iPhonen turvallisuus varkaustilanteessa

[kaulahuivi]

Onko asia todellakin näin? Miten puhelin kuuluu turvata varkauden sattuessa? Omassa puhelimessa ei tällaista vaaraa onneksi edes ole.

https://www.tivi.fi/uutiset/tv/5f4a0ec7 ... parit:d075

[homenamsi]

Jos tunnukset ovat hallussa, omiin tietoihin pitäisi päästä käsiksi webbiselaimella. Jos salasana on vaihdettu niin sen uudelleen vaihtamiseen tarvitaan jokin kolmas laite.

Jos vorolla on kaikki tunnukset ja aikaa niin totta kai hän pystyy tekemään kaikenlaista. Ja millä hyvänsä varastetulla laitteella. Ei Applen laite ole sen kummempi jos vorolla on käyttäjän tunnukset hallussa.

Tuota luottokorttikuviota en tunne, se ehkä avaa tunnukset pöllineelle uusia mahdollisuuksia.

[EDIT: Poistettu jäljenpänä oikaistuja virheellisiä väittämiä ja käsityksiä.]

[hepokatt1]

Testasin katsottuani tämän videon:

https://youtu.be/QUYODQB_2wQ

Pelkällä puhelimen pääsykoodilla pystyy vaihtamaan Apple ID:n salasanan. Ei kysy vanhaa salasanaa. Kaksivaiheinen tunnistus ei auta tätä estämään kun luuri on kädessä ja käytössä.

[MacFinn]

Tottakai, jos suojakoodin saa haltuun, kaikki on auki. Siksi kasvotunnistus/sormenjälki ja kuusinumeroinen suojakoodi aina. Jos suojakoodin joutuu käyttämään, aina pitää suojata uteliailta katseilta.

[homenamsi]

Kiitos ojennuksesta ja oikaisusta. Näyttää siltä, että kaksivaiheisuus suojaa vain jos yrittää vaihtaa salasanaa selaimella.

[hot]

Tuossa rahojen/luottokortin käytössä on jotain, mitä en ymmärrä. On minullakin puhelimessa (Android) pankin sovellus, mutta sen salasana on eri kuin puhelimen pääsykoodi. Luottokortin numeroa tai muuta vastaavaa dataa ei löydy puhelimesta selkokielisenä. Osa tuollaisesta datasta on Bitwardenin sovelluksessa, ja tarvittaessa Biwardenin holviin pääsee muilta laitteilta firman web-sivuilta.

Joskus esim. PayPal-maksuihin tarvitaan 4 vaihetta, tunnus, salasana, 2FA (Authy) ja sitten maksu pitää vielä tehdä pankin sovelluksen kautta.

2FA tunnistautumista varten on Authy, jonka voi asentaa usealle puhelimelle ja tietokoneelle. 2FA ei ole yhden puhelimen takana, jos satun pudottamaan puhelimen vessanpönttoon tai lattialle tuusan päreiksi. Authy jopa kehottaa käytäjiä asentamaan ohjelman usealle laitteelle, ilman sitä voi olla hankalaa päästä 2FA:ta käyttäviin palveluihin, samalla hoituu varmuuskopiointi.

Muitakin ohjelmia ja kummallisia tapoja on. Joku saattaa ihmetellä, miksi. Turvallisuuden takia. Ei kaikkia munia samaan koriin. Yhdellä salasanalla pääsee yhteen palveluun, ei muualle.

[kaulahuivi]

Tässä tapauksessa käsittääkseni varas pystyi siis pelkällä puhelimen pääsykoodilla vaihtamaan omistajan Apple ID:n. Hän kirjasi myös omistajan pois puhelimesta ja sai hänet myös ulos kaikilta muilta Apple ID-laitteilta, koska varkaan vaihdettua salasanan omistaja ei pystynyt edes kirjautumaan enää omalle Macillensa? Apple Store ei osannut auttaa, vaan ehdotti uuden iPhonen hankintaa kolmanneksi laitteeksi. Mitä hyötyä siitä olisi ollut? Omistaja ei edelleenkään olisi päässyt omalle tililleen. Samalla pankkitili tyhjeni. Aika turvaton kokonaisuus. Tarinan opetus: älä pidä pankkia iPhonessa. Voi käydä huonosti. Onko tämä mahdollista samalla tavalla Android-puhelimessa? Ehkä, mutta en tiedä, koska en käytä pankkia älypuhelimessa. Kaksivaiheinen tunnistautuminen oli pelkkä vitsi tässä tapauksessa. Tapauksia on ilmeisesti paljon New Yorkissa. Harva taitaa tajuta, millainen riski iPhone oikeasti on. Hyvin menee, mutta hätätapauksessa ollaankin sitten tosi pulassa. Älylaitteiden turvallisuusasiat pitäisi miettiä kerralla kuntoon.

[starsailor2]

Monet pitää samaa koodia, jolla pääsee sisälle puhelimeen koodina rahansiirtopalveluissa. Helppo lisäsuoja olisi pitää erikoodia tai kansio, johon saisi kaikki kriittiset sovellukset (pankki ja muut maksamiseen liittyvät), jonka pääsy vaatisi faceid:n tai salasanan, joka olisi eri kuin sisälle pääsyssä vaadittava.

[KenSu]

On toi melko paha juttu että pelkällä pääsykoodilla voi vaihtaa AppleId:n salasanan. Kuuleman mukaan androideissa sama ongelma google-tunnuksen suhteen mutta en tiedä varmaksi.

Seuraavat vinkit kuulin ja toteutin:

- ota köyttöön alphanumeerinen pääsykoodi: voi olla paljon pidempi ja vanhasta tottumuksesta tuollaiset salasanat tulee syötettyä vähän piilossa => ei niin helppo vakoilla

- ruutuaikarajoituksille oma koodinsa ja estä ruutuajasta tunnusten muuttaminen (vähän vaikea löytää mutta on se siellä) => varas ei pääse vaihtamaan appleid:n salasanaa vaikka saisi vakoiltua pääsykoodin

EDIT: faceid:n (ja apple watchin) käyttö vähentää tarvetta syöttää pääsykoodia tietenkin.

[nikusa]

Tarinan opetus: älä pidä pankkia iPhonessa.

Tarinan opetus: käytä tunnuskoodina 1111:n sijasta vaikkapa ”1TässäOnKuulkaapaÄäkkösiä2” ja kukaan ei vakoile tunnuskoodiasi New Yorkissa. Oliko näillä ihmisillä muuten Touch ID / Face ID lainkaan käytössä? Jos ei ollut, niin miksi ei ollut? Oma puhelimeni kysyy tunnuskoodia usein aamulla, mutta eipä juuri koskaan muuten.

Käyttämäni mobiilipankki päästää sisään Face ID:llä. Jos naamantunnistus ei onnistu, niin sitten vaaditaan pankin oma avainkoodi. Puhelimen tunnuskoodilla ei pääse sisään. Eikä pankissa voi tehdä rahansiirtoja tai hyväksyä maksuja ilman pankin avainkoodia. En tiedä millaisia viritelmiä jenkeissä on, mutta noin yleisesti ei ole mitään syytä olla käyttämättä pankkia iPhonessa.

Ja kyllä, jos saat haltuusi Android-laitteen tunnuskoodin, niin ilmeisesti saat nollattua kaiken aivan samalla tavalla. Varkaita ei tosin jenkeissä taida Android-laitteet ja niiden käyttäjät kiinnostaa.

Sellainen muutos Applen pitäisi tehdä, että pitkä alfanumeerinen tunnuskoodi olisi aina oletus ja lyhyt numerokoodi pitäisi erikseen valita ja sen potentiaaliset seuraukset kerrottaisiin, eli koodi on helposti vakoiltavissa ja laitteesi ja tilisi on sitten vapaata riistaa. Myös Apple Pay voisi olla disabloitu jos alfanumeerinen tunnuskoodi ei ole käytössä.

[nikusa]

On toi melko paha juttu että pelkällä pääsykoodilla voi vaihtaa AppleId:n salasanan. Kuuleman mukaan androideissa sama ongelma google-tunnuksen suhteen mutta en tiedä varmaksi.

On aika vaikea ratkaista ”Olen unohtanut Apple ID-salasanani”-tilanne jos lähdetään siitä, että edes käyttäjän avattuun iPhoneen ei voi luottaa.

Laitteeseen ei voi silloin lähettää tekstiviestiä, eikä siihen voi myöskään lähettää MFA-promptia. Sähköpostiinkaan ei voi lähettää salasanan nollauslinkkiä, koska lähes kaikilla sähköposti tulee myös puhelimeen.

Toki passun vaihto voisi edellyttää tekstarin, MFAn tai sähköpostilinkin lisäksi jotain turvakoodia…mutta eihän sellaista kukaan muista, eli ollaan taas alkupisteessä.

[KenSu]

Kuulin myöhemmin että se salasanan nollaustoiminto on edelleen mahdollinen puhelimessa vaikka tekisi noi mainitsemani temput; unohdin vaan korjata viestini. Mulla on ihan oma email-osoitteensa pelkästään salasanan nollausta varten enkä ole sitä sähköpostia laittanut puhelimeeni.

[nikusa]

Mulla on ihan oma email-osoitteensa pelkästään salasanan nollausta varten enkä ole sitä sähköpostia laittanut puhelimeeni.

Tuo on fiksua, mutta voro voinee tilata SMS:n kautta avauskoodin. Toki sekin voisi olla toinen numero. Mutta sitten jää vielä se MFA-prompti. En tiedä saako sitä pois päältä ja pitäisikö edes saada.

Tähän ei ole mitään helppoa ratkaisua, jos loppukäyttäjällä halutaan kuitenkin säilyttää mahdollisuus selvitä ”passu unohtui”-tilanteesta itse, ilman matkaa Apple Storeen henkkareiden kanssa tms.

Käyttämällä biometristä tunnistusta ja pitkää alfanumeerista tunnuskoodia ongelmaa ei käytännössä edes ole.

On tietysti typerää, että oletuksena tarjotaan sitä numeerista PIN-koodia ja pitää itse hoksata ottaa parempi käyttöön.

Olisi kyllä kiva tietää moniko silti laittaisi mukavuuden takia lyhyen numerokoodin, vaikka se ei olisi oletus…

[Bumba]

Tuohon pankkitilin tyhjennykseen liittyen. En tiedä millaiset systeemit muualla maailmassa pankkisovellusten kanssa on, mutta ainakin Nordean pankkisovelluksella FaceID on minulla ensisijainen. Jos se ei toimisi niin sitten erillinen Nordean oma tunnus-/käyttäjänumero ja sen jälkeen vielä sisäänkirjautumisen vahvistukseen erillinen PIN-koodi. Eli ei pelkällä puhelimen suojakoodilla pysty pankkitiliä tyhjentämään.

[homenamsi]

Sama periaate on OP:n sovelluksessa. Ainoa ero on että tunnistautuminen ja pankkisovellus ovat yksi ja sama 'Appi', joka käynnistyksen jälkeen haarautuu tunnistautujaksi tai verkkopankiksi.

[eki]

Onko asia todellakin näin?
https://www.tivi.fi/uutiset/tv/5f4a0ec7 ... parit:d075

Enpä tiedä, asia on maksullisen linkin takana.

Miten puhelin kuuluu turvata varkauden sattuessa?

Turvatoimet kannattaa tehdä ennen varkauden sattumista, kuten täällä on jo mainittu.

Omassa puhelimessa ei tällaista vaaraa onneksi edes ole.

Hyvä juttu.

[Terotin]

Nämä kannattaa siis tehdä Apple ID:n ja muiden tärkeiden tilien suojaamiseksi:
- ruutuaika käyttöön omissa laitteissa ja sen asetuksiin salasanan vaihtamisen esto, ruutuajalle eri PIN-koodi kuin millä laite avataan, tämä estää mm. Apple ID:n salasanan vaihtamisen kun laite on väärissä käsissä ja ulkopuolinen tietää laitteen avaamisen PIN-koodin,
- tärkeiden tilien salasanat muuhun kuin Applen salasanamanageriin, tähän ei pidä päästä sisään samalla koodilla kuin millä puhelin avataan
- tilin palautuskoodi käyttöön, tallennus turvalliseen paikkaan (ei Applen salasanamanageriin), tämä pelastaa tilanteen kun Apple ID:hen ei pysty kirjautumaan

Toivomuslistalle:
- mahdollisuus asettaa kova avain (FIDO2) ehdoksi Apple ID:n salasanan vaihtamiselle kaikissa laitteissa, ei vain kirjautumisille uusissa laitteissa

[nikusa]

Ei taida Ruutuaika auttaa jos joku vaihtaa salasanan nettisivulla sähköpostiin tilatun linkin avulla? Edellyttää toki, että sähköposti on käytössä puhelimessa. Toki sähköpostisovelluksenkin voi laittaa ruutuajan taakse. Oliko minuutti minimi, vai saiko sovelluksen laitettua kokonaan Ruutuajan koodin taakse?

Tärkeimpien tilien salasanoja ei kannata laittaa ehkä mihinkään salasanamanageriin.

Yksinkertaisin keino välttää ongelmat on käyttää biometristä tunnistusta ja riittävän pitkää ja monimutkaista tunnuskoodia. Tällöin riski siitä, että joku sen baarissa tai bussissa urkkisi on varsin olematon.

[homenamsi]

Sehän se on oleellista - päällimmäisen kuoren vahvistaminen.

[apsev]

Tunnistautuminen perustuu kolmeen mahdollisuuteen:
- mitä sinulla on?, esim. (mekaaninen) avain tai laite
- mitä sinä tiedät?, esim. salasana
- mitä sinä olet?, esim. sormenjälki

Tai näiden yhdistelmiin -> monivaiheinen tunnistautuminen.

Jos monivaiheisen tunnistautumisen osatekijät ovatkin saman 'lukon' takana, niin pelihän voidaan katsoa menetetyksi ennen alkamista, voitaneen kuvailla myös varoituksella ettei kaikkia munia samaan koriin - kiitos!

PS: ja netissä on sitten (pakolla! - luotti tai ei) luotettu kolmas osapuoli, mutta ketjun konteksti ei tainnut liipata sitä?

[nikusa]

Tunnistautuminen perustuu kolmeen mahdollisuuteen:
- mitä sinulla on?, esim. (mekaaninen) avain tai laite
- mitä sinä tiedät?, esim. salasana

Noinhan homma tosiaan toimii tunnistautuessa:

Apple ID:n salasana -> jotain mitä tiedät, kunnes unohdat.
Pääsykoodilla tai biometriikalla lukittu iPhone -> jotain mitä sinulla on.

iPhonen pääsykoodilla voi siis resetoida Apple ID:n passun. Onnistuu myös sähköpostin kautta ja varmaankin myös SMS-varmistuskoodilla. Nuo tulevat lähes kaikilla siihen puhelimeen, jonka pääsykoodin urkkija on saanut selville.

Eli jos nuo kaikki (pääsykoodi, SMS, sähköposti) estetään, niin miten käyttäjä voisi enää itse nollata unohtunutta salasanaa?

Tietoturva on aina tasapainoilua käytettävyyden ja tietoturvan välillä. Minusta aika paljon menee käyttäjän piikkiin jos ei käytä biometriikkaa JA pääsykoodi on joku helposti urkittava 1234.

Se, että alfanumeerinen pääsykoodi pitää itse hoksata valita on typerää. Mutta moni varmaankin ottaisi silti laiskuuttaan ”PIN-koodin” käyttöön.

Itse vaihdoin tämän uutisen jälkeen kaikkien laitteiden pääsykoodit entistä hankalimmiksi alfanumeerisiksi. Koodin satunnainen syöttäminen on ankeaa, mutta ei haittaa.

[Terotin]

Ei taida Ruutuaika auttaa jos joku vaihtaa salasanan nettisivulla sähköpostiin tilatun linkin avulla? Edellyttää toki, että sähköposti on käytössä puhelimessa. Toki sähköpostisovelluksenkin voi laittaa ruutuajan taakse. Oliko minuutti minimi, vai saiko sovelluksen laitettua kokonaan Ruutuajan koodin taakse?

Joo, iforgot.apple.comin kautta voi resetoida sähköpostin kautta, eli kannattaa laittaa Apple ID:lle sähköpostiosoite, jolle on oma sovellus ja johon ei pääse suorilta tai laitteen avaavalla PIN-koodilla tai salasanalla, joka löytyy Applen salasanamanagerista. Sama juttu Google-tilin kanssa ja muissa tileissä, joille laskee jotain arvoa.

[nikusa]

[kannattaa laittaa Apple ID:lle sähköpostiosoite, jolle on oma sovellus ja johon ei pääse suorilta tai laitteen avaavalla PIN-koodilla tai salasanalla, joka löytyy Applen salasanamanagerista.

Kyllä, tosin tuo voi olla käytännössä hankala jos sama osoite on käytössä muutenkin tärkeimpänä osoitteena ja haluaisi kuitenkin käyttää sähköpostia muuten jotakuinkin normaalisti.

Mutta iCloudiin ja Gmailiin voi tehdä säännön, jolla salasanan nollausmailit laitetaan automaattisesti roskiin. Sieltä voro ei ehkä älyä katsoa.

Ruutuajalla voi myös kikkailla Mailin ja Viestit (SMS:n takia) kiinni, mutta en muista saiko sallituksi käyttöajaksi 0 minuuttia, eli kysyisi aina Ruutuajan koodia.

[apsev]

Tämäkin viestiketju osoittaa minulle karsean tosiasian, että internetin tekniikka ja sen päälle tehdyt alustat / sovellukset ovat täysiä raakileita tietoturvan suhteen. Kun tähän vielä lisätään (Suomen) pankkien vastuuton toiminta, esim. eivät koe tarpeelliseksi hälyttää erikoisia tilitapahtumia - joissakin muissa Euroopan maissa hälyttäminen on pakollista - niin soppa on valmis.

[Andreas66]

Ei suoraan liity iPhonen turvallisuuteen mutta pankkien toimintaan.

Ulkomailla vuoden asuessani kävi niin että pari viikkoa ihmettelin miksei debit -kortti toiminut. Kävi sitten ilmi, kun asiaa aloin selvittelemään, että joku verkkokauppa (luultavasti pääsylippukauppa) tai sen joku työntekijä oli vuotanut (myynyt) korttini tiedot jonnekin ja sillä sitten oli yritetty ostaa lentolippuja, nostaa käteistä yms tms. ympäri maailmaa. Olivat laittaneet sitten kortin kiinni, onneksi. En tästä mitenkään taloudellisesti kärsinyt, mahdolliset kuprut hoiti korttiyhtiö.

Asiasta ei mitenkään kuulunut minun suuntaani kun ei ollut Suomessa voimassa olevaa postiosoitetta, vaan tilapäinen osoitteenmuutos ulkomaille. Asia selvisi kun itse soitin pankkiin ja pankin ohjeistamana korttia hallinnoivaan firmaan.

Jos en väärin muista, sitten jossain vaiheessa tuli joku kirje asiasta, mutta siihen meni todella pitkä aika, ja asia oli sitä ennen jo selvitetty kuntoon. Olisivat edes soittaneet kun oli suomalainen liittymä kuitenkin olemassa.