Tekijä wrote:

Vitsi, vitsi (varmuuden vuoksi laitoin viestiin hymiön, ettei tule niin helposti väärinkäsityksiä)

Noniin, sarkasmi lipsahtikin minulta pahasti ohi.
Ihan oikeasta aiheesta kyllä nostettu havainto, ei varsinaisesti lisää uskottavuutta jos tarjottu tunnistatutumisvaihtoehto ei toimikaan.

Tekijä wrote:

Kysymys kuuluukin viime aikojen tapahtumien valossa: antaisitko pankkitunnukset tälle firmalle ;)

Pankkitunnuksia ei tietenkään anneta kenellekään, ne ovat sinun henkilökohtaiset tunnuksesi. Eikä toki niitä tunnistautumiseen käyttäessä kolmansien osapuolten välille jaetakaan, kyllä ne pysyvät ihan sinun ja pankin välisenä asiana.

aliisan_avaimet wrote:

Paikannuksen nopeuteen löytyy yksi selitys uutisoinnin perusteella (kertoivat että tuo virhe oli mahdollinen X minuuttia). Eli ajettiin päivitys keskellä päivää ja sitten kun huomattiin että oho hups, peruttiin päivitys. Spekulaatiota, mutta hyvin todennäköinen selitys.

Tätä arvelin ensin itsekin, mutta jossain haastattelussa Tuppurainen nimenomaan painotti että tilanne ei liittynyt mihinkään tuotantoon vietyyn päivitykseen. Tiedä sitten miten paikkaansapitävä kommentti on ollut.

Tuommoinen lienee sangen helppo jäädä piiloon testauksessa, jos tässäkin testissä on tarvittu 100 samanaikaista kyselyä ennen kuin alkoi hajoamaan:
https://cloudamite.com/avoiding-tabloid-headlines-lessons-from-the-nordnet-incident/

Itselleni ainakin mielenkiintoisempi kysymys on se, miten ihmeessä paikansivat ja korjasivat vian niin nopeasti tilanteen osuessa tuulettimeen.

ft wrote:

Tyhmempi luulisi että pankinkaltaisessa firmassa ei luoteta johonkin open source palikkaan jonka tehnyt kukalie ja ylläpitää toinen mikälie.

Totuus on monesti tarua ihmeellisempää.

Lähde: https://xkcd.com/2347/

A wrote:

Kaksivaiheinen tunnistautuminen nimensä mukaisesti vaatii kahta erillistä vaihetta tunnistautumiseen..

Tästäkin olen vielä eri mieltä, mutta alkaa menemään jo hiusten halkomiseksi. Itse ajattelen niin, että MFA (multifactor authentication) ei kerro tunnistamisprosessin askelten määrästä mitään vaan ainoastaan että käytetään enemmän kuin yhtä kolmesta eri tunnisteesta:

• 
  Jotain mitä sinä tiedät (esim salasana)
• Jotain mitä sinulla on (tunnettu laite, yubikey, jne)
• Jotain mitä sinä olet (sormenjälki, face-id).

Joten jos sinulla on tunnistettu puhelinlaite (miten ikinä se kryptografian keinoin halutaan hoitaakaan) ja sen avaamiseen tarvittava somenjälki, on kyseessä jo multifactor.

A wrote:

Kännykkäsovelluksella QR-koodin skannaaminen ei ole kaksivaiheinen tunnistautuminen. 

No ainakin Googlen mielestä on, lopettavat vihdoin turvattomien sms:ien lähettelyn ja korvaavat QR koodilla.
https://www.theverge.com/news/618303/google-replacing-sms-codes-qr-gmail-security-two-factor-authentication

AlterEgo wrote:

Jep joo, nää tunarit nyt sitten unohti että voi olla useampia käyttäjätunnuksia.

Oikeasti, eivät enää mahdollista eri accounteille kirjautumista? Eeppistä...

Tassu wrote:

Poistaako Nordnet tiliin liitetyn käyttäjätunnuksen kokonaan samalla kun tilille kirjautuminen käyttäjätunnuksella evätään?

Öööh... MItä väliä? Eikö se ole aika sama onko siellä taustalla uniikkina tunnisteena joku satunnainen numerosarja, hetu tai joku muu merkkijono?

tupla