OmaElisaan 2FA / Fido2 / Passkey monipuolisesti käyttöön

Juu tuo olisi hyvä tehdä jako noin. En ymmärrä mitä niin tärkeää vaikka siellä Telian omilla sivuilla on, että sinne pitää vahvasti tunnistautua joka kerta kun käy. Kuitenkin jos tilaa jotain, niin pitää erikseen vahvasti tunnistautua uudelleen, joten jotain saldon katsomista varten tuntuu lähinnä kiusalta joutua tunnistautumaan pankkitunniksilla. Sama koskee tuota yhtä sähköyhtiötä, jos tilaa jotain, niin sitten vaatisi vahvan tunnistautumisen vasta, muuten pääsisi perustunnistuksella kulutuksia. ym katsomaan.

Niinpä.

Kyllähän me voidaan täällä keskustella vaikka mistä , mutta kysymys kuuluu , että miten operaattorit ja yritykset yleensäkään saadaan investoimaan uusiin järjestelmiin.

Ilmaiseksi nuo ehdottamani muutokset eivät synny.

Ihan viimeaikoina on yleistynyt tuo vain vahva tunnistautuminen ja tarkoittaa omaltakohdalta vain ja ainoastaan pankkitunnusten syöttämistä.

Ehkä tulee rinnalle jotain uutta, jos tuohon vahvaan tunnistautumiseen mennään vielä rankemmalla kädellä. Saapa nähdä.

Näinhän sen pitäisi olla, mutta valitettavasti sekopäisiin täysin pankin sopimusehtojen vastaisiin irtiottoihinkin törmää. Mm. Finnair ja Dot urkkivat asiakkaittensa verkkopankkitunnuksia, joka on ehdoton ei ei.

Huono yhtiö. Hyvä, että purit sopimuksen.

Kulutustiedot saa henkilökortilla ja mobiilivarmenteella Datahubista. Niitä ei ole pakko katsoa juuri omalta myyjältä tai siirtoyhtiöltä.

Ja kertoivat satuja. Myös henkilökortti ja mobiilivarmenne ovat vahvoja tunnistautumisia.

Ei onnistu myöskään Sqrl:llä, koska jokaiselle verkkotunnukselle johdetaan oma yksilöllinen avaimensa.

Teknisesti kirjautuminen huijarin g00gle.com-sivulle siis onnistuu, mutta se koskee ainoastaan huijarin omaa sivua. Googleen ei kirjauduttu eikä sinne voida g00gle.com kautta kirjautua Sqrl:llä.

Juuri näin tämä pitäisi toteuttaa.

Eli uudet tilaukset ja muutokset tilauksiin varmennetaan vahvalla tunnistautumisella.

Arkisiin perusasiointeihin, kuten tekstiviestin lähettämiseen ja laskun katsomiseen salasana saa luvan riittää.

Parasta valita tekniikka, jossa ei ole kuin kaksi osapuolta. Sqrl toimii suoraan omalta laitteelta palveluun, johon kirjaudutaan. Mitään kolmansien osapuolien palvelimia tässä järjestelmässä ei edes ole.

Ei löydy kaikilta. Lisäksi pankkitunnukset ovat nykyään usein alisteisia puhelimelle, joko sovelluksen tai tekstiviestivahvistuksen muodossa.

Näinpä puhelimen katoamisen jälkeen ainoa keino laittaa liittymään estot, tilata uusi sim-kortti ja aktivoida se on tällä hetkellä salasana.

Mikäli salasanojen käyttöä vähennetään, on varmistettava, että tällaisissakin tilanteissa homma pelaa.

Lisäksi palveluntarjoajille tulisi määrätä velvoite hyväksyä vähintään virallinen henkilötodistus, mikäli vahvaa tunnistautumista ryhdytään vaatimaan. Pankkitunnukset ja mobiilivarmenne voivat sitten olla vapaaehtoinen lisä, jonka monet yritykset varmaan pitävätkin käytössä, kun ne tukevat niitä jo nyt.

Toisaalta pankkitunnistautuminen on aina yhtä lähellä kuin lähin käytössä oleva puhelin, kun taas harvakseltaan käytetyn palvelun X tunnukset joutuu kaivelemaan jostain…

Itsellä on tapana katsoa laskut nettipankista, silloin kun muutenkin hoitaa siellä asioita. Liian vaivalloista mennä erikseen operaattorin sivuille katsomaan operaattorin laskuja ja sähköyhtiön sivulle katsomaan sähköyhtiön laskuja ja...

? Eikö tämän joudu tekemään joka tapauksessa, tunnistautumiskeinoista riippumatta?

Mikään taho ei liene vielä hylännyt henkilötodistuksen käyttöä, eikä se kysymys edes mitenkään liity netissä tapahtuvaan tunnistautumiseen.

…. tuohon puhelimen katoamiseen tai rikkoutumiseen olen varautunut , siillä omistan niitä useamman ja ainakin kaksi on liitetty pankin tunnistusjärjestelmään.

Siis ei sekään mikään tekemätön paikka ole. 😉

Kulutustiedot saa henkilökortilla ja mobiilivarmenteella Datahubista. Niitä ei ole pakko katsoa juuri omalta myyjältä tai siirtoyhtiöltä.

Joudun tuonnekkin kirjautumaan joka kerta pankkitunniksilla, joten ei ole paljon tullut käytettyä. Siirtoyhiön sivuille tai appiin pääsee sentään vielä helposti. Lähinnä joskus ihmetellyt eroja aurinkopaneelien netotuksessa jotka on siirtoyhtiön ja myyntiyhtiön välillä erit. Siksi molemmissa joskus ainakin käytävä.

Käsittääkseni tähän Vanhaan Multisimiin ei saa mobiilivarmennetta? Joten henkilökortin ja lukulaitteen?  hommaamista täytyy harkita, jos kohta joka paikkaan vaaditaan sitä vahvaa tunnistautumista.

foliohattutouhuksi! kun kyse on google yhtiöstä, niin alan ottamaan kunniamainintana! huvittavaa asiassa kuitenkin on että olen ns. jotunut sanomaan itsekin joillekin että onko otettu liiaksi sitä paranoidi-pulloa, ota vain puolikas. tosin eletään sellaisella ajalla, että ei saisi silmät kiiluen luottaan kaikkeen enää.

mitä tulee google hakuun, niin yksi klikki ja se on vaihdettu https://duck.com . valitettavasti vastaava ei ole niin helppoa android käyttikselle. android on käytännössä google:n kontrolloima jätös, lähinnä johtuen suljetuista osista mm. “google play services” ja muut.

apple kontrolloi laitteitaan vieläkin enemmän, joten ei ole hyvä vaihtoehto.

olen lukenut joitakin reportteja että google:n haut ovat huonontuneet, no en tiedä tarkkaan kun en käytä. mutta ilmeisesti mainokset haisee. mutta seuraavassa lähteessä sanotaan että google/alphabet co on maksanut miljardeja pitääkseen oletushaku koneen monessa alustassa. tämä ylittää reilusti elisan liikevaihdon. tässä pisteessä ei kuulosta pikkujutulta, monopoli haisee.

https://www.reuters.com/technology/google-paid-26-bln-be-default-search-engine-2021-bloomberg-news-2023-10-27/

Siihen tämä maailma on varmaan menossa. Mä joudun jo työnkin puolesta kirjautumaan välillä sinne sun tänne suomi-tunnistautumisen kautta, että siihen on jo hyvin tottunut.

Ainakin homma on triljoona kertaa helpompaa kuin entiset katso-tunnukset, jotka aiheutti painajaisia ja harmaita hiuksia jo pelkästä ajatuksesta, että niillä pitäisi tehdä jotain.

Jaa. Omassa puhelimessa Brave Browser tarjoaa 7 eri hakukonetta käytettäväksi, mutta meneehän asetuksen kaivamiseen vähän useampi valintakohta.

Ei välttämättä ole.

Koskaan kuullut salasananhallintaohjelmista?

Minusta taas verkkopankin kyttääminen on liian vaivalloista.

Mikäli salasanakirjautuminen poistetaan käytöstä ja puhelimesi hukkuu tai hajoaa, niin sitten et pääse OmaElisaan tekemään näitä itsepalveluna. Siinä on pieni ero, laitatko estot päälle itse, vai lähdetkö Prismaan jonottamaan aamukymmeneltä.

Etsi kuvasta mikä puuttuu:

Sinulla on siis Nordean tili. No hyvä sinulle.

Monella muulla pankilla ei saa kuin yhden varmistusnumeron ja yhden sovelluksen kerrallaan. Eli mahdollisuus on enintään kahteen laitteeseen, jos jakaa varmistuspuhelinnumeron ja sovelluksen eri laitteisiin.

Eipä sitä tarvitse kytätä, mutta verkkopankissa tulee käytyä ihan muista syistä vähintään pari kertaa kuukaudessa. Elisan laskuja tulee katseltua tarkemmin ehkä pari kertaa vuodessa. Maksuun ne menevät automaattisesti, jos euromäärä on normaali.

Siis tarkoititko sirullista henkilökorttia? Olisit sanonut. Siitä nyt on aika monta kertaa jo tässä ketjussa mainittu, että se olisi hyvä olla pankkitunnusten ja mobiilivarmenteen rinnalla.

No tämä on ongelma, mutta se on enemmän pankin kuin operaattorin ongelma.

Nordean käytäntö on hyvä, kun tunnuslukusovellus voi olla useassa laitteessa, jolloin yhden laitteen hajoaminen tai katoaminen ei ole katastrofi, ja tunnistautuminen työasioissa onnistuu työpuhelimella.

Mikään ei estä avaamasta pankkitilejä useampaan pankkiin. Se lisää samalla tunnistautumisvaihtoehtoja. 😀

ihan hirveä älämölö tullut tänne, on tää nyt tärkeä aihe kuitenkin, vaikka omaelisasta olikin kyse.

Kyllä. Täysi-ikäisillähän ei muunlaisia voimassaolevia henkilökortteja enää olekaan.

Kymmenisen vuotta sitten vauvoille vielä myönnettiin siruttomia kortteja, mutta nyt nekin alkavat olemaan useammin sirullisia kuin siruttomia.

No mitä sitten odotit? Tämä on avoin keskustelupalsta. 😀😉

Ei puutu kuin elisalaiset , mutta katsellaan mitä tapahtuu , kun arki taas koittaa.

Ajatelkaa tätä asiaa toisinpäin:

Jos Elisa tyrkyttää tuota mahdollisuutta ja pakottaa asiakkaat joko käyttämään aina pankkitunnus/mobiilivarmenne kirjautumista tai vähintään TOTP, mieluiten Fido2 tilin suojaamisessa, niin mitä siitä seuraa? Elisa voisi jopa tehdä niin, että ei salli tuota pankkitunnus/mobiilivarmenne-kirjautumista kuin silloin, kun tilissä tehdään jotain olennaisia muutoksia, esim. avataan liittymää tms. tai jos on aivan pakko resetoida tilin salasana (ja tästä Elisa voisi veloittaa kulut asiakkaalta, esim. 3€ kerta).

1. Pieni ketutus asiakkaille, kun he eivät pääsekään enää yhtä kätevästi tililleen kirjautumaan laskuja katsomaan ja soittoerittelyitään lukemaan.
2. Asiakkaat lukevat etenkin tuosta Fido2 jutusta, kun Elisa sitä tyrkyttää kovasti käyttöön ja opastaa ja kehuu sitä, miten hyvä ja turvallinen se on tilien suojaamiseksi...
3. Asiakkaat ottavat Fido2 käyttöön Elisassa, ehkä hankkivat jopa Yubikeyt siis “vain” tätä varten niin sanotusti, vähintään joutuvat TOTP käytön opettelemaan!
4. 🤗 Elisa voisi tulla vielä vastaan asiassa ja MYYDÄ ASIAKKAILLE YUBIKEY-AVAIMIA toimipisteistään tai netistä ja tehdä jopa voittoa tällä! 🤗
5. Ihmiset oppivat käyttämään vähintään TOTP, mutta mieluiten Fido2 Yubikeyllä kaksivaiheisen kirjautumisen muotona kirjautuakseen nettipalveluihin...siis myös Googleen, Microsoftin tilille, Instagrammiin, jne. jne.
6. Elisan asiakkaiden tietoturva hyppää ison pykälän ylöspäin, ei vain itse Elisan palveluihin kirjautumisessa vaan YLIPÄÄTÄÄN NETISSÄ KIRJAUTUMISESSA, koska ihmisillä on Yubikeyt ja he alkavat käyttää niitä muuallakin netissä.

Kas näin. Miltäs TÄMÄ kuulostaa? Joko alkaa sormet syyhytä? Ja onko Elisan porukka kuuloilla ja tajuaako, että voisitte alkaa myydä noita Yubikeytä ja tehdä sillä jopa rahaa + helpottaa ihmisten elämää ja turvata heidän nettikäyttäytymisensä?!?

Se on valitettavasti tosiasia, jatkuvasti ihmisiltä huijataan pankkitunnuksia ja varastetaan tileiltä rahaa, toisinaan jopa otetaan lainoja jne. kun saadaan ihminen huijattua luovuttamaan sen vahva tunnistautumistoken hakkerille (kun luulee kirjautuvansa sinne tai kun hakkeri puhelimessa maanittelee toimimaan näin).

Tämä vahva sähköinen tunnistautuminen ei ole nykymuodossaan valtavan turvallinen, minimissään pitäisi AINA esittää asiakkaalle HÄNEN päätelaitteessaan (mikä ei onnistu tunnuslukulaitteella!) TARKALLEEN mitä hän on hyväksymässä ja vielä muistutus, että kukaan viranomainen tai palveluntarjoaja ei pyydä puhelimitse tms. tämmöistä tekemään (tai korkeintaan jos asiakas on ITSE soittanut OIKEASTI OIKEAAN viranomaisen/pankin/palveluntarjoajan palveluun). Esimerkkinä totean, että Nordeassakin jos hyväksyy useamman laskun kerrallaan, NordeaID sovellus vain kertoo, että “Haluatko hyväksyä 3 laskua”, eikä tuossa kohtaa erittele, että niin MITÄHÄN laskuja ne ovat ja MINNE ne ollaan maksamassa jne. EI NÄIN.

Toki Fido2 ei näitä ongelmia kaikkia ratkaise, eikä sen tarvitsekaan. Ihminen voi kirjautua silti omiin palveluihinsa ja tehdä siellä tyhmyyksiä tai hyväksyä hakkerin tekemät tyhmyydet. Mutta Fido2 estää phishing-hyökkäykset käytännössä 100%:sti ja tämä on suurin etu siitä - toki muitakin etuja on valtavasti, kuten jo käsitelty.

Mutta keskustelu vahvan sähköisen tunnistautumisen sudenkuopista kuuluu jonnekin muualle kuin tänne. Kunhan vaan huomautin. :)

Hmmmm…

Tuossa on nyt muutama asiavirhe.

• NordeaID-sovelluksella ei voi hyväksyä yhtään mitään kirjautumatta pankkiin.
• Siis sinun pitää ensin kirjautua pankkiin ( ja sekin vaatii sen ID-sovelliksen tai vastaavan laitteen) ja ainakin minä luen mitä siinä laskussa on ennen kuin painan hyväkymisnappia. Sen voi tehdä laskukohtaisesti.
• Vasta sitten pankki lähettää vahvistuspyynnön ID-sovellukseen , jossa on laskun tiedot ja sen sitten voi PIN-koodilla vahvistaa tai hylätä.

Ei tuossa ole juurikaan mahdollisuutta vahingossa hyväksyä yhtään mitään , sillä sen verran monen painalluksen takana ne hyväksymiset on. Kaiken lisäksi ainakin minulle tulevissa laskuissa on yleensä eräpäivä vasta parin viikon päässä eli heti sieltä tililtä ei lähde mitään , jos et ihan itse sitä eräpäivää muuta. Siis voi aina korjata laskua tai poistaa kokonaan niin halutessaan.

PS. Olen käyttänyt sähköisiä pankkipalveluita -90-luvun puolivälistä alkaen eikä minulle ole ikinä tullut ensimmäistäkään laskua , mikä olisi ollut jokin feikki.

Ei liity asiaan, en väittänytkään, etteikö näin olisi, lue mitä kirjoitin.

Jos olet phishingin uhrina, niin tietenkin luet ne “Laskut” huolella läpi ja vaikuttavat olevan todellakin oikeita laskuja yhteishinnaltaan vaikkapa 800€. Ongelma on, että jos olet phishingin uhri, NÄET niiden laskujen olevan sähkölaskuja ja autoveroa ja hinnaltaan 800€, mutta todellisuudessa näpyttelet 780€ ja 20€ laskuja huijarille (tai hän näpyttelee ja sinä hyväksyt seuraavassa vaiheessa).
 

Niin ja jos olet phishingin uhri niin saat tässä kohtaa NordeaID sovellukseen viestin, että “hyväksytkö kaksi laskua yhteishinnaltaan 800€” ja tietenkin hyväksyt, kun juuri katsoit ne ja olivat asiallisia laskuja - MUTTA KUN OLET SEN PHISHINGIN UHRI niin tosiasiassa mitkä laskut nyt hyväksytkin ovatkin 780€ ja 20€ lasku hakkerille!

Miksi? No siksi, että useampia laskuja kerralla varmistaessa ei näe kuin laskujen määrän ja yhteissumman!!!

.
.
.

MUTTA PALATAANPA ITSE ASIAAN NYT (eli pankkitunnistautumisen turvattomuus vs. Fido2):

- Jos olet phishingin uhri, niin voit luulla olevasi kirjautumassa vaikka Kela palveluihin ja saat NordeaID sovellukseesi ilmoituksen, että “Haluatko kirjautua Telia tunnistuspalveluihin” ja toki hyväksyt sen.

- Pääsetkin nätisti Kelan palveluihin sisälle hoitamaan asioitasi.

- Harmi vain, että koska olet phishingin uhri, olet tunnistautunut kyllä oikeaan paikkaan tavallaan, tavallaan et, mutta hakkeri on uudelleenohjannut liikenteen ja istuu siinä välissä napaten tunnistautumiskeksit myös omaan käyttöönsä. Päästäen sinut kyllä “Kelan sivuille” tunnistautumisellasi (hakee itse Kelan sivujen tietosi ja syöttää ne sinulle), mutta samaan aikaan taustalla hakkeri käyttää tuota tunnistautumiskeksiä tunnistautuakseen sinuna vaikkapa pikavippipalveluihin ja muuhun. Katsos kun se tunnistautuminen jää sinne taustalle.

→ Esimerkiksi NordeaID ja koko pankkitunnistautuminen EI VAADI ERILLISTÄ UUTTA TUNNISTAUTUMISTA JOKAISEEN ERILLISEEN PALVELUUN ja KERRO AINA TARKASTI MIHIN OLLAAN TUNNISTAUTUMASSA!  Voit kokeilla tätä vaikka kirjautumalla pankkitunnareilla vaikka OmaTAYS palveluun ja kun olet siellä kirjautuneena, niin jos menet vaikkapa OmaKELA tai poliisin palveluihin, niin sinun EI TARVITSE enää uudelleen tehdä pankkitunnistautumista, pääset ns. sukkana sisään (tulee vain kysymys että olethan sinä sinä ja jos niin jatka toki eteenpäin).

→ Fido2 tämä ei onnistu. Välistävetohyökkäys ei onnistu, koska tunnistautumiskättely tapahtuu väkisin vain oikean nettisivun kanssa, koska muuta ei ole tikussa olemassakaan - ja oikea nettisivu on tietenkin https-takana ja jos joku hakkeri koettaa muuta tyrkyttää niin homma kusee heti, tunnistautuminen ei onnistu niin ei onnistu niin ei onnistu, koska LAITE ei voi tunnistautua muualle kuin tasan sinne, minne sen pitääkin.
→ Fido2 jokainen tunnistautuminen pitää tehdä erikseen ja toteutuu niin, että ruudulle pomppaa iso infoikkuna joka kertoo, mille sivulle olet nyt Fido2 käyttämässä ja hyväksytkö vaiko hylkäätkö sen tunnistautumisen. Vaikka joku voisi varastaa tunnistautumiskeksitkin (ei onnistu kun ei voi tehdä man-in-the-middle-hyökkäystä) niin ei pääsisi niille kuin tasan siihen yhteen palveluun mihin asiakas on tunnistautunut.

Disclamer sen verran, että en tiedä varmaksi, miten QR-koodilla kirjautuminen on NordeaID-sovelluksessa toteutettu, jos se olisi toteuttu oikein, eli QR-koodi lukitsisi ko. nettisivun, sinun IP-osoitteesi, yhteyden salausavaimet ja yhteyden tunnisteet QR-koodiin digitaalisesti allekirjoitettuna Nordealta ja myös Nordean päässä varmistaisivat sen sisällön ja allekirjoituksen pätevyyden - aivan kuten NordeaID-sovelluksesikin tekisi, niin silloin man-in-the-middle-hyökkäys ei voisi onnistua. Epäilen vahvasti, ettei näin monimutkaista ja turvallista systeemiä ole Nordea osannut tehdä. Joka tapauksessa Nordealla on käytössä tunnuslukulaitetunnistautuminen ja pelkkä NordeaID-tunnistautuminen, jotka OVAT alttiita man-in-the-middle-hyökkäykselle. Fido2 ei ole.

Kun otit asian puheeksi , niin minä kokeilin.

Siis kirjauduin samanaikaisesti kahteen eri palveluun , mitkä vaativat vahvan tunnistautumisen pankkitunnuksilla.

No kyllä pääsen kahteen palveluun samanaikaisesti kuten pitääkin , mutta kumpikin kirjautuminen vaati ne tunnukset ja vahvistuksen erikseen.

Siis tuo väittämä , että pankkitunnistus kysyy vain yhden kerran tunnukset ja sitten pääsee sukkana muihin ei ole ainakaan noiden käyttämieni palvelujen osalta totta. Toki kaikkia mahdollisia palveluita en ole tietenkään testannut , mutta en minä kaikkia mahdollsia edes käytä.

No me voitaisiin tästä tunnistautunmisesta jatkaa vaikka maailmantapiin asti , mutta toistan vielä sen , että käytän jo Fidon vertaista suojausta kuten olen kertonut. Sen saa muutenkin kuin vain Fidolla.

Niin kyllä se kysyy selaimessa, kun olen Kanta.fi kirjautunut ja sitten koetan kirjautua OmaTAYS, että haluatko antaa henkilötietosi OmaTAYS:lle ja pitää klikata että joo suostun. Omaoloon pääsee. Traficom pääsee. Tullaukseen pääsee. Vero.fi pääsee. Kaikkialle ainakin julkisiin palveluihin pääsee, kunhan on kerran kirjautunut selaimella ja keksit ovat selaimessa tallessa.

OmaElisaan jos koetan kirjautua pankkitunnuksilla niin siinä kohtaa vaatii uutta tunnistautumista, ilmeisesti siksi, että Elisa on tuossa tunnistautumisen hoitava taho (ja Kanta.fi ja julkisissa palveluissa Telia).

Ja kääntäen, jos olen kirjautunut OmaElisaan pankkitunnuksilla, niin en pääse ilman uutta kirjautumista Kanta.fi ja muihin julkisiin palveluihin kirjautumaan ilman uutta tunnistautumista, ilmeisesti siksi, että Telia on tuossa tunnistautumisen hoitava taho (ja OmaElisassa on Elisa).

Eli saman tunnistustahon kaikkiin palveluihin pääsee vahvalla sähköisellä tunnistautumisella kerralla sisälle, jos on yhdessäkin niissä sisällä. Tämä on tietenkin aika vakava tietoturvaongelma, mutta eihän tämmöiset asiat ketään kiinnosta korjata, vähätellään, hyssytellään ja sitten lopulta kun joku korkkaa koko systeemin tämmöisellä kikalla niin sitten ihmetellään, että “ei me voitu tietää tämmöstä”.

No kappas vaan , kun tuollaista skenaariota en ole aiemmin testannutkaan.

Pääsi tosiaan yhdellä kirjautumisella Kanta-palveluun ja Traficomille. No kiitos tiedosta.

Tähän vaivaan on helppo lääke , että aniharvoin pitää kahteen samanaikaisesti kirjautuakaan ja selaimen olen asettanut tyhjentämään keksit aina suljettaessa.

Tuohan ei ole normaalikäytössä mikään ongelma, päinvastoin, jopa hyödyksi. Ongelmaksi tuo tulee siinä kohtaa, kun on phishing/man-in-the-middle hyökkäyksellä saatu ihminen tunnistautumaan johonkin noista palveluista - ja hakkeri voi sitten tunnistautua muihinkin ilman, että ihminen saa mitään varoitusta tai tietoa.

Niinpä.

No tästä man in the middle asiasta olen jo todennut , että minun kohdalla se ei onnistu. Voi sen Fidon tasoisen suojauksen tehdä muutenkin ja niin olen tehnyt jo aikoja sitten.

Niin, ei sinulle. Mutta keskivertokäyttäjälle se on riski. Siksi pitäisi tehdä systeemit siten, että se riski käytännössä eliminoituisi kokonaan, eli käyttää Fido2 näiden haavoittuvaisten systeemien sijaan.