Mobiilivarmenne vs. muut tunnistautumistavat

[Kullerv0]

Sähköiseen allekirjoitukseen.

Arvatenkin. Mutta miten?

 

[pulatunnus]

Arvatenkin. Mutta miten?

Ymmärtääkseni mobiilivarmenteella ei voi allekirjoittaa paikallisesti, vaan jossain palvelussa., Henkilökortin sähköisellä allekirjoitus avaimella voi allekirjoittaa paikallisesti, mutta käytännössä silläkkin se tehdään jossain palvelussa.

Mutta tärkeää että sen PIN valitsee huolella ja pitää suojassa. tai jos ei ole aikomusta käyttää, niin kryptinen ja vain muistissä, omassa päässä.

 

[mikajh]

aikamoista skeidaa on...

[Hightrust.id Androidissa] Otin tuon käyttöön kun se julkaistiin eli aika kauan sitten ja muutamia kertoja sitä on käytettykin.
Nyt kun tein niin taas, ei vahingossakaan kirjautuminen toiminut, mahdollisesti Järvisen ongelma oli sama.
Eli kun kirjautumisessa käytin aina sormenjälkivaihtoehtoa, aina "Card signin failed" tms. virhe sovelluksessa.
Kortin uudelleen lisäyksen ja koko paskan uudelleenasennusten jälkeen tilanne aina sama. Kun syötin lopuksi puhelimen lukituksen pin-koodin käsin enkä käyttänyt sormenjälkeä, alkoi vasta taas toimimaan.

Muissa sovelluksissa on yleensä selkeät kyselyt otetaanko biometristä tunnistusta käyttöön, vai mennäänkö pin-koodilla, joka voi olla sovelluskohtainen. Hightrust.id:n käyttöönotto-ohje ei tuollaisiin käytännön pikkujuttuihin ota mitään kantaa.

Note to self: Jos missä tahansa sovelluksessa biometrisen tunnistuksen kanssa ongelma, vaihda heti seuraavaksi pin-koodin käyttöön. Niissä sovelluksissa, missä pin-koodin voi valita itse eikä Androidin omaa käytetä, en biometriaa edes käytä, koska pin unohtuisi muuten heti

 

[murmur]

Mobiilivarmenne häirinnänestokoodi, enpäs tiennyt tästä optiosta. Lisäkoodi kirjautumissivulla puhnron lisäksi.

Elisa Mobiilivarmenne -palvelun ohjeet - Elisa

Ohjeita Elisa Mobiilivarmenteen tilaamiseen ja käyttöön. Apua Mobiilivarmenteen ongelmatilanteisiin. Usein kysytyt kysymykset Mobiilivarmenteesta.

elisa.fi

 

[Kautium]

Mobiilivarmenne häirinnänestokoodi, enpäs tiennyt tästä optiosta. Lisäkoodi kirjautumissivulla puhnron lisäksi.

Elisa Mobiilivarmenne -palvelun ohjeet - Elisa

Ohjeita Elisa Mobiilivarmenteen tilaamiseen ja käyttöön. Apua Mobiilivarmenteen ongelmatilanteisiin. Usein kysytyt kysymykset Mobiilivarmenteesta.

elisa.fi

Käyttöönotto ja hallinta "kätevästi" tekstiviestillä.

Missähän tuo koodi syötetään, kun eihän siinä mobiilivarmennesivulla ole muuta kenttää kuin puhelinnumero? Vai tuleeko siihen yksi välivaihe lisää, jos on ottanut tuon käyttöön?

 

[Sommite]

Käyttöönotto ja hallinta "kätevästi" tekstiviestillä.

Missähän tuo koodi syötetään, kun eihän siinä mobiilivarmennesivulla ole muuta kenttää kuin puhelinnumero? Vai tuleeko siihen yksi välivaihe lisää, jos on ottanut tuon käyttöön?

Puhelimen ns. SIM-työkaluista voi myös hallinnoida ainakin Elisalla. SIM-työkalut ovat SIM-kortille tallennettuja sovelluksia. Tulee välivaihe, kun järjestelmä huomaa, että koodi on käytössä. Minulla on tuo automaattisesti täytettävissä salasanoissa.

 

[Tobotialainen]

Hightrust.id ollut nyt käytössä pari viikkoa. Vähän aikaa meni pohtiessa miten tuo käyttöönotto tapahtuu, mutta henkilökortin lisäksi on tullut joku lappunen missä tuo kortin liittämiseen vaadittu koodi löytyy, sitten sen jälkeen NFC:llä kortin lukeminen ja sovellus toimii. Kätevä esim. puhelimella tunnistautuessa kun avaa sovelluksen automaattisesti selaimella kirjautuessa, muuten vastaa melkein S-Pankin toteutusta eli luetaan näytöltä QR-koodi ja hyväksytään kirjautuminen sovelluksella. Erona tietysti S-Pankkiin, että tämä toimii VPN yli, S-Pankki on ainakin Mullvadin suomiserverit estänyt ja joskus aikoinaan kun kokeilin Freedomea niin senkin serverit oli estolistalla, eli tunnistautuminen ei toimi jos on VPN päällä.

Huomiona tosin, että Telian sovellukseen kirjautuminen ei onnistunut, jostain syystä kaatuu Minun Telia sovellus jos sinne yrittää tuolla kirjautua.

Nämä kokemukset siis iPhonella.

 

[Sommite]

Vertailin kerran OP:n, S-Pankin ja Mobiilivarmenteen nopeutta. Kirjautuminen tapahtui samalla puhelimella, missä varmennekin toimii.

Ajallisesti S-Pankki oli sekunnin pari nopeampi, koska tunnistautumisen voi tehdä biometrisesti. Muut kaksi vaativat PIN-koodia.

Näppäinpainallusten määrässä Mobiilivarmenne voitti (8 painallusta, muilla 10), missä itse PIN-koodin painallukset eivät ole mukana. Puhelinnumerot ja pankkien käyttäjätunnukset tulivat automaattitäytöstä. Ero johtuu sovelluksen vaihdoista, mikä Mobiilivarmenteella vältetään.

 

[masa2]

Telian mobiilivarmenteen häirinnänestokoodi on aloittanut temppuilun tänään:

-eka kirjautumisyritys ilmoitus koodi väärä, ei varmaan ollut, muutaman kerran yritystä, ei onnistu

-asetin uuden häirinnänestokoodin-> kirajutuminen onnistui kerran ok

-seuraava kirjautuminen: ei kysynyt häirinnänestokoodia laisinkaan

-yritin asettaa uutta häirinnänestokoodia niin ilmoittaa että: koodi virheellinen, koodin tulee alkaa kirjaimella

Että mitähän ihmettä nyt taaas Telia?

Aspaan soitin ja mitään sim-korttitilauksia tai mitään muuta epäilyttävää ei ole vireillä eikä myöskään vikalistalla mitään aktiivisena mobiilivarmenteen osalta.

Eli mobiilivarmenteen hommat solmussa eikä Telia tiedä asiasta mitään....

 

[Grazer]

Tällä tavoin mobiilivarmenne voidaan kaapata – Tietoturva-asiantuntijalta painava varoitus

Tietoturva-asiantuntijan mukaan ihmisten tulee olla tietoisia viranomaisten laajalti suosittelemaan mobiilivarmenteeseen liittyvästä väärinkäytön mahdollisuudesta.

www.iltalehti.fi

Mobiilivarmenteen kaappaus yhdellä pankkitunnistuksella

Puhelimeen kilahtelee jatkuvasti kalasteluviestejä, joilla yritetään saada uhri luovuttamaan pankkitunnuksensa. Juuri nyt aktiivisena on ove...

pjarvinen.blogspot.com

Puhelimeen kilahtelee jatkuvasti kalasteluviestejä, joilla yritetään saada uhri luovuttamaan pankkitunnuksensa. Juuri nyt aktiivisena on ovela kampanja, jossa ilmoitetaan ajanvarauksesta lääkäriin tai sosiaalitoimen palveluun, ja tarjotaan linkki perumista varten. Peruminen vaatii tietenkin tunnistautumisen, johon kelpaavat vain pankkitunnukset.

No se on varsin selvä juttu, että jos itse syöttää pankkitunnuksensa huijaussivustolle ja näillä tunnuksilla rikolliset aktivoivat mobiilivarmenteen, varmennetta voi ja varmasti sen jälkeen tullaan väärinkäyttämään. Juuri tästä syystä pankkitunnusten käyttö henkilöllisyyden tunnistamiseen pitäisi ehdottomasti estää.

Mobiilivarmenne ilman häirinnänestokoodia on turvaton (1)

Tämä on ensimmäinen blogiteksti liittyen digiasioinnin turvallisuuden kohentamiseen. Operaattorit ja viranomaiset ovat kehottaneet kansalais...

pjarvinen.blogspot.com

Mobiilivarmenteen suurin ongelma on siinä, ettei käyttäjä voi tietää, mihin tapahtumaan tunnistuspyyntö liittyy. Nettipalvelu näyttää kyllä tapahtumatunnisteen, mutta se ei näy puhelimessa.

Tämä blogikirjoitus on viime elokuulta ja en nyt varmaksi mene sanomaan, mutta muistelisin että ainakin Telian liittymissä on jo vuosien ajan näkynyt puhelimeen tulevassa tunnistautumispyynnössä myös tapahtumatunniste.

Kyllä hankalaksi menee sähköisten tunnistautumismenetelmien turvalliseksi saaminen. Vaikka järjestelmä olisi kuinka järeä, niin siinä vaiheessa kun ihmiskäyttäjä nollat taulussa hyväksyy tunnistautumispyynnön, ei auta vaikka olisi minkälaisia salauksia.

 

[Sommite]

Kyllä hankalaksi menee sähköisten tunnistautumismenetelmien turvalliseksi saaminen. Vaikka järjestelmä olisi kuinka järeä, niin siinä vaiheessa kun ihmiskäyttäjä nollat taulussa hyväksyy tunnistautumispyynnön, ei auta vaikka olisi minkälaisia salauksia.

Monia huijauksia voitaisiin estää FIDO2-tyyppisellä järjestelmällä. Käytännössä pitäisi olla siis FIDO2, jos halutaan yhteensopivuus nykyisten käyttöjärjestelmien kanssa.

Tähän kuuluu muun muassa domaintarkastus, eli käyttäjän selain tai käyttöjärjestelmä välittää domaintiedon, jonka pitää olla sama kuin avainta rekisteröitäessä. Huijaussivulla avain ei toimi. Tai kirjautumista välitettäessä puhelimesta pöytäkoneelle tehdäön Bluetoothilla läheisyystarkastus, jolloin kirjautumista on vaikeampi ohjata huijarin koneelle.