Suomen Tunnistautumisosuuskunta - sinuna.fi - Vahva tunnistautuminen

[ztec]

Tällainen osuuskunta on muodostettu, jonka pitäisi tuoda uusi vahvan tunnistautumisen tunnistautumisvaihtoehto Suomeen:

Sinuna

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

suomentunnistautumisosuuskunta.fi

Seuraillaan tilannetta miten kehittyy. Kuten olen muissa keskusteluissa todennut, on tunnistautuminen erittäin fragmentoitunutta ja samaan aikaan siiloutunuttal vaikka tunnistautumisen perusteissa ei ole mitään ihmeellistä. Olisi hyvä jos saataisiin tätä pakkaa harisittua vähän kasaan.

Voin päivitellä tähän postaukseen referenssejä myöhemmin, mutta nyt tää on vähän kuin Wikipedia nysä-artikkeli, johon voi sitten laajentaa.

Ref: FIDO2 keskustelu, kasivaiheinen tunnistautuminen keskustelu ja WIkipediasta: TUPAS, eIDAS

Edit: sinuna.fi referenssi lisätty, kun domain julkaistiin.

 

[=JP=]

Kun lukee tuota "Palvelu" sivua, niin en kyllä kauheen luottavaisin mielin odota, mutta katsotaan mitä tulee, jos tulee mitään...

 

[Algron28]

Eipä tuosta sivusta paljon oikein selvinnyt käytännön tasolla miten tulee toimimaan. Tuli vain mieleen joku yet another SSO.

 

[Hyrava]

En tiedä ymmärsinkö tuon oikein mutta sain sellaisen käsityksen että nettisivun/palvelun pitää liittyä tuohon tunnistuspalveluun ja käyttäjä sitten antaa sähköpostiosoitteensa kirjautuessaan ja tuo palvelu lähettää kertakäyttösalasanan siihen sähköpostiin. Jos noin on, niin mielestäni kauhean monimutkaista.

 

[leffo]

"tarjoaa uuden kotimaisen, salasanat korvaavan tunnistautumispalvelun, joka mahdollistaa kirjautumisen kaikkiin digitaalisiin palveluihin, turvallisesti ja helposti"

Niin mulle tulee tuosta mieleen halpakopio näistä salasanapalveluista. Yksikään palvelu mitä minä olen käyttänyt, ja joka vaatii vahvaa tunnistautumista, ei perustu mihinkään salasanoihin.

"Yritys pystyy innovoimaan uusia palveluita muiden yritysten kanssa ja saa alustaratkaisun, joka tulee laajenemaan vahvaan tunnistautumiseen."

Aivan. Password manager joka "tulee laajentumaan" vahvaan tunnistautumiseen.

 

[Kautium]

Osuuskuntamuotoinen "kirjautumispalvelu", joka ei tarjoa edes sitä mitä on jo nykyisellään olemassa monellakin eri tavalla toteutettuna ja sisältää kasan kirjoitusvirheitä ei herätä kerrassaaan minkäänlaista luottamusta. Tuosta tulee mieleen lähinnä joku kouluprojekti.

Seurataan sivusta, mutta tällaisenaan ei jatkoon.

 

[erihyva]

Miksi ihmeessä tällainen, kun sähköinen henkilöllisyystodistus tulee käyttöön ihan valtiovallan toimesta vuonna 2023

Kysymyksiä ja vastauksia digitaalisen henkilöllisyyden hankkeesta - Valtiovarainministeriö

vm.fi

Digitaalinen henkilöllisyystodistus käyttöön vuoden 2023 alusta – "Tavalliset henkilökortit toimivat jatkossakin, eikä digitaalisia pakoteta hankkimaan"

Digitaalinen henkilöllisyystodistus ladataan matkapuhelimeen ja se toimii virastoissa sekä verkkopalveluissa. Henkilöllisyytensä joutuu todistamaan useissa arjen tilanteissa, mutta miksi ajokortti ei aina kelpaa?

www.kaleva.fi

 

[Hyrava]

Kävin vielä uudestaan tutustumaan noihin sivuihin ja jotenkin vähän nyt jäi sellainen fiilis että onko tuo a) järkevä projekti ollenkaan ja b) voisiko tuo jopa olla joku kusetus/vedätys. En oikein osaa sanoa mutta joku tuossa mun nenään haiskahtaa.

 

[Mco]

Kävin vielä uudestaan tutustumaan noihin sivuihin ja jotenkin vähän nyt jäi sellainen fiilis että onko tuo a) järkevä projekti ollenkaan ja b) voisiko tuo jopa olla joku kusetus/vedätys. En oikein osaa sanoa mutta joku tuossa mun nenään haiskahtaa.

Projektin takana näyttäisi olevan Alma Media ja Yle. Etenkin Ylellä on ollut pitempään tavoitteena laajentaa Yle Tunnusta
laajempaan käyttöön. Olettaisin tämän olevan keskeinen tekijä tämän projektin taustalla. Samanaikaisesti kaupallinen media on kritisoinut Yleä siitä, että se on laajentanut toimintaansa perustehtävänsä ulkopuolelle. Alma Media on todennäköisesti valittu tähän projektiin kumppaniksi tarkoituksella, jotta voitaisiin osoittaa, että Ylen kehittää media-alan yhteistä etua, josta myös kaupallinen puoli hyötyy.

Tällainen on Suomeen tuleva ”Google-kirjautuminen” – lehdet, lippujen ostaminen ja viranomaisasiat halutaan yhden tunnuksen taakse

Uusi kansalliseksi tarkoitettu järjestelmä alkaa kilpailla teleoperaattorien ja pankkien tunnistautumisen kanssa.

www.is.fi

 

[mikajh]

Sähköpostiin kilahtavaan kertakäyttösalasanaan perustuva kirjautuminen kuulostaa kyllä pähkähullulta, ainakin niiden mielestä, joiden sähköpostit lukee nyt palvelun puolesta Google, Microsoft tai joku vastaava organisaatio.

Mutta vahvalle tunnistautumiselle ja hyvin toteutetulle palvelulle olisi kysyntää, jos sillä voisi edes Suomessa kirjautua kaikkialle.

Esimerkiksi tänne io-tech -foorumille voisi kirjautua ja luoda nickin (tai liittää nykyisen). Myyntipalstalle ei voisi tehdä ilmoa ilman vahvaa tunnistautumista. Jos myyjä petkuttaa, hänen henkilöllisyytensä olisi io-techin (tai ainakin tunnistuspalvelun) tiedossa, jolloin mahdollisen rikosilmoituksen sattuessa poliisilla olisi epäilty heti tiedossa.

 

[olkitu]

Katsotaan mitä tuo maksaa palvelu - yleensä näisä transaktioperusteisia ja kiinnostava erityisesti hinnoittelu. Jos se maksaa paljon en tiedä onko kannattavaa lähteä liittymään. Toivottavaa olisi kyllä keskittää tunnistautumista mutta pitää olla myös sopivan hintainen kun ei moni pieni palvelu halua maksaa kalliista systeemistä.

Yleisesti kiinnostaa tämä valtion projekti miten siellä sitten pystyy integroitumaan mutta pelko on että tulee vaan uusi methodi lisäksi ja maksaa palveluntarjoajalle samalla tavalla kuin aikaisemmat tavat. Tulisiko näppärät tavat yhdistää omiin systeemeihin edullisesti niin miellään toteuttaisi siihen rekisteröinnit ja salasana palautukset.

 

[ztec]

Nyt ovat julkaisseet päivittyneet sivut:

Sinuna

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

sinuna.fi

Yksityiskohdat edeleen täysin avoinna. Mutta mun mielestä on väärin että "vahvatunnistautuminen" perustuu "sähköpostiin", jos se nyt siihen perustuu. Mutta nähtäväksi jää.

 

[mikajh]

Tämähän on identiteettivarkaan toiveuni, kun ennen piti hankalasti tilailla uusia salasanoja, niin nyt voi suoraan kirjautua sähköpostillasi SINUNA

 

[Algron28]

Sinuna egyptiläinen Joo, tuo sähköposti homma ei vakuuta.

 

[ztec]

Hinnasto näyttää positiiviselta, on mielestäni varsin oikeassa kategoriassa:

Sinuna

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

suomentunnistautumisosuuskunta.fi

Saa sitten nähdä veivataanko sitä jatkossa suuntaan tai toiseen, mutta arkistoidaan tuohonkin tämä hinnasto joka nyt julkaistiin.



Tosin kun perustuu sähköpostiin, niin myös hyödyt jäävät hyvin todennäköisesti marginaaliseksi. Eivätkä pysty tarjoamaan esimerkiksi vahvaa tunnistautumista.

 

[olkitu]

Hinnasto näyttää positiiviselta, on mielestäni varsin oikeassa kategoriassa:

Sinuna

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

suomentunnistautumisosuuskunta.fi

Saa sitten nähdä veivataanko sitä jatkossa suuntaan tai toiseen, mutta arkistoidaan tuohonkin tämä hinnasto joka nyt julkaistiin.



Tosin kun perustuu sähköpostiin, niin myös hyödyt jäävät hyvin todennäköisesti marginaaliseksi. Eivätkä pysty tarjoamaan esimerkiksi vahvaa tunnistautumista.

Vahvan tunnistautuminesen rekisteröinti tulossa 2023: Palvelu - Suomen Tunnistautumisosuuskunta - Sitten ehlä tästä voisi joku kelvollinen tulla johonkin missä sen jälkeen ei tarvita vahvaa tunnistautumista. Muuten en näe hirveästi tässä idea ja kunnes joku sovellus tässä sitten millä tunnistautua. Sähköposti on niin turvaton temppu itsestään ja semmoinen on jo suht helppo tehdä itsekin että laittaa linkin s.postiin.

 

[ztec]

Ristiinlinkataan tästä langasta tuohon Digitaalinen Henkilöllisyystodistus lankaan.

Sieltä itseäni lainaten, vähän tältä se tilanne mielestäni vaikuttaa:

Tunnistautumisosuuskunnan tunnistautuminen näyttääkin sitten viimekädessä heikolta, ei vahvalta. Ja tämä Digi Henkkari mitä ilmeisimmin sitten taas tehdään kankeaksi ja kalliiksi käyttää.

Toivottavasti olen todella väärässä molempien suhteen, mutta pahoin pelkään että näin ei ole.

 

[Obi-Lan]

Vai onko tavoitteena tarjota tuota palvelua vaihtoehdoksi niille tahoille jotka nyt käyttävät verkkopankkeja vahvaan tunnistautumiseen?

 

[ttppii]

Aika huvittavaa kun ”frakmentoituneen tunnistautumisen” (joka pankkitunnuksien ja mobiilitunnistautumisen ja jopa toimikortin kautta toimii erittäin hyvin) korjaamiseksi tarjotaan uusi, aika huteran tuntuinen tunnistautumishimmeli.

 

[Hyrava]

Aika huvittavaa kun ”frakmentoituneen tunnistautumisen” (joka pankkitunnuksien ja mobiilitunnistautumisen ja jopa toimikortin kautta toimii erittäin hyvin) korjaamiseksi tarjotaan uusi, aika huteran tuntuinen tunnistautumishimmeli.

Pitäähän tätä kenttää fragmentoida lisää...

Standards

xkcd.com

 

[mikajh]

Kun on nuo kaikki kolme tähänastista tunnistautumistapaa käytössä, niin yleensä joku niistä toimii. Lisä ei ole pahitteeksi, karsinta yhteen olisi kamalaa

 

[Hyrava]

Kun on nuo kaikki kolme tähänastista tunnistautumistapaa käytössä, niin yleensä joku niistä toimii. Lisä ei ole pahitteeksi, karsinta yhteen olisi kamalaa

Itsekään en yhteen ja ainoaan metodiin halua päätyä mutta vähän taas tuntuu että tehdään vaan taas uusi tapa entisten rinnalle ja taas on yksi kilpaileva teknologia vanhojen rinnalla. itse olen aikalailla sitä mieltä että noin 3 kpl eri tunistautumista riittää, ensisijainen jonka olettaa toimivan, toissijainen joka toimii kun ensisijainen ei toimi ja siihen vielä joku backup pahimman varalle. Jos noita alkaa olla liikaa niin ylläpito muuttuu painajaiseksi, kaikkien kuitenkin pitäisi toimia mutta esim hyökkäyspinta-ala alkaa olla aika suuri kun on monta paikkaa mitä voi potentiaaliesti korkata ja muutenkin. Monen eri tavan ylläpito maksaakin lisää eli siltäkin kannalta olisin maksimissaan 3 erillisen tavan kannalla.

 

[mikajh]

Mainitaan nyt vielä ot:na tässäkin ketjussa Digitaalinen henkilöllisyystodistus - Valtiovarainministeriö
yhtenä tulevana uutena tapana tunnistautua myös sähköisessä asioinnissa, käytössä pitäisi olla 2023. Jos sattuu, niin tämä voi olla sujuvin tapa tähänastisista. Siitä jatkot: Digitaalinen Henkilöllisyystodistus

 

[olkitu]

Uusi tunnustusväline saa sitten lyödä läpi kunnolla että loppukäyttäjän kannattaa opetella ja ottaa käyttöön sekä myös palveluntarjoaja puolella. Loppukäyttäjä ei halua useita tunnistusvälineitä - he haluavat yhden ja helpon joka helppo opetella ja osaa sitten käyttää. Palveluntarjoajalle tunnistusväline pitää olla käytettävissä vapaasti ja hintakin pitää olla suhteellisen edullinen. Lisäksi käyttäjäkunta pitäisi olla laaja niin sitten olisi suhteellisen hyvä.

Kuten tuossa sanottiin niin ylläpitäminen useita tapoja käy kalliiksi useimmiten ja kun on nyt vanhemmat tunnistustavat onko sitten halua investoida kehitykseen jos uusi tunnistusväline ei lyö läpi.

 

[ztec]

Sinuna on näköjään päivitellyt sivujen sisältö nyt reilusti:
Uusi blogipostaus:

Sinuna

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

suomentunnistautumisosuuskunta.fi

Developer sivusto:

Sinuna for Developers

developer.sinuna.fi

Sekä sivut yhteistyökumppaneille, mistä voi hakea integroitumismahdollisuutta:

Sinuna

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

suomentunnistautumisosuuskunta.fi

Millaisia ajatuksia herättää? Mielenkiintoista kyllä seurata tätä projektia, että mihin poteroon tää loppujenlopuksi menee.

Ainakin tähän asti esitetyt tiedot herättää vaan hämmennystä osittain, kuten myös digi henkkarin osalta. Mutta seurataan näitä projekteja mienkiinnolla. Eiköhän ne siitä hahmotu kun softat kypsyy.

Missä menee kevyt "verified email address" vs vahvatunnistautuminen raja jne miten noi hommat toimii. Koska ne on lievästi ristiriidassa jo keskenään. Esim SimpleLogin tarjoaa aivan mainion vaihtoehdon kevyeen sähköpostiosoitteen autentikointiin, muine lisäominaisuuksineen. Kuten sanottu, eihän näissä asioissa teknisesti mitään ihmeellistä ole.

Edit lisätty login nappi:

 

[Obi-Lan]

Virossa käsittääkseni kaikki on pakotettu henkilökorttiin tai mobiilivarmenteeseen, miksei samaa tehty Suomessa... Nyt on sillisalaatti eri pankkien tunnuksia, mobiilivarmenne, henkilökortti ja taas kohta lisää vaihtoehtoja joita joku käyttää mutta ei kaikki.

 

[Algron28]

Virossa käsittääkseni kaikki on pakotettu henkilökorttiin tai mobiilivarmenteeseen, miksei samaa tehty Suomessa... Nyt on sillisalaatti eri pankkien tunnuksia, mobiilivarmenne, henkilökortti ja taas kohta lisää vaihtoehtoja joita joku käyttää mutta ei kaikki.

Varmaan siksi että siitä suomessa olisi saatu kauhea kitinä ja valitus aikaiseksi kun on pakko. Virossa tälle kortille oli sen julkaisuajankohtana tietynlainen poliittinen myötätuuli sillä sen nähtiin erkaannuttavan viroa entisestään vanhasta neuvostoliiton aikaisesta järjestelmästä.

 

[ztec]

Vähemmän yllättäen tuo Sinuna käyttää OIDC:tä, eli menee ihan samaan tunnistautumislaariin kuin kaikki muutkin modernit tunnistautumispalvelut.

Eipä ole itse palvelua vielä julkaistu, vaikka piti tulla jo pari kuukautta sitten.

> Sinuna will be released in November 2022

 

[Algron28]

Vähemmän yllättäen tuo Sinuna käyttää OIDC:tä, eli menee ihan samaan tunnistautumislaariin kuin kaikki muutkin modernit tunnistautumispalvelut.

Eipä ole itse palvelua vielä julkaistu, vaikka piti tulla jo pari kuukautta sitten.

> Sinuna will be released in November 2022

Voisivat päivitellä noita tekstejään tuonne sivuille. Näistä useamman kuukauden menneisyydessä olevista "comin soon" teksteistä tulee mieleen eräs kryptovaluuttaa näytellyt verkostokusetus.

 

[ztec]

No nyt Sinuna palvelu on sitten virallisesti käytettävissä hinnastoineen:

Sinuna yrityksille

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

sinuna.fi

Virallinen mainos-totuus suoraan sivulta:

> Sinuna on salasanaton kirjautumispalvelu, joka suojelee yksityisyyttäsi.Sinuna on helppo kotimainen, salasanat korvaava kirjautumispalvelu, jonka kautta pääset kirjautumaan suosikkipalveluihisi, suoratoistosta sanomalehtiin.

Henkilökohtaisesti sanoisin, että on älyvapaata sitoa moderni tunnistautumispalvelu johonkin niin vanhentuneeseen ja turhaan tekniikkaan kuin sähköposti. Käytännössähän tunnistautuminen on siis ulkoistettu sähköposti-palveluntarjoajalle. Ei ollenkaan hyvä vaihtoehto. Toisaalta vielä huonompi vaihtoehto olisi taas yksi surkeasti tehty pakollinen roska-appi lisää puhelimeen.

Vähän kuin "uusi hieno maksutapa", syötät vain luottokorttisi tiedot. Siis hetkonen, sehän on vain korttimaksun jatke, eikä mikään uusimaksutapa. Tällaista uus roskaa tuntuu joka rööristä aina ajoittain tulevan.

 

[Obi-Lan]

Lähinnä mitenhän tuossa käyttäjän henkilötiedot ja sähköposti yhdistetään vai yhdistetäänkö niitä laisinkaan.

 

[Juhaz]

Virossa käsittääkseni kaikki on pakotettu henkilökorttiin tai mobiilivarmenteeseen, miksei samaa tehty Suomessa... Nyt on sillisalaatti eri pankkien tunnuksia, mobiilivarmenne, henkilökortti ja taas kohta lisää vaihtoehtoja joita joku käyttää mutta ei kaikki.

Ei ole. ID-kortti on kyllä melkein pakollinen jokaiselle, ja sen käyttäminen on kyllä mahdollista lähestulkoon jokaisessa vahvaa tunnistautumista vaativassa palvelussa mutta ei sitä käytännössä kukaan mihinkään nettikirjautumiseen koskaan käytä koska kortinlukijoiden kanssa härvääminen on hankalaa ja monimutkaista eikä sellainen ole yleensä ikinä edes mukana kun sitä sattuu tarvitsemaan... (ja puhelimen kanssa ainakin vanhan sirukortin kanssa käytännössä mahdotonta, uusimmissa ID-korteissa saattaa olla NFC-tuki joka ehkä (?) mahdollistaa senkin mutta ainakaan pari vuotta sitten uusitussa ei vielä ollut)

Mobiilivarmenne on varmaan aika yleinen mutta veikkaisin että Smart-ID on se kaikken suosituin tunnistautumistapa Virossa. Puhelinpohjainen sekin, mutta toimii sovelluksen kautta eikä vaadi mitään operaattorisidonnaisuuksia tai erityistukea SIM-kortilta toisin kuin mobiilivarmenne. Mutta kyllä siellä(kin) on siitä huolimatta tarjolla myös nämä perinteiset verkkopankkitunnukset eli sillisalaattia kyllä riittää myös rapakon takana.

 

[Juhaz]

Mainittu Smart-ID itsessään on ihan suoraviivainen ja toimiva systeemi jonka soisi ihan mielellään ulottavan toimintaansa (joka kattaa nykyisellään myös Latvian ja Liettuan Viron lisäksi) tännekin. Homma toimii käytännössä niin että kirjautuminen aloitetaan yleensä henkilötunnuksella (joka tietysti saattaa olla pieni este laajentumiselle, se kun ei ole Virossa mikään tarkoin varjeltu salaisuus koska sitä ei käytännössä voi väärinkäyttää kuten täällä), ja 2FA vahvistus tulee push notificaationa sovellukseen jossa se kuitataan joko biometrisellä tunnisteella tai PIN-koodilla riippuen omista säädöistä ja siitä miten systeemi on alunperin otettu käyttöön.

Oikeastaan on aika jännä että se toimii ainoastaan Baltian maissa, koska sen tuottava SK ID Solutions on yksityinen yritys joka kertoo omistajikseen Swedbank, SEB Bank ja Telia Eesti... kaikki siis ruotsalaisten konsernien Virolaisia tytäryrityksiä.

 

[Leatherman]

Mainittu Smart-ID itsessään on ihan suoraviivainen ja toimiva systeemi jonka soisi ihan mielellään ulottavan toimintaansa (joka kattaa nykyisellään myös Latvian ja Liettuan Viron lisäksi) tännekin. Homma toimii käytännössä niin että kirjautuminen aloitetaan yleensä henkilötunnuksella (joka tietysti saattaa olla pieni este laajentumiselle, se kun ei ole Virossa mikään tarkoin varjeltu salaisuus koska sitä ei käytännössä voi väärinkäyttää kuten täällä), ja 2FA vahvistus tulee push notificaationa sovellukseen jossa se kuitataan joko biometrisellä tunnisteella tai PIN-koodilla riippuen omista säädöistä ja siitä miten systeemi on alunperin otettu käyttöön.

Oikeastaan on aika jännä että se toimii ainoastaan Baltian maissa, koska sen tuottava SK ID Solutions on yksityinen yritys joka kertoo omistajikseen Swedbank, SEB Bank ja Telia Eesti... kaikki siis ruotsalaisten konsernien Virolaisia tytäryrityksiä.

Muutin Viroon reilu kolmisen vuotta sitten ja on nää Baltit valovuoden edellä Suomea digitaalisesti. Täällä ID-kortti on sinun ajokortti + joka ikisen kaupan kanta-asiakkuuskortti. Eli lompakossa ei tarvitse olla kuin ID-kortti niin saa kaikki boonukset kerättyä.
Smart-ID:llä (puhelin äppi) sitten hoidetaan authentikoinnit + allekirjoittamiset. Ainut asia Virossa missä en ole voinut Smart-ID:llä tunnistautua/allekirjoittaa, oli eduskuntavaalit, mutta sen sitten sai tehtyä ID-kortilla. Läppäreistä kun usein löytyy jo sisäänrakennettu ID-kortin lukija niin ei tarvinnut USB lukijaa, joita myydään itseasiassa joka ikisessä ruokakaupassakin täällä.

Edit: hauskaahan on se, että Viro kopioi koko ID-kortin "alustan" Suomelta. Suomi oli edelläkäviä tässä, mutta mokasi siinä että ulkoisti liikaa asioita. Virossa taas valtio hoiti lähes kaiken.

 

[ztec]

Leikin tuossa hetken Sinuna palvelun kanssa ja tuli heti mieleen kysymys.

Salasanat on siis hekkoja ja huonoja, mutta Sinuna tunnistautuminen kuusinumeroisella PIN:llä vahva. Anteeksi mitä kohtaa mä en ymmärtänyt tästä?

Mun salasanat, vaihtoehtoa:
14016833953562607293918185758734155776
Jos salasana jostain syystä vuotaakin tai arvataan, sillä pääsee vain yhteen palveluun.

Sinuna PIN, vaihtoehtoa:
1000000
Jos salasana arvataan, sillä pääsee kaikkiin Sinunaa käyttäviin palveluihin.

Koska tuo on jo teoreettisesti osoitettu, niin ei jaksaisi tehdä käytännön todistusta asiasta. Mutta jos kehtaavat vielä väittää, että tuo on vahva, niin mulla ei oo mitään ongelmaa laittaa pientä botti armeijaa tekemään teille vaikka miljardi autentikointipyyntöä (ei ollut edes vitsi, 10^9) kunnes mulla on todistettavasti vinopino sellaisia autentikointeja läpi, jotka on kytketty sähköpostiin jota tosiasiassa en hallinnoi. Sitten on ihan faktaa, ettei hyökkäys ole vain teoreettinen. Niin miten oli? Hyväksyttekö haasteen ja pienen kevyen pommituksen? Onko jotain ratelimit toiveita? Kymmenen, tuhat vai kymmenentuhatta pyyntöä sekunnissa?

Ei millään pahalla mutta poop emoji.

 

[ojisama]

Leikin tuossa hetken Sinuna palvelun kanssa ja tuli heti mieleen kysymys.

Salasanat on siis hekkoja ja huonoja, mutta Sinuna tunnistautuminen kuusinumeroisella PIN:llä vahva. Anteeksi mitä kohtaa mä en ymmärtänyt tästä?

Mun salasanat, vaihtoehtoa:
14016833953562607293918185758734155776
Jos salasana jostain syystä vuotaakin tai arvataan, sillä pääsee vain yhteen palveluun.

Sinuna PIN, vaihtoehtoa:
1000000
Jos salasana arvataan, sillä pääsee kaikkiin Sinunaa käyttäviin palveluihin.

Koska tuo on jo teoreettisesti osoitettu, niin ei jaksaisi tehdä käytännön todistusta asiasta. Mutta jos kehtaavat vielä väittää, että tuo on vahva, niin mulla ei oo mitään ongelmaa laittaa pientä botti armeijaa tekemään teille vaikka miljardi autentikointipyyntöä (ei ollut edes vitsi, 10^9) kunnes mulla on todistettavasti vinopino sellaisia autentikointeja läpi, jotka on kytketty sähköpostiin jota tosiasiassa en hallinnoi. Sitten on ihan faktaa, ettei hyökkäys ole vain teoreettinen. Niin miten oli? Hyväksyttekö haasteen ja pienen kevyen pommituksen? Onko jotain ratelimit toiveita? Kymmenen, tuhat vai kymmenentuhatta pyyntöä sekunnissa?

Ei millään pahalla mutta poop emoji.

Sinuna

Sinuna on kotimainen, salasanat korvaava tunnistautumispalvelu.

sinuna.fi

Oletan, että tuo session luova koodi hylätään muutaman virheellisen yrityksen jälkeen ja tarvitaan uusi koodi. Bottiarmeijasta ei siis ole hyötyä.

(e. En ota kantaa spostipalvelimen turvallisuuteen, mutta kyllä mä tuota voisin käyttää asioihin, mihin ei tarvita vahvaa tunnistautumista)

E2. Kokeilin, tuo on toteutettu 'oikein' , eli ei kerro milloin kirjautuminen on hylätty, ts. oikeakin pin feilaa, kun tarpeeksi monta yritystä väärin.

 

[Hyrava]

Muistin oikein että tätä Sinuna-juttua oli foorumilla käsitelty. Nyt se sitten haudataan vuoden jälkeen: Alle vuosi sitten käyttöön otettu kotimainen Sinuna-kirjautumispalvelu lakkautetaan

Jotain tämänkaltaista kohtaloa tälle kyllä veikkailinkin.

 

[Kautium]

Muistin oikein että tätä Sinuna-juttua oli foorumilla käsitelty. Nyt se sitten haudataan vuoden jälkeen: Alle vuosi sitten käyttöön otettu kotimainen Sinuna-kirjautumispalvelu lakkautetaan

Jotain tämänkaltaista kohtaloa tälle kyllä veikkailinkin.

Tämä oli niin nähtävissä. Tuhoon tuomittu viritys alusta lähtien markkinointia myöten.

Kuten palvelun alkuvaiheessa 2 vuotta sitten totesin --> ei jatkoon.

Osuuskuntamuotoinen "kirjautumispalvelu", joka ei tarjoa edes sitä mitä on jo nykyisellään olemassa monellakin eri tavalla toteutettuna ja sisältää kasan kirjoitusvirheitä ei herätä kerrassaaan minkäänlaista luottamusta. Tuosta tulee mieleen lähinnä joku kouluprojekti.

Seurataan sivusta, mutta tällaisenaan ei jatkoon.

 

[Rollerix]

Voi hyvänen aika. Palvelun sivuilla puhutaan jostain tuntemattomasta osuuskunnasta, jonka pitäisi antaa hoitaa tunnistautumista. Ei yhtä ainutta henkilön nimeä tai tarkempaa tietoa tästä osuuskunnasta. Googlen avulla löytyy joku uutinen, jossa taustatahoiksi mainitaan Yle, Alma plus jotain muita. Erikoista että näin läpinäkymättömällä konseptilla yrittivät. Ei ihme että kaatui.

 

[Pezz]

Eivät ole varmaan kovin paljon tätäkään aikoinaan mainostaneet? Itsekkin vasta tänään ensimmäistä kertaa kuulin tästä palvelusta, kun tuli tuo uutinen lopettamis päätöksestä.

 

[pulatunnus]

Voi hyvänen aika. Palvelun sivuilla puhutaan jostain tuntemattomasta osuuskunnasta, jonka pitäisi antaa hoitaa tunnistautumista. Ei yhtä ainutta henkilön nimeä tai tarkempaa tietoa tästä osuuskunnasta. Googlen avulla löytyy joku uutinen, jossa taustatahoiksi mainitaan Yle, Alma plus jotain muita. Erikoista että näin läpinäkymättömällä konseptilla yrittivät. Ei ihme että kaatui.

Palvelu lopetetaan, toki vielä pystyssä, joten reksiteriselosteessa voisi olla jokin nimi vielä. (URLja kuollut, niin ilmeisesti sivustoa siivottu)
Ehkä sekoitain johonkin toiseen hankkeeseen, mutta muistelen että taustalla oli ihan henkilöitä omalla nimellä.

Osuuskunnalla on toki johto , päättäjät ei mitään tuiki tuntemattomia.

Eivät ole varmaan kovin paljon tätäkään aikoinaan mainostaneet? Itsekkin vasta tänään ensimmäistä kertaa kuulin tästä palvelusta, kun tuli tuo uutinen lopettamis päätöksestä.

En tiedä onko tuota kirjautumisvaihtoehtoa muilla kuin alun kumppaneilla näkynyt. Mutta ihan viimevuonna osunut silmään. Mutta vaikea kilpailla Suomessa parin jenkki vaihtoehdon kanssa, ja pitäisi saada todella helpoksi. Jos olisi ollut ainut vaihtoehto jossa isojen massojen käyttämässä palvelussa, niin sitten. Koska uusia sellaisia ei tupsahda, nii olisi pitänyt "ostaa" joku olemassaoleva.

Siitä olisi syntynyt iso haloo, jos Yle lähtisi tunnistus markkinoille niin voimakkaasti että kilpailisi yksityisen kanssa.

Spoileri

Ajatuksen juoksu se että Yle joka tapauksessa tarvitsee tunnistautumisen ja siinä eritasoja, ja pitkäjänniteisyyttä joten panokset voisi hyödyttää laajemminkin

- Äärettömän helppo kirjautuminen, voi tinkiä vahvuudessa
- Minimaaliset henkilötiedot kirjaduuttavaan palveluun, eli kohde ei saa muuta yksilöivää kun kohdekohtaisen
- ns tuplatunnus esto, eli vaikka anonyymi, mutta sama todellinen kohteeseen vain yksi. (lippu onko sellainen)
- Ikärajoja vaativat tunnistaumiset, eli tieto onko vanhempikuin, mutta ei ikää, ja siis käyttäjän annettava lupa kohdekohtaisesti
- Kansalaisuus/asuin maa
- Tuki vahvemmille kirjatumisille, ja lippu, onko vahvasti tunnistettu.
- Lupaus tukea yleisetyviä standarteja menetelmiä
- jne
-