AfterDawn logo

Luottokunta uskoo NFC-korttien tietoturvaan: "Turvallisuusuhat liioiteltuja"

Teemu Laitila Teemu Laitila
19 kommenttia

Nets eli entinen Luottokunta pitää viime aikoina julkisuudessa olleita lähimaksukorttien tietoturvaongelmia liioiteltuina. Yhtiön mukaan kortin kopioiminen etänä ei ole mahdollista.

Tällä hetkellä NFC-tekniikalla toimivia lähimaksukortteja myöntävät Suomessa esimerkiksi OP Pohjola sekä Nordea. Korttien määrä kasvanee vauhdilla tämän vuoden aikana, kun pankit tarjoavat automaattisesti NFC-korttia uusimisen yhteydessä. Kaikkia bussikortin tapaan vilauttamalla toimivaan maksukorttiin siirtyminen ei kuitenkaan innosta, varsinkaan sen jälkeen, kun on käynyt ilmi, että ainakin osan kortin tiedoista voi kopioida sopivalla laitteella vaikka bussissa vieruskaverin taskusta.

Netsin mukaan turvallisuusuhkia on kuitenkin liioiteltu. Vaikka joku onnistuisi lukemaan kortin tiedot etänä, tietotvarkaalle päätyisi pelkästään luottokortin numero sekä voimassaoloaika, mutta ei kortin kääntöpuolelle painettua tarkistuslukua (CVC/CVV). Ilman tarkistuslukua luottokortin numerokin on hyödytön, sillä esimerkiksi verkkokaupoissa ostosten teko ei onnistu ilman kolminumeroisen koodin syöttämistä.

Lähimaksukortti voi Netsin mukaan jopa parantaa turvallisuutta, kun esimerkiksi baaritiskillä ei tarvitse näpytellä tunnuslukua kortinlukijaan. Lisäksi NFC-maksukorttia koskevat samat säännöt kuin muitakin pankki- ja luottokortteja. Jos kortti varastetaan tai katoaa, kortin sulkemisen jälkeen kuluttaja ei ole vastuussa kortilla tehdyistä väärinkäytöksistä.


Lisäksi ilman sulkemistakin varastetun kortin väärinkäyttöpotentiaali on normaalia luottokorttia ja urkittua PIN-koodia pienempi, kun yksittäisten ostosten yläraja on 25 euroa ja peräkkäisten pelkällä lähiluvulla tehtyjen ostosten lukumäärää on rajoitettu ennen kuin kortti kysyy taas PIN-koodia.

19 KOMMENTTIA

XB7001/19

Olisi kiva että toi ominaisuus tulisi käyttöön puhelimeillekin. Vaikka Elisa tarjoaa jo jonkilaista ratkaisu. Niin käyttäisin, jos tulisi vaan fiksu ratkaisu siihen ja se tuki kaupoista.

WereCatf2/19

"Yhtiön mukaan kortin kopioiminen etänä ei ole mahdollista."

No ei nuo tietenkään myönnä tietoturvaongelmia, kun ne haluaa vaan saada tuotettaan myytyä. Todellisuus kuitenkin on, että NFC-korttien kopioiminen on paitsi mahdollista, myös helppoa, ja se on todistettu jo kymmeniä kertoja erilaisissa tietoturvakonventioissa.

"Lähimaksukortti voi Netsin mukaan jopa parantaa turvallisuutta, kun esimerkiksi baaritiskillä ei tarvitse näpytellä tunnuslukua kortinlukijaan."

Jos kortinlukijaan ei tarvitse näpytellä mitään lukuja vaan se voi lukea kaiken tarvittavan etänä, niin ihan yhtä hyvin voi hyökkääjäkin tehdä saman.

Lumikki3/19

Tietoturva asiat ei ole missään vaiheessa kiinnostaneet näitä maksujärjestelmien suunnittelijoita. Siellä on aivan peruslaatua olevia töpäyksiä. Joten en yhtään ihmettele että NFC-korteissa olisi tietoturva reikiä. Onhan ihan tavallisessa verkon kautta tapahtuvassa pankkikorttimaksussa tietoturva ongelmia. Siis kuka näitä suunnittelee ei ymmärrä tietoturvan päälle yhtään mitään.

G0lden_Kebab4/19

Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi.

En tod. jättäis kaikkea sen varmistuskoodin varaan niinkuin tuolla sanotaan.

Noh..en tiedä, kun en ole näihin kerennyt perehtymään vielä.

Kertokaas joku, että jos nfc tekniikka toimii siten, että korttia pidetään vaan lähellä lukijaa joka sitten lukee kortin niin miksi se olisi sen parempi kuin vain yksinkertainen luku siten että tunget kortin koneeseen (fyysinen kontakti vaaditaan), muuten "samalla" lailla kuin nfc? ja ihan yhtä nopeaa. Missasinko nyt jotai oleellista tässä?.

Sen käsitän että kännykkää ei voi helpolla tunkea kortinlukijaan..., mutta mihin tätä ominaisuutta sitten tarvitaan tavallisessa kortissa yhtään, kun sen voisi vain lukea fyysisesti aina. (kortti sisään - kortti ulos) ihan yhtä nopeasti (~sekunti).

Agent_0075/19

Lainaus:

mutta mihin tätä ominaisuutta sitten tarvitaan tavallisessa kortissa yhtään, kun sen voisi vain lukea fyysisesti aina. (kortti sisään - kortti ulos) ihan yhtä nopeasti (~sekunti)


Ongelma on tietyissä paikoissa se, että tuon fyysisen kontaktin tekeminen on hitaampaa (esim. julkisessa liikenteessä NFC-matkustajat voivat vain kävellä päätteen ohi, kun tavallisen maksukortin käyttäjän on pakko käytännössä pysähtyä). Tietyissä paikoissa nuo fyysiset lukijat tuppaavat lisäksi likaantumaan ja sen seurauksena vikaantumaan, kun taas NFC-päätteen suojaaminen on tältä osin helpompaa.

xbkrypt0n6/19

Onkohan sitä 2010 haavoittuvuutta vielä edes korjattu?

http://en.wikipedia.org/wiki/EMV#2010:_..._on_stolen_card

Lainaus:

tietotvarkaalle päätyisi pelkästään luottokortin numero

yussef7/19

Lainaus:

Netsin mukaan turvallisuusuhkia on kuitenkin liioiteltu. Vaikka joku onnistuisi lukemaan kortin tiedot etänä, tietotvarkaalle päätyisi pelkästään luottokortin numero sekä voimassaoloaika, mutta ei kortin kääntöpuolelle painettua tarkistuslukua (CVC/CVV). Ilman tarkistuslukua luottokortin numerokin on hyödytön, sillä esimerkiksi verkkokaupoissa ostosten teko ei onnistu ilman kolminumeroisen koodin syöttämistä.

Entäs sitten bussissa tai kivijalkakaupoissa?
Jos tästä etäluvusta on jotain hyötyä, ei tunnuslukua tarvitse pysähtyä naputtelemaan -> kortilla voi maksaa kassalla ilman tunnuslukua tai CVC/CVV -tarkistuslukua. Jos taas kassalla joutuu tunnusluvun joka tapauksessa naputtelemaan, en näe nfc:stä merkittävää hyötyä. Tietysti puhelimen käyttö korttina houkuttaisi, mutta sekään ei oikein vielä onnistu.

Bodomed8/19

Tarkottaisko tää sitä että sitten vois maksaa tuolla NFC ominaisuudella varustetulla kortilla myös dösämatkoja?

Sakke889/19

@Aivan kuten nykyisillä matkakorteilla. Maailmalla ja suomessakin jo hyvin yleisesti käytössä oleva RFID 13.56 ja NFC toimivat samalla taajuudella ja ovat yleisesti yhteensopivia.

Jos sattuu omistamaan nfc:llä varutetun puhelimen, niin matkakortin tietoja voi yrittää lukea. Suojauksista johtuen sieltä ei kuitenkaan kovin paljoaa tietoa saa.

epoksi10/19

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:

Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi.

No nyt on kyllä jollain jäänyt matikan tunnit käymättä :D

bfr11/19

Lainaus, alkuperäisen viestin kirjoitti epoksi:

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:

Eikä (CVC/CVV) ole yleensä kuin 3 numeroa = 999 mahdollista yhdistelmää, äkkiäkös sen on jo käynyt läpi.

No nyt on kyllä jollain jäänyt matikan tunnit käymättä :D

Tarkentaisitko? En minäkään tuosta saa kuin 1000 eri yhdistelmää, viittaatko 000:n unohtumiseen vai jäikö itseltäsi mahdollisesti matikan tunnit käymättä?

epoksi12/19

Siis mitä tarkennettavaa tuossa enää on? Itsekin tuossa totesit, että yhdistelmiä on 1000. Vai jäikö sinulta mahdollisesti äidinkielen tunnit käymättä?

G0lden_Kebab13/19

Lainaus, alkuperäisen viestin kirjoitti epoksi:

Siis mitä tarkennettavaa tuossa enää on? Itsekin tuossa totesit, että yhdistelmiä on 1000. Vai jäikö sinulta mahdollisesti äidinkielen tunnit käymättä?

Pätemisen tarve on suuri? =)

Onhan se kyllä kännyköissä kätevää, kun saa vilauttaa vain puhelinta kassalla tai missä ikinä onkaan pääte. Sen kyllä olen huomannut, että tunnusluvun "urkkiminen" on todella naurettavan helppoa varsinkin vanhemmilta ihmisiltä, kun näppäilevät koodia suorastaan "avoimesti" koneeseen (hyvä etteivät äänen sitä tavaa).

epoksi14/19

Missäs kohtaa minä olen pätemistä harrastanut? Virheistäkö ei saa huomauttaa?

XB70015/19

NFC TagInfo - Löytyy Google Plays:ta

Luin oman YTV matka kortin.
Jotain tietoa sieltä löytyy, mutta en hirveenä jaksannut keskittyä tällä hetkellä tulkitsemaan sitä =D .

Sove9217/19

Ja koko turvakoodivaatimushan on täysin riippuvainen nettikaupasta.

Lumikki18/19

Rahastaminen on se tärkeitä. Ei sen ole väliä rahastetaanko moneen kertaan tai että joku muu käyttää tietoturvareikiä varastaakseen toisen rahaa. Saahan se kauppa aina sitä rahaa. Asiakkaan oma vika se on jos joku asia menee pieleen. Ei ne jotka suunnittelee vuotavia ja viallisia järjestelmiä ole mistään vastuussa.

Asiakas on tyytyväinen kun se saa uuden kivan "vuotavan" leikkikalun. Se kun on uutta, "trendikästä" ja kivaa, ei se voi olla huono. Typerä ja vanhanaikainen on se ihminen joka vaatii turvallisia, yksityisyyttä kunnioitavia ja toimivia järjestelmiä.

wipe200019/19

Puhelimissa kai yleensä NFC on aktiivinen vain jos puhelimen näyttö on päällä, mikä estänee ainakin taskusta tehdyt kortinluvut älypuhelimen sisäiseltä NFC:ltä.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki