Keskustelua välittäjistä

Soittelin asiakaspalveluun ja sieltä tosiaan vastattiin että ei onnistu OST:n siirto Mandatumille.

Ihme touhuahan tuo on kun siirtomahdollisuus on mainittu useammassa paikassa heidän sivuillaan.

Siirto jää tältä erää tekemättä, kun ainoa mahdollisuus on sulkea OST ja avata uusi → 10k veroja maksuun :nauseated_face:

1 tykkäys

Olen miettinyt samaa siirtoa ja pitänyt itsestään selvänä että se onnistuu. Aika ihme hommaa kun nyt ei onnistu. Luulisi jossain vaiheessa tulevan mahdollisuus tuohon.

Yritin tiedustella aikataulua myös mutta asiakaspalvelulla ei ollut tästä mitään tietoa.

Esteenä on vaadittava tietojärjestelmän kehitys.

Luulisi että tähän kannattaisi panostaa ja hoitaa homma toimivaksi kun selvästi halukkaita siirtyjiä löytyy.

Kyllä potentiaalisia asiakkaita menettää kun siirto ei ole mahdollista. Hyvin harva tässä tilanteessa haluaa myydä kaikki ost-tililtä ja maksaa verot vaihtaakseen. Olisi myös hyvä jos osaisivat jotain aikataulua antaa päivityksistä. No, toivotaan että saavat ne tehtyä kohtuullisessa ajassa ja tiedottavat asiasta.

Avaatko @nova18 hieman näkemystäsi? Seuraavat asiat ainakin askarruttavat minua:

  1. Miksi tunnistautumisen on oltava vahva? Eikö riitä, että vahva tunnistautuminen on suoritettu tiliä avatessa? 2FA voisi toki olla paikallaan, mutta on aivan eri asia kuin vahva tunnistauminen. 2FA suojaa siis siltä, että itse luovutat tunnuksesi phishing-hyökkäyksessä.

  2. Miten Vastaamo liittyy tähän? Vastaamon tietovuoto tapahtui ilmeisesti murtautumalla serveriin sen oletussalasanoilla (root/root tms). Asiakastietoja ei siis varastettu client-puolelta (eli kirjautumalla käyttäjätileille).

  3. Mihin perustuu väitteesi salasanojen huonoudesta? Nordnetin salasanan on oltava minimissään 8 merkkiä ja sisällettävä 1 iso, 1 pieni, 1 numero ja 1 erikoismerkki. Minimivaatimus tarkoittaa siis (26+26+10+18)^8 = 1,6 miljoonaa miljardia vaihtoehtoa. Tämän murtaminen kestäisi jo karkeasti kuukauden, vaikka se vuotaisi serveriltä. (Olettaen, että NN käyttää hashing + salt/pepper)

Toisin sanoen, kaikki Nordnetin salasanat, jotka eivät ole aiemmin vuotaneet muista palveluista (dictionary attack), kestävät ainakin kuukauden murtumatta. Toki, jos salasana on mallia “Salasana1!” ei kauaa kestä, kun oman tilin tyhjennys alkaa.

Toki voit tätä matemaattista turvaa heikentää laittamalla ison kirjaimen alkuun, numeron loppuun ja käyttämällä minimimittaista salasanaa tai muuta yleisesti käytettyä tapaa. Tai samaa salasanaa useammassa palvelussa.

Käyttämällä uniikkia, esim 16 merkin random-generoitua salasanaa, kasvaa murtoaika 100triljoonaan vuoteen. Luotan, että omani murtuvat viimeisten joukossa, palvelussa kuin palvelussa.

Ei se tee itse järjestelmästä heikkoa, vaikka sen käyttäjä olisikin laiska, tyhmä ja/tai taitamaton. Asiat voi tehdä hyvin tai huonosti.

4 tykkäystä

Hyviä erittelyitä.Viestissäsi oli kuitenkin jo itsessään aika monta hyvää perustetta ja vastausta siihen, miksi kirjautumusmahdollisuus systeemiin käyttäjätunnuksella ja salasanalla on huono.
Esitit mm. miten kirjautuja usein toheloi valitsemalla huonot tunnukset, mutta kyse ei tässä pitäisi olla kirjautujan kritisoinnista ja heikkouksista, vaan systeemin, joka on niin heikko, että kirjautujan valinnat vaikuttavat systeemin turvallisuuteen. Eli nähdäkseni vastuu siirretään pois pankilta sen käyttäjään.
Vastakysymys 1: Olisiko asiakkaalla turvallinen olo, jos vaikkapa Nordea tai muu finanssilaitos sallisi vastaavan yksinkertaistetun käytännön? Vastakysymys 2: Mitä haittaa Nordnetille olisi ko. kritiikkiä saaneen kirjautumisen poistamisesta?
Vastaamo ei liity tähän muuta kuin siten, että lähes kaikkialla on herätty vahvistamaan tunnistautumista.
Kyse on myös kovin tärkeästä asiakaskokemuksesta ja hänen mielikuvastaan turvallisuudesta. Pankki on eri kuin jokin Tori.fi tms.
Edit: pahoitteluni, etten ole nörtti enkä ymmärrä kaikkia luetteloimiasi finessejä.

2 tykkäystä

Kesällä avasin tilin Degiroon ja oli tarkoitus siirtyä pikkuhiljaa ulkomaan kaupoissa sinne. Meni tuo rahan siirto hankalaksi, kestää 2-3 pankkipäivää joten taitaa Degiro poistua minulta. Ilmeisesti Mandatum on kuluiltaan samoissa hinnoissa Degiron kanssa, onko näissä muita eroja joita olisi hyvä tietää?

Kyllä tunnistautumisen on syytä olla vahva myös sisään loggautuessa. Pelkkä username/password on käsittämätöntä riskien ottamista kun ottaa huomioon että toisella puolella voi olla jopa satojen tuhansien eurojen osakesalkku. Ja kyse ei ole siitä että osaako käyttäjä valita hyvää salasanaa vai ei. On täysin mahdollista että tietokone jolla Nordnettia käytetään saa sopivasti jonkun liitetiedoston tms kylkiäisenä malwaren, joka voi sisältää vaikkapa keyloggerin tai fake username/password kirjautumissivun joka näyttää ihan oikealta. No sitten vain nauhoitellaan vähän aikaa käyttäjän toimintaa tai imaistaan username/salasana ja ei kun vain mellastamaan palveluun. Näitä vastaavia hyökkäyksiä targetoidaan yleensä kaikenkokoisiin firmoihin ja lopputuloksena menetetään ihan puhdasta rahaa. Ehkäpä Suomen markkinan pieni koko on vielä suojellut, mutta kerta se on ensimmäinenkin sitten.

4 tykkäystä

Miten saat aikaiseksi jos on pieni OST salkku, 50e pelkkiä toimenpidemaksuja per kk? Nordean palkkiothan ovat pienissä kaupoissa kenties yksi pienimmistä (1% max katto) ja huom samat myös ulkomaan pörsseihin pl mahdollinen valuutanvaihto. Ja mistä sitten tuo 5e tulee? Normi pankkipalvelumaksuista? BTW. Jos salkku on riittävän iso, noiden “peruspankkipalveluiden” hinta laskee ja osan saa “ilmaiseksi”. Samoin jos on edellisellä kvartaalilla yksin kauppa, ei OST tai AO-tili maksa mitään seuraavalla kvartaalilla.

Pankkipalvelut tais olla 3e kuussa ja verkkopalvelut 2e. Tonnin kaupat kun tekee 5 kertaa kuussa niin siinähän se 50e jo tulee. Kyllä mulla tulee helposti veivailtua kerran-pari viikossa ja äkkiä sieltä kuluja hiljalleen kertyy.

Kuinka monella on Nordnetin mobiilivarmenne käytössä? Itsellä ei kokemuksia mobiilivarmenteesta, lisäksi maksullinen omalla operaattorilla. Muuta vaihtoehtoa ei liene vahvaan tunnustautumiseen?

1 tykkäys

Käytän mobiilivarmennetta. Nordnet vaihtoi varmennuspalvelun Elisalta Telialle muistaakseni noin vuosi sitten. Vaihdoksen aikaan oli häiriöitä muutaman päivän. Tuo jälkeen on toiminut ongelmitta.

Salasanaa en ole käyttänyt lainkaan tänä vuonna (turvassa keyloggerilta). Salasanani on ultrapitkä ja tällä tavalla olen pyrkinyt lukitsemaan Nordnetin pakottaman takaoven mahdollisimman tiukkaan.

2 tykkäystä

Mobiilivarmenne täälläkin pelkästään käytössä (omalla operaattorilla kuuluu pakettiin). Käytän sitä myös usein Tupas-tunnistusten tilalla muuallakin.

Ainoat kerrat kun mobiilivarmenne ei ole toiminut on ollut kerrat, kun koko kirjautuminen on sekoillut.

2 tykkäystä

Otin nyt mobiilivarmenteen käyttöön, miksi sinulla on pitkä salasana, eikö riitä että estää kirjautumisen salasanalla?

1 tykkäys

Muistaakseni jätin salasanakirjautumisen mahdolliseksi, koska mobiilivarmenteessa oli ajoittain häiriöitä Elisa-Telia-siirroksen aikaan. Kaipa tuon voisi nyt estää kokonaan.

2 tykkäystä

Mobiilivarmenne myös käytössä ja hyvin toimii. Kesällä oli yksi päivä ettei päässyt kirjautumaan pariin tuntiin. Oli pakko ottaa käyttöön kun en enää muista salasanaa :sweat_smile: Uuden tilaamisessa kestää ja tiliä ei tietääkseni voi käyttää sillä aikaa

2 tykkäystä

Keskustelua? Minua vaivaa yhä epävarmuus edes mahdollisuudesta kirjautua ja tehdä ostoja ja myyntejä Nordnetissä pelkän tunnuksen ja salasanan avulla. Tässä tilauslomake välittäjän sivuilta, kun et muista salasanaa ja/tai tunnusta:
https://nordnetforms.scrive.com/Survey/AnswerSurvey/0c5f4eb2-ed3c-4d11-a415-9a4cdb61249a
Joku hetusi tietävä, samassa osoitteessa asuva voi tilata pelkällä lomakkeella uudet tunnukset. Ei tililtä voi toki tilisiirrolla varastaa rahaa, mutta ostoja ja myyntejä voi tehdä, kun toimeksiantoihin ei vaadita pankkitunnuksilla varmennusta. Mietin,miten paljon mahtaisi harmittaa, jos joku vekslaisi hyvät tuottaviksi suunnitellut positiot tilillä seisovaksi rahaksi.
Tietysti mahdollinen väärinkäytös menisi talouden sisäiseksi rikoksen selvittelyksi eikä siten rasittaisi mitenkään välittäjää, mutta mielestäni tämä olisi välittäjän vaatimilla vahvoilla tunnistustoimilla helposti vaikeutettavissa tai vältettävissä ja ennen muuta osa turvallisen imagon rakentamista. Näinhän pankeissakin.
Varajärjestelmän takaisi mobiilivarmenne ja sen ohella pankkitunnistautuminen.
Nordnet on listautumassa pörssiin. En voi uskoa, että pankkitunnistautumisen rakentaminen on pelkästään rahasta kiinni.
Nyt en toivo keskustelua hyvien salasanojen rakentamisesta, joka meni aikaisemmin vastauksiltaan offtopiciksi.

4 tykkäystä

Jep oon jo vuoskaudet ihmetellyt miten Nordnet ei oo saanut pankkitunnistautumista kirjautumiseen, loppujen lopuksi siirsin salkun pois sieltä juuri tästä johtuen koska alkoi pännimään toi.

Viimeksi sanoivat 3kk sitten aspassa että on kehitteillä tämä vahva tunnistautuminen kirjautumiseen :smiley: :man_facepalming:

Käsittämätöntä että yks pohjoismaiden suurin välittäjä joka vielä listautumassa ei oo tuota saanut aikaseks kun melkein kaikissa muissa palveluissa Netpostista lähtien on jo pankkitunnistautuminen.
Ja ei voi olla vain rahasta kiinni, tuskin investointina on kovin iso ja toimiva teknologiakin on jo täysin olemassa… Who knows

2 tykkäystä

Ei voi. Tuo pitää allekirjoittaa sähköisesti vahvan tunnistuksen avulla.

2 tykkäystä

Hyvä jos niin on. Vielä noin vuosi sitten tytär sai uudet salasanat tilatuksi puhelimitse kertomalla hetun.