Tunnuslukulista

Seuraa 
Viestejä8560
Liittynyt16.3.2005

Osuuspankin nettipankissa on ollut kautta aikojen paperiliuska, josta on annettu yksi tunnusluku pyynnöstä. Lukuja on annettu järjestyksessä. Liuska pitää vaihtaa, kun muutama tunnusluku on jäljellä.

Nyt ovat Osuuspankin ATK-virtuoosit keksineet, että kertakäyttöisiä tunnuslukuja pitääkin antaa lapusta satunnaisessa järjestyksessä. Onko raatilaisten joukossa tunnuslukutieteilijöitä jotka voisivat selventää minulle miten turvallisuuden aste lisääntyy tuossa metodissa.

Ja sitten toisinpäin. Säästöpankkiryhmällä on vaihtumaton tunnuslukukortti, josta annetaan siis samojakin tunnuslukuja pankkiyhteyden niin pyytäessä. Miten turvallisuus on tuollaisen vaihtumattoman kortin kanssa? Jos joku vakoilee näppäinliikennettä, niin vähitellen ovat selvillä kaikki yhteyden vaatimat tunnukset.

Hiirimeluexpertti. Majoneesitehtailija. Luonnontieteet: Maailman suurin uskonto. Avatar on halkaistu tykin kuula

Sivut

Kommentit (16)

Vierailija

Sehän perustuu avain-lukko-järkkään. Ne muodostavat pareja.
Mitä kumman etua siitä saa, jos useampi avain sopii samaan lukkoon?

Vierailija

"Jos joku vakoilee näppäinliikennettä, niin vähitellen ovat selvillä kaikki yhteyden vaatimat tunnukset."

Ohjelma pyytää kerran kk:ssa vaihtamaan myös salasanan. Tässä tilanteessa "vakoilijan" mahdollisesti poimimat tunnusluvut menettävät merkityksensä.

Vierailija
Paul M
Nyt ovat Osuuspankin ATK-virtuoosit keksineet, että kertakäyttöisiä tunnuslukuja pitääkin antaa lapusta satunnaisessa järjestyksessä. Onko raatilaisten joukossa tunnuslukutieteilijöitä jotka voisivat selventää minulle miten turvallisuuden aste lisääntyy tuossa metodissa.

Pohdin tuota samaa (olematta minkään alan tieteilijä) ja päädyin sellaiseen mahdollisuuteen, että pelätään järjestyksessä annettujen numeroparien, siis aina seuraavan avainluvun, kaavan olevan mahdollista selvittää.

Toisena mahdolisuutena ajattelin olevan, että käytäntöön olisi siirrytty pelkästään yhteisten toimintatapojen vuoksi

Volitans
Seuraa 
Viestejä10670
Liittynyt16.3.2005
Paul M

Nyt ovat Osuuspankin ATK-virtuoosit keksineet, että kertakäyttöisiä tunnuslukuja pitääkin antaa lapusta satunnaisessa järjestyksessä. Onko raatilaisten joukossa tunnuslukutieteilijöitä jotka voisivat selventää minulle miten turvallisuuden aste lisääntyy tuossa metodissa.

Kyllähän turvallisuus tuosta paranee. Yleensähän on tapana yliviivata käytetyt numerot. Joku luotettu, mutta epärehellinen kaveri siitä äkkiä ulkomuistaa seuraavan / seuraavat numerot ja käytää niitä väärin.

En tietä Osuuspankista, mutta ainakin Nordealla maksumääräykset pitää vielä vahvistaa erillisillä tunnuksilla, joten rahoja ei tuolla vielä omalle tilille siirretä, vaikka tunnukset selviäisivätkin. Mutta pääseepähän käsiksi tilitietoihin muuten.

Vierailija
Paul M
Nyt ovat Osuuspankin ATK-virtuoosit keksineet, että kertakäyttöisiä tunnuslukuja pitääkin antaa lapusta satunnaisessa järjestyksessä. Onko raatilaisten joukossa tunnuslukutieteilijöitä jotka voisivat selventää minulle miten turvallisuuden aste lisääntyy tuossa metodissa.

Yksi syy voi olla phishing-sähköpostiviestit. Nordean tapauksessa niissä pyydettiin viittä (kai) seuraavaa sisäänkirjautumistunnuslukua ja kaikkia vahvistustunnuslukuja. Jotkut näyttävät jaksaneen kirjoittaa tuollaiset 25 lukua, mutta ehkä Osuuspankissa kuvittelevat, ettei kukaan viitsi kirjoittaa 100 (tjsp.) tunnuslukua.

Volitans
Seuraa 
Viestejä10670
Liittynyt16.3.2005
Vastaaja_s24fi

Pohdin tuota samaa (olematta minkään alan tieteilijä) ja päädyin sellaiseen mahdollisuuteen, että pelätään järjestyksessä annettujen numeroparien, siis aina seuraavan avainluvun, kaavan olevan mahdollista selvittää.

Kyllä ne tunnusluvut ovat ihan arvotuja - eihän siinä muuten mitään järkeä olisi.

Varmistustunnukset ovat sitten hieman toinen juttu. Nekin ovat arvottuja, mutta tunnusluvun valinta mitä ilmeisimmin on yhteydessä maksumääräyksen tietoihin jollain salailella algoritmilla - tällä estetään tietojen väärentäminen "man in the middle"-tyyppisessä tietomurrossa.

IsoJussi
Seuraa 
Viestejä987
Liittynyt16.3.2005

Eiköhän tuo ole sitä "phisingiä" vastaan. Kun kuulemma pyytävät lähettämään salasanan ja tunnusluvun ja vielä varmuuden vuoksi kolme seuraavaa kertakäyttötunnusta. Vaikeuttaa ainakin vähän.

Tuosta "ikuisesta" salasanalistasta on vaikea sanoa mitään, vaikuttaa hieman turvattomalta.

Same shit, different day...

.
Seuraa 
Viestejä846
Liittynyt10.9.2005

"Jos joku vakoilee näppäinliikennettä, niin vähitellen ovat selvillä kaikki yhteyden vaatimat tunnukset."

Yksi EU:n suurin pankki ei käytä näppäimistöä tunnuslukujen syöttöön lainkaan, tunnusluvut annetaan hiirellä sekoitettuun "numeronäppikseen".
Toteutettu varmaan javalla.

Helpoin tapa "kalastaa" tunnuksia taitaa kuitenkin olla sähköposti, aina joku idiootti vastaa/antaa tunnuksensa.

Itseasiassa uskon että pankit ovat kustannussyistä siirtäneet vastuuta asiakkaille.

Volitans
Seuraa 
Viestejä10670
Liittynyt16.3.2005
Arla

Yksi syy voi olla phishing-sähköpostiviestit. Nordean tapauksessa niissä pyydettiin viittä (kai) seuraavaa sisäänkirjautumistunnuslukua ja kaikkia vahvistustunnuslukuja. Jotkut näyttävät jaksaneen kirjoittaa tuollaiset 25 lukua, mutta ehkä Osuuspankissa kuvittelevat, ettei kukaan viitsi kirjoittaa 100 (tjsp.) tunnuslukua.

Todennäköisesti tuokin. Mutta - oikeasti, siis aivan oikeasti, kuka idiootti lähettelee omia tunnuslukujaan? Tuollaisen hölmöyden pitäisi olla jo selvä osoitus siitä, ettei kykene itse päättämään asioistaan vaan vaatii jonkun huolehtimaan asioistaan.

.
Seuraa 
Viestejä846
Liittynyt10.9.2005
Volitans

Todennäköisesti tuokin. Mutta - oikeasti, siis aivan oikeasti, kuka idiootti lähettelee omia tunnuslukujaan? Tuollaisen hölmöyden pitäisi olla jo selvä osoitus siitä, ettei kykene itse päättämään asioistaan vaan vaatii jonkun huolehtimaan asioistaan.

Niinpä.
Kenen on vastuu?
Idiootteja kuitenkin on.

Siis pankki "antaa" nettiajokortin ennen tunnuslukuja, minun mielipiteeni.

Vierailija

Mun tunnuslukulista on seuraavanlainen:

9742= Pankkikortin tunnusluku
4638= Nettipankkiin kirjautumisluku
63AllAh2370= tiede foorumin tunnusluku
Abdul6964= tietsikan tunnusluku
85Yjk67i3= työpaikan tietokoneen tunnusluku

jne.

Pidän sitä aina tietokoneen vieressä tallessa; kotona ja töissä!

Vierailija
Volitans
Mutta - oikeasti, siis aivan oikeasti, kuka idiootti lähettelee omia tunnuslukujaan? Tuollaisen hölmöyden pitäisi olla jo selvä osoitus siitä, ettei kykene itse päättämään asioistaan vaan vaatii jonkun huolehtimaan asioistaan.

Niinpä. Omien tunnuslukujen sijaan kannattaa antaa arvotut luvut. Vielä parempi olisi käyttää softaa arpomaan lukuja esim. 10.000 kertaa. Siinäpä phishing-kaverit ihmettelevät, elleivät sitten itse ole automatisoineet saamiensa tietojen käyttöä.

Vierailija
Volitans
Vastaaja_s24fi

Pohdin tuota samaa (olematta minkään alan tieteilijä) ja päädyin sellaiseen mahdollisuuteen, että pelätään järjestyksessä annettujen numeroparien, siis aina seuraavan avainluvun, kaavan olevan mahdollista selvittää.



Kyllä ne tunnusluvut ovat ihan arvotuja - eihän siinä muuten mitään järkeä olisi.

Varmistustunnukset ovat sitten hieman toinen juttu. Nekin ovat arvottuja, mutta tunnusluvun valinta mitä ilmeisimmin on yhteydessä maksumääräyksen tietoihin jollain salailella algoritmilla - tällä estetään tietojen väärentäminen "man in the middle"-tyyppisessä tietomurrossa.

En puhunut tunnusluvuista vaan avainluvuista, niinkuin ketjun aloittajakin. siis tilille pääsemiseksi tarvittavan lukuparin nelinumeroisesta syötettävästä luvusta. Ja minäkin uskon, että ne on arvottuja, mutta miten? Todellista satunnaislukua on aika vaikea kehittää. Jostain laavalampun kuvioista kuulemma jenkit tekee sellaisen - esimerkiksi kerran päivässä otetun tilannekuvan mukaan kehitettyä seuraavaa lukua on mahdoton ennakoida.

Vierailija
Arla
Yksi syy voi olla phishing-sähköpostiviestit. Nordean tapauksessa niissä pyydettiin viittä (kai) seuraavaa sisäänkirjautumistunnuslukua ja kaikkia vahvistustunnuslukuja. Jotkut näyttävät jaksaneen kirjoittaa tuollaiset 25 lukua, mutta ehkä Osuuspankissa kuvittelevat, ettei kukaan viitsi kirjoittaa 100 (tjsp.) tunnuslukua.

Tuo on mitä todennäköisin syy muutokseen. En tullut ajatelleeksi, kun en ole joutunut utelun kohteeksi.

Vierailija
Vastaaja_s24fi
Todellista satunnaislukua on aika vaikea kehittää. Jostain laavalampun kuvioista kuulemma jenkit tekee sellaisen - esimerkiksi kerran päivässä otetun tilannekuvan mukaan kehitettyä seuraavaa lukua on mahdoton ennakoida.

Silläkin uhalla, että lakkaat käyttämästä avain- ja tunnuslukuja...

Yksi hyvä satunnaisia lukuja tuottava menetelmä on radioaktiivinen hajoaminen, täysin mahdoton ennakoida.

PS. Tämä vain Vastaaja_s24fi:lle ja hänen opetuslapsilleen:
Vaikka radioaktiivista hajoamista käytettäisiin satunnaislukugeneraattorina, niin radioaktiivisuus ei kulkeudu avain- ja tunnuslukuihin.

Sivut

Uusimmat

Suosituimmat