Pankit

Liittynyt
21.11.2016
Viestejä
6 108
No kerro sitten mikä on tietoturvan kannalta parempi vaihtoehto? Kummasti juurikin fyysistä ja digitaalista/muistin varassa olevaa komboa harrastetaan juurikin siellä missä tietoturva on kaikista tarkinta.
No esimerkiksi tuo Nordean tunnuslukusovellus.
Tunnistautuminen tapahtuu asiakkaan laitteessa live-yhteydessä pankkiin, offline-toiminnallisuus löytyy myös jos tarvetta ja silloin systeemi toimii saman kaltaisesti kuin vaikka Google Authenticator tai RSA SecurID ja laskee asiakkaalle aikasidotun kertakäyttötunnisteen palveluun. Systeemi vaikeuttaa myös huomattavasti kaikenlaisia kalasteluhyökkäyksiä kun tunnistautumispyyntö tulee laitteeseen vain kun ollaan tunnistautumassa, eikä asiakas vaan syötä jotain avainlukua nettisivun kenttään. Offline-käyttökin vaatii asiakkaalta omaa aktiivista tekemistä, joten niidenkään kalastelu asiakkaalta ei varmaan ole kovin helppoa, plus tietty se offline-token vanhenee ajan X kuluttua.

Tunnuslukusovellus aktivoidaan laitekohtaisesti ja sen ottaminen käyttöön uudella laitteella vaatii aktivoinnin verkkopankin kautta. Eli tässäkin systeemissä sulla on oltava fyysinen tunniste (puhelin) hallussasi ja muistin varainen asia (pin-koodi ja asiakastunnus) jotta tunnistus onnistuu. Lisäksi tietty sitten luurin biometrinen/salasanasuojaus ennen kuin tunnuslukusovellukseen pääsee edes käsiksi.

Mä en ole ainoa jonka mielestä noi tunnuslukulistat joutaa lepikkoon. Niiden kielto tulee suoraan EU:n PSD2 direktiivistä, jossa fyysisiä tunnuslukulistoja ei enää hyväksytä riittävän turvalliseksi tavaksi suorittaa vahva tunnistautuminen.
 

Err

Liittynyt
08.11.2016
Viestejä
698
Vielä kun joku pankki ottaisi standardin mukaisen TOTP:n käyttöön joka toimisi vaikka sen Google Authenticatorin kanssa, mutta taitaa kaikkien pankkien suunta olla "kyllä me tarvitaan oma hieno sovellus tähän".
Ei se muutos tässä ärsytä vaan toteutus.
 
Liittynyt
10.07.2017
Viestejä
2 162
Vielä kun joku pankki ottaisi standardin mukaisen TOTP:n käyttöön joka toimisi vaikka sen Google Authenticatorin kanssa, mutta taitaa kaikkien pankkien suunta olla "kyllä me tarvitaan oma hieno sovellus tähän".
Lisäksi se (oman) sovelluksen kehittäminen ei ole ilmaista ja kukas sen maksaa? Asiakas tietenkin...
 
Liittynyt
28.06.2017
Viestejä
1 212
Osuuspankista ovat soitelleet jo viisi kertaa että liityppä omistajaksi niin säästät rahaa. 100e pitäs antaa ns. lainaan ja sitten saa kaikenmaailman alennuksia ja boonuksia. Jokaista pyysin perustelemaan että miksi pitää olla joku ihmeen omistaja, jolla ei ole minun elämän kannalta yhtään mitään virkaa, että saan alennuksia. Eivät ole osanneet perustella vaan aina tulee jostain esitteestä lueteltu lista alennuksista. Eli miksi alennetut hinnat ei voi olla suoraan jokaiselle asiakkaalle, vaan pitää maksaa se satanen josta niiiiin kovasti painottavat että se on vain lainassa?

Toinen kysymys on että mikä pankki olisi sellainen jossa samat hinnat on kaikille, tai ainakin hintaerot perustuu johonkin muuhun omistajuuteen tms jolla ei ole mitään merkitystä?

Eli vähän sama periaate tässä kuin että käyn mielummin Lidlissä tai muissa kaupoissa joissa ei tarvi olla joku höpö bonuskortti että saan alennetut hinnat, vaan ne on kaikille samat.
 
Liittynyt
17.10.2016
Viestejä
9 065
Asuntolainaneuvottelu OP:ssa. Summa vain noin 70 000eur, molemmat töissä, ei muita velkoja. Tuli hylky koska lasten "vaatemenot" liian suuret..?? Mitkä ketun vaatemenot. Virkailija oli itse laskenut jostakin kuluja lasten vaatteisiin. Ihme touhua, onneksi OP ei saanut meistä asiakkaita.
Sitten Nordeaan samoilla spekseillä ja laina meni heittämällä läpi, kysyivät vielä että riittääkö 70 000 varmasti ja summa 3 päivän kuluttua tilillä.
 
Liittynyt
16.10.2016
Viestejä
1 150
Miten toimii ASP-lainan ottaminen eri pankista kuin mihin ASP-säästötili on avattu ja rahat säästetty? Mulla on ASP-tili (ja muutkin pankkiasiat) Säästöpankissa, mutta olen miettinyt vaihtoa toiseen pankkiin. Ainakin Nordean sivuilla luki, että vaikka ASP-tili olisi eri pankissa niin lainan voi nostaa Nordeasta.

Säästäminen siis vielä kesken, mutta en haluaisi lopettaa ASP-tiliä Säästöpankissa ja avata uutta esim. Nordeassa.

Miten tuo käytännössä toimii? Tuleeko ylimääräisiä kustannuksia?
 
Liittynyt
17.10.2016
Viestejä
199
Miten toimii ASP-lainan ottaminen eri pankista kuin mihin ASP-säästötili on avattu ja rahat säästetty? Mulla on ASP-tili (ja muutkin pankkiasiat) Säästöpankissa, mutta olen miettinyt vaihtoa toiseen pankkiin. Ainakin Nordean sivuilla luki, että vaikka ASP-tili olisi eri pankissa niin lainan voi nostaa Nordeasta.

Säästäminen siis vielä kesken, mutta en haluaisi lopettaa ASP-tiliä Säästöpankissa ja avata uutta esim. Nordeassa.

Miten tuo käytännössä toimii? Tuleeko ylimääräisiä kustannuksia?
Moi make. Siirry S-pankin asiakkaaksi
Kiitos
 
Liittynyt
27.05.2017
Viestejä
96
Miten toimii ASP-lainan ottaminen eri pankista kuin mihin ASP-säästötili on avattu ja rahat säästetty? Mulla on ASP-tili (ja muutkin pankkiasiat) Säästöpankissa, mutta olen miettinyt vaihtoa toiseen pankkiin. Ainakin Nordean sivuilla luki, että vaikka ASP-tili olisi eri pankissa niin lainan voi nostaa Nordeasta.

Säästäminen siis vielä kesken, mutta en haluaisi lopettaa ASP-tiliä Säästöpankissa ja avata uutta esim. Nordeassa.

Miten tuo käytännössä toimii? Tuleeko ylimääräisiä kustannuksia?
ASP-tilin voi siirtää toiseen pankkiin = voit siis ottaa toisesta pankista ASP-lainan. Itse vaihdoin vuosi sitten Nordeasta OP ja ylimääräisiä kustannuksia ei tullut.
 
Liittynyt
29.05.2019
Viestejä
9
Miten toimii ASP-lainan ottaminen eri pankista kuin mihin ASP-säästötili on avattu ja rahat säästetty? Mulla on ASP-tili (ja muutkin pankkiasiat) Säästöpankissa, mutta olen miettinyt vaihtoa toiseen pankkiin. Ainakin Nordean sivuilla luki, että vaikka ASP-tili olisi eri pankissa niin lainan voi nostaa Nordeasta.

Säästäminen siis vielä kesken, mutta en haluaisi lopettaa ASP-tiliä Säästöpankissa ja avata uutta esim. Nordeassa.

Miten tuo käytännössä toimii? Tuleeko ylimääräisiä kustannuksia?
ASP-tilin voi siirtää toiseen pankkiin tai lopettaa ja avata uudelleen. Jälkimmäisessä vaihtoehdossa kannattaa huomata, että tilin avaamisehtojen on täytyttävä (eli ikäraja jne.)
 

Melbac

BANNATTU
BANNED
Liittynyt
19.10.2016
Viestejä
3 544
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
4 589
Tossa tainnut käydä niin että huijari vaihtanut itsensä tilin omistajaksi tai vastaavaa?
Veikkaisin ennemmin jotain haittaohjelmaa joka mahdollistaa MiM:n. Siihen viittaa juuri tuo, että pyydetään kirjautumaan ja sitten kysytään vahvistussalasanaa puhelimitse sitä kun jatkuvasti vaihtuvana on vaikeampi kalastella MiM:n avulla.

Jos joku onnistuisi vaihtamaan tilin omistajuuden (miten tämä edes käytännössä voisi onnistua?) niin mihin se enää tarvitsisi niitä edellisen omistajan pankkitunnuksia?
 

Melbac

BANNATTU
BANNED
Liittynyt
19.10.2016
Viestejä
3 544
Veikkaisin ennemmin jotain haittaohjelmaa joka mahdollistaa MiM:n. Siihen viittaa juuri tuo, että pyydetään kirjautumaan ja sitten kysytään vahvistussalasanaa puhelimitse sitä kun jatkuvasti vaihtuvana on vaikeampi kalastella MiM:n avulla.

Jos joku onnistuisi vaihtamaan tilin omistajuuden (miten tämä edes käytännössä voisi onnistua?) niin mihin se enää tarvitsisi niitä edellisen omistajan pankkitunnuksia?
no toi sen tunnusluvun kyseleminen ja päivitä tietosi sekä soitto s-pankista(tämähän tuli ilmeisesti oikeasta numerosta?) sekä kirjaudu verkkopankkiin vähän viittaisi siihen.Voi olla että lisätty tyyppi jolla on oikeudet sinne verkkopankkiin.Tossa voi myös olla se että s-mobilella kirjauduttu pankkiin tms.S-pankkihan totesi vaan että jos niiden logien mukaan rahat on siiretty ns "oikein" eli tunnus/salasana sekä maksun hyväksyminen on mennyt oikein niin ei ne periaattessa voi eikä tarvitse tehdä mitään.Tuolla on muuten vaihtoehto joka estää kortin toimimasta muualla kuin suomessa ja muualla(en nyt muista mitä vaihtoehtoja siellä) joka kannattaa pistää päälle ja sen pitäisi estää maksut juuri johonkin espanjalaiseen pankkiin.
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
6 226
Tuolla on muuten vaihtoehto joka estää kortin toimimasta muualla kuin suomessa ja muualla(en nyt muista mitä vaihtoehtoja siellä) joka kannattaa pistää päälle ja sen pitäisi estää maksut juuri johonkin espanjalaiseen pankkiin.
Noi on kyllä aika epäselviä että mihin se asetus oikeasti vaikuttaa, sehän on kortin asetus eikä tilin tai tilisiirtojen asetus ja sitten on vielä erikseen nostot, debit-ostot, verkkomaksut jne (joihin voi turvarajoja myös säätää). Ja nuo kaikki jos vetää alhaiseksi ja maahan Suomi niin muistaakseni silti se kattaa vain osan :smoke:
 

Melbac

BANNATTU
BANNED
Liittynyt
19.10.2016
Viestejä
3 544
s-pankin neuvonnan mukaan ei voi estää ulkomaille menevää maksua tililtä(eli verkkopankista) eli vaan korttimaksut voi estää.Toivottavasti ne lisää eston ettei verkkopankista voi maksaa ulkomaille.
 
Liittynyt
08.01.2017
Viestejä
411
Noi rajotukset on kyllä hankalia. Itse pistin korttimaksurajoitukset "vain Suomi" -moodiin ja kävikin sitten niin, ettei pankkikortti toiminut mm. Espresso Housessa. Tiedä sitten missä maassa heidän palvelimensa/whatever sijaitsee, ko. puljussahan korttipäätteet puhuukin jotain norjaa tms. Kun vaihtoi asetukseksi "Koko Eurooppa", niin kortti toimi taas em. puljussakin.
 
Liittynyt
13.08.2019
Viestejä
2 200
S-Pankin maarajaus.

Kuuluuko kohtaan Eurooppa Venäjä, jos matkustaa Pietariin, niin toimiiko korttimaksu - vai pitääkö olla Koko maailma?
 
Liittynyt
13.08.2019
Viestejä
2 200
S-Pankin maarajaus.

Kuuluuko kohtaan Eurooppa Venäjä, jos matkustaa Pietariin, niin toimiiko korttimaksu - vai pitääkö olla Koko maailma?
Soitin S-pankkiin, sanottiin että Venäjä kuuluu Koko maailmaan.

Lupasivat tarkentaa sivua, Mitä käyttöalue tarkoittaa? | Asiakaspalvelu | S-Pankki.fi, mitä kaikkea näihin valintoihin kuuluu.

Samalla annoin postiivista palautta tamperelaisesta S-pankkiirista, joka hoiti täydellisesti tuttujen asuntolaina-asiaa, ja yli puolet halvemmalla saivat "vuokransa" omakotitalossa korkojen osalta. Saavat säästöillä asuttua käytännössä yhden kuukauden "ilmaiseksi". Samalla autolaina siirrettiin sekin paremmilla ehdoilla S-pankkiin ja vakuutukset. Todella hyvää toimintaa S-pankkiirilta. Juuri tämän S-pankkiirin toiminta, että tutut siirtyivät heti. Ensimmäinen tarjous ei miellyttänyt, seuraavana päivänä tuli toinen - ihan loistotarjous. Korko puolittui Danskesta, ja laski hieman S-pankin aiemmasta tarjouksesta, lainan siirtokulu puolittui 275 euroon...

Kaikki oli niin loistavasti, että oli pakko tarttua koukkuun...

Itsekin todella tyytyväinen S-pankin asiakas jo yli vuoden ajalta.

Enää Danske Bankin sulku ko. perheessä, kolme asiakkuutta, kaikki S-Bankissa nyt.
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
163
Danske Bankilla ilmeisesti luottokortit muuttuneet takaisin vuosimaksullisiksi asiointitasosta ja korttityypistä* riippumatta. Ennen 1.9.2019 sovitut sisältyvät edelleen päivittäispalvelupakettiin mutta uusia hakiessa kannattaa huomata hinta "1,9% luottorajasta, enintään 150€" eli vaikkapa maltillisella 2500e luottorajalla 47,5e vuodessa karvalakkikortista.

https://www.danskebank.fi/PDF/fi/Henkiloasiakkaat/Etuohjelma/Etuohjelma_hinnasto.pdf

Lisäksi kun tuo on puljattu erilleen päivittäispalvelupaketin maksuista niin ei ilmeisesti saa esim. Platinum-kortin maksutapaedulla enää kuitattua nolliin**, ennen sai kortin sisältävästä 3,5e/kk paketista maksutapaetua saman verran (eli efektiivisesti hintaan 0e) mikäli oli käyttänyt korttia vähintään 700e edestä vaikka pelkästään maksuaikakorttina.

(*etuohjelmasivulla ei mainintaa Mastercard Gold-korttitasolla asti kortin hinnasta ole eli onko pdf-hinnastossa painovirhe Edut asiakkuudesta )
(**KJOV, Maksutapaetu on enintään tarkastelujakson aikana maksamasi päivittäis- ja rahoituspalvelumaksujen yhteismäärä.)
 
Liittynyt
17.10.2016
Viestejä
14 550
Toisesta ketjusta:

Silloin ei ole epäselvyyttä siitä, että asiakas on itse mokannut. Onko se riittävä peruste kieltää listojen käyttö myös niiltä, jotka ymmärtävät olla syöttämättä tietoja mille tahansa nettisivulle, kaikkialla EU:ssa?
No musta kyse on pienimmän pahan valitsemisesta. Ja musta kaikessa on kyse juuri ihmisen huolimattomuuden tai ymmärtämättömyyden aiheuttamien ongelmien minimoimisesta. Eli kyllä, on ehdottomasti riittävä peruste. Bonuksena pankkiasioiden hoitaminen on aiempaa näppärämpää ja nopeampaa.

Tuo kalastelu on vain yksi heikko piirre listoissa. Lisäksi niitä kannetaan mukana lompakoissa ja voivat joutua vääriin käsiin ja kopioiduiksi/valokuvatuiksi. Appiksella on myös omat riskinsä, mutta ainakin toistaiseksi näyttää siltä, että ne ovat pienempiä. Varmaan erityisesti kalastelu on vähentynyt appiksen myötä:

Uudet tunnistautumistavat ovat vähentäneet tietojenkalastelua – ”tunnusten väärinkäyttö käytännössä lähes mahdotonta”

Pankeillahan on tarjolla myös sähköisiä tunnuslukugeneraattoreita. Onko jostain syystä mahdotonta, että sähköpostilla asiakas houkuteltaisiin jollekin sivustolla "testaamaan" tunnuslukulaitteen toimintaa?
Mielestäni laite ei ole turvassa kalastelulta. Käsittääkseni kalastelusivulle syötettäisiin vain käyttäjätunnus ja login-tunnusluku laitteesta. Se on siis turvattomampi kuin appis. Turvallisuutta voisi parantaa sillä, että laitteeseen ensin syötetään vaihtuva koodi, jonka kirjautumissivu antaa, ja sitten laite sylkee tähän koodiin liittyvän tunnusluvun, joka syötetään kirjautumisessa. Ainakaan Nordean laite ei videon mukaan noin taida toimia.
 
Liittynyt
20.10.2016
Viestejä
1 369
Joo kirjautuessa ei kysellä mitään koodia, mutta esim maksua ei voi vahvistaa ilman että antaa laitteelle verkkopankin antaman koodin joka sitten palauttaa sen vahvistuskoodin.
 
Liittynyt
17.10.2016
Viestejä
14 550
Joo kirjautuessa ei kysellä mitään koodia, mutta esim maksua ei voi vahvistaa ilman että antaa laitteelle verkkopankin antaman koodin joka sitten palauttaa sen vahvistuskoodin.
Ah, noniin, sitten on järkevämpää. Pelkkä login-siis ei anna muuta kuin mahdollisuuden nähdä, muttei tehdä mitään toimenpiteitä. Itse ehkä laittaisin kirjautumiseen myös tuon ping-pongin.
 

Err

Liittynyt
08.11.2016
Viestejä
698
Itse kyllä mielelläni käyttäisin jotain FA2-järjestelmää pankkipalveluihin, enkä jättäisi koko tietoturvaa puhelimen turvallisuuden varaan. Varsinkin kun Androidin kanssa ollaan vielä kaukana automaattisen kernel-päivitysten jaosta, mikä on jo vuosikaudet onnistunut näillä "turvattomilla" tietokoneilla.
Jotenkin myös epäilen että olisiko pankkien sovellukset osanneet tunnistaa tämän tyyppiset hyökkäykset: Project Zero: A very deep dive into iOS Exploit chains found in the wild

Eihän se erillinen vahvistus toki ole yhtä näppärä ratkaisu kuin "näpyttele valitsemasi PIN ja rahat ovat menneet"-järjestelmä, mutta miten olisi vaikkapa YubiKeyn kaltainen NFC-kortti henkilöille kellä on NFCtä tukeva puhelin ja haluavat sen lisävahvistuksen? Mutta ehkä se on pankkien vain helpompi syyttää käyttäjää jos jotain sattuu, "miksi käytit sitä 3 vuotta vanhaa Huaweita mikä ei saa enää tietoturvapäivityksiä?"
 
Liittynyt
17.10.2016
Viestejä
14 550
Esim. Nordnet sai vasta nyt käyttöönsä turvallisemman tavan kirjautua ja käyttää palvelua. Yhä edelleen suurimmalla osalla on käytössä ainoastaan kiinteä tunnus + salasana. Ei 2FA:ta: ei salasanalistoja tai appsia, ei mahdollisuutta pankkitunnuksilla kirjautumisiin. Nyt sentään on Mobiilivarmenne käytössä.

Paranee, mutta hitaasti.
 

Melbac

BANNATTU
BANNED
Liittynyt
19.10.2016
Viestejä
3 544
Tossa on myös muutakin kun toi ettei pysty maksamaan magneettikortilla ja kyselee pankkitunnuksia jos ostaa verkosta jotain.Käsittääkseni ne voi pyytää sulta luvan nähdä sun tilin maksut ja tilin saldon nykyään?.
 

valurauta

BANNATTU
BANNED
Liittynyt
29.12.2016
Viestejä
3 528
No musta kyse on pienimmän pahan valitsemisesta. Ja musta kaikessa on kyse juuri ihmisen huolimattomuuden tai ymmärtämättömyyden aiheuttamien ongelmien minimoimisesta. Eli kyllä, on ehdottomasti riittävä peruste. Bonuksena pankkiasioiden hoitaminen on aiempaa näppärämpää ja nopeampaa.
Jos tunnuslukukortit olisivat aiheuttaneet yleisesti merkittäviä ongelmia, niin pankit olisivat varmasti hankkiutuneet niistä eroon jo aikaa sitten. Eivätpä hankkiutuneet ennen kuin viranomainen pakottaa. Rajansa silläkin, kuinka pienten ongelmien vuoksi on hyväksyttävää lisätä holhousta.

Pahvikortin tietoturvaominaisuudet on aika helppo maallikonkin ymmärtää. Vaikka joku joskus tötöileekin, ylivoimainen valtaosa ihmisistä ymmärtää, että koodeja ei parane näppäillä mihin tahansa. Sen sijaan, jos turvallisuus on jonkun mobiiliappin varassa, riskien hahmottamiseen ei riitä ihan kevyt asiantuntemus.

Mitä riskejä voi liittyä vaikka pankkisovelluksen asentamiseen rootattuun puhelimeen? Käsittääkseni puhelin soveltuu käyttäjän vahvaan tunnistamiseen, eli se on verrattavissa voimassaolevan passin esittämiseen.

Tuo kalastelu on vain yksi heikko piirre listoissa. Lisäksi niitä kannetaan mukana lompakoissa ja voivat joutua vääriin käsiin ja kopioiduiksi/valokuvatuiksi.
Mitä sitten? Eihän pelkillä tunnuslukulistoilla tee mitään vaan lisäksi pitää onkia jostain käyttäjätunnus. "Two-factor authentication" on siis ollut verkkopankkien arkea jo 80-luvulta lähtien. Toinen tekijä on vielä ollut "one-time pad". Ei paskemmin suunniteltu, aikanaan.

...on myös omat riskinsä, mutta ainakin toistaiseksi näyttää...
Tämähän se onkin robusti peruste *kieltää* pitkään käytetyn ja helposti ymmärrettävän teknologian käyttö *lailla*!?!

Mielestäni laite ei ole turvassa kalastelulta. Käsittääkseni kalastelusivulle syötettäisiin vain käyttäjätunnus ja login-tunnusluku laitteesta. Se on siis turvattomampi kuin appis. Turvallisuutta voisi parantaa sillä, että laitteeseen ensin syötetään vaihtuva koodi, jonka kirjautumissivu antaa, ja sitten laite sylkee tähän koodiin liittyvän tunnusluvun, joka syötetään kirjautumisessa. Ainakaan Nordean laite ei videon mukaan noin taida toimia.
Laite on kuitenkin pankin tarjoama vaihtoehto, jos ei halua sitoa pankkiasiointiaan kännykkään. Miten tämä on parempi kuin helposti hahmotettava pahvilista, varsinkaan verkkokalastelun osalta?
 
Liittynyt
03.11.2016
Viestejä
1 220
Mitä riskejä voi liittyä vaikka pankkisovelluksen asentamiseen rootattuun puhelimeen? Käsittääkseni puhelin soveltuu käyttäjän vahvaan tunnistamiseen, eli se on verrattavissa voimassaolevan passin esittämiseen.
Androidissa on nykyään aika tehokkaat keinot havaita onko puhelin rootattu vai ei. Nordean sovellus, niinkuin varmaan moni muukin pankkisovellus, ei toimi rootatuissa puhelimissa.

Mitä sitten? Eihän pelkillä tunnuslukulistoilla tee mitään vaan lisäksi pitää onkia jostain käyttäjätunnus. "Two-factor authentication" on siis ollut verkkopankkien arkea jo 80-luvulta lähtien. Toinen tekijä on vielä ollut "one-time pad". Ei paskemmin suunniteltu, aikanaan.
Käyttäjätunnuksen kalastelu on ollut pitkään rikollisten suosikkipuuhaa. Sähköpostiin linkki pankin sivuilta näyttäville kirjautumissivuille. Kerran kun kirjoitat tunnuksesi siihen kenttään, niin peli on menetetty. Ei tarvi painaa edes enteriä, koska tunnus on tiedossa heti kun se on siinä kentässä. Osa myös säilyttää sitä käyttäjätunnusta varsin leväperäisesti. Saattaa olla lompakossa tai sitten tietokonelaatikoston ylimmässä vetolaatikossa. Sitten on vielä nämä puhelinhuijaukset, joissa aina vain ihmiset antavat tunnuksiaan sille poliisille tai pankin virkailijalle langan toisessa päässä.

One-timepädiin liittyy juuri se ongelma, että sitä voi käyttää monesta paikasta samaan aikaan, jos pädi tai osa sitä on tavalla tai toisella kopioitu. Kännykkässä oleva softa näyttää tarkasti (ainakin Nordean), että mihin se vahvistusta vaativa tapahtuma liittyy. Esim. jos vahvistettavana on tilisiirto, tunnuslukusofta näyttää paljonko on menossa ja minne.

Kyllä näihinkin softiin liittyy mielestäni huonoja puolia. Esim. Nordean softaan kaipaisin mahdollisuutta pidempään pin-koodiin (tai vaihtuviin koodeihin, ei pitäisi olla mahdotonta muistaa esim. kolme eri koodia) tai sormenjälkitunnistetta pinkoodin lisäksi aina, jokaisen tapahtuman yhteydessä. Mutta ovat mainettaan parempia.
 
Liittynyt
10.07.2017
Viestejä
2 162
Androidissa on nykyään aika tehokkaat keinot havaita onko puhelin rootattu vai ei. Nordean sovellus, niinkuin varmaan moni muukin pankkisovellus, ei toimi rootatuissa puhelimissa.
Aijaa, kyllä minulla toimii. Käsittääkseni Magiskia ei pysty ainakaan vielä mitenkään havaitsemaan. Useat sovellukset havaitsevat Magisk sovelluksen olevan asennettuna, mutta siitäkin pääsee eroon vaihtamalla sen nimen.

https://magiskmanager.com/magisk-beta sanoi:
Magisk Helps You to Run Banking Apps
If you’re using any banking application, then you might have seen, that you can’t run banking apps in the rooted phone.
Magisk helps you a lot in hiding the root from your phone, and this is what makes magisk special because it helps you to root your phone systemless-ly
There’s a reason why magisk is called a Magic Mask to Alter Android System Systemless-ly.
Did you know Magisk can also help you to hide the root access from games like Pokemon Go and more?


What Does Systemless-ly Mean?
You might have seen me using the term systemless-ly again and again.
What does that mean?
Systemless-ly means that whenever you are rooting your phone, the rooting process will never touch your system files.
Modifications are stored safely in the boot partition instead of modifying the real system files.
Magisk Modules support, and hide from tons of integrity tests like SafetyNet!
If you’re using an Android phone which is having root access with the help of SuperSU, you’ll see that it will never pass SafetyNet.
If you’re using Magisk Manager, then you can hide root and pass SafetyNet.
 
Liittynyt
03.11.2016
Viestejä
1 220
Aijaa, kyllä minulla toimii. Käsittääkseni Magiskia ei pysty ainakaan vielä mitenkään havaitsemaan. Useat sovellukset havaitsevat Magisk sovelluksen olevan asennettuna, mutta siitäkin pääsee eroon vaihtamalla sen nimen.
Ok. Perun siis tältä osin puheeni, mutta varmasti tätä yritetään tilkitä paremmin tulevaisuudessa. Ja uskoisin että on enemmänkin käyttäjän oman tietoturvan kannalta riski pitää pankkisovelluksia rootatussa puhelimessa. Nordea on myös FB-sivuillaan näköjään sanonut asiasta:

Tämä rootattujen laitteiden esto jakaa mielipiteet laidasta laitaan, mutta ennen kaikkea turvallisuussyistä on estetty tuo käyttö rootatuissa laitteissa.

Kaikki laitteensa rootanneet eivät välttämättä ole tarpeeksi edistyneitä käyttäjiä, jotta rootatun laitteen käyttö olisi turvallista.

Toisaalta edistyneemmät käyttäjät kuten sinä, saatte kyllä sovelluksen eston kierrettyä jos näin vain haluatte tehdä.

Välitän ilman muuta palautteesi vielä eteenpäin tuosta ehdotuksesta, että rootattuja laitteita ei estettäisi vaan tuo roottaus huomioitaisiin ennenminkin varoituksen avulla.

-Tuomas
 
Liittynyt
10.07.2017
Viestejä
2 162
Itsehän käytän roottia vain sen takia, että saan OnePlussan puhelujen nauhoituksen päälle. Kun ovat menneet senkin poistamaan kaikkialta muualta paitsi Intiasta.

Millekään muulle sovellukselle, kuin Terminal Emulator, joka on Androidiin sisäänrakennettu en ole antanut root oikeuksia, joten "riskiä" ei ole. Tietysti Magisk voisi taustalla tehdä kaikkea jäynää, mutta sekin on GitHubissa, joten joku varmaan olisi senkin sieltä huomannut.
 

valurauta

BANNATTU
BANNED
Liittynyt
29.12.2016
Viestejä
3 528
Androidissa on nykyään aika tehokkaat keinot havaita onko puhelin rootattu vai ei. Nordean sovellus, niinkuin varmaan moni muukin pankkisovellus, ei toimi rootatuissa puhelimissa.
Tämän väitteen kaatuminen on hyvä esimerkki siitä, kuinka vaikeaa kännykkäsovelluksen tietoturvallisuuden takaaminen on. Heti kun menet olettamaan jotain, joku rientää kohta kertomaan kuinka oletus meni juuri silppuriin. Jotain on kuitenkin vähän pakko olettaa. Sitten kun joku tärkeä oletus osoittautuu paikkansapitämättömäksi, kaikki saman softan käyttäjät on vaarassa.

Onko app:n asennuksen kloonaaminen mahdollista niin, että sitä ajettaisiin toisella laitteella tai virtuaalikoneella eikä app tätä huomaisi?

Käyttäjätunnuksen kalastelu on ollut pitkään rikollisten suosikkipuuhaa. Sähköpostiin linkki pankin sivuilta näyttäville kirjautumissivuille. Kerran kun kirjoitat tunnuksesi siihen kenttään, niin peli on menetetty. Ei tarvi painaa edes enteriä, koska tunnus on tiedossa heti kun se on siinä kentässä. Osa myös säilyttää sitä käyttäjätunnusta varsin leväperäisesti. Saattaa olla lompakossa tai sitten tietokonelaatikoston ylimmässä vetolaatikossa. Sitten on vielä nämä puhelinhuijaukset, joissa aina vain ihmiset antavat tunnuksiaan sille poliisille tai pankin virkailijalle langan toisessa päässä.
Ei pelkkä käyttäjätunnus riitä vaa pitää syöttää niitä tunnuslukujakin. Tässä suhteessa sähköiset tunnuslukugeneraattorit eivät juuri muuta nykytilaa. Hyökkäyksen täytyy toki olla reaaliaikainen mutta se tuskin on ylipääsemätön ongelma. Myös mobiili-app:lla on offline-tila, jota vastaan voi hyökätä samaan tapaan.

Onko itsellesi ollut suurikin ongelma olla syöttämättä pankkitunnisteita satunnaisille verkkosivuille? Ei minullekaan. Mahtaako kännykän turvallisuudesta huolehtiminen onnistua potentiaalisilta huijauksen uhreilta yhtään sen paremmin kuin pahvikortin suojaaminen? Puhelintahan on kätevää pitää aina auki... ja "suvun PC-tuki" on löytänyt puhelimeen vaikka mitä kivoja ohjelmia.

Mitä sitten vaikka pankkitunnus ja tunnusluvut olisivat kotona piironginlaatikossa? Niihin ei sivulliset kuitenkaan pääse käsiksi ilman asuntomurtoa. Kännykkä sen sijaan on monella esillä julkisessakin tilassa.
 
Liittynyt
03.11.2016
Viestejä
1 220
Onko itsellesi ollut suurikin ongelma olla syöttämättä pankkitunnisteita satunnaisille verkkosivuille? Ei minullekaan. Mahtaako kännykän turvallisuudesta huolehtiminen onnistua potentiaalisilta huijauksen uhreilta yhtään sen paremmin kuin pahvikortin suojaaminen? Puhelintahan on kätevää pitää aina auki... ja "suvun PC-tuki" on löytänyt puhelimeen vaikka mitä kivoja ohjelmia.
Ei, mutta se on ilmeisesti EU:n laajuisesti sen verran iso ongelma, että siihen puuttuminen koko unionin laajuisesti nähdään tarpeelliseksi.

Ja joo, pelkkä käyttäjätunnus ei riitä. Mutta samalla tavalla niitä tunnuslukuja kopioidaan. Puhelinhyökkäykset on tässä tappavan tehokkaita.
 
Liittynyt
18.10.2016
Viestejä
2 760
Mä en ole ainoa jonka mielestä noi tunnuslukulistat joutaa lepikkoon. Niiden kielto tulee suoraan EU:n PSD2 direktiivistä, jossa fyysisiä tunnuslukulistoja ei enää hyväksytä riittävän turvalliseksi tavaksi suorittaa vahva tunnistautuminen.
Onneksi OP vain lähettää tekstiviestinä mikä koodi pitää syöttää niin voi vielä käyttää tunnuslukulistaa.

Käy 1-2 kertaa/kk verkkopankissa niin minkätakia siihen mitään appia tarvitsee. Noiden appien kanssa sitten kannattaa olla varalaite mihin sovellus on asennettu, jos puhelin häviää niin kuulemma kohtalainen rumba saada uudestaan aktivoitua sovellus uuteen puhelimeen.

Sitäpaitsi jos on vanha puhelin käytössä niin eihän noi sovellukset edes toimi.
 
Liittynyt
21.11.2016
Viestejä
6 108
Käy 1-2 kertaa/kk verkkopankissa niin minkätakia siihen mitään appia tarvitsee.
Jos ei tunnistautumista tarvitse mihinkään muuhun kuin kerran tai kaksi kuussa verkkopankkiin kirjautumiseen, niin ei sitä silloin varmaan tarvitsekaan. Pelkkään verkkopankin käyttöön tunnuslukulista on direktiivinkin mukaan riittävä väline, mutta henkilön vahvaan tunnistamiseen ei. Muistaakseni esim. Nordeallakin pääsee pahvilistalla vielä verkkopankkiin, mutta tunnistautuminen 3. osapuolen palveluihin ei niillä onnistu. Pahvikortit kyllä poistuvat käytöstä vielä kohta, koska niiden infraa ei kannata pitää yllä muutamia asiakkaita varten kun miljoona muuta käyttää jo sovellusta.

Mulle ainakin henkilökohtaisesti myös mahdollisuus tunnistautua milloin vain vahvasti kantelematta turvatonta ja epäkäytännöllistä pahvikorttia lompakossa on aika iso plussa, oli sen tarve sitten kirjautuminen Oma Veroon, Kantaan, Poliisin asiointipalveluun, operaattorin itsepalveluportaaliin, luottokorttimaksun vahvistamiseen tai mihin tahansa mihin nykyään tunnistautumista tarvitsee. Mun tarvitsee ainakin tunnistautua erilaisiin palveluihin useita kertoja viikossa, ja siihen sitten ne verkkopankin käytöt päälle. Alkais pahvikortilla puljaamien ahdistamaan.

On mulla toki mobiilivarmennekin käytössä, mutta se tuntuu olevan sökönä noin joka kolmas kerta kun yritän sitä käyttää niin hyvä olla pankkitunnuksetkin mukana aina.

Noiden appien kanssa sitten kannattaa olla varalaite mihin sovellus on asennettu, jos puhelin häviää niin kuulemma kohtalainen rumba saada uudestaan aktivoitua sovellus uuteen puhelimeen.
Varalaite on kyllä hyvä olla, mitä varten ainakin Nordealla on tunnuslukusovelluksessa profiili-toiminto, eli samaan luuriin voi ohjelmoida useamman käyttäjän tunnistautumisen, jolloin voit tehdä backup tilin vaikka puolison puhelimeen. Tai jos sulla on puhelimen lisäksi ipad/muu tabletti niin asentaa sen sovelluksen myös siihen niin on varalaite. Tai hankkii pankilta sen tunnuslukulaitteen lisäksi kotiin varalaitteeksi jos ei toista mobiililaitetta ole mihin sen asentaa.

Uuden laitteen aktivoinnissa on ollut jotain soutamista ja huopaamista, alun perin se onnistui täysin itsepalveluna verkkopankin kautta jos vaan on joku tunnistautumisväline käytettävissä, mutta jossain välissä se piti tehdä aspan kautta vaikka verkkopankin 24/7 chatin avulla. En ole tarkistanut vähään aikaan onko itsepalvelu tullut takaisin. Sovelluksen aktivointi toiseen laitteeseen onnistuu nykyään QR-koodiin perustuvalla laitteesta-laitteeseen aktivoinnilla.

Sama ongelma tosin koskee kaikkia muitakin tunnistautumisvälineitä, jos sun mobiilivarmenne hukkuu niin tiedossa on uuden simmin hakeminen operaattorilta ja palvelun kytkeminen siihen, jos tunnuslukukortti häviää niin tiedossa on uuden hakeminen virallista henkkaria vastaan pankista tai toimitus postin kautta, joten tämä ongelma ei ole eksklusiivinen tunnuslukusovelluksille.

Sitäpaitsi jos on vanha puhelin käytössä niin eihän noi sovellukset edes toimi.
Mikä on vanha ja mikä ei. Esim. Nordean sovellus toimii Android 6 (julkaistu 2015 lopulla) ja uudemmissa versioissa, tai Applen laitteilla IOS 10 ja uudemmissa versioissa. Androidin osalta esim. 6 ei ole enää edes tuettu käyttöjärjestelmä, joten noinkaan vanhaa versioita ei kenenkään pitäisi edes käyttää. Applen vehkeistä IOS 12 on saatavissa vielä iPhone 5S-sukupolven vehkeille, ja minimivaatimuksena oleva IOS 10:n saa vielä iPhone 5 sukupolven laitteisiin, jotka on julkaistu vuonna 2012.

Onneksi OP vain lähettää tekstiviestinä mikä koodi pitää syöttää niin voi vielä käyttää tunnuslukulistaa.
Hyvä jos tämä sopii sulle ja tykkäät tästä kyllä se turvallisuuden tasoa parantaa aiempaan verrattuna ainakin hitusen :tup:
 
Viimeksi muokattu:
Liittynyt
18.10.2016
Viestejä
2 415
Ihan hyvin kyllä toimi tuo OP:n tekstiviestipalvelu kun eilen testasin. Toki itselläni on myös sama tilanne, että eipä sinne verkkopankkiin tarvitse kovin usein kirjautua.
 

valurauta

BANNATTU
BANNED
Liittynyt
29.12.2016
Viestejä
3 528
Mulle ainakin henkilökohtaisesti myös mahdollisuus tunnistautua milloin vain vahvasti kantelematta turvatonta ja epäkäytännöllistä pahvikorttia lompakossa on aika iso plussa, oli sen tarve sitten kirjautuminen Oma Veroon, Kantaan, Poliisin asiointipalveluun, operaattorin itsepalveluportaaliin, luottokorttimaksun vahvistamiseen tai mihin tahansa mihin nykyään tunnistautumista tarvitsee.
Tunnistautumispuolen turvallisuus tässä arveluttaa vähintään yhtä paljon kuin pankkiasiat. Sen kun joku häkkää, niin voi tulla rumaa jälkeä. Kirsikkana kakun päällä täyteen vastuuseen riittää jo tavanomainen huolimattomuus (mitä ikinä se mobiililaitteella tarkoittaakaan), kun maksupalveluissa oma vastuu on rajattu ellei ole toiminut törkeän huolimattomasti. Jokuhan tässä hiljattain joutui vastuuseen, kun tunnistautumisen kautta oli päästy tehtailemaan pikaluottoja.

Varalaite on kyllä hyvä olla, mitä varten ainakin Nordealla on tunnuslukusovelluksessa profiili-toiminto, eli samaan luuriin voi ohjelmoida useamman käyttäjän tunnistautumisen, jolloin voit tehdä backup tilin vaikka puolison puhelimeen.
...
Sovelluksen aktivointi toiseen laitteeseen onnistuu nykyään QR-koodiin perustuvalla laitteesta-laitteeseen aktivoinnilla.
Tämäpä mukava tieto. Voisiko hakkeri hyödyntää kopiointiominaisuutta mitenkään missään skenaariossa?
Toimiiko kopio myös offline-tilassa?
 
Liittynyt
20.10.2016
Viestejä
1 369
QR-koodihimmeli ei toimi offlinessa. Toiseen laitteeseen toki saa lisättyä kunhan tietää käyttäjätunnuksen ja asetetun PIN koodin ja saa vielä puhelimen auki
 
Liittynyt
13.08.2019
Viestejä
2 200
S-Pankki laskee S-Prime-korkoaan 0,20 prosenttiyksikköä 0,40 prosenttiin. Uusi korko astuu voimaan 1.10.2019. Päätös perustuu markkinakorkojen laskuun.
 
  • Tykkää
Reactions: eba
Liittynyt
17.10.2016
Viestejä
9 065
OP -osuuspaskapankki saa pitää tunkkinsa. Tämän uuden vahvan tunnistautumisen jälkeen erään sukulaisen kyky hoitaa pankkiasioita vaikeutui huomattavasti. Asioimme konttorilla ja tyttönen lähes kettuili meille.
Lopputulemma on se että tämä sukulainen siirtää tilinsä/säästönsä ensi viikolla nordeaan, reilut 40k.
 
Liittynyt
18.10.2016
Viestejä
11 037
Mulle ainakin henkilökohtaisesti myös mahdollisuus tunnistautua milloin vain vahvasti kantelematta turvatonta ja epäkäytännöllistä pahvikorttia lompakossa on aika iso plussa, oli sen tarve sitten kirjautuminen Oma Veroon, Kantaan, Poliisin asiointipalveluun, operaattorin itsepalveluportaaliin, luottokorttimaksun vahvistamiseen tai mihin tahansa mihin nykyään tunnistautumista tarvitsee. Mun tarvitsee ainakin tunnistautua erilaisiin palveluihin useita kertoja viikossa, ja siihen sitten ne verkkopankin käytöt päälle. Alkais pahvikortilla puljaamien ahdistamaan.

On mulla toki mobiilivarmennekin käytössä, mutta se tuntuu olevan sökönä noin joka kolmas kerta kun yritän sitä käyttää niin hyvä olla pankkitunnuksetkin mukana aina.
Jännä juttu.

Koen suuremmaksi ongelmaksi turvattoman ja epäluotettavan mobiililaitteen "mukana kantelemisen" kuin pahvikortin "mukana kantelemisen".

Itse käytän tunnistautumiseen verkkopankkitunnuksia pahvikortilla ja mobiilivarmennetta. Näistähän selvästi mobiilivarmenne on se turvattomampi ja paskempi vaihtoehto, mutta hyväksyn sen marginaalisesti riittävänä.

Mobiilivarmenteen käytössä ei koskaan ole ollut häiriötä, ja olen kuitenkin käyttänyt sitä satoja kertoja. Saatetaan olla tuhansissa. Verkkopankkien ja niiden kautta tarjotun tunnistuspalvelun virheet ovat kuitenkin varsin yleisiä, johtuen monen tekijän summasta.

Toistan, että mobiilivarmenteen käytössä ei koskaan ole ollut yhtään(1) häiriötä, vaikka se turvaton paska onkin. Pankkien palvelut ovat nurin tämän tästä. Tätä ei ehkä huomaa, jos elää toimistoajassa ma-pe.

Miten ihmeessä jokin spyware - tai siis kourallinen niitä eri pankkien myöntäminä - olisi parempi kuin kumpikaan edellisistä? Pankkien reikäiset softat muutenkin hyväksyvät vielä reikäisemmät poropietarisormenjälkilukijat vaikka mihin toimintoihin. Tähän päälle ulkoasupäivitykset satunnaisesti jopa viikottain ihan pelkästään turhamaisuussyistä. Hirveitä pommeja.
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
1 304
Onko muilla Nordean tunnuslukusovellus oikutellut? Minulla nyt kolmena päivänä herjannut satunnaisesti jotain laitteesta muka johtuvaa vikaa. Android sovellusversio 1.7.0. Puhelin Huawei, Android 9.x ja lokakuun turvapäivitykset.
 
Liittynyt
17.10.2016
Viestejä
9 065
Onko muilla Nordean tunnuslukusovellus oikutellut? Minulla nyt kolmena päivänä herjannut satunnaisesti jotain laitteesta muka johtuvaa vikaa. Android sovellusversio 1.7.0. Puhelin Huawei, Android 9.x ja lokakuun turvapäivitykset.
Itsellä ei ongelmia, käytössä Honor20Pro.
Poista tunnuslukusovellus ja lataa se uudelleen.
 
Liittynyt
17.10.2016
Viestejä
1 304
Kiitos vastauksista. En muuten kolmessa päivässä vielä tajunnut kokeilla poistoa ja uudelleenasennusta, joten @Centteri n ohjeella eteenpäin ja katsotaan jos tasoittuu.
 
Liittynyt
10.03.2017
Viestejä
4 231
OP -osuuspaskapankki saa pitää tunkkinsa. Tämän uuden vahvan tunnistautumisen jälkeen erään sukulaisen kyky hoitaa pankkiasioita vaikeutui huomattavasti. Asioimme konttorilla ja tyttönen lähes kettuili meille.
Lopputulemma on se että tämä sukulainen siirtää tilinsä/säästönsä ensi viikolla nordeaan, reilut 40k.
Ei tuommoiset pikkurahat pankille merkkaa yhtään mitään.
 
Liittynyt
16.10.2016
Viestejä
1 150
Säästöpankki alkaa veloittamaan uusia palvelumaksuja, mutta nostivat samalla maksuttomuuden ikärajaa vuodella 27 vuoteen. Ei vielä tarvitse alkaa tekemään palvelumaksujen kilpailutusta pankkien välillä.
 
Liittynyt
10.03.2017
Viestejä
4 231
Säästöpankki alkaa veloittamaan uusia palvelumaksuja, mutta nostivat samalla maksuttomuuden ikärajaa vuodella 27 vuoteen. Ei vielä tarvitse alkaa tekemään palvelumaksujen kilpailutusta pankkien välillä.
Ei niitä voi edes kilpailuttaa vaan ne menee ihan pankin hinnastojen mukaan. Jos on riittävästi rahaa niin ei tarvitse maksaa missään pankissa.
 
Liittynyt
23.10.2016
Viestejä
1 492
Osuukos tähän nyt kolmen pankkipäivän tauko tilisiirroissa? Osa pankeista ilmoittaa, että tänään (jouluaattona) siirtyy maksuja (TARGET2 välittää), mutta toisaalta keskuspankin mukaan pankkipalvelut ovat tänään kiinni.
 
Toggle Sidebar

Statistiikka

Viestiketjut
237 472
Viestejä
4 163 295
Jäsenet
70 412
Uusin jäsen
O&G

Hinta.fi

Ylös Bottom