- Liittynyt
- 21.11.2016
- Viestejä
- 6 150
No esimerkiksi tuo Nordean tunnuslukusovellus.No kerro sitten mikä on tietoturvan kannalta parempi vaihtoehto? Kummasti juurikin fyysistä ja digitaalista/muistin varassa olevaa komboa harrastetaan juurikin siellä missä tietoturva on kaikista tarkinta.
Tunnistautuminen tapahtuu asiakkaan laitteessa live-yhteydessä pankkiin, offline-toiminnallisuus löytyy myös jos tarvetta ja silloin systeemi toimii saman kaltaisesti kuin vaikka Google Authenticator tai RSA SecurID ja laskee asiakkaalle aikasidotun kertakäyttötunnisteen palveluun. Systeemi vaikeuttaa myös huomattavasti kaikenlaisia kalasteluhyökkäyksiä kun tunnistautumispyyntö tulee laitteeseen vain kun ollaan tunnistautumassa, eikä asiakas vaan syötä jotain avainlukua nettisivun kenttään. Offline-käyttökin vaatii asiakkaalta omaa aktiivista tekemistä, joten niidenkään kalastelu asiakkaalta ei varmaan ole kovin helppoa, plus tietty se offline-token vanhenee ajan X kuluttua.
Tunnuslukusovellus aktivoidaan laitekohtaisesti ja sen ottaminen käyttöön uudella laitteella vaatii aktivoinnin verkkopankin kautta. Eli tässäkin systeemissä sulla on oltava fyysinen tunniste (puhelin) hallussasi ja muistin varainen asia (pin-koodi ja asiakastunnus) jotta tunnistus onnistuu. Lisäksi tietty sitten luurin biometrinen/salasanasuojaus ennen kuin tunnuslukusovellukseen pääsee edes käsiksi.
Mä en ole ainoa jonka mielestä noi tunnuslukulistat joutaa lepikkoon. Niiden kielto tulee suoraan EU:n PSD2 direktiivistä, jossa fyysisiä tunnuslukulistoja ei enää hyväksytä riittävän turvalliseksi tavaksi suorittaa vahva tunnistautuminen.