25.05.2012, 08:36

Panga klient: mobiilse-id kaudu võiks mu kontole siseneda ükskõik kes

Kaidi Tahula

FOTO: Foto: Tiit Blaat, Eesti Ekspress

Pärast seda, kui Nordea panga klient oli vahetanud oma mobiilinumbrit, avastas ta, et Nordea panga mobiil-id kasutab paroolide saatmiseks mitte isikukoodi vaid kliendi poolt sisestatud mobiilinumbrit.

„Kui minu veebipanga lehel määrata kontaktnumbriks mõne teise isiku mobiil, kellel on mobiil-id, siis tema saab minu panka sisse logida,“ ütles panga klient Delfi Majandusele, ise imestades, et taoline mitte turvaline süsteem pangas on.

Nordea panga e-pangatoodete tootejuhi Hendrik Rannametsa sõnul on nad igati tänulikud klienditagasiside eest ja kinnitab, et vastavalt juba eelnevalt kogutud klienditagasisidele ongi isikukoodi lisamine mobiilse-id funktsionaalsusse juba täna Nordea IT-arendusplaanides.

Selgituseks lisas Rannamets, et Nordea internetipangas toimub Mobiil-ID päringute saatmine sertifitseerimiskeskusesse täna tõesti mobiilinumbripõhiselt. „Oleme antud lahenduse arendanud lähtudes esiteks kasutajamugavusest, kus kasutaja ei pea iga kord internetipanka sisse logides ka oma mobiilinumbrit sisestama ning vastavalt sertifitseerimiskeskuse poolt esitatud mobiil-ID arendusnõuetele,“ ütles Rannamets.

Rannametsa sõnul on selline lahendus sama turvaline kui teiste mobiil-id rakenduse pakkujatel.

„Nordea internetipanka logitakse sisse mitte üldiselt teada või kergesti arvatava kasutajatunnusega nagu isikukood või lemmiksõna vaid igale kasutajalepingule genereeritud salajasest paroolist, mida kasutaja teistele isikutele teatavaks teha ei tohi,“ kinnitas Rannamets panga turvalisust.

Teiseks kinnituseks, et panka e-süsteemidesse on turvaline siseneda toob Rannamets selle, et kasutaja mobiilinumbri muutmiseks internetipangas on vaja kõigepealt internetipanka täielikult siseneda.

„See tähendab, et kliendile peab olema teada nii salajane kasutajatunnus kui ka vastav identifitseerimisvahend (ühekordne koodikaart, ID-kaart või mobiilne-id toim.),“ sõnas Nordea e-pangatoodete tootejuht.

Kui kõrvalisel isikul on õnnestunud nii kasutajatunnus kui ka identifitseerimisvahend enda kasutusse saada, siis on Rannametsa sõnul ebatõenäoline, et kõrvalise isiku peamine huvi on kasutaja internetipanka sisse logida vaid selleks, et mobiilse-idga paroolid saada ja see ringi vahetada enda mobiilse-id numbri vastu, vaid tõenäoliselt tahaks suli korda saata siis midagi märksa tõsisemat ja klienti varaliselt kahjustavat.

„Seega oleks kliendi poolt kirjeldatud situatsioon võimalik vaid sellisel juhul, kui võõras on suutnud omandada nii kasutaja internetipanga kasutajatunnuse kui ka identifitseerimisvahendi, seejärel internetipanka sisenenud ning mobiilinumbri enda mobiilinumbriks ringi vahetanud. Samahästi aga võiks võõras sellisel juhul juba esimesel sisselogimisel mobiilinumbri vahetamise asemel teha hoopis reaalset kahju ehk siis teha kontodelt näiteks väljamakseid,“ ütles Rannamets.

Seetõttu soovitab Rannamets klientidele alati hoida oma internetipanga kasutajatunnus ning identifitseerimisvahendid ainult enda teada ning kahtlustades, et keegi on need teada saanud tuleks teavitada sellest koheselt panka, et muuta paroolid ja tagada turvalisus.

Kommenteeri Loe kommentaare