perjantai 29. elokuuta 2008

Pankkitunnistus petti jälleen

Ilta-Sanomien pieni uutinen kertoi 19.8.2008 yrittäjästä, joka oli verkkopankkiin mennessään päätynyt väärän henkilön tilille. Uutinen julkaistiin vain paperilehdessä ja se tuli tietooni vasta jälkeenpäin, tuttavan ilmoitettua asiasta.

Kuvio oli sama kuin keväällä: henkilö päätyi vääriin tietoihin tehdessään pienen virheen asiakasnumeron ja kertakäyttösalasanan antamisessa. Tällä kertaa virhe tapahtui siinä, että asiakas jätti vahingossa asiakasnumeron viimeisen merkin kirjoittamatta. Numero sekä kertakäyttösalasana sattuivat täsmäämään toiseen henkilöön.

Kuten keväällä laskeskelin, tällaiset sattumukset ovat yleisempiä kuin mitä pankit silloin antoivat ymmärtää. Ilta-Sanomien uutisessa siteerattu pankin edustaja ei enää vedonnut lottovoittoon vaan sanoi, että "Toisten tilitietoihin pääseminen on harvinaista. Niitä sattuu kolmesta neljään vuosittain."

Siis: yhden pankin asiakkaat päätyvät 3-4 kertaa vuodessa näkemään väärän henkilön tilitapahtumat. Pankkeja sekä muita tupas-tunnistusta käyttäviä palveluita on Suomessa useita, ja niiden käyttö kasvaa jatkuvasti. Ja tämä kaikki siis vahingossa - luku moninkertaistuu, jos temppua aletaan vasiten yrittää. Jokainen voi itse arvioida, onko tämä paljon vai vähän.

5 kommenttia:

Anonyymi kirjoitti...

"Ilta-Sanomien uutisessa siteerattu pankin edustaja ei enää vedonnut lottovoittoon vaan sanoi, että "Toisten tilitietoihin pääseminen on harvinaista. Niitä sattuu kolmesta neljään vuosittain.""

Eli toisen henkilön tilitietoihin pääsy on huomattavasti harvinaisempaa kuin päävoitto lotossa. Loton päävoittoja on tänä vuonna löytynyt kuitenkin jo yli 30 kappaletta.

Anonyymi kirjoitti...

"Eli toisen henkilön tilitietoihin pääsy on huomattavasti harvinaisempaa kuin päävoitto lotossa."

Harvinaisempaa kyllä, mutta silti helpompaa, jos sitä yrittäisi. Harvinaisuus johtuu siitä, että tunnuksia kirjoitetaan väärin vain murto-osa täytettyjen lottorivien määrästä.

Anonyymi kirjoitti...

"Harvinaisempaa kyllä, mutta silti helpompaa, jos sitä yrittäisi."

Väärin. Esimerkki Osuuspankista.

Päästäksesi tilitietoihin, sinun on tiedettävä 8-numeroinen käyttäjätunnut, 4-numeroinen tunnusluku, ja vielä 4-numeroinen vaihtuva avainluku. Todennäköisyys päästä tilitietoihin on siis 1/9999999999999999.

Todennäköisyys voittaa loton pääpotti on taas 1/15380937.

Petteri Järvinen kirjoitti...

Tässä on se periaatteellinen harha, että päästäksesi juuri tietyn henkilön tilille sinun on tiedettävä HÄNEN asiakasnumeronsa ja HÄNEN salasanansa. Se on hyvin vaikeaa.

Tehtävä on oleellisesti helpompi, jos riittää päästä kenen tahansa henkilön tilille. Silloin asiakasnumerolla ei ole mitään merkitystä ja sen voi jättää pois laskuista. Ainoa vaatimus on, että asiakasnumero on käytössä.

Osuuspankin järjestelmää en tunne, mutta edellä kuvatulla reunaehdolla esim. satunnaisen Nordean asiakkaan tilitietoja pääsee katsomaan jopa todennäköisyydellä 1/3333 (jos käytetään sallitut kolme yritystä).

Tätä voi sitten verrata lottovoiton todennäköisyyteen, joka tosiaan on noin yksi 15 miljoonasta.

Anonyymi kirjoitti...

"Osuuspankin järjestelmää en tunne, mutta..."

Mitä järkeä on haukkua pankkitunnistusta kokonaisuutena, mikäli ei edes tunne sen käyttöä?

No, minäpä kerro, mikä on todennäköisyys päästä satunnaisen ihmisen tilitietoihin käsiksi Osuuspankissa, ja mikä on sen suhde loton päävoiton saamiseen.

Jos oletetaan, että kaikki asiakastunnukset ovat käytössä (vaikka ne eivät lähimainkaan ole), niin silti täytyy tietää tunnukseen liittyvä pin-koodi ja vaihtuva avainluku.

Todennäköisyys saada satunnaisen ihmisen tilitiedot näkyviin on siis 1/99999999.

Loton päävoiton todennäköisyys on 1/15380937, eli todennäköisyys saada päävoitto on 6,5 kertaa suurempi kuin päästä satunnaisen ihmisen tilitietoihin käsiksi.

Ja mitään kolmea arvausta ei ole käytössä, sillä avainluku vaihtuu aina väärän arvauksen jälkeen.

Website Security Test