ID-kaart ei pruugi olla netipangas turvalisem

Mai alguses pidin panka vahetama. Hansapank, nagu paljud teisedki pangad, kehtestas ühepoolselt paroolikaardile tehingupiirangu. Seda hoolimata minu vastuväidetest, et pean ID-kaardi kasutamist ebaturvalisemaks. Alates maist ei saa paroolikaardiga internetipanka sisenedes rohkem kui 5000 krooni eest tehinguid teha. Selgus, et ainsaks pangaks, kes kliente paroolikaardi tehingupiiranguga ei ahista, on Nordea. Hea seegi, et Hansapank mult raha ülekandmise eest Nordea Panka teenustasu ei võtnud.

Kas väited, et ID-kaart on turvaline, peavad paika? Pangatehingutes võib ID-kaart küll veidi turvalisem olla, ent oma seljataguse kindlustamiseks ohverdab pangaliit klientide elektroonilise identiteedi. Kui paroolikaardi paroolid ja salasõnad väljuvad kontrolli alt, kaotab pangaklient maksimaalselt oma arvel oleva raha.

Kui aga kontrolli alt väljuvad ID-kaart ja selle PIN-koodid, võib sinu digiallkirjaga olla vormistatud miljonilisi laenulepinguid või maha müüdud kogu su kinnisvara. Asjaolu, et pangad küsivad tehingu kinnitamiseks ka PIN-2 koodi, muudab isiku elektroonilise identiteedi tarbekaubaks.

Paroolikaardi ebaturvalisuse eelduseks on viirustega nakatunud arvuti. Keylogger'i abil saadakse teada salasõnad ja paroolid ning see võimaldab pahalasel pangaarvet kasutama hakata. Ent keylogger loeb 90kroonise kaardilugeja kasutamise korral PIN-koodid välja samamoodi (700kroonine kaardilugeja tuleks eraldi "nakatada"). Tõsi, ID-kaardi enda kopeerimine ei ole äratasuva hinnaga mõeldav. Ent piisab, kui PIN-koodid omandanud isik saab sinu ID-kaardi ajutiselt enda kätte. Teisel juhul võib viirus teha sinu eest tehinguid või anda kohustustele digiallkirja sel ajal, kui ID-kaart on sinu kaardilugejas.

Kui paroolikaart ei võta taskus ruumi, siis PIN-kalkulaatori või ID-kaardi lugeja kaasavedamine on tülikam. Viimast ei pruugi igal pool arvuti taha saadagi. Rääkimata võimalusest, et ID-kaardi kiip tõrkuma hakkab ja ID-kaart väljavahetamist vajab (praktikas esinenud juhtumid).

Kahtlustan, et näilise turvalisuse eest seismise taga on sertifitseerimiskeskuse soov ID-kaardile kunstlikult rakendust leida. Lisaks loodavad pangad ID-kaardi näilise turvalisusega oma vastutust vähendada. Kliendi täiesti arvestatav teoreetiline võimalus vihma käest räästa alla sattuda ei ole aga pangaliidu mure.

Autor: Kalle Kulbok