OmaElisaan 2FA / Fido2 / Passkey monipuolisesti käyttöön

En kannata TAAS uutta ja mahdollisesti maksullista järjestelmää, ainakaan ainoaksi tavaksi kirjautua, olkoon se pankkitunnistautuminen ainakin edes rinnalla jos se ei herralle/rouvalle kelpaa pääasialliseksi tavaksi! Eikä tavan kansa varmaan edes tiedä mikä tuo Fido2 oikein onkaan!

Voihan se olla noinkin , mutta ei se järin kummoista osaamista vaadi.

• Tallennat oikean pankin verkko-osoitteen selaimeen kirjanmerkiksi.
• Et käytä koskaan mitään muuta linkkiä pankkiin kirjautumiseen.
• Käytät turvaohjelmistoa , jossa on pankkisuojaus , joka luo suojatun “santalaatikon” , mikä estää yhteydet kolmansiin tahoihin. Asia voi tehostaa vielä käyttämällä selaimen private-tilaa.

Noilla pääsee jo alkuun , mutta mikään ei estä hankkimasta ihan oikeaa Sandbox-ohjelmaa ja ajaa erillistä vain pankkiyhteyksiin tarkoitettua selainta siellä sekä ainahan voi siksi aikaa sulkea kaiken muun.

Kerrataan vielä , mitä missään tapauksessa ei pidä tehdä.

• Älä ikinä mene pankkiin hakukoneen linkin tai sähköpostiin tuulleen viestin tai minkään muun viestin kautta.

Jos ne keskiverto käyttäjät noudattaisivat edes noita , niin aika monelta harmilta säästyisivät. Toivotaan ,että lukevat tätäkin ketjua.

En yhtään panisi pahakseni , jos elisalaisetkin osallistuisivat tällaiseen keskusteluun.

Ja siinähän se pointti olisikin, että samalla Elisa voisi opettaa kansaa käyttämään tuota turvallista kirjautumistapaa ja vaikka myydä niitä Yubikeytä ihmisille jos heillä ei niitä ennestään ole ja haluavat nimenomaan käyttää Yubikeytä.

Mutta ei Fido2 ole mikään “maksullinen järjestelmä”! Sen sijasta voi toki käyttää kyllä vaikka “passkeytä” joka on puhelimissasi ja selaimessasikin ilmaiseksi oleva ominaisuus. TOTP on vain sovellus puhelimessasi, ilmainen sekin ja sopisi oikein hyvin 2-vaiheiseksi kirjautumismenetelmäksi.

Paras ratkaisu tietoturvan maksimoimiseksi olisi poistaa kokonaan salasanat ja korvata ne Passkeyllä/Fido2:lla ja sitten 2-vaiheesen kirjautumiseen laittaisi TOTP. Huomatkaa, että jos Passkey/Fido2 korvaa salasanan, niin SILLOIN SE EI KORVAA 2-vaiheista kirjautumista! Jos Passkey/Fido2 taas EI korvaa salasanaa, sitten sitä voidaan käyttää 2-vaiheiseen kirjautumiseen (siis salasanan lisänä).

Paras ratkaisu “riittäväksi turvaksi” ja maksimaaliseksi käytettävyydeksi olisi poistaa SMS-vahvistus ja korvata se TOTP:lla oletusarvoisesti...sekä mahdollistaa käyttäjälle 2-vaiheiseksi kirjautumiseksi haluamansa tapa, on se sitten U2F, TOTP, Fido2, jne. (kyllä, Fido2 voidaan käyttää myös 2-vaiheisen kirjautumisen tapana silloin, kun kirjaudutaan sisälle käyttäjätunnuksella ja salasanalla) tai vaikka pelkkä Passkey/Fido2 ainoana sisäänkirjautumismenetelmänä jos niin haluaa.

Tätä aihetta käsitteleviä / sivuavia keskusteluita on täällä Yhteisössä nyt jo aika monta pyörimässä, selvästi aihe siis kiinnostaa ja herättää paljon erilaisia mielipiteitä, loistavaa! 👍

Esimerkiksi tässä ketjussa on kommentoitu jo aiemmin, että kyllä - erilaiset tunnistamiseen/kirjautumiseen liittyvät asiat ovat aktiivisessa kehityksessä parhaillaan. Hyvää keskustelua näiden aiheiden parista käytiin myös tässä ketjussa. Paljon samoja asioita, mutta kuitenkin hieman eri kulmasta tarkasteltuna.

Sanomattakin lienee selvää, että kirjautumisen ja tunnistautumisen turvallisuuteen liittyvät asiat ovat erittäin tärkeitä. Muutoksia ei myöskään voida tehdä kevein perustein. Kyllä näitä keskusteluita aktiivisesti seurataan ja tiedotellaan myös sitten enemmän, jos jotain uutta kerrottavaa on. 😊

Justiinsa niin, ja suurin osa ketjun jutuistakin menee yli hilseen tällaiselta tavan kansan

Jampalta, mikä itsekin olen.

Kiitos @roopeg muistutuksesta , mihin ketjuihin sitä on tullut viime aikoina osallistuttua. 😄

Eipä siellä juurikaan elisalaisia ole näkynyt ja tuo ylläolevakin on sitä samaa , mihin olemme saaneet tottua.

No ihan hyvä , että elisalaiset ainakin lukevat , mitä kansa kirjoittaa. Senkin toki ymmärrän , että minkään tunnistautumissysteemin muuttamainen ei käy kädenkäänteessä ja 99% varmuudella vaatii Elisalta myös taloudellisia panostuksia yhteensopivuuden rakentamiseen.

No jäämme odottelemaan , josko asiassa tapahtuisi jotakin. Joskus vai asiat eivät etene kuten kävi Viihteen roskakorille. Sen toteutusta luvattiin ja luvattiin ja vei lopulta yli 8 vuotta.

Niinpä.

Noilla edellä kertomillani perusohjeilla pärjää ihan hyvin. Ainoa asia , mikä ei oikein enää ole Oma Elisassa ajantasalla , on Elisa-tunnuksella ja salasanalla kirjautuminen. Ei julkinen sähköpostiosoite ja salasana enää riitä sopimusasioihin.

Kuten täällä on useammassa ketjussa ehdotettu , niin vähintä mitä Elisan pitäisi Oma Elisan kanssa tehdä , olisi rajata Elisa-tunnus vain tietojen katseluun ja vaatia vahvaa tunnistautumista sopimusten muuttamiseen.’

Nuo Fidot sun muut ovat sitten pidemmän pohdiskelun asioita.

@mammulim  Siis kyllä tuo vaatimus älyluuristakin kirjautumisessa on aika paha, ei kaikilla ole, eikä tule älyluuria joten nuo ehdottamasi kirjautumistavat on suljettu pois. Minkä ihmeen takia et suostu siihen että niiden rinnalla olisi pankkitunnuksin kirjautuminen? Jos on tarpeeksi järkevä niin kyllä nuo pankkitunnuksetkin on ihan turvallisia. Vai haluatko että osa kansasta suljetaan pois palveluista kun eivät omista älyluuria jossa on joku Fido2 tai Yubikey??

Näin se on. Perusohjeilla ja maalaisjärjellä eteenpäin taaplataan,

niinkun on tähänkin taaplattu.

Miksi aina tämmösis keskusteluis pitää mutku, mutku, mutta kun, entäs ryhmä X? Nuo argumentit on siinä mielessä valideja koska on täysin mahdottomuus miellyyttää kaikkia. Ja noita käytetään puhtaasti kehityksen jarruttamiseen tai jopa pysäyttämiseen.

Tähän hieman OT olevaan asiaan totean, että tämä on tosiaan ilmeisesti julkisen puolen Suomi.fi -tunnistutumispalvelun ominaisuus, että yksi kirjautuminen toimii myös toisessa palvelussa. Olen törmännyt tähän työasioissa.

Systeemi kuitenkin kirjaa sinut pihalle tietyn ajan jälkeen, eli tuossa ei (ainakaan pitäisi) voi käydä niin, että kävisit aamulla palvelussa x ja pääsisit illalla sisään palveluun y.

pidempiaikaisia ratkaisuja voi pohtia ja tuskin mitään nopeita ratkaisuja tulee.

mutta, elisa voisi ottaa TOTP jo nyt käyttöön, tosin ei pakkona. olettaisi että TOTP olisi helppo lisätä ja on parempi kuin SMS tekstiviestit. muut ovat ehkä vähän hankalamia siinä mielessä että yleisyys ei ole riittävä, joillakin on joillakin ei, ja implementointi sivulle voi tuottaa ongelmia.

Jep.

Noudattaa aikalailla samaa kaavaa kuin pankkitunnistus yleensäkin. Sehän potkaisee aika pian käyttäjän ulos , jos hetkeen et palvelussa mitään tee.

Joopa.

Siihen asti kun jotakin uutta tulee , jos tulee , suositelen käyttämään sitä inhoamaasi pankkitunnistusta. On se parempi kuin SMS-vahvistukset.

Olet siis sitä mieltä että jotain tiettyä ryhmää saa sorsia?? Kun on kyse peruspalveluista niin silloin on pakko miellyttää kaikkia!

Tätä keskustelua on käyty monessa ketjussa jo useita päiviä ja lienette huomanneet sen saman kuin minäkin , että elisalaiset ovat asiasta hiljaa kuin kusi sukassa.

No voin olla väärässä , mutta tulkitsen niin , että ei Elisalla ole intoa tehdä asialle yhtään mitään.

Tuskinpa on syytä pelätä , että mikään muuttuu ja jos muuttuu , niin siihen menee vuosia.

Minun olettamukseni on, että tämä on aika puhtaasti teknisen puolen asia, eikä asiakaspalveluväellä ole lupaa / osaamista / uskallusta sanoa asiasta juuta eikä jaata.

Ja aika turha heidän sanoakaan mitään (muuta kuin yleispätevää hyminää), kun asian ratkaisemiseksi pitäisi 1) päättää aloittaa projekti, 2) valita sopivat projektitoteuttajat, 3) tehdä selvitys eri vaihtoehdoista, 4) myydä selvityksentekijöiden mieleiset vaihtoehdot päättävälle taholle sopivalla tavalla, 5) saada aikaan päätös, miten asiassa edetään, 6) löytää osaston budjetista varat asian toteuttamiseksi, 7) laittaa asia työjonoon….

Joten kuten tavallista: palataan asiaan lomien jälkeen, vuosilukua mainitsematta.

en nyt sanoisi että inhoaisin pankkitunnuksia. mutta optimaallinen ei ole. kun elisa tietää sen hetun niin tuo käynee.

joskus kirjoitin että budjetti osasto tekee oleelliset päätökset. joskus tekee markkinointi osasto koska se voi tehdä tappioita jonkun verran.

ehkä tämän voisi saada markkinointiosastosta läpi tyyliin, nämä parantaa turvallisuutta kolminkertaisesti.

Ok. Niillä meidän selvittävä , mitä Elisa tarjoaa.

Entäpä sitten se , että Oma Elisasta voisi Elisa-tunnuksilla vain katsella tietojaan , mutta niiden muuttamiseen tarvittaisiin vahva tunnistus???

Ne vahvan tunnistuksen toiminnot jo ovat saatavilla Oma Elisassa , mutta Elisa-tunnus ( julkinen sähköpostiosoite ja salasana) ei ole enää tarpeeksi turvallinen.

Niin perus Elisan vastaus. Ootte kyllä aika muutosvastainen yritys kun lähes aina näitä kehitysehdotuksia pitää jarruttaa tai pysäyttää kokonaan. Ideat heitetään Ö-mappiin.

Selkeästi Elisa haluaa elää kivikaudella, niiden pitäs pitää toimistonsa luolassa eikä tämän päivän taloissa