Verkkopankin salasanoilla muihin palveluihin tunnistautuminen • muzzy • IRC-Galleria

Tämän sivun toiminnot edellyttävät sitä, että Internet-selaimessasi on JavaScript-tuki päällä. Tarkista selaimesi asetukset ja salli JavaScript.

win7 käynnistyy itsekseen kello 3 aamulla 11.03.
Poliisi estänyt kouluiskun? 06.11.
Parodia ja tuloste-DRM :) 12.10.
w3.org-sensuuri copypastevirhe? 29.09.
Poliisi sensuroi www.w3.org:n 28.09.
"Humanity is overrated" 25.09.
Vaadin IRC-gallerian sensuurilistalle 12.05.
Poliitikkojen henkilötietojen julkisuus 10.04.
Nettiyhteisö huolissaan Pelastakaa Lapset... 22.03.
Verkkopankin salasanoilla muihin palveluihin ... 06.03.

▶ ▼ 2010 (1)
- ▶▼ maaliskuu 2010 (1)
▶ ▼ 2009 (1)
- ▶▼ helmikuu 2009 (1)
▶ ▼ 2008 (17)
- ▶▼ marraskuu 2008 (1)
- ▶▼ lokakuu 2008 (1)
- ▶▼ syyskuu 2008 (3)
- ▶▼ toukokuu 2008 (1)
- ▶▼ huhtikuu 2008 (1)
- ▶▼ maaliskuu 2008 (2)
- ▶▼ helmikuu 2008 (3)
- ▶▼ tammikuu 2008 (5)
▶ ▼ 2007 (15)
- ▶▼ lokakuu 2007 (2)
- ▶▼ toukokuu 2007 (1)
- ▶▼ huhtikuu 2007 (3)
- ▶▼ maaliskuu 2007 (2)
- ▶▼ helmikuu 2007 (3)
- ▶▼ tammikuu 2007 (4)
▶ ▼ 2006 (12)
- ▶▼ joulukuu 2006 (1)
- ▶▼ marraskuu 2006 (1)
- ▶▼ hein�kuu 2006 (1)
- ▶▼ kes�kuu 2006 (1)
- ▶▼ toukokuu 2006 (2)
- ▶▼ huhtikuu 2006 (1)
- ▶▼ maaliskuu 2006 (1)
- ▶▼ helmikuu 2006 (2)
- ▶▼ tammikuu 2006 (2)
▶ ▼ 2005 (33)
- ▶▼ joulukuu 2005 (7)
- ▶▼ marraskuu 2005 (24)
- ▶▼ lokakuu 2005 (2)

« Uudempi - Vanhempi »

Tämä on nyt ollut jotenkin trendikästä, että halutaan verkkopankin kirjautuminen joka hiton paikkaan. Kyllähän se toimii oikein hyvin, kyllähän se on vahva tapa varmistaa henkilöllisyys. Sivuston kannalta ratkaisu on hyvä, käyttäjän ja kokonaisuuden kannalta vaarallinen.

http://www.tietoviikko.fi/doc.te?f_id=1321232&s=r

Eikö kukaan ole ajatellut sitä millainen kosketuspinta tällä on phishing ja man-in-the-middle hyökkäyksiin? Jos kansa tottuu siihen että lähes minkä tahansa sivuston tunnistautumisen yhteydessä voidaan kysyä pankkitunnuksia, eikö jossainvaiheessa ylitetä raja jossa pahantahtoinen sivusto voikin ottaa tunnukset itse talteen eikä ohjaakaan käyttäjää pankin sivuille tunnistautumaan?

Näen jo mielessäni scenaarion, jossa Pertti Peruskäyttäjä surffaa netistä sivuille X ja haluaa kirjautua sisään. Pertti on kuitenkin kirjoittanut sivuston nimen väärin, ja huijari Y on pystyttänyt omat X:n näköiset sivut väärinkirjoitettuun osoitteeseen. Pertti kirjoittaa pankin tunnustietonsa tunnistautumissivulle, ja antaa avainkoodin. Tällävälin sivusto Y käyttää tietoja kirjautuakseen pankkiin ja tekee tilisiirron ja saa pankin vahvistussivun jossa pyydetään uutta avainta. Pertille sensijaan annetaan eteen virheilmoitus, jossa pyydetään yrittämään uudestaan toisella avainluvulla, ja arvaatte varmaan miten kuvio tästä etenee. Pertti Peruskäyttäjän tili tyhjätään, ja Pertille itselleen annetaan esimerkiksi ilmoitus että "Tietokantaan ei saada yhteyttä, yritä myöhemmin uudestaan" tai muuta geneeristä puppaa.

Typosquattausta tehdään jo pankkien sivuille, mutta entäs sitten kun pankkitunnuksia voi syöttää kymmenille muillekin sivustoille? Aijai. Mihin se HST-kortti ja sillä tunnistautuminen unohtui? Miksei Viestintäministeriö tue toimia jolla uusiin konepaketteihin kuuluisi mukana erillisellä numeronäppäimistöllä varustettu älykortin lukija HST-kortin mahdollisimman turvallista käyttöä varten? Mikä tahansa web-sivusto voi helposti hyödyntää HST-kortilla tunnistautumista, eikä tietoturvariski ole ihan samanlainen kuin pankkitunnusten kanssa...

Jaa palveluihin

Liity ilmaiseksi

Rekisteröityneenä käyttäjänä voisit

Lukea ja kirjoittaa kommentteja, kirjoittaa blogia ja keskustella muiden käyttäjien kanssa lukuisissa yhteisöissä.

Hae

IRC-Galleria

muzzy

Uusimmat blogimerkinnät

Selaa blogimerkintöjä

Blogimerkintä

Verkkopankin salasanoilla muihin palveluihin tunnistautuminenTorstai 06.03.2008 12:15

Etkö vielä ole jäsen?