ID-kaart
Kommentaari jätmiseks loo konto või logi sisse
-
Kel veel pole PIN kalkulaatorit - soovitaks see homme kiirelt hankida kui soov suuremaid finatstehinguid teha. Tundub, et https protokollinduses on seoses kliendisertifikaatide kasutusega (mida see meie ID kaart ongi) paras turvaauk avastatud. Vt. http://www.links.org/?p=780 ja http://extendedsubset.com/?p=8
-
Mis see tehingu suurus siia puutub?
-
Ja mispoolest see PIN kalkulaator siin aitab? Ühendus tehakse ju samuti üle HTTPS protokolli. Põhimõtteliselt on korralikuks exploitiks vaja DNS või kliendi masin kaaperdada.
-
Probleem on eelkõige hetkel kui toimub SSL renegotiation, et Eesti-võtmes hetkel kui näiteks server (n: pank) nõuab kliendisertifikaati (loe: ID-Kaarti). Work-aroundina on hetkel välja pakutud, et see renegotiation ära keelata serveri poolelt. Eesti puhul täheks see sisuliselt ID-kaardi kasutusele täielikku pidurit. Kui kliendisertifikaadid (ID-kaardid) välja jätta, siis sisuliselt jääb meil pangatehingute puhul paberkoodid (millega saab teha vaid imepisikesi tehinguid) ja PIN-kalkulaatorid (millega seda piirangut ei ole).
-
oot mis? et hakkame turvalist pin-kalkut ja andmeid üle täiesti usaldusväärse http protokolli solgutama, sest https on jäädavalt kahjustatud mainega? paberkood on kõige turvalisem serveerituna http protokolliga. ei mingeid serte, autent ja andmed on kõik ausalt laual ja kõigile tuvastamiseks saadaval. way to go.
-
Ma pigem arvan, et eesti pangad ei keela SSL renegotiationit ära, kuni SSL ära parandatakse. Võibolla ma saan asjast valesti aru, aga mõningaid probleeme peaks tekkima näiteks digiallkirjastamise juures MITM exploiti kirjutamisel.
-
Saan ma nüüd õieti aru kui väidan et see asi kehtib ikka nende saitide kohta, kus sa daunlõudid sertifikaadi ja siis kasutad seda jne. Kui sa ID-kaarti kasutada, siis igasugune sertide daunlõudimine jääb ära, ning kogu sessioon on juba krüptitud algusest peale. Seega PKI-süsteemi kasutavad lahendused (mida on ka ID-kaart) ei ole antud probleemist affected, kuid mitte PKI-d autentimiseks kasutavad süsteemid (näiteks LHV foorum) on Vulnerable Man in the middle attacki puhul.
Parandage kui ma eksin. -
Oh, siia sobib minu vanamoeline arvamus, et Eesti on ID-kaardi pervotamisega kohati liiale läinud.
Pangad võiks vastutada pettuste (ja tekitatud kahjude) eest nagu kred. kaardi kompaniid seda teevad. -
Ise olen muidu mobiil-id kasutaja, kas ma peaks kuidagi hirmul nüüd olema?
-
Mina nende asemel keelaks küll renegotiationi ära mitte-ID kaardi puhul.
Tehniliselt on ju ID-kaardi saidid (n: https://id.mingipank.ee vs. ) on üldiselt eraldatud tava https-st (https://www.mingipank.ee).
Ja mitte-id kaardi puhul ei tohiks seda renegotiationi vaja olla. -
3dcapital, kas mitte, hoopis vastu pidi ei ole, et mitte ID-kaardi puhul on vaja renegotiationit, ja ID-kaardi puhul seda ei tehta ?
-
http://www.minut.ee/article.pl?sid=09/11/06/123203&mode=nested
https://id.eesti.ee/idtrac/wiki/VeebisAutentimine
Nigu selgub pole sellel ID-Kaardil häda midagi. -
Vabandan mitte päris teemakohase kommentaari pärast, aga see ID kaart on üks paras ikaldus.
Esitseks ei tööta see teiste platvormidega: näiteks mac'il ei saa serte uuendada ega ka panka sisse. Teiseks, kui viibid pikemalt välismaal, siis omades teise riigi mobiili kaarti ei ole MobiilID'st miskit abi. Ning kolmandaks mingi ekstra junni kaasas kandmine ei ole kuigi innovatiivne lahendus kui oled näiteks reisil. Selles osas on eesti pangad täielik ikaldus, kui tahaks nutitelefonidelt neid kasutada.
Nordeal näiteks on papitükil ühekordsed koodid. Väga mugav ja toimib igal platvormil. Ei ole kuulnud, et suuri turvalisusprobleeme oleks. -
http://www.id.ee/blog/?p=78
pingviini ja mäkki kohta veidi infot -
Fjot, ID-kaart on mingi ekstra junn, mida on keeruline kaasas kanda, aga Nordea täpselt samades mõõtudes papist koodikaardi kaasaskandmisega probleeme ei ole? :)
Kusjuures, Nordea koodikaart on kõige jaburam ja ebaturvalisem lahendus, mida üldse praegusel ajal võimalik saada on. Seal ei ole mitte ühtegi parooli vms, mida peab peast teadma, kõik numbrid on paberil olemas! Sick sick sick. -
reisil viibides on ID kaardi kaasas kandmine eriti tülikas, pass on ikka oluliselt väiksem ja mugavam :)
-
No tegelikult pead id-kaardiga audentimiseks/kasutamiseks arvutit kaasas tassima välismaal mis on omaette turvarisk ja tülikas kui sul teda muuks seal vaja ei lähe. Või tahab/saab/viitsib keegi igakord mõnda hotelli- või kst mis arvutisse id-k tarkvara installida?
PINcalc jalle on mingi tüütu lisavidin mida maha ei tohi unustada ja mille patarei tühjenedes pead Eestisse tulema seda vahetama. Või siis hakka EMT kliendiks kuigi vbl. erilist soovi/vajadust pole, lihtsaldt m-id pärast.
Ükski variant pole ideaalne. Vanakooli plastikust koodikaart a la swed/seb oleks parim (nordea variant tundub kuidagi kööbakas ja lahja kuigi jim, sa pead seda kasutaja nr.-it teadma mis on peaaegu sama mis püsiparool).
Kuna pole üheski suures vanas pangas kontot omanud ei tea päris kindlalt kuid mul on mulje jäänud, et seal pank vastutab kontol raha säilimise eest pettuste korral. -
On ikka mõned täielikult tagurlased:)
Eesti ID kaart on üks innovaatilisemaid leiutisi viimase aastakümne jooksul. Kui kasutad vällamaal võõraid masinaid koodikaardiga(näiteks Nordea puhul), siis nende koodide sissetoksimine tundmatusse PC-sse ikka täiesti ebaturvaline- tasub ikka kaardilugejat kaasa tassida küll ja /või kui oma läpakas, siis nagu kaardilugeja kaasa tassimine pole ka enam mingi probleem jne..
Loodetavasti areneb ID kaarti kasutusvaldkond ka jõudsalt edasi ja samuti sobivused erinevatele platvormidele ja seda on ka tehtud, tavaliselt armastavad vingujad ikka toriseda tegemata endale selgeks tegelikud võimalused. Vällamaalased ikka kõik "OHHETAVAD" kui neile kaardi võimalusi on presenteeritud... -
nier,
nordea koode kasutatakse ainult 1 kord, seega pole nagu vahet kas keegi saab selle ühekordse koodi kätte sealt või ei, swedi koode kasutatakse mitu korda, kuid sama koodi eeldatavasti väga tihti ei küsita seega pole keyloggeri-screenipildi mehel nende kogutud koodidega eriti midagi teha kui pahalasega saastatud arvutit kasutad mingi piiratud aja jooksul.
ID kaardi uuenduslikuse, ainulaadsuse ja turvalisuse ümber saab muidugi lõputult onada, kuid suurepärastele omadustele lisaks on ka mõned vähem positiivsed nagu näit. kõva pushimine pankade poolt mis on netipankade kasutusmugavust (välismaal) vähendanud. -
opex, disainin saidi, saidi nimeks panen www.ganza.njet, sina logid sinna sisse, saad vasutseks tegemisel on hooldustööd, palun proovige uuesti 3 tunni pärast. 3 tunni pärast oled sina paari milli võrra vaesem, aga mina olen kandnud paar kolm milli, usas töötavatele töölistele keda ma ei ole kunagi näinud ning nad ostavad mulle selle raha eest E-Bayst igasugust veidrat kaupa.
-
See on see juhtum mille korral traditsioonilise lääne panga kliendina ma vist poleks vaesem kuid kohaliku panga kliendina vbl. tõesti, sest vastutus on lükatud pangalt kliendile.
