Lohkoketjuperusteinen authentikointijärjestelmä?

[Jere Sumell]

Onko joku tällä palstalla seurannut lohkoketjuperusteisen tunnistautumisjärjestelmän kehitystä? WWW:n alustalähtien 1996 vuodesta varmaan ollut käytössä käyttäjätunnus/salasana-yhdistelmä, mitä tulee yksivaiheiseen tunnistautumiseen, ja nykyisin ainakin isot teknologiayhtöt,  ja pankit ja muut rahoituslaitokset käyttävät turvallisuuden lisäämiseksi 2, ja jopa 3-vaiheista tunnistautumista.

Lohkoketjuteknologiaankin liittyy jotain tietoturvariskejä, mutta eikö block-chain -based online authentication system olisi melko turvallinen? Ainakin voisi olla turvallinen olo, että ketään ei brute-forcaa salasanaa, tai varasta identiteettiä kovin helposti?

[AimoE]

nykyisin ainakin isot teknologiayhtöt,  ja pankit ja muut rahoituslaitokset käyttävät turvallisuuden lisäämiseksi 2, ja jopa 3-vaiheista tunnistautumista.

Minua on tässä kiinnostanut ero pankkien ja kauppojen välillä. Pankeille on oikeasti tärkeää tunnistaa henkilöllisyys, kun taas kaupoille pääasia on se että maksu tulee perille, ja ostajan henkilöllisyys on toissijainen asia. Kaupat ottavat tiukennuksia käyttöön autentikoinnissa vasta kun sääntelyä kiristetään.

[Jere Sumell]

Tuo sääntöjen kiristys on vähän hankala case, kun viime hallituksessa oli kokoomuslainen porvari oikeusministerinä, jonka mielipide oli tiedustelulainsäädäntöön huono, että sitä piti kiirehtiä.  Itse olen punavihreä vasemmistolainen, ja tajunut tietoliikennetekniikan 1990-luvun loppupuoliskolla ylä-aste -ikäisenä heti tekniikka edellä ja lähestymistapana tapa, jolla pimeät tyypit käsittää sen.

Juttelin tiedustelulainsäädännön ollessa uutisoinnissa valta-mediassa, Turun videodivarin pitäjän kanssa, niin hän kysyi minulta, että eikö periaatteessa poliisit voi uuden tiedustelulainsäädännön varjolla periaatteessa lukea kenen tahansa sähköposteja, ja sanoin, että niinhän se on, että kyllä voivat, ja se heikentää tavallisen kansalaisen perusoikeuksia ja tietosuojaa, siksi en pidä uudesta porvarien ajamasta tiedustelulainsäädännösstä ilman, että sitä lakia valmisteltaisiin kunnolla.

Kaupoissa en ole törmännyt juuri henkilöllisyyden varmentamiseen pankkitunnuksien kautta muuten, kuin ostin osamaksulla television, ja olen ostin uuden kitaravahvistimen ja looper-pedaalin  F-musiikista Klarna-osamaksulla, silloinhan sotu, jolla luonnollinen henkilö voidaan yksilöidä, tarvitaan, kun kauppa tai laskutusyhtiö tarkistaa asiakkaan luottokelpoisuuden, että ei ole luottohäiriömerkintää.

Millaisissa tilanteissa olet törmännyt verkkokaupoissa henkilöllisyyden varmentamiseen? Ai niin, CDOn.com vaatii henkilöturvatunnuksen syöttämisen järjestelmään mielestäni, vaikka ei laskuun tai osamaksulla tilaisikaan, ja se on turhaa paitsi voivat sillä kontrolloida, että alaikäiset ei tilaa mitään K-18-tuotteita, esim. penskat ei osta Leisure Suit Larryn uusinta seikkailua tai jotain väkivaltaa sisältävää First-Person -Shooter -peliä.

Toisaalta CDON.com juridinen toimipaikka on Ruotsissa, ja en tiedä minkälainen lainsäädäntö Ruotsissa on, että jos harjoittaa kaupankäyntiä pohjoismaat markkina-alueena, että onko sen takia tuo sotun syöttäminen järjestelmään tarpeellista.

[AimoE]

Millaisissa tilanteissa olet törmännyt verkkokaupoissa henkilöllisyyden varmentamiseen?

Ihan sotun tarkistusta en muista missä tilanteessa se on tehty, mutta oletettavasti joskus on tarkistettu. En vaan millään nyt keksi missä tilanteessa. Reseptilääkkeitä en ole ostanut netin kautta, enkä ostanut aseita tai räjähteitä. Ajokrttiakaan ei minulla ole, joten vuokra-autoa hakiessa on ollut ajotaitoinen kaveri mukana. Tosin siinähän ei ole kyse henkilöllisyyden vaan ajo-oikeuden tarkistamisesta. Kuvitttelisin että aseiden ja räjöhteiden ostossa henkilöllisyys rekisteröidään johonkin.

Eihän asiakkaallakaan ole mitään motivaatiota joka kaupan kassalla tunnistautua. Verkkokauppa muuttaa tilanteen. Tosin tuossa linkkaamassani jutussa ei siinäkään tainnut olla kyse henkilöllisyyden tarkistuksesta, vaan pelkästään kaksivaiheisesta tunnistuksesta, jolla vähennetään mahdollisuutta siihen, että joku kaappaa yhteyden aikana ostajan tai myyjän roolin itselleen.

Käsittääkseni jos kaupassa maksan pankkikortilla ja PIN-koodilla, kauppiaan järjestelmä saa vain tiedon siitä että maksulle on katetta, eikä henkilällisyys ole siihen välttämätön. Tupakan ja alkoholin ostooon tarvitaan lisäksi ikä, mutta iänkään tarkistukseen ei tarvita koko hetua.

Sääntelyn mukana voi kuitenkin maksujen välitysjärjestelmään tulla mukaan keinoja, jolla viranomaiset voivat jäljittää kaupan osapuolia vaikka nämä eivät itse olisikaan toisiaan aukottomasti tunnistaneet.

[Jere Sumell]

Joo. Alkostakin joskus juuri täyttäneenä sen, kun sai kirkkaita ulos laillisesti, niin jouduin näyttämään tälläisenä ikuisena baby-facena ajokortin aina, ni meni läpi, kun peitin sotun loppuosan.

Jos maksan esimerkiksi paikallisessa yhden K:n K-kaupassa ostokset debit-Mastercardilla, tai pelaan tunnistautuneena Veikkauskortilla Lotto-rivin sisään, niin kassa ei näe henkilöturvatunnusta, nimen saa Veikkauskortista, jos katsoo sitä taka-osaa, mutta kassapääte ei näytä nimeä vissiinkään perunoita maksaessa.

[JaniAlander]

Joskus 2014 kun kassasysteemiä silloisen työn puolesta sai käytellä ei se muistaakseni näyttänyt muuta kuin että meneekö maksu läpi vai ei...

[Jere Sumell]

Toi kassa-maksupääte toimii siten, että kun maksaa debit-kortilla, kone on ohjelmoitu tarkistamaan ensin tilin saldon, ja jos tilillä on kassan näyttämä loppusumma, eli kate riittää perunalastuihin, niin sitten se vasta veloitetaan ja kassapääte tulostaa kuitin ostoksista. Jos tilillä ei ole tarpeeksi pätäkkää, maksu epäonnistuu. En omista luotollista luottokorttia, esim Visaa, joten varmaan siinä pystyy ruokaakin velaksi ostamaan.

[jekku]

...
En omista luotollista luottokorttia, esim Visaa, joten varmaan siinä pystyy ruokaakin velaksi ostamaan.

Mikäettei pystyisi.

Minulla on yhdistelmä, debit/kredit. Ja kerran huomasin metkan toiminnallisuuden:
Olin valinnut maksutavaksi Credit. Mutta kun pyysin kassaneitoselta ässä-arvan ja neitokainen löi sen kassaan - niin systeemi vaihtoi veloituksen Debit:ille.
Joissain kassoilla on oikein maininta ettei veikkauksen ostoja voi maksaa luottokorteilla.

Muttajoo, viinakaupassa kelpaa

Ja bensan ostan systemaattisesti luotolle, kerran jakeluyhtiön systeemi varasi ennakkosumman melkein viikoksi ennen kuin kirjasi lopullisen summan ja vapautti loput.

[LeHiX]

Credit puolella ei lähimaksu toimi, kerran tyrkytin korttia monta kertaa kunnes tajusin käyttää kortin lukijaa

[Jere Sumell]

...
En omista luotollista luottokorttia, esim Visaa, joten varmaan siinä pystyy ruokaakin velaksi ostamaan.

Mikäettei pystyisi.

Minulla on yhdistelmä, debit/kredit. Ja kerran huomasin metkan toiminnallisuuden:
Olin valinnut maksutavaksi Credit. Mutta kun pyysin kassaneitoselta ässä-arvan ja neitokainen löi sen kassaan - niin systeemi vaihtoi veloituksen Debit:ille.
Joissain kassoilla on oikein maininta ettei veikkauksen ostoja voi maksaa luottokorteilla.

Muttajoo, viinakaupassa kelpaa

Ja bensan ostan systemaattisesti luotolle, kerran jakeluyhtiön systeemi varasi ennakkosumman melkein viikoksi ennen kuin kirjasi lopullisen summan ja vapautti loput.

Joo, Veikkauksia ei voi velaksi pelata. Mulla on Veikkaus-koneen käyttökoulutus/Toto-koulutus, ja se alaikäisten valvonta-vartijan koulutus peliautomaateilla, eli kaikki,mitä Veikkaus järjestää ko hain kauppaan töihin väliaikaistöihin, niin vielä pitäis hankkia hygienapassi, ni jollei muualle pääse töihin, niin sielläkin oli tentissä muistaakseni yksi kysymys, kun asiakas maksoi osan ostoksista kioskilla creditillä, ja osti Veikkaukselta jotain, niin tosiaan Veikkaus ei salli velaksi pelaamista.

Jotkut ulkomaalaiset nettikasinot ainakin jossain vaiheessa salli velaksi pelaamisenkin, mutta valta-osa ainakin Maltalla sijaitsevissa nettikasinoissa on ehdoissa, että velaksi pelaamista ei sallita.