Se ei ole kokemusasia. Tunnuslukusovellus on merkittävä heikennys tietoturvaan, vielä merkittävämpi kuin erillinen tunnuslukulaite.
Annoin sinulle fiiliksen lisäksi perustelut, miksi tunnuslukulista on merkittävästi tunnuslukusovellusta tietoturvaltaan heikompi. Ja kanssani samaa mieltä on myös EU. Tunnuslukusovellus myös vähensi merkittävästi Nordealla kalasteluyrityksiä:
Pohjoismaisen Nordea-pankin mukaan pankin verkkopankin tunnusten kalastelu on vähentynyt merkittävästi sen jälkeen, kun suuri osa pankin asiakkaista on siirtynyt vanhasta tunnus- ja salasanalistasta uuteen kaksivaiheiseen tunnistautumisen tapaan.
www.tekniikkatalous.fi
Vaikea ymmärtää, miksi haluat kopioitavan ja kalastukselle altiin tunnistautumistavan takaisin. (Aika harva onneksi haluaa.)
Tunnuslukulista on lista kertakäyttöisiä salasanoja. Niiden generointi perustuu täysin satunnaisuuteen ja oikeita salasanoja on vain yksi per käyttökerta.
Ja listan satunnaisuus perustuu algoritmiin, joka generoi listat yksilöllisesti joka asiakkaalle. Periaatteessa siis kyseessä on tunnuslukulaite, joka suoltaa ulos 4-numeroisia lukuja, tulostaa ne listalle ja lähettää ne sinulle. Jos tiedät algoritmin ja tilan, niin voit generoida ne itse. Ei eroa tässä suhteessa mitenkään muista tunnistautumistavoista. Paitsi että algoritmin selvittäminen lienee helpompaa, sillä aika ei ole muuttujana salasanoissa, kuten esim. ainakin tunnuslukusovelluksessa voi olla.
Tunnuslukulaite/sovellus taas generoi niitä salasanoja jollain algoritmilla, johon on sijoitettu jokaisen asiakkaan kohdalla yksilöllinen muuttuja ja siellä salasanaa tarkistavassa päässä on toinen algoritmi, joka laskee siitä salasanasta jonkun tarkistussumman, jonka perusteella päätetään, onko salasana oikein vai ei - oikeita salasanoja on siis suuri määrä, ja salasanan pituus ja algoritmit tuntien voidaan laskea asiakaskohtaista muuttujaa tuntematta brute forcella lukuja, jotka muita lukuja todennäköisemmin palauttavat oikean tarkistussumman sieltä salasanaa tarkistavasta päästä.
Ensinnäkin, et voi brute forcettaa tuota, sillä verkkopankki throttlaa niitä yrityksiä tehokkaasti ja sulkee yrittäjän kun menee muutaman kerran pieleen. Et voi lokaalisti testata mitään, vaan jokainen yritys pitää tehdä verkon yli.
Toiseksi, millä logiikalla useita eri tunnuslukuja voisi käyttää sisäänkirjautumiseen tietyllä hetkellä tietylle tilille? Miksi näin olisi ja mistä näin päättelet? Jotenkin oletat, että sen 4-numeroisen tunnuslukulistan luvun ja 9-numeroisen tunnuslukulaitteen luvun lähetyksen ja käsittelyn pitäisi oleellisesti erota toisistaan. Miksi ihmeessä? Tarkistussummasta emme tiedä mitään ja tarkistussummanhan ei tarvitse antaa yhtään törmäystä noin lyhyillä tunnusluvuilla.
Kolmanneksi, ja jos pelkäät algoritmin tuntemista, niin sinun pitää pelätä sitä tunnuslukulistojenkin kohdalla. Se ei ole sen enempää turvassa.
Tietoturvaa heikentää vielä sekin, että tunnuslukulaite joutuu jollain tavalla pitämään kirjaa jo generoiduista salasanoista, ettei sama salasana tulisi toista kertaa - sen toteuttaminen voi tuollaisessa halvalla tehdyssä tallennustilaltaan ja laskentakapasiteetiltaan hyvin rajoittuneessa laitteessa olla hankalaa ja saattaa pahimmassa tapauksessa olla tehty jollain inkrementoituvalla muuttujalla, joka määrää sen minkälainen salasana tulee seuraavaksi.
Tuskin. Algoritmi ja 9-numeron avaruus takaa sen, että todennäköisyys paräkkäisille on olematon. Se taas ei haittaa, jos sama luku teoriassa toistuu, kunhan ne luvut eivät ole mikään toistuvaa lukujonoa ja se toistuvuus ei tapahdu säännöllisesti. Missään nimessä niitä ei voi tallentaa ja jättää käyttämättä, sillä se heikentäisi tietoturvaa. Silloin aiemmat salasanat tietämällä voisi päätellä jotain tulevista. Ja mitä enemmän salasanoja käyttää, sitä todennäköisemmäksi jokin tietty käyttämätön salasana tulisi. Syklin lopussa todennäköisyys oli 100% viimeiselle käyttämättömälle. (Toki vaatisi muutaman kirjautumisen sitä ennen...)
4-numeroisilla toistuvat tunnusluvut ovat arkipäivää, sillä mahdollisuuksia on vain se 10000. Tämä toistuvuus sinänsä ei ole mikään ongelma.
Tämä ei enää liity ketjun aiheeseen, joten jatkot vaikka tänne:
Nordea usuttaa asiakkaita mobiiliin - verkkopankin käyttäjä maksaa palvelusta selvästi enemmän Haluaisin kuulla kokemuksia, onko tuo mobiili riittävä? Kannattaako siirtyä?
bbs.io-tech.fi
Tuolla keskusteltu Nordean eri tunnistautumistavoista.
) Ja miksi helkutissa päivämäärä on TUOSSA, kun ne päivät on juuri ryhmitelty siinä yläpuolella! Loogisesti toki noita ei tietenkään ole laitettu edes samalle alignmentille niiden säätietojan kanssa. 
