Tunnuslukukorttien korvaaminen

[AimoE]

Kyllä tyhmien puhelimien käyttäjiä on niin paljon, ettei tunnuskortteja voida vielä korvata pitkään aikaan. Muutenkin puhelinten tietoturva on jatkuvasti otsikoissa, enkä kyllä mihinkään Androidin pankkisoftaan luottaisi pätkän vertaa.

Ei se ole tyhmistä käyttäjistä kiinni, vaan eduskunnan päätttämä juttu että pahvikorteista luovutaan. Tässä vaiheessa ei vielä tiedetä mitä ratkaisuja markkinoille ilmaantuu Nordea sovelluksen lisäksi ja mitkä niistä jää lopulta käyttöön, koska ratkaisuijen tarjoamisen ja kilpailutuksen on tarkoitus tapahtua tämän vuoden aikana. Mutta se on kyllä varmaa että pahvikortit häipyy ihan pian.

Syistä olen jo vinkannut toisessa ketjussa.

Muokkaus: Keskustelu jaettu toisesta ketjusta: Unity8:n kehitys loppuu - Ubuntu 18.04 LTS tulee GNOME työpöydällä

[Tex]

Kyllä tyhmien puhelimien käyttäjiä on niin paljon, ettei tunnuskortteja voida vielä korvata pitkään aikaan. Muutenkin puhelinten tietoturva on jatkuvasti otsikoissa, enkä kyllä mihinkään Androidin pankkisoftaan luottaisi pätkän vertaa.

Nordea tuo puhelinsovelluksen rinnalle kortin joka generoi tunnislukuja. Käyttäjä syöttänee korttiin pin-koodin joka sitten generoi tunnusluvun. Eli paperista luopuvat joka tapauksesta.

[AimoE]

Kellä loppuu ja kellä ei... Osuuspankki ei ole vielä tehnyt asiasta mitään päätöstä ja viimeisin uutinen jonka asiasta luin, niin OP pitää nuo tunnuslukukortit. Itsellä oli automaatio toiminto vaihtaa pankkia kun nordean veroparatiisi jutut paljastuivat ja viimeinen niitti oli palvelumaksujen nosto.

Kun aikataulu on se että päätökset tehdään tämän uoden aikana, niin ei mikään ihme että joku pankki ei ole vielä päättänyt mihin siirtyy. Mutta pahvikortit häviävät kyllä, jos ei tämän vuoden niin viimeistään vuoden 2018 aikana, koska lakiin on jo kirjattu että tunnistautuminen on saatava EU-kuntoon.

[matsukan]

En jäisi kaipaamaan tunnuslukuja mutta tämänkin pitäisi olla  vapaaehtoista ja vaihtoehtoja pitäisi olla kuten tyhmiä laitteita joiden kautta tunnistautumien tapahtuisi.

[AimoE]

Kellä loppuu ja kellä ei... Osuuspankki ei ole vielä tehnyt asiasta mitään päätöstä ja viimeisin uutinen jonka asiasta luin, niin OP pitää nuo tunnuslukukortit.

Se että OP ei ole tehnyt päätöstä tarkoittaa kai lähinnä sitä että OP ei itse ryhdy värkkäämään kilpailevaa systeemiä, vaan ottaa käyttöön sen joka voittaa. Ja se että OP ei ole tekemässä muutosta tarkoittaa vain sitä että eihän tässä vielä olla valmiita muutokseen kun voittajasta ei ole vielä tietoa. Tämän vuoden aikanahan se kilpailu käydään.

En jäisi kaipaamaan tunnuslukuja mutta tämänkin pitäisi olla  vapaaehtoista ja vaihtoehtoja pitäisi olla kuten tyhmiä laitteita joiden kautta tunnistautumien tapahtuisi.

Vaikka (Sähköinen tunnistaminen -postauksessani mainittu) eIDAS-asetus koskee vain julkishallintoa, se vaikuttaa ihan varmasti myös pankkitunnuksiin, koska jos ne ei kelpaa julkishallinnolle, niin ei ne lopulta kelpaa pankeillekaan, varsinkin kun samaan aikaan maksupalveludirektiivi pakottaa pankit avaamaan oman infrastruktuurinsa muiden palveluntarjoajien käyttöön.

[Tomin]

Onko jotain teknistä syytä sille, miksi Universal Second Factor (U2F) ei ole tarpeeksi turvallinen pankkien käyttöön? Ymmärrän kyllä siihen liittyvän muita syitä, kuten se ettei sitä oletuksena tueta eri alustoilla ja selaimissa, eikä sitä voi käyttää kännyköiden kanssa, mutta olen nyt jonkin aikaa itse käytellyt yhtä U2F-tikkua ja ihan sujuvasti tuo toimii. Mielestäni kätevämpi kuin Time-based One-time Password (TOTP). Tietääkseni sen kopioiminen on myös hyvin vaikeaa ja tikun toteutuksesta riippuen minkäänlaisia avaimia ei tarvitse jakaa ulkopuolelle. Rautakin on halpaa (alle kympin) eli pankki voisi ostaa noita isoissa erissä käyttäjilleen. Linuxissa tuo vaatii yhden kirjaston asentamisen (löytyy suosituimmissa jakeluissa varastoista) ja selaimen tuen (Chromium/Chrome vakiona, Firefoxiin lisäosa).

[AimoE]

Onko jotain teknistä syytä sille, miksi Universal Second Factor (U2F) ei ole tarpeeksi turvallinen pankkien käyttöön?

Nopealla vilkaisulla tuo näyttäisi olevan ratkaisu enemmän tai vähemmän anonyymien käyttäjien tunnistukseen. Pankit haluavat tunnistaa asiakkaansa ilman mahdollisuutta anonyymiuteen. Eikä pankeilla ole tässä vaiheessa mitään motivaatiota ottaa käyttöön tunnistusta joka ei kelpaa julkishallinnolle.

[Tomin]

Onko jotain teknistä syytä sille, miksi Universal Second Factor (U2F) ei ole tarpeeksi turvallinen pankkien käyttöön?

Nopealla vilkaisulla tuo näyttäisi olevan ratkaisu enemmän tai vähemmän anonyymien käyttäjien tunnistukseen. Pankit haluavat tunnistaa asiakkaansa ilman mahdollisuutta anonyymiuteen. Eikä pankeilla ole tässä vaiheessa mitään motivaatiota ottaa käyttöön tunnistusta joka ei kelpaa julkishallinnolle.

Niin, tuo varmastikin vaatisi jonkin laajennuksen, jolla pystyttäisiin varmentamaan tietty laite ja siten käyttäjä. Tässä tosiaan on haluttu välttää palvelun mahdollisuutta seurata käyttäjiä. Hyvä pointti.

[Postimies]

Pankkitunnuksilla voi tunnistautua monilla sivustoilla. Aikanaan kehitettiin sähköistä henkilökorttia. Tuli kalliiksi ja sitä ei otettu käyttöön. Osin siksi koska kun pankkitunnukset riittivät. Jos vain yksi tunnistautumismenetelmä ja se kaatuu/kaadetaan niin sen vaikutukset voivat olla yllättävät. Ei voi edellyttää, että kaikilla olisi älykänny ja siinä joku sovellus. Kaikki ei tykkää niistä. Itse leikkaan ja liimaan pankin käyttäjätunnuksen ja salasanan. Jos muutaman laskun maksaa kuussa (muut menee automaattisesti) ei pahvikortin käyttö kovin hankalaa ole. Minusta hyvä systeemi ja sitä vaikea korvata koneella.

Auton avaimessa on joku vaihtuvakoodinen siru. Jos sen kopioi auton saa kerran käyntiin ja sen jälkeen se ei toimi. Joku vastaava olisi kätevä. Avain joka olisi paritettu tiettyyn laitteeseen. Mielellään ei tarvitsisi paristoja. Autohuolto pyytää avaimesta yli 100 eur. Sen ohjelmoinnista yli 100 eur ja auton ja avaimen parittamisesta 50 eur. Moinen hintataso pistää miettimään saisko sen avaimen jotenkin halvemmalla.  Jonkin tason rosvousta tuokin. Henkilökortin kehittämiseen käytettiin 20 miljoonaa. Wikin mukaan käyttö niin vähäistä, että tunnistautumisen hinnaksi on tullut noin 4000 eur kerta. Tuollekin rahalle olisi voinut olla järkevämpää käyttöä.
 

[ubu1604]

Pankkitunnuksilla voi tunnistautua monilla sivustoilla. Aikanaan kehitettiin sähköistä henkilökorttia. Tuli kalliiksi ja sitä ei otettu käyttöön. Osin siksi koska kun pankkitunnukset riittivät.

Kyllä tuo on edelleen käytössä ja toimii kaikilla käyttöjärjestelmillä. Täytyy vain olla henkilökortti ja lukija. https://eevertti.vrk.fi/kortinlukijaohjelmisto-ja-varmenteen-testaus

[AimoE]

Kyllä tuo on edelleen käytössä ja toimii kaikilla käyttöjärjestelmillä. Täytyy vain olla henkilökortti ja lukija. https://eevertti.vrk.fi/kortinlukijaohjelmisto-ja-varmenteen-testaus

Mainitsin jo toisessa ketjussa että vuoden 2017 alusta uusissa henkilökorteissa (ja sote-korteissa ja oranisaatioorteissa) on NFC-ominaisuus, mikä tekee mahdolliseksi käyttää kortteja kännykkäsovelluksella jos puhelimessa on NFC-siru. Vasta äskettäin huomasin että siihen tarvittava Android-sovellus toimii ilman NFC:täkin. Sovelluksen sivulla mainitaan kaksi yhteensopivan kotinlukijan valmistajaa; ACS:n laite toimii Bluetooth- ja SCM/Identiven USB-liitännällä. Käytän jo ennestään tietokoneen kanssa SCM/Identiven vanhempaa älykortinlukijaa, ja kun kokeilin sitä kännykän kanssa, se olisi varmaan toiminut muuten mutta siitä puuttuu sovelluksen vaatima varmenne. Yhteensopivaa älykortinlukijaa ei nyt kannata hankkia vain siksi että henkilökortti ei ole ihan vielä vanhentunut, joten tätyy vielä odottaa että pääsisin kokeilemaan kännysovellusta.

Sote- ja organisaatiokorttien käyttö laajenee koko ajan, ja NFC:stä varmasti tulee tärkeä niiden käyttäjille. Harmi että henkilökortin käyttöä tuetaan niin huonosti. Mieluummin käyttäisin sitä kuin pankkitunnuksia. Tietokoneella käytänkin aina kun voin, mikä tarkoittaa lähinnä Kanta.fi yms. julkisia palveluita, eikä niissäkään kaikissa ole tukea.

[Postimies]

Pankkitunnuksilla voi tunnistautua monilla sivustoilla. Aikanaan kehitettiin sähköistä henkilökorttia. Tuli kalliiksi ja sitä ei otettu käyttöön. Osin siksi koska kun pankkitunnukset riittivät.

Kyllä tuo on edelleen käytössä ja toimii kaikilla käyttöjärjestelmillä. Täytyy vain olla henkilökortti ja lukija. https://eevertti.vrk.fi/kortinlukijaohjelmisto-ja-varmenteen-testaus

Hieman väärä sanavalinta. Olen itsekin asentanut kortinlukijan ja ohjelmiston yhdelle kaverille. Käyttö kuitenkin hyvin vähäistä. Linuxille näköjään vain deb paketit.

[Tomin]

Onko jotain teknistä syytä sille, miksi Universal Second Factor (U2F) ei ole tarpeeksi turvallinen pankkien käyttöön?

Nopealla vilkaisulla tuo näyttäisi olevan ratkaisu enemmän tai vähemmän anonyymien käyttäjien tunnistukseen. Pankit haluavat tunnistaa asiakkaansa ilman mahdollisuutta anonyymiuteen. Eikä pankeilla ole tässä vaiheessa mitään motivaatiota ottaa käyttöön tunnistusta joka ei kelpaa julkishallinnolle.

Niin, tuo varmastikin vaatisi jonkin laajennuksen, jolla pystyttäisiin varmentamaan tietty laite ja siten käyttäjä. Tässä tosiaan on haluttu välttää palvelun mahdollisuutta seurata käyttäjiä. Hyvä pointti.

Jäin miettimään. Jos pankki kytkisi tuon laitteen käyttäjän tiliin ja antaisi sen sitten käteen, niin eikö tällöin olisi hyvin tiedossa kuka sitä tiettyä avainta käyttää? Lisäksi koska nuo laitteet tulevat pankilta, niin ne voidaan räätälöidä siten, etteivät ne toimi muiden palvelujen kanssa. Muistaakseni noissa on mahdollista myös laitteelta päin tarkistaa, että palvelun lähettämä sertifikaatti on kelvollinen.

[AimoE]

Lisäksi koska nuo laitteet tulevat pankilta, niin ne voidaan räätälöidä siten, etteivät ne toimi muiden palvelujen kanssa.

Miksi ihmeessä mikään pankki haluaisi että tunnus ei kelpaa missään muualla? Kun katsoo noita ratkaisuja naapurimaissa, niin suunta on ihan eri suuntaan, eli pankit eivät halua rasittaa asiakkaita erillisillä tunnuksilla vaan päinvastoin haluavat liittyä järjestelmään jossa asiakas voi käyttää samaa tunnusta moneen tarkoitukseen.

Tärkein kuitenkin luottamusverkko, joka mahdollistaa sen että teknisiä ratkaisuja on useita, ja siihen luottamusverkkoon/verkostoon saattaa kyllä kelvata eksoottisempikin ratkaisu. Vuoden-parin sisällä nähdään mitkä ratkaisut Suomessa otetaan mukaan.

[Tomin]

Lisäksi koska nuo laitteet tulevat pankilta, niin ne voidaan räätälöidä siten, etteivät ne toimi muiden palvelujen kanssa.

Miksi ihmeessä mikään pankki haluaisi että tunnus ei kelpaa missään muualla? Kun katsoo noita ratkaisuja naapurimaissa, niin suunta on ihan eri suuntaan, eli pankit eivät halua rasittaa asiakkaita erillisillä tunnuksilla vaan päinvastoin haluavat liittyä järjestelmään jossa asiakas voi käyttää samaa tunnusta moneen tarkoitukseen.

Siis tarkoitin, että sitä laitteen avainta käytetään vain sen pankin järjestelmän kanssa ja sitten tunnistautuminen tehdään sen pankin palvelun kautta. Tavallaan tuolla laitteella korvataan vain nuo avainlistat. Toki tuo U2F itsessään on suunniteltu niin, että sitä samaa laitetta voi käyttää monien (jopa äärettömän monien) palvelujen kanssa.

[AimoE]

Hieman väärä sanavalinta. Olen itsekin asentanut kortinlukijan ja ohjelmiston yhdelle kaverille. Käyttö kuitenkin hyvin vähäistä. Linuxille näköjään vain deb paketit.

Onhan siellä myöskin .rpm-paketti: https://eevertti.vrk.fi/linux-versiot

[AimoE]

Siis tarkoitin, että sitä laitteen avainta käytetään vain sen pankin järjestelmän kanssa ja sitten tunnistautuminen tehdään sen pankin palvelun kautta. Tavallaan tuolla laitteella korvataan vain nuo avainlistat. Toki tuo U2F itsessään on suunniteltu niin, että sitä samaa laitetta voi käyttää monien (jopa äärettömän monien) palvelujen kanssa.

Ahaa, okei. No joka tapauksessa pankkien intressissä ei ole investoida erikoisuuksiin, vaan mieluummin otetaan käyttöön turvallinen, käyttökelpoinen ratkaisu. Oma veikkaukseni on se että Suomen eIDAS-luottamusverkkoon tulee vain yksi pankkitunnusratkaisu, jota kaikki pankit tarjoavat, ja sen rinnalle tulee toinen ratkaisu joka ei ole pankkeihin sidottu. Kolmatta en osaa kuvitella mikä se olisi. Jaa, ehkä sentään. Jos toinen ratkaisu on täysin suomalainen, niin kolmas voisi olla joku kansainvälisessä käytössä oleva. Vaikka siis eIDAS-luottamusverkko takaa sen että tunnuksia voi käyttää EU:n alueella, niin tekninen ratkaisu voi silti olla enemmän ja toisella tavalla rajoja ylittävä kuin pohjoismainen pankkitunnus.