OmaElisa -sovelluksen suojaksi FaceID / tunnusluku

Tämä on kyllä oikein hyvä idea! 😊 Mitä mieltä muut yhteisöläiset ovat? 

Sen verran voin raottaa verhoa että tähän liittyen on itse asiassa tänä vuonna ollut kehityksessä pohdinnassa erinäisiä ratkaisuja. Mitään päätöstä tai aikataulua ei ole lyöty lukkoon, mutta aktiivisessa selvityksessä tämä on ollut. Ollaan ihan samalla sivulla siitä, että tämä toisi lisäturvaa asiakkaille ja olisi oikein hyvä ja vastuullinen ominaisuus OmaElisan tietoturvalliseen käyttöön. Selvitellään mikä olisi järkevin toteutus, vielä en uskalla siis mitään luvata, mutta tämä idea on ehdottomasti noteerattu ja samoilla linjoilla ollaan asiassa. 🙂 

Jätetään keskustelu käyntiin, niin yhteisöläiset pääsevät äänestämään kannatuksen puolesta sekä juttelemaan ideasta eri näkökulmista 😊 voimme myös viedä sitten tämän keskustelun kehitykselle niin heilläkin on enemmän faktaa miten aihe puhututtaa ja millaista kannatusta sille olisi.

iPhonen turvajuttujen kautta, eikä millään omalla purkkavirityksellä, kyllä sieltä speksit löytyy. Ne omat purkkaviritykset eivät toimi ja voivat vaarantaa tietoturvan. Ja se on tehtävä oikeasti siten, että aukaisu tapahtuu vain iPhonen turvaspeksien kautta, ei muuta kautta, eli että se EI kysy mitään omaa pin-koodia tms. vaan iPhonen FaceID tunnistusta (tai jos iPhone ei ole tyytyväinen siihen niin sitten se kysyy iPhonen turvakoodia) käyttäen.

Androidista en osaa sanoa, siellä pitää mennä kait jonkun oman koodin mukaan tms.
 

Hyvä. Toki veikkaan, että suurinosa porukasta ei edes tajua mistä puhutaan, eikä osaa kaivata moista, kun on tottunut siihen, että antaa sen pyöriä siellä vaan tai kirjautuu ulos siitä joka kerta. Tää on vähän näitä, että ei tavoita ehkä porukoita lainkaan, kun ei kukaan osaa ajatella tommosta.

Kyllä Androidissakin on kasvojentunnistus , mutta ei ihan yhtä laadukas kuin Applen laitteissa , toistaiseksi.

Ei ehkä kannata mennä tuomitsemaan ihmisten osaamista ja tekniikan tietämystä etukäteen. Voi osoittautua , että se oma ei ehkä aina olekaan sitä parhainta laatua.

Liittyy hieman tähänkin ketjuun tämä, joten laitetaan tännekin linkitys:

Sen verran pitää pumpata tätä ketjua, että miettikää ihmiset tätä asiaa ja painakaa tuota “kannata” nappia, jos ja kun olette sitä mieltä, että tämä on hyvä idea. Tää oikeasti on syytä saada käyttöön ja parantaa tietoturvaa huimasti. Mitä enemmän tämä saa näkyvyyttä ja kannatusta, sitä todennäköisemmin joku Elisasta bongaa tämän ja alkaa ottaa käyttöön. 😎

jos nyt oikein ymmärsin niin tämä on loggauksen ohitus laitteen omissa järjestelmissä, eli kirjautuminen sisään ja ulos korvaa tämän. minä en rupea laukomaan kommentteja google:sta ja apple:sta. sanon vaan suljetuille monopoli alustoille ei kiitos.

tosin, jos nää tekisi yleisillä standardeilla niin mietin uudestaan. täällä on esimerkiksi mainittu fido2, ja käytetään html5:sta.

Nyt täytyy sanoa, että en ihan ymmärrä mitä tarkoitat.

Siis pointti on juurikin, ettei tarvitsisi kirjautua ulos OmaElisa-sovelluksen tililtä turvallisuussyistä, kun sovelluksen voisi lukita pin-koodilla ja/tai FaceID:llä. Olisi nopeampaa ja käytännössä turvallisempaa, koska harvapa viitsii nykyisellään siitä ulos kirjautua joka kerta ja taas sisäänkirjautua kun on tarvetta - he jättävät sen sisäänkirjatuksi ja täten ilman mitään sovelluksen suojausmekanismia aiheuttavat tarpeetonta riskiä.

Toki, jos OmaElisa tukisi passkeytä tai Fido2 sisäänkirjautumiseen niin olisihan se todella hyvä, sitten voisi helpommin kirjautua sinne aina kun on tarvis. Vielä parempi olisi, jos tuo tehtäisiin kuten se kuuluu tehdä, eli että passkey tai Fido2 käytetään nimenomaan vain ja ainoastaan salasanan korvaamiseen JA tämän lisäksi olisi vielä 2FA:na vaikka TOTP tai tekstiviestivarmistus. Mutta tämä on sitten vähän eri asia ja eri keskustelun aihe, nyt puhutaan siitä, miten voisi turvallisesti pitää OmaElisa sovellusta sisäänkirjatuneena sinne ja nykyisellään tämä ei ole mahdollista - vaan pitäisi aina sisään- ja uloskirjautua.

Ymmärrän pointin siitä helppoudesta.

Sitävastoin tuo väittämä , että ihmiset eivät kirjaudu ulos palveluista on ihan mutua , kun ei siitä mitään tilastoa ole.

Puhelimien osalta sellainen vaara on olemassa , mutta tietokoneilla ei , koska sammuttaessa monet palvelut katkaisevat kirjautumisen ja kaiken lisäksi useimmat palvelut kirjaavat asiakkaan ulos automaattisesti , jos et hetkeen tee mitään , muun muassa pankkipalvelut.

Jatketaanpa tuota edellista viestiä vielä hiukan , kun siitä jäi pois pari huomionarvoista asiaa.

• Siis sellaiset salasanat , joita käytetään päivittäin kyllä muistaa ihan ulkomuistista , ainakin minä.
• Jos salasanaa tarvitsee johonkin , mitä käyttää kerran tai kaksi kertaa kuukaudessa eikä muista , niin sen voi tarkistaa tarvittaessa em. listasta ja jos tarve on vielä harvemmin , niin sitä suuremmalla syyllä.
• Jos jättää uloskirjautumatta harvoin käyttämistään palveluista , niin jo se itsessään on tietoturvariski , kuluttaa palvelinten ja päätelaitteiden energiaa ja resursseja. Siis ei ole millään muotoa ekologista ja minun mielestä luvallanne sanoen ihan silkkaa laiskuutta.

Miksi ihmeessä ihmiset kirjautuisivat ulos palvelusta, jos ei ole pakko? En minäkään Facebook-sovellukseeni kirjaudu joka kerta uudestaan, kun haluan Facebookkiin mennä. Senkun klikkaan sovelluksen auki ja siellä ollaan. Facebook Messenger onkin sitten FaceID takana, olisi kiva, että Facebook olisi myös.

Niin sinä. Ei keskimääräinen käyttäjä. Tästä on ihan tutkittua tietoa, googleta miten paskoja salasanoja ihmiset käyttävät palveluissaan ja syy siihen on, että eivät pysty muistamaan parempia. Paperilista, juuri kerroin miten se on huono juttu.