OmaElisaan 2FA / Fido2 / Passkey monipuolisesti käyttöön

Pankkitunnuksia käytetään yleisesti myös virallisten sivujen kautta tunnistautumiseen, eikä kaikilla ole maksullista mobiilivarmennetta! Pankkitunnukset on ihan turvalliset kun käyttää järkeään eikä kirjaudu feikkisivujen kautta ja klikkaile kaikenlaisia huijauslinkkejä sähköpostissa ja puhelimessa.

Minä kannatan pankkitunnuksia ensisijaiseksi kirjautumiskeinoksi. Siis sikäli jos Elisa-tunnuksista luovutaan.

Elisa saa jokatapauksessa asiakkailtaan niin paljon rahaa että tuollainen tunnistautuminen pankkitunnuksin ei varmasti vie Elisaa konkurssiin! Sitäpaitsi pankkitunnukset löytyy lähes kaikilta suomalaisilta, siis painotan sanaa lähes kaikilta, joten eiköhän niillä mennä eteenpäin.

Lisätäänpä tähän vielä kerran se tosiasia , että se pankkitunnuksilla kirjautuminen on jo Elisalla käytössä eikä vaadi mitään uusia investointeja.

Olen kanssasi  henkilökohtaisesti täsmälleen samaa mieltä. Pankkitunnukset ykkösenä.

Tietuturvallisuus lähtee isosti käyttäjistä, luetaanko ja ymmärretäänkö, mistä ollaan klikkaamassa ja päätymässä mahdollisesti jollekin feikkisivustolle.

Ehkä minulta on jäänyt jotain huomaamatta, kun nämä "tunnusasiat" eivät omaan toimenkuvaani liity, mutta onko jossain kerrottu, että Elisa-tunnuksesta oltaisiin luopumassa ?

En ole nähnyt Elisan sivuilla Elisa-tunnuksen poistamisesta vielä yhtään mitään Elisan taholta. T-alkuinen kilpailija teki sen , että heidän itsepalveluun ei enää pääse kuin pankkitunnuksilla , mobiilivarmenteella ja sirillisella henkilökortilla.

Arvelen , että tämä kilpailijan tekemä muutos on käynnistänyt keskustelun , että mitä Elisa tekee tulevaisuudessa.

Itse asiassa ei pidä paikkaansa: Fido2 tunnuksia ei voi kaapata, koska Fido2 suostuu juttelemaan vain kryptatun linkin ylitse ja vain alkuperäiselle sivustolle. Tässä mielessä esim. Yubikey on jopa pankkitunnuksia paljon turvallisempi vaihtoehto.

Pankkitunnusten ensisijainen tarkoitus on autentikoida henkilötunnus palveluun, eli mahdollistaa luonnollisen henkilön tunnistaminen nettipalveluun. Ei siis asiakkaan tai asiakastilin tunnistaminen, vaan sen, että langan päässä on sen hetun omaava henkilö, joka siellä väittää olevansa. Tämä on eri asia ja tarkoitusperä, kuin palveluun tunnistautuminen.

Pankkitunnusten käyttöä ylipäätään olisi syytä edellä mainitusta syystä pitää minimissään, koska jokainen kerta niillä tunnistautumista on potentiaalinen kalastelu/kaappaus/hakkerointihyökkäys ja kuluttajaparka ei niiltä osaa suojautua. Kuluttajalle kun saisi ensin pääkoppaan edes sen, että niitä tunnuksia ei syötetä mihinkään muulle sivustolle eikä mihinkään muuhun tarkoitukseen, kuin nettipankkiin tai viranomaisen sivulle, niin sitten voisi alkaa miettimään, voisiko niitä käyttää muuhunkin. Nyt niiden käyttö Elisaan tunnistautumiseen aiheuttaa vain lisää sekaannusta esim. vanhuksille ja muille, kun oppivat mokomat, että “Niitä voi laittaa minne vaan”.

KISS.

Kun palveluita tilaa ja asiakkuuden luo, silloin pankkitunnuksia tarvitaan ja pitää tarvita. Sen jälkeen niitä nimenomaisesti ei pitäisi koskaan joutua käyttämään sekaannuksen ja hakkeroinnin vuoksi.

Ei kai sillä ole mitään väliä, mikä on listassa ensimmäisenä, jos on useampi vaihtoehto tarjolla. Tällä hetkellä OmaElisaan pääsee pankkitunnuksilla ja mobiilivarmenteella. Henkilökortti-vaihtoehto vielä puuttuu.

Tunnusten turvallisuuteen vaikuttaa kaikkein eniten käyttäjä itse. Sen vuoksi itse en koskaan laittaisi samoja tunnuksia esim. keskustelupalstalle ja raha-asioiden hoitoon. Siis tunnistan ja tunnustan omasta käytöksestäni, että erilaisiin tunnuksiin suhtautuu ihan eri tavoin. Jos jonkun keskustelupalstan tunnukset joutuisivat vääriin käsiin, siinä ei menettäisi muuta kuin vanhan nimimerkkinsä. OmaElisaan pääsy on aika eri tason asia.

Kannatetaan mobiilivarmenne- ja sirukorttikirjautumista.

Entäs kun niitä kumpaakaan ei ole?

Mitään tunnuksiin perustavaa systeemiä ei saa 100% turvalliseksi. On vain ajan kysymys , kun ne tunnukset korkataan.

Ihan sama on tarkoitus on Elisan palveluihinkin kirjautumisessa. Vain liittymän omistajalla on oikeus tilata liittymiä , ei kenelläkään muulla ole oikeutta tehdä sopimuksia asiakkuuden omistajan nimissä. Kun avaat Elisa-tilin , niin joudut rekisteröitymään pankkitunnuksilla ja silloin se HeTu-siirtyy automaattisesti yksilöintitietona Elisalle.

Kun pankkitunnuksilla kirjaudutaan johonkin muuhun kuin kyseisen pankin omaan palveluun , niin niitä tunnuksia ei syotetä siihen kohdepalveluun minne halutaan , vaan pankin tunnistuksenvälityspalveluun , joka autentikoi henkilön ja lahettää kohdepalveluun kryptatun tiedon , että kuka on kyseessä. Se on vain ns. salakirjoitettu “sormenjälki” henkilöstä.

Ainakin minulla liikenne pankkini palveluihin on täysin salattua , mukaan lukien nuo mainitut tunnistautumisen välitykset, Minulla koko pankkiyhteys toimii erillisessä “santalaatikossa” , joka blokkaa kaikki kolmannen osapuolen yhteydet ja ns. man in the middle hyökkäykset.

En kyllä usko , että jokin Fido2 olisi yhtään sen turvallisempi

Hupsista. Katkesi tuo edellisen viestin tarina vähän kesken ja editoidahaan näitä Ideapajan viestejä ei edelleekään voi.

No täydennetään edellistä vielä sillä , että kun kyseessä on pankkitunnistus johonkin muualle kuin pankkiin , niin se pankin tunnistuksenvälitys , joka autentikoinnin hoitaa ei lähetä sinne kohdepalveluun niitä pankkitunnuksia laisinkaan , vaan kertoo vain salattuna kenestä on kyse.

En kyllä tykkää yhtään tunnistautua pankkitunnuksilla palveluihin tai sitten pitäisi olla tunnukset erillisestä pankista, jossa ei ole oikeasti rahaa/arvopapereita ollenkaan.

Tässä yksi sähkönmyyntiyhtiökin otti käyttöön vain pankkitunnuksilla omille sivuille tunnistautumisen. Ei kuulemma enää muut ole sallittuja, kertoivat asiakaspalvelusta. Perustelut oli, että koska siellä voi tehdä muutoksia sopimukseen, niin tarvii vahvan tunnistautumisen joka ikinen kerta, kun menee katsomaan sähkönkulutusta. vaihdoin yhtiötä.

Lisäksi tästä nykyisestä viidakosta ei ota mitään selvää, mihin on oikeasti kirjautumassa. Jos menee erään vakuutusyhtiön palveluun (Nordean tunnuksilla,) se kysyy “Haluatko kirjautua OP Tunnistuksen välityspalvelulla”. Eikä kerro edes mihin.

Toinen vakuutusyhtiö kyselee pankkitunnuksilla kirjauduttaessa “Haluatko kirjautua Signicatin Tunnistuksen välityspalveluun” Piti mennä googleen tässävaiheessa, kun nimeämisissä ei ole mitään järkeä.

Jos tästä on tulossa uusi normaali jokapaikkaan, niin ei kohta uskalla mihinkään kirjautua.

Tuo on se peruste juurikin , kun kukaan ei voi laillisesti tehdä juridisesti sitovia sopimuksia toisen puolesta ilman valtakirjaa.

Ehkä tuollaisissa tapauksissa palveluntarjoajan kannattaisi jakaa palvelut kahteen kategoriaan ja vain siinä tiukemmassa vaadittaisiin se vahva tunnistus ja lievemmällä pääsisi katselemaan joitakintietoja , mutta ei muuttamaan mitään.

No veikkaan kyllä , että tässä geopoliittisessa tilanteessa vahva tunnistautuminen tulee pakolliseksi yhä useampaan paikkaan. Sitä vaativat jo viranomaisetkin kuten Kyberturvallisuuskeskus.

Seliseli. Et taida tietää, miten Fido2 toimii, suosittelen perehtymään. Ihan näin anekdoottina voin todeta, että pankkitunnuksia kalastellaan onnistuneesti Suomessakin joka hiton päivä kasapäin, sen sijaan esim. Google teki aikoinaan testin työntekijöillään ja havaitsi, että pelkästään U2F tiputti työntekijöiden tilien hakkeroinnim/phishingin tasan nollaan. Fido2 on sitten tästä vielä kehittyneempi versio, pelkällä verkkohyökkäyksellä ja huijauksilla sitä ei ole mahdollista ohittaa mitenkään, toisin kuin pankkitunnukset.

https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/

Väärin, Elisan tilien PERUSTAMISESSA on tuo tarkoitus, ei sen jälkeen sinne kirjautumisessa. Esimerkiksi pariskunta voi hyvin jakaa tunnarit, jotta molemmat pääsevät katsomaan laskuja ja vaikka päivittämään omaa liittymäänsä jne. Keinoja on monia. Hetu-tunnistus on tarkoitettu vain siihen, että oikea henkilö perustaa ko. tilin Elisaan, ei muuhun.

Siinäpäs se, kun hakkeri voi erehdyttää syöttämään ne muuhun palveluun kuin pankin sivulle! Ja näinhän hakkerit toimivatkin ja hyvin onnistuneesti!

Fido2 tämä EI ONNISTU, koska Fido2 ei lähde kuin tasan tarkkaan sinne palvelimelle, minne se Fido2 on rekisteröity...ja kun on rekisteröity Google.com niin ei se mene googIe.com sivulle eikä g00gle.com sivulle vaikka mitä hakkeri koettaisi tehdä...ja jos hakkeri koettaa rekisteröittää Fido2 sinne g00gle.com palveluun niin siinähän rekisteröi, ei hän siitä mitään hyödy kun hänen pitäisi saada napattua nimenomaan google.com menevät tiedot. Ja se ei onnistu Fido2:ssa mitenkään. Perehdyppä asiaan.
 

Kyse ei ole uskonasia, vaan fakta. Perehdy, miten Fido2 toimii niin et selitä mitään noin typerää täällä.

Tuo nyt on ihan triviaalijuttu. En minä minkä tahansa linkin kautta pankkiin kirjaudu. Ei ole mitenkään vaikeaa tallentaa sitä oikeaa pankin sivua kirjanmerkiksi selaimeen ja käyttää aina sitä.

Et tainnut lukea mitä edellä kirjoitin. No kerrataan. Minulla se pankkiyhteys toimii sellaisessa “santalaatikossa” , josta ei pääse yhtään mihinkään muualle kuin sinne oikeaan pankkipalveluun. Siis siinä suhteessa se toimii ihan samalla tavalla kuin Fido2.

Tunnituksen tekee pankin palvelu ja lähettää salakirjoitettuna kohdepalvelluun “sormenjäljen” ilman mitään tunnuksia. Noinhan se Fido2:kin toimii.

Joo kun luet aikaisempia viestejäni , niin siellä jo sanoin , että Elisa-tunnuksista pitäisi luopua. Ei julkinen sähköpostiosoite ja salasana ole enää riittävä. Pitäisi vaatia vahvaa tunnistautumista joka kerta kuten Telia ja monet muutkin tahot tekevät. Nuo Fidot voivat olla vaihtoehtona , mutta pääsääntöisesti tulisi käyttää viranomaisten valvonnassa olevia järjestelmiä.

Minusta on hivenen outo väite , että koko Suomen yrityselämä , viranomaiset ja valtaosa yksityisistä olisi täysin turvattoman palvelun varassa , kun tunnistautuvat pankkitunnuksin.

Tuo tarkoittaisi, että pariskunta voisi perustaa myös liittymän toisen nimiin. Ei käy ilman valtakirjaa.

Se on sitten toinen juttu, jos henkilökohtaisia tunnuksia väärinkäytetään tuohon tarkoitukseen. Se onnistuu tosin myös pankkitunnuksilla.

@mammulim ja ehkä muutkin

pankkitunnistus on tosiaan sellaisia varten jossa tarvitaan hetu, on montakin palvelua jonne en hetua antaisi, siis suomessakin. no elisalle tuo hetu on kuitenkin annettu, joten ehkäpä se omaelisaan käy. pankkitunnistus on huono idea suomen ulkopuolella oleviin palveluihin.

nyt tässä tilanteessa en tykännyt yhtään että “google” sanaa käytetään synonyymina “haku” sanalle. google:lla on jonkinlainen autentikoimis palvelu, jos elisa rupee käyttämään googlea autentikoitiin niin sitten minulla alkaa lentää suusta ….. karkeaa tekstiä 🤐🤬.

Tuosta olen samaa mieltä.

Korjatkaa , jos olen väärässä , kun olen ymmärtänyt , että tämä koko ketju koskee vain Oma Elisaan kirjautumista , ei minnekään muualle eikä etenkään ulkomaille. 😉

Voihan sitä mennä hakemaan tietoa jonnekkin pingpongiinkin, mutta ei niistä yleensä yhtä helposti löydä hyvää vastausta kuin googlesta. Menee melko foliohattutouhuksi, jos googlen hakukonettakaan ei voi käyttää.

Tuo vahva tunnistus on tosiaan ongelma jos yleistyy ei niin tärkeissä palveluissa, koska tosiaan palvelu saa mahdollisesti liikaa tietoa ihmisestä.

Kaikella on puolensa ja johan edellä ehdotin tällaista.

Muuten asiassa on se juridiikkaan liittyvä puolensa. Kun tehdään juridisesti sitovia sopimuksia , niin sopimusosapuolet tulee tunnistaa aukottomasti. Silloin kun sitä tunnistusta ei voi tehdä kasvotusten virallisilla henkilökorteilla tai vastaavilla , vaan toimitaan nettiyhteydellä , niin oikeastaan ei jää jäljelle kuin virallinen vahva sähköinen tunnistautuminen , valitettavasti.

Puhuimme yleisesti ottaen miten Elisaan kirjatuminen pitäisi hoitaa ja miten yleisesti ottaen ihmisillä pankkiin kirjautumiset hoituvat, emme sinusta. Sinulla voi olla kaikki hyvin. 99% suomalaisista ei ja suurinosa on niin pölvästejä, että menevät huijauksiin ja syöttävät tunnuksiaan (myös pankkitunnuksiaan) minne sattuu. Fido2 on onneksi parempi, sitä, eikä sen käyttäjää ei voi huijata. Siksi Elisan jutut pitäisi pistää sen taakse, kun se on turvallisempi, eikä sen jokainen käyttökerta maksa pankille X jotakin (kuten pankkitunnusten). Lisäksi Fido2 on yleisesti käytössä ihmisillä ja näin ollen ei tarvitse nähdä vaivaa uuden systeemin tai edes salasanan käyttöönkään.

Krhm.

Epäilen.

Komppaan tätä. 😉

Suomessa on pankkitunnusten käyttäjiä kuitenkin seitsemännumeroinen luku.

No yleisenä huomiona totean , että tämä on keskustelupalsta ja me keskustelijat emme päätä , mitä Elisa tekee.

Toistaiseksi elisalaisista asiaa on kommentoinut vain @sakarialanne ja hänkin totesi , että asia ei kuulu hänen vastuualueelleen , mutta henkilökohtaisesti liputti pankkitunnusten puolesta.

Katsellaan mitä tapahtuu , mutta Elisan tuntien tuskin nopeasti yhtään mitään.

Elisallehan tässä on kyse investoinnista , mikäli uutta pitää tehdä. Pankkitunnistus Elisalla jo on eikä vaadi uutta rahaa.