Tämä on nyt ollut jotenkin trendikästä, että halutaan verkkopankin kirjautuminen joka hiton paikkaan. Kyllähän se toimii oikein hyvin, kyllähän se on vahva tapa varmistaa henkilöllisyys. Sivuston kannalta ratkaisu on hyvä, käyttäjän ja kokonaisuuden kannalta vaarallinen.
http://www.tietoviikko.fi/doc.te?f_id=1321232&s=r
Eikö kukaan ole ajatellut sitä millainen kosketuspinta tällä on phishing ja man-in-the-middle hyökkäyksiin? Jos kansa tottuu siihen että lähes minkä tahansa sivuston tunnistautumisen yhteydessä voidaan kysyä pankkitunnuksia, eikö jossainvaiheessa ylitetä raja jossa pahantahtoinen sivusto voikin ottaa tunnukset itse talteen eikä ohjaakaan käyttäjää pankin sivuille tunnistautumaan?
Näen jo mielessäni scenaarion, jossa Pertti Peruskäyttäjä surffaa netistä sivuille X ja haluaa kirjautua sisään. Pertti on kuitenkin kirjoittanut sivuston nimen väärin, ja huijari Y on pystyttänyt omat X:n näköiset sivut väärinkirjoitettuun osoitteeseen. Pertti kirjoittaa pankin tunnustietonsa tunnistautumissivulle, ja antaa avainkoodin. Tällävälin sivusto Y käyttää tietoja kirjautuakseen pankkiin ja tekee tilisiirron ja saa pankin vahvistussivun jossa pyydetään uutta avainta. Pertille sensijaan annetaan eteen virheilmoitus, jossa pyydetään yrittämään uudestaan toisella avainluvulla, ja arvaatte varmaan miten kuvio tästä etenee. Pertti Peruskäyttäjän tili tyhjätään, ja Pertille itselleen annetaan esimerkiksi ilmoitus että "Tietokantaan ei saada yhteyttä, yritä myöhemmin uudestaan" tai muuta geneeristä puppaa.
Typosquattausta tehdään jo pankkien sivuille, mutta entäs sitten kun pankkitunnuksia voi syöttää kymmenille muillekin sivustoille? Aijai. Mihin se HST-kortti ja sillä tunnistautuminen unohtui? Miksei Viestintäministeriö tue toimia jolla uusiin konepaketteihin kuuluisi mukana erillisellä numeronäppäimistöllä varustettu älykortin lukija HST-kortin mahdollisimman turvallista käyttöä varten? Mikä tahansa web-sivusto voi helposti hyödyntää HST-kortilla tunnistautumista, eikä tietoturvariski ole ihan samanlainen kuin pankkitunnusten kanssa...