- Liittynyt
- 17.10.2016
- Viestejä
- 14 868
Huomautus - keskity rakentavaan asialliseen keskusteluun
Huoh, jälleen kerran olet väärässä. Oikein käytettynäkin kertakäyttöiset salasanalistat lähetetään postitse asiakkaille ja ne voivat kulkea useiden käsiparien läpi ja päätyä matkalla kopioiduiksi osaavissa käsissä. Tämä yksinään altistaa listat urkinnalle. Tähän päälle niiden helppo kalasteltavuus niin tietenkin niistä on haluttu eroon ihan kaikkialla. OTP:t ovat myös alttiita MITM-hyökkäyksille, jos niitä lähetellään Sompin kuolaamien tiedonsiirtoprotokollien yli. Onneksi Sompia ei kuunnella, vaan käytetään esim. HTTPS:ää.oikein käytettynä nimenomaan ne kertakäyttöiset salasanalistat ovat kaikkein turvallisin kaksivaiheisen tunnistuksen muoto.
Ja tuo aivopierusi "oikein käytettynä" kertoo karusti, ettei sinulla ole mitään kompetenssia puhua tietoturvasta. Pankkeja käyttävät myös ne, jotka eivät käytä avainlukulistoja järkevästi. Tietoturvaa ei suunnitella sen mukaan, miten asiansa osaava IT-nörtti sen hoitaa, vaan sen mukaan miten se heikkolahjaisin idiootti sen hoitaa. Tietoturvassa suojellaan kaikkia käyttäjiä heidän omilta virheiltään.
Tässä sitä avainlukulistojen tietoruvaa:
Karille soitettiin Osuuspankin työntekijän nimissä. Soittaja väitti, että Karin tilille yritetään murtautua ja häneltä kysyttiin, mikä avainlukulistan numero oli tekstiviestissä. Lautakunta sanoo Karin kertoneen ainakin viimeisen järjestysnumeron.
Karilta, 67, huijattiin eläkesäästöt – pankin vastaus on surullista luettavaa
Huijarit onnistuivat viemään eläkesäästöt, vaikka uhri sanoo estäneensä siirrot.
www.is.fi
Kari toki kiistää virheensä. Tässä Noora, joka syötti avainlukuja useamman sivustolle, joka näytti pankin sivulta:
Juvonen antoi avainlukulistalta pyydetyn numeron ja yritti kirjautua sivustolla pankkitililleen. Mitään ei kuitenkaan tapahtunut. Hän kokeili vielä uudelleen tuloksetta. Samaan aikaan rikolliset olivat jo päässeet Juvosen oikealle pankkitilille hänen valesivustolle syöttämillään tunnuksilla sekä avainluvulla.
Noora, 35, oli menettää 6000 euroa hetkessä – näin toimii Suomessa leviävä salakavala huijaus
Rikolliset olivat jo siirtämässä tuhansia euroja virolaiselle pankkitilille.
www.iltalehti.fi
Taas kerran taustalla avainlukulistat ja niiden helppo kalasteltavuus. Ehkä jätät suosiolla tietoturva-asiat niille, jotka niistä jotain tajuavat.
Samasta syystä salasanoistakin pyritään pääsemään kokonaan eroon. Ei siksi, että nörtti voi asentaa salasanamanagerin jolla luo sen 64-merkkisen satunnaisen merkkijonon ja vaihtaa sitä 10 kertaa päivässä, vaan siksi ettei se tumpelo luo salasanaa "salasana1" ja kirjoita sitä lapulle muiden kirjautumistietojen kera, ja jonka laittaa lompakkoon jonka unohtaa ratikkaan.
Kun tämä sisäistät (enkä siis ikinä usko, että sisäistät), voit ymmärtää miksi tietoturvassa tehdään toisin kuin sinä toivot.