keskiviikko 28. heinäkuuta 2010

Niin sanottu "suojattu sähköposti"

IAET-työttömyyskassa näyttää käyttävän viestinnässsään "suojattua" sähköpostia, joka toimii seuraavasti: saan tavalliseen sähköpostiini linkin, jota klikkaamalla pääsen lukemaan saamani viestin ssl-suojatulla nettisivulla.

Muuten hyvä idea, mutta:
  • mitä tämä "suojattu" sähköposti oikeastaan suojaa? Jos joku onnistuu lukemaan sähköpostin matkan varrella, niin hän onnistuu lukemaan myös tuon linkin ja siten pääsee lukemaan viestin.
  • palveluun on yritetty lisätä tietoturvaa siten, että viestin voi lukea vain siitä ip-osoitteesta, josta linkkiä on klikattu ensimmäisen kerran. Tämän sain karvaasti todeta erehdyttyäni lukaisemaan saapuneen viestin kännykän nettiselaimella ja sitten yrittämällä avata sitä tietokoneelta:

    Luottamuksellista tietoa ei voitu hakea
    Viesti on suojattu MessageLockTM -tekniikalla, joten viesti voidaan avata vain yhdellä selaimella. Tämä viesti on jo avattu (Wed, 28.07.2010 11:58:18) IP-osoitteesta (xx.yy.zzz.ååå ).

Vaikka viestiä ei voitu avata, voit kuitenkin vastata alkuperäiselle lähettäjälle uudella luottamuksellisella viestillä.

Onneksi pääsen sentään lukemaan viestin kännykälläni, mutta tallentaminen ei omalla rimpulakännyllä onnistu. Pitää vain varoa käynnistämästä kännyä uudestaan, koska silloin ip-osoite vaihtuu ja viestiin ei pääse käsiksi enää millään :-).
Että semmoinen turvaviesti. Oma mielipiteeni: joko käytetään rehellistä perinteistä sähköpostia, tai sitten jotain oikeasti turvallista viestintäratkaisua, jossa esimerkiksi palveluun tunnistaudutaan verkkopankin avulla.

Nyt käytössä oleva kompromissi, joka yhdistää turvallisen viestimen kökköyden ja sähköpostin turvattomuuden, on kaikista huonoin ratkaisu.

4 kommenttia:

  1. Perun vähän pahoja puheitani. Systeemissä on "lähetä edelleen" -toiminto, jonka avulla sain viestin lähetettyä itselleni kännykästä.

    VastaaPoista
  2. Muistaakseni Turvaposti-nimellä tms. oli samanlainen mutta lisättynä kännykkään tekstiviestinä tulevalla salasanalla.

    VastaaPoista
  3. Vaikuttaa ihan siltä, että joku isoherra on lukenut vessassa istuessaan lehdestä artikkelin tietoturvasta ja päättänyt sitten, että nyt tehdään tämmöinen ratkaisu. Toteuttajat ovat sitten hieman ihmetelleet, mutta koska EVVK, niin äkkiäkös sen tuolleen koodaa.

    VastaaPoista
  4. Kuulostaa kyllä melkoisen hölmöltä systeemiltä. Hassulta tuntuu myös että verkkopankkitunnistautuminen on olevinaan kaikkein paras ratkaisu vielä vuonna 2010. Mikseivät insinöörit suunnittele jotain kätevämpää systeemiä? :)

    VastaaPoista