Milleks Mobiil-ID kontrollkood

Ma just taipasin, et mitte kõik inimesed ei kontrolli Mobiil-ID kasutamisel, et kas arvutis olev ja telefonis olev kood on identne. Las ma seletan veidi, miks see oluline on.

Kui mina tahaksin sinu allkirja varastada, siis kõige lihtsam moodus on simuleerida id-keskust ja saata sulle sõnum mis käitub nagu PIN-koodi küsija ja ongi kõik. Aga kui sina parasjagu hambaid pesed ja keegi tuleb lambist allkirja küsima, siis sa ju ei trüki seda. Ehk pelgalt ajastus on see, mis tekitab kahtlust. Mis siis saab, kui ma saadan sulle selle sõnumi täpselt õigel ajal?

Kujuta ette, et lähed parajasti panka sisse logima ja PIN-ni kirjutasid ka ära. Kui sa nüüd kontrollkoode ei võrrelnud, siis võisin see hoopis olla mina, kes su allkirja endale sai. PIN peab olema arvutis ja telefonis identne, sest see on ainus viis kuidas kindel olla, et su allkiri jõuab lõpuks pangani ja mitte vargale.

Ründel on ka vastav nimi: Man in the Middle attack.

Krister Viirsaar

Read more posts by this author.

Subscribe to Krister's coding adventures

Get the latest posts delivered right to your inbox.

or subscribe via RSS with Feedly!