Tuo on helmikuulta, joten toki asiat ovat saattaneet muuttua,
mutta tässä hieman faktaa: tunnistuksia on ollut todella vähän,
verohallnolla ja Kelalal vain 500 vuodessa. Tunnistuksen tai
allekirjoitksen keskihinta veronmaksajille on ollut 4000 euroa
kappale. (siis tämä on keskihinta, ei yksittäisen tunnistuksen kulut)
Ko atikkeliin vittaan myös uudemmassa jutusa:
http://www.tietoviikko.fi/tele_mobiili_docview.jsp?f_id=1268670
Osmo
Seppo Loisa
>http://www.tietoviikko.fi/tele_mobiili_docview.jsp?f_id=1268670
Jutun kritiikki näiden tunnistuspalveluiden projekteihin ja niiden
päällekkäisyyteen on kyllä aiheellista.
Tuon jutun alalaidassa on linkki toiseen saman lehden juttuun siitä
miten HST ei toimi Vistassa.
http://www.tietoviikko.fi/doc.te?f_id=1264664
Kummasti minun HSTni on toiminut Vistassa niin kauan kuin olen Vistaa
käyttänyt.
Jyrki Saarinen
>> Sammon tapauksessa kyseessä on muovinen kortti, jossa on luokka 100 kpl
>> kertakäyttökoodeja. Se kestää ainakin minulla tyypillisesti n. kuukauden,
>> kun Sammon verkkopankki kysyy noita koodeja jatkuvasti.
>
> Minulla on sammossa vain säästötili, joten en juuri käytä sitä.
> Rahaa kuitenin tuosta menee pyöreät nolla euroa kuukaudessa ja
> nolla euroa vuodessa. Jos kysyt mitä se sitten pankille maksaa
> niin sanon, ettei voisi vähempää kinnostaa.
Niin, no ne ketkä aktiivisesti käyttävät ko. pankin palveluita, niin niitä
koodejakin kuluu.
>> Eivät ainakaan vielä laskuta loppukäyttäjiä. No, tietty allekirjoituksen
>> lähettämisestä syntyvät pari tekstaria joutuu maksamaan.
>
> Kiva kun pysyt yhdessä virkeessä kumoamaan omat sanasi.
Olin muuten väärässä; molemmat operaattorit perivät varmennekortista muutaman
euron kk-maksun.
Elisa tarjoaa 100 tekstaria/kk hintaan 2,99€. Eipä tuo nyt kovin paljon ole,
Sammon palvelumaksu (mikä palvelu, itsehän sitä hoitaa verkkopankissa n. 96%
asioistaan) on samaa luokkaa.
Ehkä tässä keskustelussa ei ole enää juurikaan älliä. Mun pointti oli lähinnä
se, että PKI mahdollistaisi _mukavamman_ todentamisen verkkopankin/kelan/jne.
käyttäjille.
Jyrki Saarinen
> Löysin kivan artikelin sähköisestä henkilökortista:
>
> http://www.tietoviikko.fi/doc.te?f_id=1116888
>
> Tuo on helmikuulta, joten toki asiat ovat saattaneet muuttua,
> mutta tässä hieman faktaa: tunnistuksia on ollut todella vähän,
> verohallnolla ja Kelalal vain 500 vuodessa. Tunnistuksen tai
> allekirjoitksen keskihinta veronmaksajille on ollut 4000 euroa
> kappale. (siis tämä on keskihinta, ei yksittäisen tunnistuksen kulut)
>
> Ko atikkeliin vittaan myös uudemmassa jutusa:
>
> http://www.tietoviikko.fi/tele_mobiili_docview.jsp?f_id=1268670
On luettu. Ikävää on se, että nyt vaikka palveluitakin olisi, niin niitä ei
käytetä. Ehkä asiat alkavat muuttua kun potilastiedot tuodaan verkkoon, niin
pankkien tarjoamaa TUPAS:sta ei lasketa vahvaksi todennukseksi.
Mikko Saukkoriipi
>
> On luettu. Ikävää on se, että nyt vaikka palveluitakin olisi, niin niitä ei
> käytetä. Ehkä asiat alkavat muuttua kun potilastiedot tuodaan verkkoon, niin
> pankkien tarjoamaa TUPAS:sta ei lasketa vahvaksi todennukseksi.
>
Tietoviikossa taisi olla vähän aikaa sitten juttu siitä
potilastietokannasta ja muistaakseni juuri TUPAS:lla niihin pääsikin
käsiksi.
Osmo R
> Elisa tarjoaa 100 tekstaria/kk hintaan 2,99€. Eipä tuo nyt kovin paljon ole,
> Sammon palvelumaksu (mikä palvelu, itsehän sitä hoitaa verkkopankissa n. 96%
> asioistaan) on samaa luokkaa.
>
> Ehkä tässä keskustelussa ei ole enää juurikaan älliä. Mun pointti oli lähinnä
> se, että PKI mahdollistaisi _mukavamman_ todentamisen verkkopankin/kelan/jne.
> käyttäjille.
Pankkitunnuksia voin käyttää nostamatta peffaani penkistä. Kyllä
tämä on mukavampaa.
Osmo
Jyrki Saarinen
Sain äskettäin luotettavasti lähteestä tietoa, että TUPAS ei tule
kelpaamaan todennukseen silloin, kun potilastiedot tulevat verkkoon
kansalaisten saataville.