Digitalisaatio - hyvät ja huonot puolet

[poskiholisti]

Vastaamo oli valtava epäonnistuminen myös valtiolle. Normiohjaus ja sen toteutumisen käytännön valvonta on valtion vastuulla. Kun juuri mitään ei vaadittu, eikä sitäkään vähää valvottu, mitään ei tehty.

Vastaamon tapauksessa ongelmaksi muodostui sote-järjestelmien luokittelu A- ja B-luokkiin. A-luokan järjestelmät eli käytännössä Kanta-palveluihin yhdistetyt sovellukset/palvelut yhteistestataan Kelan kanssa ja järjestelmät myös tietoturva-auditoidaan ulkopuolisen tahon toimesta. Hyväksyntä ja sertifiointi on voimassa viisi vuotta, jolloin homma pitää uusia.

Sen sijaan B-luokan järjestelmiä ei testata tai auditoida. Kuitenkin B-luokan järjestelmien osalta kehittäjätahon pitää toimittaa Valviralle selvitys/dokumentaatio järjestelmän toiminnasta, käyttötarkoituksesta ynnä muusta vastaavasta. Kaksiportainen luokittelu ei ollut riittävä ja siksi Vastaamon asiakasjärjestelmän kaltaisia digiaalipieruja pääsi syntymään.

Vastaamon tapauksen jälkilöylyissä luokittelu laitettiin uusiksi ja nyt luokittelu on neliportainen: A3, A2, A1 ja B. Moni entinen B-luokan järjestelmä nousi A1-luokkaan ja käsittääkseni jonkinlainen ulkopuolisen tahon teettämä tietoturva-arvio kuuluu pakettiin.

 

[Paapaa]

mutta on se 2FA silti turhaa paskaa käyttäjälle

Miten ihmeessä se on "turhaa"? Sen avulla iso osa kalasteluyrityksistä on saatu karsittua pois. Turhaa se ei tietenkään ole, mutta tekee kirjautumisesta hitaampaa ja vaivalloisempaa. Siihenkin on apukeinoja, osa 2FA-menetelmistä on nopeampia käyttää kuin toiset. Yubikey on nopeampi kuin TOTP-koodit appista. Salasanamanagerin TOTP-koodit ovat nopeampi kuin TOTP-koodit appista jne.

Mutta on kyllä melkoista ongelmien kerjäämistä jos 2FA:n jättää käyttämättä. Eikä vain itselle vaan mahdollisesti palvelun tarjoajalle myös.

 

[teppo mörkö]

Pankkiasiontiinkin tarttee nykyää puhelin olla aina vierellä kun ennen riitti vaan tietokone ja avainlista

Pankkiasiontiinkin riittää nykyään pelkkä puhelin, kun ennen piti olla sekä tietokone että avainlista

 

[Paapaa]

No ennen vanhaan sen pystyi ostamaan tekstarilla kätevästi.

Ja nyt sen saa ostettua sovelluksella kätevästi. Suurimmalle osalle se sovellus on kätevä tapa hoitaa asioita. Siinä on myös kiistattomia etuja:

• Integroitu reittiopas ja lipunmyynti on hyvä asia (näet reitit, osaat ostaa sille suoraan oikean lipun)
• Mahdollistaa useita eri maksutapoja: kortit, työmatkaedut, Mobile Pay, mobiililippu jne.
• Tarkastajien on paljon helpompi tarkastaa lipun voimassaolo eli vähentää pummailua
• Kuljettajan on helpompi nähdä ostettu lippu
• Jne.

Ehkä Kerran pari vuodessa käyttää julkisia niin aina saa opetella uudestaan kun systeemit muuttuu.

Niin, siten on niitä jotka käyttävät sitä joka ikinen päivä. Ja se on iso ryhmä ja juuri sitä varten se prosessi kannattaa tehdä mahdollisimman sujuvaksi. Sille ryhmälle se appi on luultavasti paljon parempi ratkaisu.

 

[Hyrava]

Ja nyt sen saa ostettua sovelluksella kätevästi. Suurimmalle osalle se sovellus on kätevä tapa hoitaa asioita. Siinä on myös kiistattomia etuja:

• Integroitu reittiopas ja lipunmyynti on hyvä asia (näet reitit, osaat ostaa sille suoraan oikean lipun)
• Mahdollistaa useita eri maksutapoja: kortit, työmatkaedut, Mobile Pay, mobiililippu jne.
• Tarkastajien on paljon helpompi tarkastaa lipun voimassaolo eli vähentää pummailua
• Kuljettajan on helpompi nähdä ostettu lippu
• Jne.

Niin, siten on niitä jotka käyttävät sitä joka ikinen päivä. Ja se on iso ryhmä ja juuri sitä varten se prosessi kannattaa tehdä mahdollisimman sujuvaksi. Sille ryhmälle se appi on luultavasti paljon parempi ratkaisu.

Vaikka itse käytän julkisia todella harvoin, ehkä muutaman kerran vuodessa niin silti tuo äppi on ihan ylivoimainen verrattuna siihen vanhaan systeemiin että piti ostella lippuja joko etukäteen jostain lippuautomaatista tai bussissa kuskilta (ja kortit toimivat bussissa miten sattuu ja käteistä olisi mielellään pitänyt olla tasaraha). Nyt on niin helppo katsoa esim oikea bussi ja reitti reittihaulla ja tökkää vaan "osta lippu" niin automaattisesti tulee oikeiden vyöhykkeiden lippu sen enempiä miettimättä.

 

[akse]

Ei meidän tarvitse palata asiaan enää tämän jälkeen. Jos jonkun käyttämäsi palvelun tiliä ei ole korkattu, ei liitty mitenkään siihen ettet näyttäisi hahmottavan teknisen tietoturvan perusratkaisuja.

Kyse ei ole hahmottamisesta vaan siitä kuinka paljon se asia kiinostaa tai mikä on todennäköisyys juuri minulla jne. Toisilla todennäköisyys voi olla korkeakin kun klikkaillaan kaikenmaailman email linkit auki ja käydään "pankin" sivuilla jne.

Voin hahmottaa asian ihan kohtalaisestikin, mutta voin silti ottaa minimaalisen riskin jättämällä jonkun suojauksen pois käytännön syistä.

Pankkiasiontiinkin riittää nykyään pelkkä puhelin, kun ennen piti olla sekä tietokone että avainlista

Juuh no puhelinta tulee käytettyä aika vähän jos istuu jo valmiiksi tietokoneella töissä ja vapaa-ajallakin jonkun verran.

Ja nyt sen saa ostettua sovelluksella kätevästi.

Varmaan jos on älypuhelin (ja tarpeeksi uusi sellainen) ja appi asennettu etukäteen random matkaa varten. Varmaan maksukorttikin sinne pitäisi muistaa päivittää, jos on uusiutinut jne.

Niin, siten on niitä jotka käyttävät sitä joka ikinen päivä. Ja se on iso ryhmä ja juuri sitä varten se prosessi kannattaa tehdä mahdollisimman sujuvaksi. Sille ryhmälle se appi on luultavasti paljon parempi ratkaisu.

Joo, kyseessä on kuitenkin julkinen palvelu jota isosti verorahalla tuetaan..

Voisin kuvitella että jonkun verran porukkaa löytyy, joilla vaikeuksia palveluja käyttää, kun on digitalisoitu. Toki saahan lipun automaatista sentään vielä.

Vaikka itse käytän julkisia todella harvoin, ehkä muutaman kerran vuodessa niin silti tuo äppi on ihan ylivoimainen verrattuna siihen vanhaan systeemiin että piti ostella lippuja joko etukäteen jostain lippuautomaatista tai bussissa kuskilta

Tuo reittiopashan toimii näköjään ihan web sivullakin. Osta lippu napissa on sovelluksen lataus linkki? Mikä idea ettei voi käyttää vaan web sivua maksamiseen, kuten esim VR:llä?

 

[Err]

Osallistuin aikanaan Traficomin sähköisen ajokortin kokeiluun ja kyllä harmitti kun lopettivat sen ilman tuotantoversion tuomista markkinoille. Nykyään ei kyllä ole väliä kun ei ole autoakaan.

Edit: Oli muuten hauska stressilelu kun siihen oli tehty dynaamisuutta, jotta ei voinut screenshottia käyttää huijaamiseen. Sormea näytöllä liikuttelemalla ajokortin kuva hajosi sellaisiksi prismoiksi jotka liikkuivat sormen liikkeiden mukana.

Tuoko tuo sovellus mitään todellista hyötyä verrattuna alustariippumattomaan QR-koodiin, mikä toimisi koronapassin tavoin vaikka älykellossa? Jotenkin tuo resurssien käyttäminen ties mihin animaatiohin ja Play Integrity-tarkastuksiin tuntuu turhalta, jos mikään ei varsinaisesti estä sovelluksen kloonaamista HSL:n appin tavoin.

 

[Paapaa]

Android- tai iOS-puhelimeen asennettavaa vakoiluohjelmaa

Ei ehkä kannata aloittaa tällaisella todella tuuhealla salaliittopaskalla jos haluaa asiallista keskustelua.

kertakäyttöisten salasanojen listana, joka on mahdotonta murtaa.

Olet väärässä. Ne ovat alttiita monille hyökkäyksille. OTP-tunnareiden ongelma on se, että ne pitää lukea listasta ja kirjoittaa jonnekin. Se tarkoittaa, että listan voi nähdä tai kopioida ja se tarkoittaa että koodin saattaa kirjoittaa jonnekin ihan väärään paikkaan ja altistua kalasteluhyökkäykselle. Yksi suurimmista syistä sille, että kalasteluyritykset ovat vähentyneet on juuri se, ettei OTP-koodeja enää käytetä.

Nordea kirjoitti jo 2018:

Pankkitunnusten siirtyminen paperisesta versiosta mobiiliin on tehnyt tunnusten väärinkäytöstä käytännössä lähes mahdotonta. Tämä näyttää vähentäneen rajusti Nordean asiakkaisiin kohdistuneita huijausyrityksiä, henkilöasiakasliiketoiminnan varajohtaja Jani Eloranta toteaa.

Uudet tunnistautumistavat ovat vähentäneet tietojenkalastelua – ”tunnusten väärinkäyttö käytännössä lähes mahdotonta”

www.nordea.com

Tunnuslukusovellus on paljon turvallisempi kuin OTP-listat. Joihinkin käyttötilanteisiin on FIDO-turva-avaimia, jotka ovat todella turvallinen 2FA-metodi. Mutta muistaakseni pankkiasiointiin FIDO ei kelpaa jonkun regulaation ja pankkiasioinnin erityistarpeiden takia. Yksityiskohtia en nyt muista.

Ja on loistavaa, ettei muutosvastaisia tai digitalisaatiota hysteerisesti pelkääviä kuunnella, vaan maailma siirtyy eteenpäin. Kunhan saavutettavuusasiat ja vanhusten erityistarpeet pidetään mielessä. Jatkossa myös salasanojen tilalle saadaan Passkeyt, jolloin surkeat salasanat tai idioottimaiset salasanasäännöt ja pakolliset vaihtamiset ovat kohta historiaa.

 

[gulassi]

Tuoko tuo sovellus mitään todellista hyötyä verrattuna alustariippumattomaan QR-koodiin, mikä toimisi koronapassin tavoin vaikka älykellossa? Jotenkin tuo resurssien käyttäminen ties mihin animaatiohin ja Play Integrity-tarkastuksiin tuntuu turhalta, jos mikään ei varsinaisesti estä sovelluksen kloonaamista HSL:n appin tavoin.

QR-koodia ei voi käyttää stressileluna?

Ihan oikeana hyödyllisenä toimintona sillä pystyi hakemaan ilmaiseksi ajoneuvojen tietoja rekisterinumerolla.

 

[love_doctor]

Ja on loistavaa, ettei muutosvastaisia tai digitalisaatiota hysteerisesti pelkääviä kuunnella, vaan maailma siirtyy eteenpäin. Kunhan saavutettavuusasiat ja vanhusten erityistarpeet pidetään mielessä. Jatkossa myös salasanojen tilalle saadaan Passkeyt, jolloin surkeat salasanat tai idioottimaiset salasanasäännöt ja pakolliset vaihtamiset ovat kohta historiaa.

Toisaalta ainakin parissa pankissa on nykyään vaihtoehtona sormenjälkitunnistus OTP-listan sijaan. Näissä ei ole aivan samanlaisia tietoturvaongelmia, mutta en sanoisi silti äärimmäisen luotettavaksi. Tosiaan sormenjäljet voi mahdollisesti jäljentää, osa sensoreista kelpuuttaa tietyllä virhemarginaalilla myös muut sormenjäljet oikeiksi ja sitten väkivallalla (esim. äärimmäisessä tapauksessa sormen irrotus) voi päästä sisään, jos on fyysinen pääsy laitteeseen. Miinuspuolena myös jos vaikka käyt uimassa, pidät kumikäsineitä tai teet likaisia töitä, tunnistin ei välttämättä toimi hetkellisesti tai voi vaatia uudelleenkalibrointia aika ajoin sormien ihon eläessä. Tiedon kalastelu netissä ja nettipankkien sivulle meneminen epämääräisten mailien linkkien ja googlen kautta on kyllä pahoja ongelmia, mutta ehkä hieman PEBKAC. OTP voi olla osaavissa käsissä hyvinkin turvallinen.

 

[Paapaa]

Toisaalta ainakin parissa pankissa on nykyään vaihtoehtona sormenjälkitunnistus OTP-listan sijaan. Näissä ei ole aivan samanlaisia tietoturvaongelmia, mutta en sanoisi silti äärimmäisen luotettavaksi. Tosiaan sormenjäljet voi mahdollisesti jäljentää, osa sensoreista kelpuuttaa tietyllä virhemarginaalilla myös muut sormenjäljet oikeiksi ja sitten väkivallalla (esim. äärimmäisessä tapauksessa sormen irrotus) voi päästä sisään, jos on fyysinen pääsy laitteeseen. Miinuspuolena myös jos vaikka käyt uimassa, pidät kumikäsineitä tai teet likaisia töitä, tunnistin ei välttämättä toimi hetkellisesti tai voi vaatia uudelleenkalibrointia aika ajoin sormien ihon eläessä. Tiedon kalastelu netissä ja nettipankkien sivulle meneminen epämääräisten mailien linkkien ja googlen kautta on kyllä pahoja ongelmia, mutta ehkä hieman PEBKAC. OTP voi olla osaavissa käsissä hyvinkin turvallinen.

Siis pelkkä sormenjäki ei auta, vaan kyseessä on 2FA. Tässä tapauksessa sulla pitää olle tietty luuri, eikä mikä tahansa luuri. Ja lisäksi sun pitää laittaa PIN tai antaa sormenjälki, jotta voit sen luurin avulla kirjautua. Ja Nordea muistaakseni kysyy PINiä toimenpiteissä vaikka kirjautumisen tekisi sormenjäljellä.

OTP on siis käytännössä ollut pankeille ja asiakkaille turvallisempi vaihtoehto. Se ei tarkoita että se on ihan aina ja kaikissa yksittäisissä tapauksissa huonompi, mutta kokonaisuutena se näyttää altistavatn paljon useammin huijauksille.

Ja ainakin Nordean appiksessa sormenjälki on vapaaehtoinen. PIN on toinen vaihtoehto. Se on siis salasanan korvike, eikä kärsi huonosta sormenjälkiskannerista tai märistä käsistä. Sen ongelma on se, että joku saattaa kurkkia koodin kun sen kirjoittaa. Mutta siinäkään ei ole OTP-koodilapun ongelmaa eli koodia ei syötetä kalastelukenttään (siis sitä koodia, jolla pääsee pankkiin), eikä PIN ole kopioitavissa lappuselta.

 

[love_doctor]

Siis pelkkä sormenjäki ei auta, vaan kyseessä on 2FA. Tässä tapauksessa sulla pitää olle tietty luuri, eikä mikä tahansa luuri. Ja lisäksi sun pitää laittaa PIN tai antaa sormenjälki, jotta voit sen luurin avulla kirjautua. Ja Nordea muistaakseni kysyy PINiä toimenpiteissä vaikka kirjautumisen tekisi sormenjäljellä.

Ja ainakin Nordean appiksessa sormenjälki on vapaaehtoinen. PIN on toinen vaihtoehto. Se on siis salasanan korvike, eikä kärsi huonosta sormenjälkiskannerista tai märistä käsistä.

Joo, otin kantaa vaan tuohon, että on pankkeja (esim. S-pankki), jossa sormenjäljellä voi tehdä kaiken. Myös jos tietokoneella kirjautuu sisään, pääsee vahvistamaan ihan kaiken pelkällä sormenjäljellä puhelimesta. Tai jos puhelimella valitsee ettei halua käyttää sormenjälkeä, PIN-koodi on myös aina optiona. Ja myös numerolista on vielä vaihtoehtona, jos haluaa tehdä pitkän kaavan mukaan kaiken. Eli mitään optiota ei kai voi sulkea pois käytöstä. Ymmärrän että sormenjälkeä on vaikeampi kaapata etänä. Mutta esim. tuo että voi mitä vaan tehdä sormenjäljellä ja ilman pakollista PIN-koodin syöttöä ei ole pelkästään tietoturvaa parantava juttu.

 

[Paapaa]

Joo, otin kantaa vaan tuohon, että on pankkeja (esim. S-pankki), jossa sormenjäljellä voi tehdä kaiken

Mä veikkaan, että tämä ei pidä paikkaansa, vaan vaatii tietyn puhelimen, jolle sen sormenjäljen antaa. Eli jos mä irrotan sun sormesi, niin ilman sun puhelinta en voi tehdä yhtään mitään.

 

[love_doctor]

Ei yhden tunnuksen käyttäminen ole varsinainen tietoturvaongelma, jos taustalla on keskitetty hakemistopalvelu, kaksivaiheinen autentikointi ja järkevästi nykyisten tietoturvasuositusten mukaan rajatut least privilege -malliset oikeudet pakotetuilla vahvoilla salasanoilla. Työasemat on yleensä edelleen liitettynä paikalliseen Active Directoryyn, eikä sinne saa kaksivaiheista autentikointia käyttöön, tai ainakin se on hankalasti toteutettavissa. Tämä on Intune-hallinnan myötä hiljalleen muuttumassa, mutta se ottaa aikansa. Tuo ei ole kuitenkaan suuri ongelma, kun ne työasemat ovat paikallisessa sisäverkossa, eikä niihin voi kirjautua muualta, tai jos voi, niin sitten välissä on yleensä se MFA.

Mainitsinkin tuon sen takia, että tuo JOS-kohta ei välttämättä toteudu. Oppilaitos voi tarjota virtuaalisen työaseman suoraan netin yli ja sinne pääsee tunnus+salasana -kombolla. Läppäreissä voi olla sormenjälkitunnistin muttei sitä käytetä. Sama tunnus kaikkialle. Käyttäjää laiskottaa ja laittaa salasanaksi 7 merkkisen, koska ei huvita kirjoittaa 30+ merkkiä lukuisia kertoja päivän aikana. Sitten käykin niin että sama heikko salasana on käytössä netin yli kaikkiin palveluihin. Esimerkkitapauksessa kollegoilta voi tulla sosiaalista painetta ja syytöksiä foliohattuilusta, jos joku käyttää 30+ merkin salasanaa. Lokaalin kirjautumisen ongelmat voi välttää tässä tilanteessa niin, että ei kytkeydy Windowsin AD:lle vaan pitää kirjautumisen lokaalina (ei onnistu kaikissa organisaatioissa, mutta esimerkin organisaatiossa kyllä).

 

[love_doctor]

Mä veikkaan, että tämä ei pidä paikkaansa, vaan vaatii tietyn puhelimen, jolle sen sormenjäljen antaa. Eli jos mä irrotan sun sormesi, niin ilman sun puhelinta en voi tehdä yhtään mitään.

Mutta jos tulet kadulla vastaan ja haluat mun rahat, niin lyöt kanveesiin (tai laitat unipillerit juomaan baarissa tai mitä vaan), kaappaat kadulla tajuttoman taskusta luurin ja ohjaat sormen lukijaan. Tai sitten varastat puhelimen ja hyvällä tuurilla sen pinnasta saa kerättyä sormenjäljen. Mietin vaan tätä, että jos ei ole väliä keneen isket vaan haluat vaan joltain pölliä rahat, niin kyllä kaduilla on ihmisiä, joilla on esim. S-Pankin mobiilipankki ja sormenjälkitunnustus käytössä. Minusta muillakin pankeilla saa säädettyä samalla tavalla, esim. Danskella. Onhan se eri uhkakuva kuin joku kohdistettu hyökkäys netin yli, mutta ihan yhtä lailla realistinen skenaario.

 

[Paapaa]

Mutta jos tulet kadulla vastaan ja haluat mun rahat, niin lyöt kanveesiin (tai laitat unipillerit juomaan baarissa tai mitä vaan), kaappaat kadulla tajuttoman taskusta luurin ja ohjaat sormen lukijaan. Tai sitten varastat puhelimen ja hyvällä tuurilla sen pinnasta saa kerättyä sormenjäljen. Mietin vaan tätä, että jos ei ole väliä keneen isket vaan haluat vaan joltain pölliä rahat, niin kyllä kaduilla on ihmisiä, joilla on esim. S-Pankin mobiilipankki ja sormenjälkitunnustus käytössä. Minusta muillakin pankeilla saa säädettyä samalla tavalla, esim. Danskella. Onhan se eri uhkakuva kuin joku kohdistettu hyökkäys netin yli, mutta ihan yhtä lailla realistinen skenaario.

Ja on ihmisiä, joilla on se tunnuslukukortti mukana. Sen varastaminen on myös astetta helpompaa kuin sormen. Tai parhaimmillaan sen voi helposti kopioida ja jättää uhrille ilman että tämä tietää mitään kopioidun.

En mä nyt näiden perusteella näe mitään syytä preferoida OTP-koodeja tunnuslukuappiksen edelle.

 

[love_doctor]

Ja on ihmisiä, joilla on se tunnuslukukortti mukana. Sen varastaminen on myös astetta helpompaa kuin sormen. Tai parhaimmillaan sen voi helposti kopioida ja jättää uhrille ilman että tämä tietää mitään kopioidun.

En mä nyt näiden perusteella näe mitään syytä preferoida OTP-koodeja tunnuslukuappiksen edelle.

En missään vaiheessa väittänytkään OTP:tä paremmaksi. Meinasin vaan, että pelkkä sormenjälki ilman esim. PIN-kyselyä on vähän riskialtis. Jos joku sen PIN-koodin vakoilisi, niin tietoturvan taso palautuu siihen mikä on pelkän sormenjäljen kanssa. Onhan tietoturvan osalta tunnistautumisessa ihan ohjeita: something you know, something you have, and something you are, jne.

 

[Kautium]

Mainitsinkin tuon sen takia, että tuo JOS-kohta ei välttämättä toteudu. Oppilaitos voi tarjota virtuaalisen työaseman suoraan netin yli ja sinne pääsee tunnus+salasana -kombolla. Läppäreissä voi olla sormenjälkitunnistin muttei sitä käytetä. Sama tunnus kaikkialle. Käyttäjää laiskottaa ja laittaa salasanaksi 7 merkkisen, koska ei huvita kirjoittaa 30+ merkkiä lukuisia kertoja päivän aikana. Sitten käykin niin että sama heikko salasana on käytössä netin yli kaikkiin palveluihin. Esimerkkitapauksessa kollegoilta voi tulla sosiaalista painetta ja syytöksiä foliohattuilusta, jos joku käyttää 30+ merkin salasanaa. Lokaalin kirjautumisen ongelmat voi välttää tässä tilanteessa niin, että ei kytkeydy Windowsin AD:lle vaan pitää kirjautumisen lokaalina (ei onnistu kaikissa organisaatioissa, mutta esimerkin organisaatiossa kyllä).

Kaikenlaisia poikkeuksia varmasti on, mutta aika monesta organisaatiosta on kokemuksia töiden (ja omien jatko-opintojen) kautta, eikä tule äkkiseltään mieleen organisaatiota, joka ensinnäkään sallisi käyttäjiltä lyhyitä salasanoja, eikä varsinkaan sellaista, joka mahdollistaisi sisäverkon etätyöpöytäyhteyden pelkällä tunnuksella/salasanalla ilman vahvaa tunnistusta. Ja jos mahdollisesti tarjottava etätyöpöytä on toteutettu jollakin haavoittuvalla RDP:llä tms, niin sitten välissä on sen MFA:n lisäksi erillinen gateway omine suojauksineen. Organisaation omat työasemat erikseen, eli niissä voi olla pääsy sisäverkkoon esim. Direct Connectin tai jonkin VPN-totutuksen myötä.

En ole myöskään koskaan kuullut sosiaalisesta paineesta liian pitkän salasanan käytön vuoksi, mutta varmaan sitten sellainenkin on jossakin yhteisössä mahdollista.

 

[love_doctor]

Kaikenlaisia poikkeuksia varmasti on, mutta aika monesta organisaatiosta on kokemuksia töiden (ja omien jatko-opintojen) kautta, eikä tule äkkiseltään mieleen organisaatiota, joka ensinnäkään sallisi käyttäjiltä lyhyitä salasanoja, eikä varsinkaan sellaista, joka mahdollistaisi sisäverkon etätyöpöytäyhteyden pelkällä tunnuksella/salasanalla ilman vahvaa tunnistusta. Ja jos mahdollisesti tarjottava etätyöpöytä on toteutettu jollakin haavoittuvalla RDP:llä tms, niin sitten välissä on sen MFA:n lisäksi erillinen gateway omine suojauksineen. Organisaation omat työasemat erikseen, eli niissä voi olla pääsy sisäverkkoon esim. Direct Connectin tai jonkin VPN-totutuksen myötä.

Näitä on ja juuri tuossa oppilaitosympäristössä. En nyt tarkemmin avaa, mutta on salattu yhteys eli sinällään ihan ok, mutta pääsee tunnuksella ja salasanalla sisään suoraan ilman muita kyselyitä. Ei ole MFA.

En ole myöskään koskaan kuullut sosiaalisesta paineesta liian pitkän salasanan käytön vuoksi, mutta varmaan sitten sellainenkin on jossakin yhteisössä mahdollista.

Liittyy siihen, että joskus tarvii kirjautua porukan edessä ei-omalle laitteelle ja tietenkään jos sitä pitkää salasanaa ei käytä päivittäin kirjautumiseen, sitä ei voi muistaa. Joten vaihtoehtona on antaa jonkun sellaisen kirjautua, joka naputtelee parissa sekunnissa oman lyhyen salasanan tai sitten kirjautuu itse eli kaivaa keepassin esiin ja kopioi sieltä merkki kerrallaan pitkän lorun. Ehkä kopioinnissa tulee joku virhe vielä ja kestää pidempään, jolloin kettuilu voi alkaa.

Tähän voi liittyä vielä se, että laite on kytketty hdmi:llä tykkiin ja normaalisti porukka kirjautuu sisään niin että salasanaa indikoivat pallurat salasanakentässä näkyvät kaikille koko ajan. Kun syöttää pidempää lorua, tulee huvittunutta kuiskuttelua. Tykin kaukosäädin voi olla hukassa ja sammuttaminen ja uudelleen käynnistäminen lisää viivettä pari minuuttia tykin lampun jäähdyttelyn takia. Tietenkin johdot on asennettu niin helvetin vaikeasti jonnekin kalusteiden sisään, että sen hdmi:n irrottaminenkin on ihan mahdotonta ilman että vaihtaa jumppavaatteisiin pöydän alle taivuttelua varten ja samalla hyvä olla mukana työkalupakki rakenteiden purkamista varten. Windowsin näytön asetuksiin voi olla rajattu pääsy vain admin-tunnuksille ja kun et käytä Windowsia päivittäin, voi olla vaikea muistaa, mikä ei-admin-oikkia vaativa pikanappi sulkee kakkosnäytön (tykin) kuvan salasanan syötön ajaksi.

Kaiken tämän päälle Windows voi vielä rangaista oikein kunnolla parin minuutin odottelulla kun tuo harvemmin sisään kirjautuva näissä tilanteissa joutuu käymään läpi kaikki "profiilin" päivittelyt ja kuittaamaan muut sisäisen ilmoitustaulun infotekstit.

 

[=JP=]

Odottakaahan vaan, kun ikää alkaa tulemaan ja muisti rupee välillä pätkimään, että muistaa kaikenmaailman PIN sun muut koodit joka laitteeseen ja sovellukseen, etenkin jos ovat erilaisia (kuten suositellaan). Tietenkin tähän auttaa password managerit, 2FA authentikaattorit ja fyysiset "avaimet", jos on aikoinaan ne ottanut käyttöön ja tuki jatkuu. Tottakai tulevaisuus saattaa tuoda jotain mullistavaa mukanaan, joka helpottaa tunnistautumista kaikkialle, mutta millä hinnalla (yksityisyys).

Muutenkin vanhempi sukupolvi tällä hetkellä on vähän ongelmissa, kun siirrytty vahvasti uusiin järjestelmiin ja joutuu opettelemaan kaikkea uutta, mikä ei enää niin helppoa kaikille ole.

 

[Kautium]

Odottakaahan vaan, kun ikää alkaa tulemaan ja muisti rupee välillä pätkimään, että muistaa kaikenmaailman PIN sun muut koodit joka laitteeseen ja sovellukseen, etenkin jos ovat erilaisia (kuten suositellaan). Tietenkin tähän auttaa password managerit, 2FA authentikaattorit ja fyysiset "avaimet", jos on aikoinaan ne ottanut käyttöön ja tuki jatkuu. Tottakai tulevaisuus saattaa tuoda jotain mullistavaa mukanaan, joka helpottaa tunnistautumista kaikkialle, mutta millä hinnalla (yksityisyys).

Muutenkin vanhempi sukupolvi tällä hetkellä on vähän ongelmissa, kun siirrytty vahvasti uusiin järjestelmiin ja joutuu opettelemaan kaikkea uutta, mikä ei enää niin helppoa kaikille ole.

Vaihtoehto on että unohdetaan tietoturva ja annetaan rikollisten viedä identiteetti ja rahat tileiltä. Ehkä joskus tähän tulee parannusta, mutta toisaalta tämä on loputonta kissa-hiirileikkiä, kun myös rikollisten menetelmät kehittyvät.

 

[Paapaa]

Odottakaahan vaan, kun ikää alkaa tulemaan ja muisti rupee välillä pätkimään, että muistaa kaikenmaailman PIN sun muut koodit joka laitteeseen ja sovellukseen, etenkin jos ovat erilaisia (kuten suositellaan). Tietenkin tähän auttaa password managerit, 2FA authentikaattorit ja fyysiset "avaimet", jos on aikoinaan ne ottanut käyttöön ja tuki jatkuu. Tottakai tulevaisuus saattaa tuoda jotain mullistavaa mukanaan, joka helpottaa tunnistautumista kaikkialle, mutta millä hinnalla (yksityisyys).

Muutenkin vanhempi sukupolvi tällä hetkellä on vähän ongelmissa, kun siirrytty vahvasti uusiin järjestelmiin ja joutuu opettelemaan kaikkea uutta, mikä ei enää niin helppoa kaikille ole.

Tää on totta. Ei tietoturva ja salasanojen hallinta ole millään tavalla helppoa. Salasanamanageri auttaa, mutta sellaisen käytön opettelu on joillekin vaikeaa. Menee pitkä tovi, että käyttö tulee selkärangasta ja osaa toimia kun pitäisi kiireessä kirjautua palveluun ei-tutulla laitteella. Vaihtoehtona on käyttää samaa salasanaa joka paikassa, mikä on taas ongelmallista. Passkeys toivottavasti ratkaisee tämän joskus tulevaisuudessa.

Mutta pannkihommat on onneksi jo kohtuullisen hyvin hallussa myös ikäihmisillä. Se on kuitenkin se tärkein taito. Osaa kirjautua pankkiin tai käyttää pankkitunnuksia vahvaan tunnistautumiseen. Sitä kun joutuu tekemään tarpeeksi usein, niin jää mieleen miten homma oikein toimii. Mutta alku voi olla vaikeaa jos ei ole lappsia tai lapsenlapsia auttamassa.

Mutta ei tolle oikein vaihtoehtoakaan ole. Tietoturva on aika monimutkaista jos se halutaan tehdä kunnolla.

 

[love_doctor]

Mutta pannkihommat on onneksi jo kohtuullisen hyvin hallussa myös ikäihmisillä. Se on kuitenkin se tärkein taito. Osaa kirjautua pankkiin tai käyttää pankkitunnuksia vahvaan tunnistautumiseen. Sitä kun joutuu tekemään tarpeeksi usein, niin jää mieleen miten homma oikein toimii. Mutta alku voi olla vaikeaa jos ei ole lappsia tai lapsenlapsia auttamassa.

Ikäihmisten ero on tällä hetkellä aika huima. Osa ei ole pystynyt siirtymään matkapuhelimien käyttöön, vaikka GSM-puhelimiakin on ollut jo yli 30 vuotta. Maalla on voitu kuparitkin kerätä maasta jo vuosia sitten ja sitä ennen jo pulssipuhelimien tuki loppua. Pankkiautomaatit ovat vieraita, vaikka ensi keväänä Suomen ensimmäisten automaattien avaamisesta tulee kuluneeksi 45 vuotta. Verkkopankki Suomessa on muistaakseni vuoden automaatteja nuorempi keksintö. Nyt osa varhaiseläkkeelle jääneistä on ollut alle 20-vuotiaita kun nämä systeemit olivat jo saatavilla. Kotitietokoneitakin on ollut pian jo olemassa 50 vuoden ajan.

En tiedä, onko muun teknologian kanssa ollut yhtä pitkiä ongelmallisia siirtymäaikoja. Sanoisin, että esim. 80- ja 90-luvuilla osa analogisista ja varhaisista digitaalisista kodinkoneista oli jopa vaikeampia käyttää kuin nykyiset digit. Hyvä vertailukohta on esim. joku 80-luvun edistynyt videonauhuri ja sitten nykyään joku operaattorin viihdepalvelu.

 

[love_doctor]

Digimaksamisen ongelmat johtivat tässä firman lopettamiseen:

Kotkalainen Sari ”Tintti” Siik joutui lopettamaan pyörittämänsä kukkakaupan toiminnan viime vuoden lopulla, koska hän ei saanut asiakkaidensa maksuja päätelaitteen vian takia.

– Äitienpäivää seuraavana maanantaina minuun otettiin yhteyttä Verifonesta, että laitteessa on jotain vikaa. Maksutapahtumat menivät asiakkaille normaalisti, ja he saivat kuitit, Siik kertaa.

– Soitin Verifonelle, ja he sanoivat tutkivansa laitetta. Meni monta kuukautta eteenpäin siten, että he tutkivat sitä. Elokuun 2022 jälkeen sähköpostiviesteihini ei enää vastattu.

– Ei ollut muuta vaihtoehtoa kuin lopettaa yritys. Minulla ei ollut yksinkertaisesti varaa seuraavan kevään tilauksiin, Siik kuvailee.

 

[Antw]

Digimaksamisen ongelmat johtivat tässä firman lopettamiseen:

Kotkalainen Sari ”Tintti” Siik joutui lopettamaan pyörittämänsä kukkakaupan toiminnan viime vuoden lopulla, koska hän ei saanut asiakkaidensa maksuja päätelaitteen vian takia.

– Äitienpäivää seuraavana maanantaina minuun otettiin yhteyttä Verifonesta, että laitteessa on jotain vikaa. Maksutapahtumat menivät asiakkaille normaalisti, ja he saivat kuitit, Siik kertaa.

– Soitin Verifonelle, ja he sanoivat tutkivansa laitetta. Meni monta kuukautta eteenpäin siten, että he tutkivat sitä. Elokuun 2022 jälkeen sähköpostiviesteihini ei enää vastattu.

– Ei ollut muuta vaihtoehtoa kuin lopettaa yritys. Minulla ei ollut yksinkertaisesti varaa seuraavan kevään tilauksiin, Siik kuvailee.

On kyllä yrittäjältäkin munatonta toimintaa. Tuollaista ei pitäisi sietää päivääkään, saati sitten kuukausia. Jos asia tosiaan on kuten tässä väitetään, olisi yrittäjä voinut vaihtaa palveluntarjojajan jo moneen kertaan. Tuntuu, että tässä jää nyt jotain oleellista kertomatta.

 

[dataaja95]

Voi tästä keskustella ilman että pilkkaa saitoja ihmisiä. Ihan normaalille 500 eur/kk S-kauppaan pistävälle perheelle maksutapaetu on 30 eur/vuodessa. Joo ei paljon, mutta aika häviäjäasenne ajatella, että nämä on niin pieniä rahoja, että mieluummin ne lahjoittaa ison kasvottoman firman johtajille ökyveneilyyn. Samoin pullonpalautusten miinusvaikutus voi olla rapajuopolle pikkurahoissa näkyvä erä. Joku 20-30 eur/vuodessa on varmaan aika lähellä sitä mitä keskimääräinen asiakas saisi maksutapaetua ja kun asiakkaita on esim. puolet suomalaisista, on se merkittävä tulonsiirto. Ihan mielellään tuollaisista himmeleistä luopuisi, jos kauppa jotenkin tilittäisi rahat asiakkaille parempina hintoina, mutta aikamoisessa utopiassa saa elää, jos näin kuvittelee. Nythän Lidlkin on alkanut rakennella omia bonus-systeemejään. Tuossa maksutapaedussa on vielä se logiikka taustalla, että ei sitä voi virtaviivaistaa pois, kun osa transaktioista maksaa kaupalle enemmän, kun vastapäässä ei ole oma pankki.

Itsellä ei ole periaatteellisesti sitä vastaan, että puhelimet ja kellotkin käyvät maksuvälineiksi. Noissa isoin harmi on se, että jos haluaa pihistellä ja päivittää itse Androidiin LineageOS:ää tai vastaavaa, voivat maksupalvelut olla pois käytöstä. Ongelma on laajempikin niin että vaihtoehtoiset käyttöjärjestelmät eivät käy moniin palveluihin, kun systeemit ovat suljettuja ja vaativat pankin tai kaupan puolelta kiinnostusta tukea. Pankkikortin etu puhelimiin verrattuna on se, että kortti kestää paremmin pudottamista eikä tarvitse akkua. Kortin saa myös aika pieneen metallikoteloon (esim. Secrid) Faradayn häkkiin, jos pelkää tietoturvaa. Esim. lenkillä jos poikkeaa kaupassa, muutaman kortin sisältävä Secrid on paljon kevyempi kuin älypuhelin. Joo, voi puhelinta pitää kädessäkin, jos ei halua että housuissa kulkuset ja neljäsosakilon luuri pelaavat hippaa. Tai sitten ostaa vuosittain sen premium-älykellon lenkkejä varten. Nämähän ei maksa yhtään mitään kun työnantaja ostaa ne ja yleensä vielä hinnaston yläpäästä! Osa pankeista taitaa pakottaa ottamaan myös vähintään yhden pankkikortin. 2-3 euron kk-maksut kortista muilla pankeilla ovat pistäneetkin miettimään, että kortista voisi luopua, mutta S-kauppa kun suoraan palkitsee kortin käytöstä keskimääräistä perhettä esim. 300-700 euroa vuodessa, niin tämä on ihan mielenkiintoinen tilanne.

Jep, yritin joskus aikoinani etsiä mobiilimaksuratkaisua, joka toimisi lineageOS:ssä tai vastaavassa järjestelmässä, koska olisi tuotakin ollut ihan mielenkiintoista testailla, eipä niitä juurikaan löytynyt. mentaliteetti tuntuu olevan se, että kaikki halutaan tunkea samaan paskaan, käytettävyydestä tai standardeista viis, kunhan on kivaa mukavaa ja helppoa niin se riittää. Tietoturvallakaan ei ole niin väliä, kunhan nyt pöhistään välillä jotain. Eikö olisi pitkässä juoksussa kaikkien etu, että järjestelmät olisivat standardeja ja toimisivat kaikilla, ilman mitään suljetun koodin frameworkkeja. Käytä tai itke ja käytä, ei sovellu omaan ideologiaani. Perinteinen pankkikortti toimii aina, ei ala valittamaan väärästä järjestelmästä, tai siitä, että olet hankkinut puhelimeesi pääkäyttäjäoikeudet. Ilmeisesti suurelle osalle ihmisistä on aivan normaalia, että he eivät ole laitteissaan admineita, vaan jokin korporaatio päättää, mitä laitteella saat tehdä. Surullinen kehityssuunta, mutta mites se meni, tie helvettiin on kivetty hyvillä aikomuksilla.

 

[SampoTexaa]

Helsinki päätti tehdä oman "Wilman". 32M€ meni rahaa mutta ei päästy lähellekään original-Wilman tasoa.

Tähän voi taas todeta että saatanan tunarit!

Koulut | Helsingiltä paljastui taas massiivinen epäonnistuminen: Uusi järjestelmä on susi

Koulujen ja päiväkotien ASTI-järjestelmällä piti korvata lopulta esimerkiksi Wilma, mutta 32 miljoonaa syönyt tietojärjestelmä jää keskentekoiseksi.

www.hs.fi

Helsinki vaikeni Tiville ”oman Wilman” hintalapusta – HS: 32 miljoonaa euroa käytetty

Astin piti olla Helsingin oma vastine muille järjestelmille. Rahaa on palanut, eikä hankkeen kaikkia haaveissa olleita ominaisuuksia ei enää edes yritetä kehittää. Suunnitelmat pitää nyt miettiä uusiksi.

www.tivi.fi

 

[takomo]

Digitalisaatio taas vauhdissa. On se kiva, että ihmisiä painostetaan käyttämään järjestelmiä vastoin omaa tahtoa.

Viranomaispalvelut näyttävät olevan pahimman luokan miina. Kyllähän viranomaiseen voi luottaa.

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

yle.fi

 

[samsungaaja]

Digitalisaatio taas vauhdissa. On se kiva, että ihmisiä painostetaan käyttämään järjestelmiä vastoin omaa tahtoa.

Viranomaispalvelut näyttävät olevan pahimman luokan miina. Kyllähän viranomaiseen voi luottaa.

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

yle.fi

Millainen se legitti viesti sitten olisi, ilmeisesti siinä ei ole linkkiä vaan neuvotaan menemään vero.fi tjsp?

 

[=JP=]

Digitalisaatio taas vauhdissa. On se kiva, että ihmisiä painostetaan käyttämään järjestelmiä vastoin omaa tahtoa.

Viranomaispalvelut näyttävät olevan pahimman luokan miina. Kyllähän viranomaiseen voi luottaa.

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

yle.fi

Kyllä sä edelleen voit paperisena laittaa veroilmoitukset, ei ole painostettu käyttämään OmaVero palvelua, mutta paljon helpompi se on digitaalisena tehdä...

Ja se, että ihmiset vaan sokeana uskoo ja kirjoittaa tunnuksiaan mihin tahansa sivustolle on taasen ihan eri asia.

Tietoa huijauksista

www.vero.fi

Voit saada Verohallinnolta tekstiviestinä muistutuksen ajankohtaisesta veroasiasta. Tekstiviesteissämme ei ole koskaan linkkiä.

Liekkö mistään virallisesta valtion palvelusta tulee viestiä, jossa olisi linkki, jonka kautta pitäisi kirjautua?

 

[samsungaaja]

Kyllä sä edelleen voit paperisena laittaa veroilmoitukset, ei ole painostettu käyttämään OmaVero palvelua, mutta paljon helpompi se on digitaalisena tehdä...

Ja se, että ihmiset vaan sokeana uskoo ja kirjoittaa tunnuksiaan mihin tahansa sivustolle on taasen ihan eri asia.

Monelle varmaan tulee veroehdotus mihin ei tee muutoksia niin aika sama onko paperilla vai diginä.. Voikohan tohon paperiin vielä vaihtaa takaisin. En nyt tiedä onko aina kyse "sokeana luottamisesta", ihan huolimattomuutta, hajamielisyyttä, kiireisenä mitälie voinee ihan normaalijärkinenkin klikkailla menemään kun näyttää oikealta, onhan se niin helppoa.

 

[=JP=]

Varmaankin käytetään vieläkin hyvin yleisesti (itsekin) ihan numerolaitetta (taikka vanhanajan numerolistaa, tästä olikin keskustelua ihan tovi sitten toisessa ketjussa), joka tuon mahdollistaa, kunhan huijari on siellä aktiivisesti odottamassa, että joku syöttää tietonsa.
Jos taasen henkilökohtaisesti käyttäisin DanskeID tuohon, niin mielestäni ei se huijarisivusto sitten toimikaan enää oikein (saa ainoastaan 2/3 tunnistautumisdatasta), koska ei se pysty pankilta pyytämään ns. push toimintoa, että hyväksyppä kirjautuminen. Liekkö mobiilivarmenteessa sama juttu, ettei siihen tuollainen kolmannen osapuolen huijaussivu pysty aktivoimaan pyyntöä.

 

[Diziet Sma]

Katsoin juuri roskapostikansioni ja sinne on perjantai-iltapäivän jälkeen tullut viisi viestiä "Omaverosta". Otsikoissa on vaihtelua, mutta sisältö on sama:

Arvoisa asukas,

Olet oikeutettu veronpalautukseen.

Tietojemme mukaan on erittäin todennäköistä, että olet maksanut liikaa veroja.

Jos olet oikeutettu, saat summan 14 työpäivän kuluessa.

Hae veronpalautusta

Pahoittelemme häiriötä.

Kohta "Hae veronpalautusta" on linkki huijareiden sivulle.

Gmail on lisännyt kaikkiin ison punaisen varoituksen epäilyttävästä sisällöstä. Mutta vaikka sitä ei olisi, niin kyllähän tuon viestin itsessään jo pitäisi soittaa hälytyskelloja. Mutta ehkä se kuulostaa normaalilta viranomaisviestinnältä, jos lukijalla on, miten sen nyt kohteliaasti sanoisi... vähäisemmästä koulutuksesta johtuvia haasteita äidinkielen kanssa.

 

[samsungaaja]

Katsoin juuri roskapostikansioni ja sinne on perjantai-iltapäivän jälkeen tullut viisi viestiä "Omaverosta". Otsikoissa on vaihtelua, mutta sisältö on sama:



Kohta "Hae veronpalautusta" on linkki huijareiden sivulle.

Gmail on lisännyt kaikkiin ison punaisen varoituksen epäilyttävästä sisällöstä. Mutta vaikka sitä ei olisi, niin kyllähän tuon viestin itsessään jo pitäisi soittaa hälytyskelloja. Mutta ehkä se kuulostaa normaalilta viranomaisviestinnältä, jos lukijalla on, miten sen nyt kohteliaasti sanoisi... vähäisemmästä koulutuksesta johtuvia haasteita äidinkielen kanssa.

No kömpelöä kieltä mutta nopeasti katottuna voi hämätä. Eri asia sitten jos siellä linkin takana on vielä kökömpää niin pitäs jo ehkä pahaa aavistella. Tämä on se digiajan helppous, helppoa myös ryövääminen kun useiden viestien lähettäminen helppoa niin joku haksahtaa. Ei tarvitse konttorin kulmalla väijyä ryöstettävää.

 

[Kautium]

Digitalisaatio taas vauhdissa. On se kiva, että ihmisiä painostetaan käyttämään järjestelmiä vastoin omaa tahtoa.

Viranomaispalvelut näyttävät olevan pahimman luokan miina. Kyllähän viranomaiseen voi luottaa.

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

Poliisi: Omaveron nimissä tulevilla huijauksilla tyhjennetty pankkitilejä

yle.fi

Millä tavalla on minkään viranomaispalvelun vika, jos käyttäjä on niin saakelin tyhmä, että syöttää pankkitunnuksensa ties minne huijaussivustolle sen jälkeen kun jossakin random-spammiviestissä on sellaista pyydetty ja viestin linkin kohdekin on ihan mitä sattuu?

 

[samsungaaja]

Millä tavalla on minkään viranomaispalvelun vika, jos käyttäjä on niin saakelin tyhmä, että syöttää pankkitunnuksensa ties minne huijaussivustolle sen jälkeen kun jossakin random-spammiviestissä on sellaista pyydetty ja viestin linkin kohdekin on ihan mitä sattuu?

Ei olekaan vaan digitalisaation vika.

 

[takomo]

Kyllä sä edelleen voit paperisena laittaa veroilmoitukset, ei ole painostettu käyttämään OmaVero palvelua, mutta paljon helpompi se on digitaalisena tehdä...

Nimenomaan on painostettu niin, että paperisen ilmoituksen palauttamisen määräaikaa on aikaistettu, palauttaminen on nykyään maksullista eikä sitä voi enää edes palauttaa verotoimistoon. Ulkoasultaankin veroehdotus on muuttunut selkeästä lakanasta irtolehtipainokseksi.

On lähes koomista, kuinka vaikeaa henkilökohtainen asiointi verotoimistossa on nykyään. Koko miljoonan asukkaan pk-seutua palvelee yksi toimisto Helsingin keskustassa.

Millä tavalla on minkään viranomaispalvelun vika, jos käyttäjä on niin saakelin tyhmä, että syöttää pankkitunnuksensa ties minne huijaussivustolle sen jälkeen kun jossakin random-spammiviestissä on sellaista pyydetty ja viestin linkin kohdekin on ihan mitä sattuu?

Niitä pankkitunnuksiahan joutuu syöttämään ihan mille sattuu sivustoille, kun vähän joka käänteessä halutaan nykyään vahvaa tunnistautumista. Jopa verkkokaupoista tilaaminen vaatii monesti pankkitunnukset.

Jos "verosivusto" vaikuttaa luotettavalta ja se alkaa kyselemään tunnuksia, niin miksi sitä pitäisi jotenkin varoa?

 

[Tonnin Seteli]

Tokihan huijatuksi tuleminen vaatii yleensä vähän yritystä, mutta puolet ihmisistä vaan on keskivertoakin tyhmempiä. Lisäksi se on nimenomaan esivallan syy ja päätös, että pankkitunnuksia onkin ihan suotavaa syöttää mihin sattuu onnenonkijoiden pierusaiteille.

 

[JCSH]

Niitä pankkitunnuksiahan joutuu syöttämään ihan mille sattuu sivustoille, kun vähän joka käänteessä halutaan nykyään vahvaa tunnistautumista. Jopa verkkokaupoista tilaaminen vaatii monesti pankkitunnukset.

Jos "verosivusto" vaikuttaa luotettavalta ja se alkaa kyselemään tunnuksia, niin miksi sitä pitäisi jotenkin varoa?

Ei niitä pankkitunnuksia joudu syöttämään millekään muulle sivustolle, kuin sinne pankin sivustolle.

 

[Tonnin Seteli]

Ei niitä pankkitunnuksia joudu syöttämään millekään muulle sivustolle, kuin sinne pankin sivustolle.

Niin, jos ei niitä käytä. Normaalistihan nykyään - jos jotain mielii ostaa - joutuu syöttämään niitä ties minkä puupääklarnan sun muiden vesselien systeemeihin.

Lisäksi boomerien - jotka yleensä käyttävät pankkitunnuksia myös muuhun tunnistautumiseen - voi olla vaikeaa ymmärtää ero Telia tunnistautumispalvelun ja huijaussivuston välillä. Tähän kun vielä yhdistetään matala älykkyys ja pahimmassa kombossa känni tai muistisairaus, ei olekaan iso moka kaukana.

Paljon auttaisi jos tampiot edes jättäisivät pankin sivuun silloin kun ei mitään makseta vaan pelkästään tunnistaudutaan. On siinäkin aina riski mutta se on eri tasolla. Mobiilivarmenne on parasta sitten viipaloidun leivän, mutta valitettavasti sitä eivät juuri käytä ne joita se suojelisi.

 

[JCSH]

Niin, jos ei niitä käytä. Normaalistihan nykyään - jos jotain mielii ostaa - joutuu syöttämään niitä ties minkä puupääklarnan sun muiden vesselien systeemeihin.

Lisäksi boomerien - jotka yleensä käyttävät pankkitunnuksia myös muuhun tunnistautumiseen - voi olla vaikeaa ymmärtää ero Telia tunnistautumispalvelun ja huijaussivuston välillä. Tähän kun vielä yhdistetään matala älykkyys ja pahimmassa kombossa känni tai muistisairaus, ei olekaan iso moka kaukana.

Vaikka haluaisitkin ostaa jotain, niin et sä niitä pankkitunnuksia joudu syöttämään sinne kauppapaikan sivustolle. Ne tunnukset syötetään vain ja ainoastaan sinne pankin sivulle. Se kauppapaikka tarvittaessa ohjaa sinne pankin sivustolle, jos sitä tarvitaan.

Toki varmasti joillakin ei-niin-osaavilla on vaikeuksia tunnistaa se pankin oikea sivu niistä huijaussivustoista. Mutta kuitenkin se ainoa asia mikä pitää osata tunnistaa, on ne oman pankin tunnistussivut.

 

[Tonnin Seteli]

Ne tunnukset syötetään vain ja ainoastaan sinne pankin sivulle. Se kauppapaikka tarvittaessa ohjaa sinne pankin sivustolle, jos sitä tarvitaan.

Asiahan oli näin joskus aiemmilla vuosikymmenillä. Nykyään syötetään ties minkä maksunvälittäjän sivulle.

 

[asentaja1]

Vaikka haluaisitkin ostaa jotain, niin et sä niitä pankkitunnuksia joudu syöttämään sinne kauppapaikan sivustolle. Ne tunnukset syötetään vain ja ainoastaan sinne pankin sivulle. Se kauppapaikka tarvittaessa ohjaa sinne pankin sivustolle, jos sitä tarvitaan.

Toki varmasti joillakin ei-niin-osaavilla on vaikeuksia tunnistaa se pankin oikea sivu niistä huijaussivustoista. Mutta kuitenkin se ainoa asia mikä pitää osata tunnistaa, on ne oman pankin tunnistussivut.

Jos se näyttää samalta, niin herkästi se kyllä menee täydestä, etenkin tabletilla tai puhelimella tms missä pieni näyttö. Välttämättä nykyselaimessa ei edes url ole näkyvissä ja jos on, niin ei siitä erota jos vaikka käytössä onkin kyrillisiä tms jonkun muun systeemin merkkejä, kun ovat ihan identtisen näköisiä meikäläisten kirjaimien kanssa, paitsi että johtavat väärään paikkaan. Sen lisäksi maksunvälittäjiä on kaikenlaisia nykyään. Tökerö huijaussivu on helpohkosti bongattavissa, mutta hyvä väärennös voi olla kyllä äärettömän hyvä. Yleensä väärennös huomataan, kun se tulee kysymättä eteen ja osataan siksi epäillä jotakin. Mutta jos ollaan jotakin validia hommaa tekemässä ja oletetaankin sitä tunnuslukua kysyttävän, niin aika harva alkaa tarkempaa salapoliisityötä tekemään.

 

[leffo]

Mulle vähän jäi epäselväksi että miksi verkkopankkeja vastustetaan. Mä luulin että lähes kaikki ovat sitä mieltä että se on hyvä palvelu. Mä ainakaan en näe mitään yhteyttä verottajan mahdollisten sähköisten palveluiden, ja noiden verkkopankkitunnusten kalastelun kanssa. Noita tunnuksia on ihmisiltä yritetty huijata iät ja ajat.

Ei niitä pankkitunnuksia joudu syöttämään millekään muulle sivustolle, kuin sinne pankin sivustolle.

Nykyään siis monessa tilanteessa joutuu, jos haluaa hoitaa jonkun asian jonkun firman kanssa. Asiaa on pitkälti sivuttu allaolevassa ketjussa. Se liittyy noihin maksudirektiivijuttuihin ( PSD2 ). Ketjun alku oli hieman erityyppisestä toteutuksesta, mutta sekin taisi liittyä noihin tuleviin juttuihin, jotka nykyään tulee vastaan siellä täällä. Asiasta voi vaikka tuosta neljännestä sivusta lähtien lukea.

Klarna, sofort.com ja verkkopankkitunnuksien urkkiminen

Hienoa, että elät näin edistynyttä elämää. Se ei kuitenkaan poista sitä faktaa, että ohjaaminen muualle kuin pankin sivulle ei ole millään muotoa OK käytäntö. Varsinkin, jos kyse on iframesta, koko wrappays on turha. Juu, typerä ratkaisuhan tuo iframen käyttö on, mutta suurin osa uusista...

bbs.io-tech.fi

Itse tuohon törmäsin viimeksi kuukausi sitten kun halusin Rabblelta ne ruuan cashback tilitykset. Onneksi s-pankissa voi helposti ja ilmaiseksi tehdä aika monta tiliä niin olen tuota käyttöä varten tehnyt ns. tyhjän tilin jonka tilitapahtumia voin jakaa melko huoletta.

Systeemi vaan on vähän huono kun siinä pitää luottaa että se palvelu on mitä käyttää, on asiallinen. Mutta näillä mennään.

Vaikka haluaisitkin ostaa jotain, niin et sä niitä pankkitunnuksia joudu syöttämään sinne kauppapaikan sivustolle.

Nope. Monessa paikkaa ne syötetään sinne palvelun sivulle joka sitten "etäkäyttää" pankin rajapintaa ja välittää sen maksun tms. yms. Tuollainen perinteinen systeemi on lähinnä enää käytössä kotimaisilla isoilla toimijoilla.

 

[=JP=]

Koko ajan näitä parannellaan ja kesällä tuli muutoksia, joiden avulla käyttäjä voi varmistaa tunnistautumisen aitouden.

Vahvan sähköisen tunnistuksen uudet vaatimukset tekevät asioinnista entistä turvallisempaa | Kyberturvallisuuskeskus

Liikenne- ja viestintäviraston määräys koskien vahvaa sähköistä tunnistusta ja luottamuspalveluita astuu täysimääräisinä voimaan kesäkuussa 2023. Uudessa määräyksessä on kaksi tärkeää kohtaa, jotka tekevät sähköisestä asioinnista entistä turvallisempaa.

www.kyberturvallisuuskeskus.fi

Mutta mikään ei auta ihmisten "typeryyteen" ja osaamattomuuteen, mutta jotenkin asiat pitää pystyä hoitamaan ja pyrkiä opastamaan ihmisiä olemaan tarkkana. Tietenkin vanhemmat ihmiset ovat tällä hetkellä huonommassa asemassa, kun maailma on muuttunut niin paljon aikas lyhyessä ajassa.

Nimenomaan on painostettu niin, että paperisen ilmoituksen palauttamisen määräaikaa on aikaistettu, palauttaminen on nykyään maksullista eikä sitä voi enää edes palauttaa verotoimistoon.

Edelleen voit tilata ilmaisen palautuskuoren muiden lomakkeiden mukana, ei maksa mitään, helpompaa pudottaa postilootaan kuin alkaa jonnekin toimistoon viemään...

Monessa paikkaa ne syötetään sinne palvelun sivulle joka sitten "etäkäyttää" pankin rajapintaa ja välittää sen maksun tms. yms. Tuollainen perinteinen systeemi on lähinnä enää käytössä kotimaisilla isoilla toimijoilla.

Eipä ole kyllä tullut tälläisiä vastaan, myöskin nuo oikeat maksuvälittäjät pyytää sen tunnistautumisen kautta (joka tehdään ihan pankin omilta sivuilta, jonne ne tunnukset syötetään) oikeuden esimerkiksi katsoa tilitietoja, ei niitä sun tunnuksia sinne anneta. Taikka sitten olet käyttänyt jotain ihme palveluita...

Myöskin luottokortilla maksaessa joskus saattaa tulla tuo PSD2 varmistus ja sekin tehdään ihan pankin omien sivujen kautta tunnistautumalla.

 

[JCSH]

Nope. Monessa paikkaa ne syötetään sinne palvelun sivulle joka sitten "etäkäyttää" pankin rajapintaa ja välittää sen maksun tms. yms. Tuollainen perinteinen systeemi on lähinnä enää käytössä kotimaisilla isoilla toimijoilla.

Ok, en ole koskaan törmännyt tuollaiseen joten kuulosti oudolta. Tosin nyt kun mietin, niin teen aikalailla kaikki nettiostokset luottokortilla, jossa ei ole tarvetta niihin verkkopankkitunnuksiin, vaan pelkästään siihen maksun hyväksymiseen ID appiksen kautta. Joten varmaan sen takia en ole tuohon törmännyt.

 

[akse]

Oiskohan ollu aikanaa fiksua luoda joku kansalaisen sähköinen tunnistaminen järjestelmä (esim valtion mobiilivarmenne tm) ja jättää pankkitunnistautumiset ihan pankkiasiointiin.

 

[Tonnin Seteli]

Oiskohan ollu aikanaa fiksua luoda joku kansalaisen sähköinen tunnistaminen järjestelmä (esim valtion mobiilivarmenne tm) ja jättää pankkitunnistautumiset ihan pankkiasiointiin.

Tällainenhan luotiin hyvissä ajoin. Yllättäen se oli niin paska ettei se yleistynyt käytössä. Samalla pankkien systeemi, vaikka ei tähän parhaiten istuva, oli verrattain helppokäyttöinen.

 

[=JP=]

Oiskohan ollu aikanaa fiksua luoda joku kansalaisen sähköinen tunnistaminen järjestelmä (esim valtion mobiilivarmenne tm) ja jättää pankkitunnistautumiset ihan pankkiasiointiin.

Ideana hyvä, mutta toteuttaminen on vaan melkoisen vaikeaa ja etenkin integrointi nykyisiin järjestelmiin vaatisi melkoisia toimia. Tuokin vaatisi sitten ihan omat tunnusten muistamiset ja varmistukset siihen päälle erinäisin keinoin, jotta kaikki olisi tyytyväisiä...

Ehkäpä EUn digilompakko tulee käyttöön.

Eurooppalainen digitaalinen identiteettilompakko - Digi- ja väestötietovirasto - YJA

dvv.fi

Lompakko mahdollistaa sähköisen tunnistautumisen ja muiden henkilötietojen luotettavan osoittamisen koko EU-alueella.

 

[love_doctor]

Vaikka haluaisitkin ostaa jotain, niin et sä niitä pankkitunnuksia joudu syöttämään sinne kauppapaikan sivustolle. Ne tunnukset syötetään vain ja ainoastaan sinne pankin sivulle. Se kauppapaikka tarvittaessa ohjaa sinne pankin sivustolle, jos sitä tarvitaan.

Toki varmasti joillakin ei-niin-osaavilla on vaikeuksia tunnistaa se pankin oikea sivu niistä huijaussivustoista. Mutta kuitenkin se ainoa asia mikä pitää osata tunnistaa, on ne oman pankin tunnistussivut.

Sanoisin, että helpoin olisi, jos shoppailisi ihan aidolla tietokoneella ja vahvistaisi vain ostot kännykällä. Näin olisi helppo muistaa ettei sinne koneelle laiteta MITÄÄN tunnuksia missään tilanteessa. Skannataan vain näytöltä QR-koodeja ja vahvistetaan sitten kännykällä esim. sormenjäljellä. Näin esim. persaukisten ystävällä eli S-Pankilla. Jos kauppapaikka on niin paska että sinne pitää syöttää verkkopankin tunnukset ja avainlukulistat, niin on pelkästään hyvä asia, ettei sieltä ostettaisi ja menisi kumoon koko paskakauppa. Sitten on vielä ebayt ja aliexpressit, joihin voi ladata omat korttitiedot aina kortin vaihtuessa oma-alotteisesti kun kortin päiväys uhkaa vanhentua. Muuten ei klikkaile mitään tunnuksia minnekään.