Valtiolta kännykkäsovellus suomalaisten tunnistautumiseen? Tuore esitys nostatti oitis vastalauseita

Vierailija kirjoitti:

Minusta puhelimet ovat kuitenkin sen verran turvattomia ja täynnä tietoturva-aukkoja, vaarassa hajota, joutua varastetuksi/uitetuksi jne, ettei noin tärkeät tiedot kuulu sinne.

Nämä asiat pitäisi kuitenkin päättää ihan faktapohjalta eikä sen mukaa miltä sinusta tuntuu.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Hullu ajatus. Puhelin on turvaton alusta ja sen paikka on muiden lelujen joukossa eikä aikuisten asioissa.

Kerrotko vielä että mikä siitä tarkalleen ottaen tekee turvattoman?

T. CISM, CISSP

No voi voi se on niin monella tasolla. Esim. se että android puhelimissa pitää luottaa että mainosfirma pelaa kiltisti ja sitten on lisäksi vielä valmistajien ohjelmat joita ei saa poistettua. Toisinsanoen et voi valita itse kaikkia ohjelmia joita siinä suoritetaan ja varmistaa ettei olemassaolevat tee mitään ylimääräistä. Sen lisäksi niissä on piilokäyttöjärjestelmä johon et pääse käsiksi ollenkaan, etkä voi rajoittaa sen tietoliikennettä realistisella tavalla paitsi asumalla maan alla jossa puhelin ei toimi. Vastaava piilokäyttis löytyy tosin myös nykyaikaisista tietokoneistakin. Sitten ehkä se tavallisin ja ehkä realistisin uhka eli useimpiin puhelimiin ei tule turvapäivityksiä kuin n. 2 vuotta jonka jälkeen täysin toimiva laite on uusittava tai tyydyttävä tietoturvareikiin.

Eli ei ainuttakaan syytä miksi puhelin ei olisi heittämällä tarpeeksi turvallinen tähän tarkoitukseen. Mitään ”piilokäyttiksiä” ei ole puhelimissa sen enempää kuin tietokoneissakaan. Kukaan ei pakota ostamaan sellaista puhelinta jolle valmistaja ei tarjoa tukea.

Vierailija kirjoitti:

Sovellukset ovat suuri tietoturvariski, eli missään nimessä ei. Mieluummin pankkitunnistus edelleen.

Kerrotko sinäkin vielä tarkemmin että miksi ja minkälaisen tietoturvariskin ne muodostavat, ja mikä tekee siitä riskistä niin paljon merkittävämmän kuin vaikkapa henkilökortin tai pankkitunnusten hukkaamisesta?

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Hullu ajatus. Puhelin on turvaton alusta ja sen paikka on muiden lelujen joukossa eikä aikuisten asioissa.

Kerrotko vielä että mikä siitä tarkalleen ottaen tekee turvattoman?

T. CISM, CISSP

Ainakin puolet android-käyttäjistä omistaa ikivanhan 5.1-version tai vanhemman, mihin ei ole päivityksiä tullut enää vuosiin. Eli ovat täynnä paikkaamattomia turva-aukkoja joiden kautta puhelimen tietoihin voi päästä käsiksi.

No se että käyttäjä ei osaa käyttää tai päivittää laitteitaan ei ole järjestelmän vika sen enempää kuin se olisi passin vika jos joku varastaa sen sillä aikaa kun käyt vessassa ja jätät sen kahvilan pöydälle.

Vierailija kirjoitti:

Vierailija kirjoitti:

Hyvä ideä. Ihmetyttää että kansalaisten täytyy hankkia tunnistautumiseen henkilökortti, joka maksaa 58€ ja valokuvat noin 20€ ja voimassaolokin on nykyään vain 5 vuotta.

Henkilökortin pitäisi kuulua kansalaisten kansalaisuuteen liittyviin peruspalveluihin, jotka rahoitetaan verovaroista.

Kännykkäsovellus on varmasti halvin tapa toteuttaa tunnistautuminen.

Mutta ei ole pakko jos ei halua, vaan halutessaan voi maksuttoman sovelluksen sijaan ottaa vanhamallisen ja maksaa siitä 80€.

Halvemmaksi tuokin tulee, kuin uusia sitä puhelinta sitämukaa kun ohjelmisto vanhenee ja päivitysten tulo loppuu (eli n. parissa vuodessa).

Apple tukee puhelimiaan 5-6 vuotta ja kriittisiä päivityksiä saa mahdollisesti vielä sen jälkeenkin.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Hullu ajatus. Puhelin on turvaton alusta ja sen paikka on muiden lelujen joukossa eikä aikuisten asioissa.

Kerrotko vielä että mikä siitä tarkalleen ottaen tekee turvattoman?

T. CISM, CISSP

No voi voi se on niin monella tasolla. Esim. se että android puhelimissa pitää luottaa että mainosfirma pelaa kiltisti ja sitten on lisäksi vielä valmistajien ohjelmat joita ei saa poistettua. Toisinsanoen et voi valita itse kaikkia ohjelmia joita siinä suoritetaan ja varmistaa ettei olemassaolevat tee mitään ylimääräistä. Sen lisäksi niissä on piilokäyttöjärjestelmä johon et pääse käsiksi ollenkaan, etkä voi rajoittaa sen tietoliikennettä realistisella tavalla paitsi asumalla maan alla jossa puhelin ei toimi. Vastaava piilokäyttis löytyy tosin myös nykyaikaisista tietokoneistakin. Sitten ehkä se tavallisin ja ehkä realistisin uhka eli useimpiin puhelimiin ei tule turvapäivityksiä kuin n. 2 vuotta jonka jälkeen täysin toimiva laite on uusittava tai tyydyttävä tietoturvareikiin.

Eli ei ainuttakaan syytä miksi puhelin ei olisi heittämällä tarpeeksi turvallinen tähän tarkoitukseen. Mitään ”piilokäyttiksiä” ei ole puhelimissa sen enempää kuin tietokoneissakaan. Kukaan ei pakota ostamaan sellaista puhelinta jolle valmistaja ei tarjoa tukea.

https://www.extremetech.com/computing/170874-the-secret-second-operatin…

https://www.androidauthority.com/smartphones-have-a-second-os-317800/

ja sitten intel tietokoneissa

https://en.wikipedia.org/wiki/Intel_Management_Engine

amd

https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor

etc etc

Vierailija kirjoitti:

Minusta puhelimet ovat kuitenkin sen verran turvattomia ja täynnä tietoturva-aukkoja, vaarassa hajota, joutua varastetuksi/uitetuksi jne, ettei noin tärkeät tiedot kuulu sinne.

Miten olet suojannut lompakossasi olevan henkilökortin tai ajokortin väärinkäytöksiltä jos lompakko katoaa tai varastetaan?

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Hullu ajatus. Puhelin on turvaton alusta ja sen paikka on muiden lelujen joukossa eikä aikuisten asioissa.

Kerrotko vielä että mikä siitä tarkalleen ottaen tekee turvattoman?

T. CISM, CISSP

Ainakin puolet android-käyttäjistä omistaa ikivanhan 5.1-version tai vanhemman, mihin ei ole päivityksiä tullut enää vuosiin. Eli ovat täynnä paikkaamattomia turva-aukkoja joiden kautta puhelimen tietoihin voi päästä käsiksi.

No se että käyttäjä ei osaa käyttää tai päivittää laitteitaan ei ole järjestelmän vika sen enempää kuin se olisi passin vika jos joku varastaa sen sillä aikaa kun käyt vessassa ja jätät sen kahvilan pöydälle.

Jotkut ei vaan suostu lähtemään siihen naurettavaan "uusi kännykkå 2v välein"-kulutusjuhlaan vain että laitteeseen saisi turvapäivityksiä mihin nämä kaikki kännykkäsovelluksiin pakottamiset ajaisi. Tekemällä tehty laitteen ennenaikainen vanhentaminen ja kassakoneet helisee.

Vierailija kirjoitti:

Sovellukset ovat suuri tietoturvariski, eli missään nimessä ei. Mieluummin pankkitunnistus edelleen.

Et sinän millään pankkituksilla ole tähänkään asti tunnistautunut siideriä ostaessasi.

Pankit ja operaattorit tekevät rahaa tunnistautumisella, joten olisi hyvä että julkisiin palveluihin pääsisi ilmankin että on pakko olla jonkun noista asiakas. Varsinkin kun tiliä ja puhelinliittymää sertifikaatteineen ei anneta kaikille ja ne maksavat.

Vanha nokialainen 2000-luvun alkupuolelta muuten toimi aikanaan ihan hyvin mobiilisertifikaatin kanssa joten älkää lässyttäkö niistä älypuhelimista. 

Vierailija kirjoitti:

Vierailija kirjoitti:

Minusta puhelimet ovat kuitenkin sen verran turvattomia ja täynnä tietoturva-aukkoja, vaarassa hajota, joutua varastetuksi/uitetuksi jne, ettei noin tärkeät tiedot kuulu sinne.

Miten olet suojannut lompakossasi olevan henkilökortin tai ajokortin väärinkäytöksiltä jos lompakko katoaa tai varastetaan?

Sitä harvemmin kukaan voi etänä varastaa taskustani, kuten hakkerit tekee nettipuolella. Ja väärinkäytöksiltä välttyy sillä, ettei nako sitä lompakkoaan minne sattuu.

Väitän että jos aikoinaan olisi pystytty valvomaan ihmisiä yhtä hyvin kuin nykyään, Neuvostoliitto ei olisi kaatunut. 

Näillähän on täydellinen kontrolli nykyään ihmisten elämään. Ei paljoa pidetä laittomia kokoontumisia puistossa kun kaikilla on seurantalaitteet taskussa. Kukaan ei kirjoita radikaaleja tekstejä niin ettei valtio pystyisi sitä reaaliajassa seuraamaan. Pamfletteja levittävät kansankiihottajat saataisiin nykyään kiinni hyvin nopeasti (vrt. MV-lehden keissi) - ennen oli erittäin vaikea selvittää kuka levittää valtion vastaista propagandaa. Jne. 

Siis mistä olette keksineet että tuo sovellus korvaisi henkilökortin?

Sehän on vain ILMAINEN sovellus jota käytät netissä tunnistautumiseen, eli korvaa vain nettipankkitunnukset/mobiilivarmenteen jotka ovat maksullisia.

Vierailija kirjoitti:

Vierailija kirjoitti:

Sovellukset ovat suuri tietoturvariski, eli missään nimessä ei. Mieluummin pankkitunnistus edelleen.

Kerrotko sinäkin vielä tarkemmin että miksi ja minkälaisen tietoturvariskin ne muodostavat, ja mikä tekee siitä riskistä niin paljon merkittävämmän kuin vaikkapa henkilökortin tai pankkitunnusten hukkaamisesta?

Missä tahansa ladattavassa sovelluksessa voi olla haittakoodia, jonka avulla yhdistettynä puhelimen käyttöjärjestelmän haavoittuvuuksiin hakkeri voi pölliä puhelimesta mitä vaan. Itseään on vaikeampi suojata netissä tapahtuvilta haitoilta, kun taas korttien ja tunnusten suojaamiseen riittää ettei ole niin hiton pälli että hukkaa ne tai antaa huijareille.

Itse kannatan tätä, koska on tarpeetonta tuoda yksityishenkilön ja valtion väliseen asiointiin jokin kolmas osapuoli (esim .pankki). Lisäksi kyse on niin keskeisestä asiasta, että valtiolla pitäisi mielestäni olla mahdollisuus sanella miten homma hoidetaan, sen sijaan että joudutaan ostamaan mitä tarjolla on.

Minua pännii näissä mobiilivarmenteissa ja muissa sähköisissä tunnistautumisissa se, että silloin olisi täysin kännykkävalmistajien armoilla. Ne kun ainakin android-puolella usein lopettaa turvapäivitysten jakelun n. 2v jälkeen, jolloin laite todetaan heidän osaltaan vanhentuneeksi. Joten pitäisi vähän väliä olla ostamassa uutta puhelinta että niitä päivityksiä saisi. Toki puhelimeen voi asentaa esim. LineageOs-käyttiksen jota tuetaan yhä, mutta se taas ei kelpaa näille tunnistusviritelmille koska "rootattu". Valtaosa käyttäjistä ei toki välitä näistä pätkän vertaa, vaan käyttelee mobiilivarenteitaan onnessaan vaikkapa iänikuisen vanhalla puhelimen vakiolla kitkat-androidilla, vaikka siinä on tuhoton määrä haavoittuvuuksia.

Vierailija kirjoitti:

Siis mistä olette keksineet että tuo sovellus korvaisi henkilökortin?

Sehän on vain ILMAINEN sovellus jota käytät netissä tunnistautumiseen, eli korvaa vain nettipankkitunnukset/mobiilivarmenteen jotka ovat maksullisia.

Minulle sanottiin pankista, ettei heillä ole tiedossa että mobiilivarmenne korvaisi sovelluksessa avainlukulistan kokonaan,kun asiasta tiedustelin. Pari kuukautta myöhemmin pankkisovellus alkoi ilmoittelemaan, että pankkitunnukset korvataan lähiaikoina mobiilivarenteella. Joten enpä luottaisi enää mhinkään, mitä vaan voi tapahtua ja piankos tääkin sovellus korvaisi kaikki muut tunnistautumiset.

Vierailija kirjoitti:

Vierailija kirjoitti:

Siis mistä olette keksineet että tuo sovellus korvaisi henkilökortin?

Sehän on vain ILMAINEN sovellus jota käytät netissä tunnistautumiseen, eli korvaa vain nettipankkitunnukset/mobiilivarmenteen jotka ovat maksullisia.

Minulle sanottiin pankista, ettei heillä ole tiedossa että mobiilivarmenne korvaisi sovelluksessa avainlukulistan kokonaan,kun asiasta tiedustelin. Pari kuukautta myöhemmin pankkisovellus alkoi ilmoittelemaan, että pankkitunnukset korvataan lähiaikoina mobiilivarenteella. Joten enpä luottaisi enää mhinkään, mitä vaan voi tapahtua ja piankos tääkin sovellus korvaisi kaikki muut tunnistautumiset.

Niin sehän siinä onkin tarkoitus, että valtion tarjoama ilmainen sovellus korvaa maksulliset tunnistautumispalvelut internetissä.

Mutta se ei tule korvaamaan muovista henkilökorttia, jolla todistat henkilöllisyyden "oikeassa maailmassa".

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Siis mistä olette keksineet että tuo sovellus korvaisi henkilökortin?

Sehän on vain ILMAINEN sovellus jota käytät netissä tunnistautumiseen, eli korvaa vain nettipankkitunnukset/mobiilivarmenteen jotka ovat maksullisia.

Minulle sanottiin pankista, ettei heillä ole tiedossa että mobiilivarmenne korvaisi sovelluksessa avainlukulistan kokonaan,kun asiasta tiedustelin. Pari kuukautta myöhemmin pankkisovellus alkoi ilmoittelemaan, että pankkitunnukset korvataan lähiaikoina mobiilivarenteella. Joten enpä luottaisi enää mhinkään, mitä vaan voi tapahtua ja piankos tääkin sovellus korvaisi kaikki muut tunnistautumiset.

Niin sehän siinä onkin tarkoitus, että valtion tarjoama ilmainen sovellus korvaa maksulliset tunnistautumispalvelut internetissä.

Mutta se ei tule korvaamaan muovista henkilökorttia, jolla todistat henkilöllisyyden "oikeassa maailmassa".

Kuka noin sanoo, ettei korvaisi muovisia henkilökortteja? Sanottiinhan minullekin pankista, ettei mobiilivarmenne korvaisi avainlukulistaa, vaan toisin kävikin.