Mobiilivarmenne - Sim-kortti henkilöllisyystodistuksena

Viestiketju alueella 'Tietotekniikkauutisia maailmalta' , aloittaja pulssi, 30.11.2010.

NOSTOJA MUROPAKETIN SISÄLLÖSTÄ
  1. pulssi

    Rekisteröitynyt:
    16.06.2004
    Viestejä:
    817
    mobiilivarmenne.fi


    Mitäs murot on mieltä tämän turvallisuudesta?
     
  2. pucilpet

    Rekisteröitynyt:
    03.11.2006
    Viestejä:
    260
    En näe oikeastaan mitään todellista ongelmaa tuon turvallisuudessa, jos tuo tunnusluku vaaditaan tunnistautumiseen.

    Toki tässä on se huono puoli, että ihmiset saattavat antaa jonkun ulkopuolisen käyttää omia varmenteitaan - omia pankkitunnuksia tuskin kukaan kovin halvalla ainakaan antaa kenenkään ulkopuolisen käyttöön, mutta voisin kuvitella että kynnys on pienempi tämän mobiilivarmenteen kanssa.
     
  3. Melbac

    Rekisteröitynyt:
    15.01.2001
    Viestejä:
    10 375
    Ennen lähti vain puhelin ja mukana olevat rahat,nyt lähtee puhelin,henkari ja vielä tililtäkin rahat?:).
     
  4. adder

    Rekisteröitynyt:
    21.10.2000
    Viestejä:
    3 682
    Meinaatko ettei sinulla ole lompakossa henkkareita ja pankki/luottokorttia? Riski on lähes täysin sama. Pankkitiliin pääsee käsiksi pankkikortillakin vastaavan pin-koodin syöttämällä mitä luurilla näin teoriassa.
     
  5. jjx

    Rekisteröitynyt:
    23.12.2001
    Viestejä:
    14 148
    Tämähän on käytännössä aivan sama juttu, kuin sähköinen henkilökortti (tai sirullinen maksukortti). Lisäturvallisuutta tulee siitä, että pin koodi syötetään omalla laitteella.

    Turvallisuus riippuu kyllä osin siitäkin, miten kännykät tuon ilmoituksen näyttävät. Miten siitä esimerkiksi käy ilmi mitä tapahtumaan ollaan varmentamassa. Jos miettii käyttöä sähköisenä allekirjoituksena niin sen osalta aika olennaista olisi, että samalla kun syötän allekirjoitusta, minulle näytettäisiin myös tieto siitä mitä olen allekirjoittamassa ja tämä tieto tallentuisi allekirjoituksen yhteydessä.
     
  6. Melbac

    Rekisteröitynyt:
    15.01.2001
    Viestejä:
    10 375
    Tossa on se että kun näytät sitä henkaria niin siinä on se kuva,kännykässä ei ole.Voit tehdä tollaisella paljon enemmän hallaa tyypille kuin että se vie sun henkarisi ja pankkikorttisi.Tolla pitäisi saada vielä tilin helpommin tyhjäksi jos siellä on vähän enemmän rahaa koska voi esim muuttaa sen max määrän mitä sieltä saa ulos vuorokaudessa tai yksinkertaisesti siirtää rahat tililtä toiselle ja nostaa siltä yms.Eikös tollaisella pysty myös hakemaan pikavippiä tms(taitaa tosin onnistua nytkin pelkällä puhelimella?).
     
  7. jjx

    Rekisteröitynyt:
    23.12.2001
    Viestejä:
    14 148
    Mutta tässä onkin lisäturvana pin-koodi. Eli toisin sanoen vaikka saat kännyn haltuusi niin et vielä pysty allekirjoituksia tekemään. Tietenkin jos samalla menee lompakko ja siellä sitten on lunttilappu niin..
     
  8. gues

    Rekisteröitynyt:
    19.12.1999
    Viestejä:
    2 534
    Miten on tässä taitaa maksaa jokainen varmenne tapahtuma käyttäjälle puhelinlaskunyhteydessä joten se ainakin on merkittävä ero pankkivarmenteisiin josta ei tule maksua vaikka niitä käyteään muussakin kuin pankkipalvelussa.
     
  9. adder

    Rekisteröitynyt:
    21.10.2000
    Viestejä:
    3 682
    Henkkarin kuvasta henkilöllisyyden päätteleminen ei sekään ole kovin pomminvarma. Uskosin että tuo pin koodin tietäminen on merkittävästi varmempi tapa henkilöllisyyden tunnistamiseen.
    Mitä tulee tilin tyhjentämiseen, niin riski on täysin sama mitä pankkikortillakin. Pankit varmaan haluavat säilyttää oman tunnistuskäytäntönsä tiliin käsiksi pääsemiseen, koska se on huomattavasti luotettavampi tapa.
    Eli tuolla kännykällä voisi vain korvata henkkarit ja pankki/luottokortit käsittääkseni.
     
  10. Melbac

    Rekisteröitynyt:
    15.01.2001
    Viestejä:
    10 375
    Kuinkas usein hävitä kännykkäsi ja kuinkas usein pankkikorttisi tai lompakkosi?.Itse en tota ainakaan aio ottaa käyttöön joten eipä sen puutteet itseäni häiritse yhtään.
     
  11. jjx

    Rekisteröitynyt:
    23.12.2001
    Viestejä:
    14 148
    Pankkien tapauksessa laskun kuittaa palveluntuottaja. Kustannus taitaa olla jokunen kymppi kuukaudessa ja lisäksi parikymmentä senttiä per tunnistus.
     
  12. adder

    Rekisteröitynyt:
    21.10.2000
    Viestejä:
    3 682
    Tähän mennessä vain puhelin on hävinnyt/viety kerran, joten näiden tilastojen valossa en vielä menisi sanomaan yhtään mitään. Mutta kuten jo sanottua, niin rahasi on jopa paremmin tallessa puhelimessa PIN-koodin takana mitä pankkikortilla. jolla saattaa pystyä tekemään ostoksia pelkällä nimen kirjoittamisella kuittiin.
    Kumpi tahansa maksuväline sinulta ikinä häviäisikään, ei lopputuloksen kannalta ole kovinkaan suurta merkitystä. Ilmoitus vain operaattorille/pankille/jollekkin vastaavalle ja maksuväline on käyttökelvoton.
     
  13. Sami Lehtinen

    Rekisteröitynyt:
    12.07.2012
    Viestejä:
    719
    Tutkittiin tuota mobiilivarmennetta ja siitä löytyi yksi iso ongelma. Eli mm. rootatussa puhelimessa, voin muokata sitä mitä puhelimen näytöllä näkyy. Eli vahvistan allekirjoitus / autentikointipyynön, joka ei ole se, mitä luulen vahvistavani. Eli se siitä täydellisestä turvallisuudesta. Muuten jos tuo riski unohdetaan, niin vaikuttaa kyllä varsin kätevältä järjestelmältä, mutta ei suinkaan aukottomalta.

    Periaatteessa pieni riski, mutta kuten tiedetään, maailma on täynnä malwarea. Pankkitroijalaiset on myös osoitus siitä, että muka 'mahdoton riski' toteutui. SSL ei auta, eikä myöskään vaihtuvat salasanat, koska käyttäjä ei tiedä mitä todella kulissien takana tapahtuu.
     
  14. Sami Lehtinen

    Rekisteröitynyt:
    12.07.2012
    Viestejä:
    719
    Käytettyäni tuota ratkaisua aika pitkään, pidän sitä aika hyvänä. En tosin ole vielä kertaakaan käyttänyt ns. allekirjoitusmoodia. Testaankin saman tien.
    Jep, eli näyttää myös kännykässä sen mitä ollaan allekirjoittamassa. Aika hyvä. Eli kuka pyytää allekirjoitusta ja mitä ollaan allekirjoittamassa.Vaatii melkoisen haskeroinnin, että tuon pääsee kiertämään. Ei käytännössä kovinkaan todennäköinen hyökkäysvektori.
     
  15. confusious

    Rekisteröitynyt:
    24.03.2019
    Viestejä:
    7
    Millä lailla tämä on tietoturvallinen pitää autentikointia internetiin yhdistetyssä laitteessa? Ei vaadi kuin trojan/keylogger puhelimeen joka tekee lopulta mitä haluaa? Ainakin vanhat Androidit vuotaa kuin seula, tosin uusimmat ovat tietoturvaltaan huippuluokkaa.

    Korvaako Mobiilivarmenne/operaattorit mahdolliset vahingot jos joutuu hyökkäyksen kohteeksi? Tämä protokolla voisi ehkä toimia jos puhelimissa olisi fyysinen nappi jota painamalla joutuisit konfirmoimaan autentikoinnin eikä tämä olisi tehtävissä mitenkään ohjelmallisesti.

    Missä on tieteellinen review artikkeli mobiilivarmenteesta? (mobile id.) Mobiilivarmenne sivuilla on säälittävän vähän infoa josta pystyisi päättelemään onko tämä oikeasti turvallista.

    Unohtaisin operaattoreina tälläiset ja käyttäisin itse ainakin Yubikey U2F protokollaan perustuvaa autentikointia missä autentikointiin käytettävä privake key pidetään offline secure chipissä. Kunnes näitä nähdään puhelimissa niin sanoisin että ainut todella tietoturvallinen on Yubikey ym. vastaavat turva-avaimet.
     
  16. ampula

    Rekisteröitynyt:
    04.11.2015
    Viestejä:
    2 080
    Jos haluaa hyökätä ja hyväksikäyttää mobiilivermennetta niin ei vaadi kuin, vaan vaatii esim mm.

    Käyttäjän pitää "henkkareista" pitää huolta ja jos ahkerassa käytössä ja on erityisen tärkeää pitää korkeasti luotettuna niin yksi vaihtoehto on mm vähän jakaa asioita mitä tekee milläkin puhelimella.

    Ja joka tapauksessa iso tekiä on se että jos ei varmenna sillä laitteella millä käyttää palveluita, niin nostaa haastetta väärinkäyttää.
    En ole kuullut että henkkareiden tai varmenteiden myöntäjät olisi korvaillut jos henkkarit varastettu ja väärin käytetty, saati jos niitä olisi väärennelty. Tai jokin käyttäjän laite olis kaapattu.



    Tai sitten vain pitää sen varmenneSIMin fyysisesti eri paikassa, tai käyttää Henkilökorttia (jossa varmenne) . Jälkimmäinen on monipuolisempi, mutta ei auta jos jokin palvelu mitä mobiilivarmenteella käyttää ei onnistu henkilökortilla.
     
    Viimeksi muokattu: 28.05.2019
  17. Sami Lehtinen

    Rekisteröitynyt:
    12.07.2012
    Viestejä:
    719
    Turvallinen varmantaminen on kyllä hyvä aihe. Valitettavasti siihenkään ei ole yhtään "loistavaa" ratkaisua. Kysymys lähtee tietysti siitä, mikä on tekninen turvallisuus, mihin tahoihin luotetaan, millaista luotettavuuden tasoa tarvitaan, millaisia uhkia vastaan suojaudutaan jne.

    mm. SSH:n ja varsinkin HTTPS:n jne kanssa tulee aina samat asiat esille. Sinänsä on mielenkiintoista nähdä miten erilaisia näkemyksiä ihmisillä on turvallisuudesta, ne kun vaihtelevat ihan laidasta laitaan.

    Mikä on riittävän turvallista? Ja jos ja kun väärinkäytöksiä sattuu, niin kenen vastuulla se on. - Henkkoht olen tutustunut tuohon mobiilivarmenteeseen huolellisesti ja itse varmenne on kyllä käsittääkseni varsin hyvässä suojassa. Mutta sen varmenteen käytönvalvonnasta en ole lainkaan niin varma (sim toolkit). Lisäksi HSM moduleista on varastettu avaimia, nekään eivät ole bullet proof, sekä lisäksi HSM modulit voivat luoda heikkoja avaimia, koska niiden entropia on usein puutteellista.

    Pitää myös muistaa että Mobiilivarmenne kuten useimmat muutkin varmenteet, on pitkän järjestelmäketjun lopputulos. Oikeasti pätevän hyökkääjän ei tarvitse koskaan päästä varmenteeseen käsiksi, eikä päätelaitteeseen. Koska ne pystyvät tekeytymään jo keneksi tahansa itse varmennusjärjestelmässä.

    Viimeisenä lenkkinä on se, että palvelut jotka käyttävät varmennuspalvelua, voivat olla väärin implementoituja, jolloin niihin pystytään kirjautumaan vääränä käyttäjänä sisälle, vaikka varmennejärjestelmää ei korkattaisi. Tämäkin mahdollisuus lienee varsinkin korkea, valitettavasti.

    Noin yleisellä tasolla mobiilivarmenteen pitäisi kuitenkin olla varsin turvallinen tapa autentikoitua, noin tavanomaisessa mielessä.

    Aina kun miettii uusien tapojen heikkouksia, kannattaa myös miettiä vanhojen tapojen heikkouksia. Onko mobiilivarmenne huomattavasti heikompi tapa autentikoitua, kuin vahnha pahvinen ajokortti jossa vaikka 30 vuotta vanha valokuva? (Tai kokonaan vastaava väärennetty dokumentti).
     
  18. Sami Lehtinen

    Rekisteröitynyt:
    12.07.2012
    Viestejä:
    719
    Jos vielä palataan tuohon U2F:n, olen siitäkin monta kertaa kirjoittanut, että mielestäni se on huono protokolla ja epäluotettava. Siinä luotetaan aina kolmanteen osapuoleen, eikä käyttäjä tiedä, mitä hän varmentaa. -> Ei siis tarjoa kunnollista turvallisuutta ja on haavoittuva harhaanjohtamisen kautta.

    En näe teknisesti mitään syytä miksi U2F olisi yhtään sen parempi kuin mobiilivarmenne. Molemmissa on about samat puutteet.
     

Jaa tämä sivu

Alibi
Anna
Deko
Dome
Erä
Hymy
Kaksplus
Kippari
Kotilääkäri
Kotiliesi
Koululainen
Ruoka.fi
Parnasso
Seura
Suomen Kuvalehti
TM Rakennusmaailma
Tekniikan Maailma
Vauhdin Maailma
Golfpiste
Vene
Nettiauto
Ampparit
Plaza
Muropaketti