Pankade paroolikaardid vajuvad ajalukku

Mariliis Pinn 04. aprill 2008, 16:49

Suuremate Eesti pankade suust kõlab, et
ID-kaart on turvalisim viis enda tuvastamiseks ja paroolikaardid on vajumas
ajalukku.

Hansapanga esindaja Kristi Künnapase sõnul on ID-kaart või mobiil-ID kõige turvalisemad viisid enese identifitseerimiseks, seetõttu toetavad pangad igati ID-kaardi ja mobiil-ID kasutamist internetipanka logimisel. "Korduvkasutusega paroolid on kogu maailmas kuulutatud oma aja ära elanud autentimisviisiks ja kõikide pankade klientidel soovitatakse üle minna muude turvalisemate viiside peale," lisas ta.

Kirke Raud SEB e-teenuste osakonnast ütles, et koodikaardi ebaturvalisust kinnitavad mitmed võimalused koodide varastamiseks: sellest saab teha koopia või foto ning levivad programmid, mis võimaldavad salaja arvutikasutaja klahvivajutusi salvestada. „ID-kaardi või mobiil-ID kiibil olevat infot ei ole aga võimalik kopeerida. Kaardi andmeid kaitsevad kõrgtehnoloogiline kiip ja usaldusväärsed algoritmid, mille peamine eesmärk on hoida kaardi omaniku elektroonilist suhtlust turvalisena,“ lisas ta.

„ID-kaardi kiibil on jämedalt jagades kaks erinevat territooriumi: avalik ja salajane. Avalik osa sisaldab ID-kaardi omaniku andmed, mis on toodud ka ID-kaardi pinnal. ID-kaardi salajasele osale on võimatu väljastpoolt ligi saada. Selle osaga suudab suhelda vaid kaardi kiibil olev arvuti. Selles osas asuvad ka kaardiomaniku kaks privaatvõtit. Kuigi on võimalik läbi kaardil oleva arvuti nende võtmetega suhelda, ei ole võimalik neid võtmeid näha ega salvestada. Nende võtmetega suhtlemiseks on vaja teada PIN-koode. Kui soovitakse suhelda isikutuvastusvõtmega, küsib kiibil olev arvuti PIN1 koodi, kui allkirjastamisvõtmega, siis PIN2 koodi. Võtmed ei ole loetavad ka peale PIN-koodi sisestamist, lihtsalt kaardis asuv arvuti lubab pärast koodi sisestamist läbi šifreerimisalgoritmi võtme abil infot töödelda. Nii ongi kindlustatud, et ID-kaardi salajased (privaatvõtmed) ei satu kunagi teiste isikute kätte. Ka ei eksisteeri võtmeid kusagil riiklikes andmebaasides, kuna neid ei kopeerita kiibile. Kiip loob võtmed ise võtmete tekitamise või uuendamise protsessi käigus ning need ei lahku iialgi kaardilt,” ütles Kalev Kivvistik Sampo Panga kanalite arenduse osakonnast.

Suund on paroolidest loobumisele kunagi tulevikus. Et ID-kaart, mobiil-ID ja PIN-kalkulaator on oluliselt turvalisemad isiku tuvastamise viisid, liiguvad Eesti pangad korduvkasutusega paroolikaartide kaotamise suunas, otsides samal ajal täiendavaid alternatiive.

“Paroolikaartide kaotamine on paljuski seotud rünnete arengutest. Esimesena kaob eeldatavasti korduvkasutatav koodikaart, kui olemasolevatest vahenditest kõige väiksema turvalisusega autentimisvahend. Arvestades rünnete jätkuvat kasvu ja keerukust, muutub järjest tähtsamaks ka kasutajate teadlikkuse tõstmine,” lisas Kivvistik.

Hansapanga esindaja sõnul küberkuritegevus professionaliseerub. Tänapäeva küberkurjategijaid huvitab pigem raha kui kuulsus ning rünnakuteks vajalikud tööriistad on üha lihtsamad ja kättesaadavamad paljudele. Maailmas tervikuna on ründed muutunud jõulisemaks ja kontsentreeritumaks.

RSA Security hinnangul rünnatakse igal kuul keskmiselt 150-200 panga kliente. Viimasel ajal on suuremaid ründeid olnud märgata ka Skandinaavia ja Baltimaade pankade klientidele. Ka Eesti pankade kliendid on sattunud viiruste ohvriks. Küberkuritegevuse käive aastal 2006 oli võrreldav inimkaubanduse ning kasum narkokaubanduse omaga. Näiteks Suurbritannias registreeritakse üks arvutikuritegu 10 sekundi jooksul. Eksperdid usuvad, et 90% arvutikuritegudest jääb registreerimata.

„Lisaks ID-kaardile saavad EMT kliendid täna kasutada juba ka mobiil-ID teenust, 2008. aasta jooksul on sellega välja tulla lubanud ka teised mobiiliteenuse pakkujad,“ sõnas Künnapas.

Künnapase sõnul ei ründa tavaliselt kurjamid mitte panga süsteeme, vaid klientide arvuteid, seega peaks inimesed hea seisma selle eest, et nende arvuti oleks võimalikult hästi kaitstud. „Öeldakse, et ahel on täpselt nii tugev, kui nõrk on selle nõrgim lüli. Kurikaelad ongi taibanud, et raha järele tuleb minna mitte panka, vaid kliendi koju. Juba umbes 10 aastat pole nõrgaks lüliks panganduses mitte pank ja selle infosüsteemid, vaid hoopis klient ja tema kodune arvuti. Selline Eesti keskmine koduarvuti, kus puuduvad paroolid, kus töötab vananenud viirustõrje ning kus kogu perekond surfab väga mitmesugustel saitidel,” nõustus ka Kivvistik.

„Kasutage kindlasti ID-kaardi või mobiil-ID-d internetipanga külastamiseks ja maksete tegemiseks, sest need on turvalisemad viisid isiku identifitseerimiseks. Internetipanga kasutamiseks valige endale salasõna, mida ei ole võimalik lihtsalt ära arvata, ärge kirjutage seda üles või avaldage kellelegi teisele. Internetipanga lehekülje õigsuse kahtluse korral kontrollige internetiaadressi sisestamisel üle panga serveri aadress ja serveri turvasertifikaat,“ pani Raud inimestele südamele.

Pangad soovitavad:
- loobuma arvuti kasutamisest administraatoriõigustes;
- mitte klikkima kõike, mida näidatakse;
- kasutama PKI-põhist autentimist (ID-kaart, mobiil-ID);
- igasuguse kahtluse korral internetipangast välja logida ja ka brauser sulgeda;
- jälgida, kas brauseri aadressireal kirjasolev tundub ikka õige (kindlasti peab aadressi algus olema https://);
- mõista, et pangad ei saada oma klientidele e-postiga palveid sisestada oma paroolikaardi paroole ega ka programmiuuendusi;
- kasutada viirusetõrjet kui olulisimat abimeest;
- kasutada tulemüüri;
- uuendada operatsioonisüsteeme (ja kasutada legaalset tarkvara);
- olla ettevaatlikud e-posti lugemisel: mitmed kirjad võivad ära kasutada inimeste nõrkusi, kirjutades näiteks, et kirja saaja on võitnud suure auhinna. Täpsema informatsiooni saamiseks tuleb avada e-kirja manus või klikkida lingil. Selliste kirjade eesmärgiks on petta inimestelt välja infot - internetipanga paroole, krediitkaardi andmeid vms. Ärge avage tundmatutelt inimestelt saabunud e-posti manuseid ega klikkige kirjas olevatele linkidele. Tõsiselt ei maksa võtta ka ettepanekut laadida alla spetsiaalne videovaatamisprogramm, et ühe konkreetse saidi sisule paremini ligi pääseda;
- programmide allalaadimisel olla ettevaatlik: enne iga uue programmi allalaadimist ja installeerimist püüda välja selgitada, kas seda programmi on ikka vaja ja millised ohud arvuti turvalisusele sellega kaasnevad;
- kaitsta internetist privaatsust: kui küsitakse personaalset informatsiooni – nime, isikukoodi, elukoha aadressi, telefoni numbrit, pangakonto numbrit, meiliaadressi, siis enne selliste andmete edastamist uurige, kuidas ja milleks neid andmeid kasutatakse ning kuidas andmeid kaitstakse;
- küsida nõu asjatundjalt: kui te ei tunne end arvutimaailmas kindlalt, ärge häbenege spetsialistidelt abi küsida.

Äripäev https://www.aripaev.ee/img/id-aripaev.svg
04. April 2008, 16:47
Otsi:

Ava täpsem otsing