Tuntuu kyllä isolta kämmiltä jos sormenjälkitunnistus linkittyy väärään ID:hen. Perinteisessä salasanakirjautumisessa tuota ei periaatteessa voisi tapahtua. Ja kai sormenjäljellä kirjautumisessakin voidaan tarkistaa sormenjälki SEKÄ käyttäjätunnus? Nyt kävi niin että sormenjälki meni läpi mutta sait väärän käyttäjätilin.
Menee kyllä aika pahasti puurot ja vellit sekaisin kun aletaan sormenjälkitunnistusta syyttämään ja uskotaan kt/ss tunnistuksen olevan luotettavampi. Tapaus näyttää niin perinteiseltä atk-kämmiltä kuin olla vaan voi, samaan aikaan sisäänkirjautuvat käyttäjät ovat joidenkin tiettyen ehtojen täyttyessä saaneet toistensa sessiot. Vielä ei ole julkisuudessa ollut tietoa onko kyseessä ollut vain mobiiliappiksen ongelma vai onko selainkäyttiksellä ollut sama vika, mutta ainakin kaikki julkisuudessa näkyneet ruutukaappaukset ovat olleet mobiiliappiksesta.
Maallikkona luulisi, että käyttäjä on autentikoitu mobiililaitteessa ja se toiminut niinkuin pitää. Palauttanee jonkun responsen Nordnet järjestelmään ja kryptattuna mitälie, mutta tämä on toiminut niinkuin pitääkin.
Sitten Nordnet serveripuolen applari on varmaan kutsunut jotain palikkaa IMS tai mitälie systeemissä ja sen syvyyksistä on käyttäjä A autentikoitu ja identifioitu? ok, mutta koko prosessi onnistuneesti suoritettuna on palautunut IMS? systeemistä käyttäjä B ja tämä käyttäjän tietoihin sitten kaikki oikeudet. Nooh tämä nyt arvailua, tuskin saamme tietää julkisuuteen kuka teki mitä häh?
Niin tai näin, niin koko himmeli on implementoitu päin peetä jos käyttäjä A on halunnut sisään ja lopputulos on käyttäjä A saa eteensä käyttäjän B. Eikun bittisilppuriin koko softa ei tuolla tee mitään.
Eli tekevät järjestelmän tuotantopäivityksiä pörssin ollessa auki? Vähän epäilyttää kyllä nämä Nordnetin selitykset
Jos eivät tekisi, olisi kehitys paljon kankeampaa eikä sivut ja sovellukset olisi edellä perinteisiä pankkeja.
Tuosta voi olla kovin montaa mieltä. Minun mielestäni Nordnetin sivut ovat edelleen huomattavasti huonommat kuin edellinen, 2019 poistunut versio. Myös vertailu Nordean Investoriin ei liene Nordnetin eduksi.
Joo siis jos OP, Nordea tai Danske olisi tällainen kooma otsikot olisivat erilaiset ja poliitikot vaatisivat inkvisitiota
Julkisuus kuvastaa median ja sen kuluttajien tiedon tasoa ja mielenkiinnon kohdetta. Sama ilmiöhän näkyi lehdissä ja Ylellä kovin muodikkaaksi muuttuneen rahastojen jäädytyksen osalta. Jo oletusarvoisesti epälikvidien kiinteistörahastojen sääntöjen mukaisesta jäädytyksestä nousi suorastaan hellyttävä meteli ja myötäeläminen yksityissijoittajan rinnalla. Paljon vakavammasta ja todennäköiseen rahan menetykseen johtavasta rahastojen jäädytyksestä venäjä-rahastoissa jo lähes kolme vuotta sitten ei ole uutisoitu läheskään yhtä aktiivisesti, etenkään sijoitusskenen ulkopuolisessa mediassa, joka repi isot otsikot kiinteistörahastoista. Niissähän saattaa jopa päästä omilleen jos malttaa istua rahaston päällä rahastoesitteen suosittelemat vuodet, mutta venäjä-rahastoissa on erittäin suuri alaskirjauksen todennäköisyys.
Nordnetin tapauksessa minua häiritsee sen kohteleminen mediassa eilisiä TV-uutisia myöten pelkkänä tietovuotona ja GDPR-rikkomuksena. On hieman halveksivaa kertoa asiakkaille ja kuulijoille / lukijoille, että rahaa ei ole voitu viedä koska vastatiliä ei voinut vaihtaa.
En suinkaan vähättele tiedovuodon haitallisuutta, koska kyseessä on hyvin henkilökohtainen data. Uutisten mukaan on ollut mahdollista tehdä myös rahallista menetystä aiheuttavaa kiusaa hölmöillä toimareilla, joilla saattoi realisoida verovelan maksuun. Epärehelliselle oli tarjolla jopa mahdollisuus yrittää hyötyä itse rahallisesti myymällä toisessa salkussa olevaan omaan ostotoimariinsa sopivaan hintaan.
Jos kauppoja toisen tilillä on tehty, on mielenkiintoista nähdä miten niitä korjaillaan. Jokaisella toimarilla on myös toinen osapuoli jolla on toivottavasti myös oikeutensa.
Venäjärahastoihin liittyen. Ostin joskus 2000-luvun alussa parin vuoden aikana jonkinlaisen siivun Seligson Prosperity Russiaa. Se muistaakseni moninkertaistui parhaimmillaan. Olisiko ollut +600% tai jotain sinne päin. Pihtiputaan Mummo ”mittään ei myyä” ja Indeksirahasto ja ETF sijoitusfilosofiastani johtuen mulla oli toi myös silloin kun se rahasto meni lukkoon. Ei ollut tietenkään mikään iso mälli portfoliosta ja se oli sulanut kovimmasta piikistä jo paljonkin.
No enivei. Pitkän johdatuksen jälkeen toi taidettiin maksella takaisin jonkinlaisella arvostuksella
Teoreettinen mahdollisuus, että jollakin olisi isompi Supercellin perustaja tai Herlin suvun tyyppinen arvo-osuustili. Jos sieltä painaisi laitaan tällaisessa skenaariossa 100M€ nominaalin edestä tavaraa se vaikuttaa jo pörssikursseihin
Nyt se kirjautumisuudistus tulee sitten myös meille tavallisille asiakkaille, kertoi päivän uutiskirje. 15.4. alkaen vaihtoehdot ovat vain älyluuri ja mobiilivarmenne. Varsin ikävää etteivät edes aio tarjota TOTP:tä tai pankkitunnistusta.
Laitoin palautetta että jos muutos toteutuu tällaisenaan, minun on pakko päättää asiakkuuteni. Laittakaa kaikki muutkin joita asia koskee, niin ehkä saadaan muutos huhtikuuhun mennessä (viestit -> reklamaatiot ja palaute).
Minä en omista (enkä tule omistamaan) älypuhelinta vaan vanhalla pienellä ja näppärällä Nokialaisella mennään. Laitoin tästä kyselyn Nordealle että millä minä pääsen tililleni huhtikuun uudistuksen jälkeen. Tuli melko tyly vastaus. Ei tarjota asiakkaalle mitään muuta vaihtoehtoa kaksi-portaiseen tunnistautumiseen kuin appi.
Hei!
Ymmärrämme tilanteen, mutta valitettavasti jatkossa kirjautumisvaihtoehtomme ovat joko kaksivaiheinen tunnistautuminen Nordnet-sovelluksen kautta tai mobiilivarmenne.
Onko vinkkejä, miten tästä voi tehdä Fiva:lle tiketin. Onko sivuilla joku valmis lomake vai pitääk tehdä vapaamuotoinen ilmoitus ja mihin se lähetetään? Tai, onkohan tällä edes merkitystä. Joka tapauksessa osakevaihto loppuu osaltani, kun viedään työkalut. Sinne ne osakkeet jää enkä tule niitä ikinä saamaan takaisin?
Ei taida olla FIVA:a kiinnostava asia. Kuluttajapalveluista ainakin ennen valitettiin Vakuutus- ja Rahoitusneuvontaan https://www.fine.fi/ota-yhteytta.html
Minua vähän ihmetyttää mikä siinä älypuhelimen hankinnassa on niin kauheaa, mutta olen kyllä samaa mieltä että älytöntä tuo kirjautumismahdollisuuksien karsiminen kyllä on. Eivät taida olla huolissaan asiakkaiden menettämisestä kilpailijoille.
Jos olet S-pankin asiakas niin et tarvitse kännykkää kirjautumiseen.
Nordnettiin voi kirjautua verkkopankkitunnuksin klikkaamalla "Avaa tili". S-pankin asiakas voi tällöin kirjautua ilman kännykkää tunnuslukutaulukon avulla.
Nordnet ei mainosta verkkopankki kirjautumistapaa, koska joutuvat maksamaan jokaisesta verkkopankkikirjautumisesta palvelun tarjoajalle ...
Minua vähän ihmetyttää mikä siinä älypuhelimen hankinnassa on niin kauheaa, mutta olen kyllä samaa mieltä että älytöntä tuo kirjautumismahdollisuuksien karsiminen kyllä on. Eivät taida olla huolissaan asiakkaiden menettämisestä kilpailijoille.
No, ensimmäinen ja oikeastaan tärkein syy on laitteen koko ja perinteiset painikenäppäimet. Koitappa harrastaa aktiivisesti merellistä toimintaa eri kokoisten vesikulkuneuvojen ja älypuhelimen kosketusnäyton kanssa. Kohtaat useita haasteita. Eikä vähäisin ole jos satut putoamaan mereen ja tarvitset jeesiä viranomaiselta, älypuhelimella saattaa olla pieniä haasteita saada soitettua. Aina ei viitsisi PLB:ta laukaista ja sillä saa apua hitaammin. Minulle tulee vuodessa tyypillisesti noin 100 meripäivää (harrastukset). Kesäaika tuottaa perinteiselle puhelimelle etuja koon puolesta eikä 7 päivän lataussykli ainakaan heikennys ole.
Bonuksena tässä tulee tietoturva, kun puhelin ja tietokone on eri laite. Eikä koko elämä ole yhden puhelimen varassa, jos se hajoaa, häviää tai varastetaan, niin nyt menetän vain puhelimen, kaikki muut palvelut jää.
Mutta kiitos vinkistä, Fineen otan yhteyden.
_SSR_ wrote:
Jos olet S-pankin asiakas niin et tarvitse kännykkää kirjautumiseen.
Nordnettiin voi kirjautua verkkopankkitunnuksin klikkaamalla "Avaa tili". S-pankin asiakas voi tällöin kirjautua ilman kännykkää tunnuslukutaulukon avulla.
Nordnet ei mainosta verkkopankki kirjautumistapaa, koska joutuvat maksamaan jokaisesta verkkopankkikirjautumisesta palvelun tarjoajalle ...
Tunnusluktaulukko on last season. Nordea tarjoaa asiakkaileen ilmaiseksi pienen luottokortin kokoisen tunnuslukulaitteen. Näppärä laite. Minulla on tuo vaalea pienempi, mutta näköjään vaihtumassa kamerapohjaiseksi. Ja suurenee.
Laitoin tästä kyselyn Nordealle että millä minä pääsen tililleni huhtikuun uudistuksen jälkeen. Tuli melko tyly vastaus. Ei tarjota asiakkaalle mitään muuta vaihtoehtoa kaksi-portaiseen tunnistautumiseen kuin appi.
Apin käyttöönottoon tarvitaan joko pankkitunnukset tai mobiilivarmenne. Joita ei ulkomailla asuvana ole mahdollista hankkia, varsinkin nyt kun pankit ovat alkaneet irtisanomaan tilejä.
Kansalaisvarmennetta taas ei taida mikään pankki Suomessa hyväksyä.
Lähetimme keskiviikkona 12.2. erilliset viestit kaikille niille asiakkaille, joiden tietoja on ollut näkyvissä toiselle asiakkaalle tämän kirjautuessa sisään, ja niille asiakkaille, joilla oli virheellisesti mahdollisuus nähdä toisen asiakkaan tilitietoja.
Viestit on otsikoitu ”Tekninen ongelma 11.2. ja sen vaikutus tiliisi”.
Jos et ole saanut kyseistä viestiä, tietojasi ei ole näkynyt muille.
Asiakkaita, joiden tiedot näkyivät hetkellisesti toiselle asiakkaalle, oli Suomessa noin 500 ja Pohjoismaissa kokonaisuudessaan noin 1500.
***
Tulee kyllä käytyä heti aamusta katsomassa onko arvo-osuustilillä vielä sijoitukset yön jäljiltä paikallaan.
Minua pännii älypuhelinpakotuksessa lähinnä pakotettu vaihto huonompaan, sekä täysin turhat kulut. Ei ole teknisesti eikä taloudellisesti mitään syytä tehdä noin, TOTP on myös yritykselle täysin ilmainen, eikä se edes vaadi sen enempää dev-resursseja kuin salasana.
SSR: Nordnet ei mainosta verkkopankki kirjautumistapaa, koska joutuvat maksamaan jokaisesta verkkopankkikirjautumisesta palvelun tarjoajalle ...
Tuohan pätee myös mobiilivarmenteeseen? En löytänyt Elisan enkä DNA:n hintoja, mutta Telian löysin, he laskuttavat 3 senttiä per tunnistus plus asiakkaasta riippuvan kk-maksun. Pankkitunnistuksesta OP näyttää laskuttavan täsmälleen saman hinnan, 3 senttiä per tunnistus, mutta kk-maksua ei ole. Näin ollen mobiilivarmenteessa ei ole taloudellisestikaan mitään järkeä.
Tässä on ehtinyt miettiä mahdollisia motiiveja, sekä toteutustapaa jossa huono uudistus tuodaan Suomeen ensin (varsin yleinen tapa monella firmalla, ks aiempi viestini jossa kerroin kuinka ruotsalaisille sallitaan yhä pankkitunnistus). Olen keksinyt kaksi syytä, mobiiliapista saatavat datanmyyntitulot (keskiverrossa äpissä on 10-15 vakoiluträkkeriä, joista saa sentin murto-osia per asiakas per päivä), ja pyrkimys saada asiakkaista peliaddikteja (hei treidaus on hauskaa ja näin voit tehdä sitä salilla/bussissa/jne, enemmän 7e/15e toimeksiantomaksuja). Robinhood on tuon äppiaddiktion edelläkävijä, heitä jopa sakotettiin sen liiallisesta pelillistämisestä, kun toimeksiannon jälkeen räjähteli konfettia ruudulla ja muita efektejä tuomassa dopamiinihittiä.
Kumpikaan syy ei ole erityisen mairitteleva, puhuessani näin asiakkaana enkä Nordnetin osakkeenomistajana.
Kysyin muuten Osakeliitolta josko he ottaisivat tähän kirjautumisasiaan kantaa, tässä kun selvästi sorsitaan suomalaisia piensijoittajia ruotsalaisiin verrattuna. Kuulemma ei ole heidän asiansa kommentoida välittäjien toimintaa, mikä hieman kummastuttaa minua, sillä ilman välittäjää on kovin vaikeaa olla osakesäästäjä.
Kuuluisiko mielestänne Osakeliiton ottaa kantaa myös välittäjiin?
Tässä on ehtinyt miettiä mahdollisia motiiveja, sekä toteutustapaa jossa huono uudistus tuodaan Suomeen ensin (varsin yleinen tapa monella firmalla, ks aiempi viestini jossa kerroin kuinka ruotsalaisille sallitaan yhä pankkitunnistus). Olen keksinyt kaksi syytä, mobiiliapista saatavat datanmyyntitulot (keskiverrossa äpissä on 10-15 vakoiluträkkeriä, joista saa sentin murto-osia per asiakas per päivä), ja pyrkimys saada asiakkaista peliaddikteja (hei treidaus on hauskaa ja näin voit tehdä sitä salilla/bussissa/jne, enemmän 7e/15e toimeksiantomaksuja). Robinhood on tuon äppiaddiktion edelläkävijä, heitä jopa sakotettiin sen liiallisesta pelillistämisestä, kun toimeksiannon jälkeen räjähteli konfettia ruudulla ja muita efektejä tuomassa dopamiinihittiä.
Kumpikaan syy ei ole erityisen mairitteleva, puhuessani näin asiakkaana enkä Nordnetin osakkeenomistajana.
Minä taasen veikkaan motiivin olevan yksinkertaisempi: Niiden joukko, jotka vakaumuksellisesti kieltäytyvät hankkimasta mobiililaitteita on pieni, eikä se ole kasvamaan päin. Kolikon kääntöpuolella kasvussa on joukko, joka haluaa hoitaa asioita mobiililaitteilla, tai vähintäänkin suhtautuu neutraalisti mobiiliapplikaatioihin.
Yritykselle on tavallista kuopata liiketoimintaa, jolla ei nähdä olevan tulevaisuutta. Viime vuosilta muistan tuosta revityn otsikkoja lehtiin, kun metsäyhtiö sulkee jonkin tuotantolaitoksen, vaikka laitos olisikin vielä liiketoiminnallisesti plussan puolella. Eli ohjelmistokehityksessä kuopataan vanhoja järjestelmiä, joilla ei nähdä tulevaisuutta, mutta joiden ylläpitoon kuitenkin vaaditaan vielä resursseja. Tätä tapahtuu myös siinä vaiheessa, kun vanhalla systeemillä on vielä maksavia käyttäjiä, jolloin vaikka liiketoiminnallisesti ylläpito olisi kestävällä pohjalla, niin nekin resurssit halutaan uudemman systeemin kehitykseen.
Tarkennatko, että millä perusteella MFA on vaihto huonompaan? Tuskin ainakaan tietoturvan näkökulmasta?
Tarkoitan, että vaihto tyhmästä puhelimesta älypuhelimeen on minun kohdallani vaihto huonompaan. MFA finanssipalveluihin on kannatettava asia, kunhan se tehdään tavalla josta ei koidu lisäkuluja. Jos luet aiemmat viestini, olen jatkuvasti kannattanut TOTP:tä, mikä on useilla palveluilla käytössä MFA-teknologiana. Jos olet käyttänyt esim. Google Authenticatoria, olet käyttänyt TOTP:tä. Haluaisin myös Nordnetin ottavan tämän vaihtoehdon MFA-kirjautumiseen.
JP: tuo pätisi jos tässä oltaisiin kuoppaamassa nettisivuja kokonaisuudessaan, eikä yhtä pientä kirjautumiskomponenttia jonka ylläpito ei vie kuin pyöristysvirheen. Voi tietysti olla, että tämä on yksi askel siihen suuntaan.
On myös mainittava zoomereilla vallassa oleva trendi, jossa yhä useampi luopuu älypuhelimesta ja hommaa yksinkertaisemman (ns. flip phone-trendi). Toisaalta jotkut uudet välittäjät eivät edes tarjoa nettisivuja, mutta niistäkin pari on jo muuttanut suuntaa ja tuonut nettisivut tarjolle äpin lisäksi.
Ongelman aiheutti kirjautumiseen liittyvä ohjelmistokomponentti. Komponentti ei toiminut oikein, minkä vuoksi osalle kirjautuneista asiakkaista näkyi hetkellisesti väärää tietoa.
Tämä sama kioski yrittää pakottaa vanhat lojaalit kanta-asiakkaansa väkisin lopettamaan käyttätunnuksen ja salasanan käyttämisen🫵! Shame on you.
Kun loggaa sisään Nordnetiin niin käyttäjä A on linkattu tietokantoihin unkiikilla tunisteella sanotaan 1234. Tämä on liitetty jokaikiseen A dataan. Nyt käyttäjä A halusi päästä sisään systeemiin ja niin pääsikin. Mutta käyttäjä A sai käyttöönsä käyttäjä B tunnisteen 2343 ja sillä fetchattiin tiedot. Tai sitten käyttäjä A korvaantui kokonaan käyttäjä Bksi mikä on jos vain voi vielä isompi kämmi. Jotenkin tällainen on logiikaltaan tämä kardinaalimoka.
Näiden tunareiden softanko sitten lataat puhelimeesi ja luotat että se on turvallinen ja toimii? Ja kännykkä kun varastetaan tai hukkuu niin taitaa sekin olla vain oman salasanan takana ettei joku ulkopuolinen pääse esiintymään sinuna kun se on sähköinen henkilötodistus. Ei tuo eroa mielestäni mitenkään kt/ss tunnistautumisesta, mutta jokaisella on mielipiteensä.
Jos jätetään tuo anteeksiantamaton moka pois niin ainakin minut Nordnet menetti asiakkaanaan kun kt/ss + vaikka sms tai email koodi ei ole mahdollinen.
Laitoin tästä kyselyn Nordealle että millä minä pääsen tililleni huhtikuun uudistuksen jälkeen. Tuli melko tyly vastaus. Ei tarjota asiakkaalle mitään muuta vaihtoehtoa kaksi-portaiseen tunnistautumiseen kuin appi.
Apin käyttöönottoon tarvitaan joko pankkitunnukset tai mobiilivarmenne. Joita ei ulkomailla asuvana ole mahdollista hankkia, varsinkin nyt kun pankit ovat alkaneet irtisanomaan tilejä.
Kansalaisvarmennetta taas ei taida mikään pankki Suomessa hyväksyä.
Niinpä. Yksinkertainen MFA ratkaisu ja yhtä tietoturvallinen olisi txt-viestipohjainen kaksiportainen tunnistautuminen. Sähköpostiin en niin luottaisi, mutta onhan mm. turvallisuusviranomaiset Suomessa senkin hyväksyneet käyttöön, eli se on heillä käytössä. Mutta Nordnetille sekään ei jostain syystä käy. Salaliittoteoreetikko alkaisi jo miettimään miksei? Onneksi en ole sellainen.
Eikö sen käyttäjän käyttäytymisdatan saa jo nyt, vaikka ei olisi vahvaa tunnistautumista. Sellainpohjaisessa järjestelmässä pakotetut keksit tai järjestelmän keräämä loki-tieto on siihen ratkaisu. Mielestäni siihen ei tarvitse appia.
Yhä sama ongelma toistuu. On mukavaa, kun ei päässyt myymään, mitä halusi ja vielä mukavampi sulkea OST ja yleisestikin koko valitettavasti sanottuna p*ska.
Yhä sama ongelma toistuu. On mukavaa, kun ei päässyt myymään, mitä halusi ja vielä mukavampi sulkea OST ja yleisestikin koko valitettavasti sanottuna p*ska.
Olemme alkaneet poistaa käyttäjätunnuksia ja salasanoja käytöstä kirjautumismenetelminä niiltä asiakkailta, joilla on kaksivaiheinen tunnistautuminen jo käytössä. Käyttäjätunnus ja salasana poistuvat kaikilta asiakkailta viim. 15.4.2025
Tänään näemmä lakkasi monilla käyttäjätunnus ja salasana toimimasta. Kaveri laittoi viestiä, että ei päässyt aamulla niillä sisään. Itsellä nyt illalla poistunut käytöstä.
Sama täällä, ei onnistunut päivällä enää kirjautuminen noilla. Aivan surkeasti Nordnet on tämänkin homman hoitanut kun ei osaa viestiä tarkasti kuten asiaan kuuluisi.
