Kas midagi on PIN-kalkulaatori turvalisusest jäetud rääkimata?
Mul oli siiani arvamus, et PIN-kalkulaator on panga jaoks sama usaldusväärne identifitseerimise vahend kui ID-kaart. Mõnikord isegi rohkem, sest ID-kaardiga on paaril korral jäänud tehingu kinnitamine pooleli. Nüüd teatab SEB koode välja petvast lehest.
Alates 24. märtsist muutub PIN-kalkulaatori kasutajatel tehingute ja lepingute kinnitamine internetipangas.
Oleme avastanud Eestis leviva arvutiviiruse, mis püüab internetipanga võltslehte kuvades PIN-kalkulaatori kasutajatelt välja petta turvakoode.
Õnneks ei ole meie kliendid kahju kannatanud. Selleks, et olla jätkuvalt üks samm kurjategijatest ees, viime internetipanka sisenemise ja tehingute kinnitamise koodid PIN-kalkulaatoril erinevate nuppude alla. Sel viisil ei teki ohtu, et keegi saaks Teie sisenemise PIN-koodi salaja tehingute kinnitamiseks kasutada isegi siis, kui Teie arvuti on viirusega nakatunud.Alates 24. märtsist tuleb peale PIN-kalkulaatori käivitamist ja koodi sisestamist toimida järgmiselt:
- internetipanka sisenemiseks vajutage endiselt nupule nr 1
- tehingute ja lepingute kinnitamiseks vajutage nupule number 3.
Ühtlasi aitavad Teid internetipangas tehingute kinnitamise juures abistavad tekstid, mis ütlevad täpselt, millist nuppu kalkulaatoril koodi saamiseks vajutada.
Muudatus ei too endaga kaasa PIN-kalkulaatori vahetust. Kõiki uusi toiminguid on Teil võimalik teha kasutades olemasolevat PIN-kalkulaatorit.
Allikas: 19.03.2010 SEB kiri
Siit saime siis teada kahte asja. Esiteks ei ole PIN-kalkulaatori koodid unikaalsed vaid korduvad. Ainus vahe paroolikaardiga on siis see, et neid taaskuvatakse väikse paterei poolt saadud energia abil. Mina arvasin siiani ja teadsin, et koodi arvutamiseks kasutatakse kuupäeva ja aja abi, mida siis kalkulaatori sees vaikselt ja järjepidevalt peetakse. Näiteks meenub mulle info, et PIN-kalkulaatorite patareide tühjenemine pidi põhjustama sellise kella aeglustumise ja tulemuseks valede koodide andmise.
Hea uudis on aga selline, et kord panka sisse saanuna tuleb edaspidi kasutada number 3 klahvi alt genereeritud koode. Ühtlasi oli hea lugeda, et muudatus ei too kaasa PIN-kalkulaatorite ümber vahetamist. Asi seegi.
Kokkuvõttes siiski parem lahendus, sest ID-kaart on kapriisne brauseri ja allkirjastamise suhtes. Kui olen sealt kord välja loginud, siis uuesti saan panka sisse ilusti aga PIN2 küsimisel teatab, et ID-kaarti ei leita enam. Tavaliselt tähendab see brauseri sulgemist ja arvuti taaskäivitamist. Mis teha, ma ei kasuta turvaaukudest rikkalikku IE-d, mis laseb ühtemoodi läbi nii PIN2 korduvad päringud kui ka kõik pahalased.