USB-pinne skal sikre nettbanken

[abene]

IBM prøver nå ut en ny USB-enhet som skal kunne gi sikrere forbindelse med nettbanken.

 

Les mer

[Rangor]

Selv om dette virker genialt for å øke sikkerheten med nettbank så tør jeg vedde en tier på at dette blir problematisk for ikke-windows brukere. På den annen side så er det IBM som står bak så kanskje det finnes håp for plattform uavhengighet.

[Bolson]

Slik teknologien er beskrevet hos IBM er den ut til ikke å knytte seg til spesifikt OS eller spesifikk nettleser.

[cerox]

Vil denne enheten kunne vise Sikkerhetskoden som ligger inne i chipen på bankkortet og?

[Gjest Slettet+89234341]

huff, først bankID helvete og nå en jævla USB sak man må dra med seg. er nesten bedre å bli robba enn alt arbeidet man har ekstra med all faenskapen de finner på

[[StK]Bountyhunter(BF:V)]

Det var vel et heller lite gjennomtenkt utsagn captain Ødegård...

 

Alle pengene dine ut av konto eller det som kanskje er værre, all personlig informasjon om deg ut på internett til høystbydene er vel ikke noe du vil oppleve. Da synes jeg det er bedre å bruke 5-10sek på å opprette en sikker forbindelse.

[Bolson]

Det var vel et heller lite gjennomtenkt utsagn captain Ødegård...

 

Alle pengene dine ut av konto eller det som kanskje er værre, all personlig informasjon om deg ut på internett til høystbydene er vel ikke noe du vil oppleve. Da synes jeg det er bedre å bruke 5-10sek på å opprette en sikker forbindelse.

 

Tiltredes 100 %.

[haalo]

Enig, det er lurt å prioritere sikkerhet.

[RulleRimfrost]

Det er ikke tingen i seg selv som virker genial, men ideen og praktisk utførelse. I dag har vi kamera, browsere, gps, mediaspillere osv innebygget i mobilen. Tenk når vi får inn en chipleser også, sammen med denne motoren som forhindrer mitm-angrep (kommer sikkert en sikrere protokoll enn bluetooth snart). Da har man vel alt man trenger i lomma?

 

Men seriøst. Det som gjør minibanker og kortlesere sikre er jo nettop at de er lukkede kretser. Nettbank vil aldri bli sikker så lenge disse kretsene simuleres i software som i dag. Dette er den eneste løsningen.

Endret 30. oktober 2008 av RulleRimfrost

[cerox]

Slik eg har skjønt det vil du kunne bruke kortet ditt i naboens "dings" og omvendt. skulle altså ikkje vere nødvendig å drasse den med seg til et sted vist man vet det er en tilgjengelig der man skal....

 

den ble dyp....

 

men som sagt kan "dingsen" vise sikkerhetskodene i det displayet sitt? eller må man flytte kortet over i bankens leser hvergang man må taste inn en sikkerhetskode?

 

Går da utifra at det er bankkortet ditt du putter inni denne enheten!

[Terrasque]

Skeptisk. Meget skeptisk.

 

For det første så motsier aartikkelen seg selv.

 

..og bruker en TLS-motor pluss en proxy på datamaskinen.

 

Det nye opplegget skal visstnok ikke kreve ny programvare for banken eller for kunden

 

For det andre, jeg ser ikke helt hvordan den skal fungere uten noe ifra banken. De trenger vel å kjøre noe software som den må kobles opp mot?

 

I tillegg så ser denne enheten ut til å være avhengig av å vise informasjon på dataskjermen, og kan da manipuleres (extreme case : en slemmemann med kode kjørende i SYSTEM/driver modus kan twiddle rundt med data direkte i skjermkortet, og dermed vise hva som helst han vil på skjermen. Samme hva denne dingsen tror vises der).

 

Så, marketspeak'en snakker om ting som er bortimot umulig, og motsier seg selv. Lukter snakeoil.

[Bolson]

Du burde kanskje lese bakgrunnsinfoen hos IBM.

* Nei, den trenger ikke i teorien noe software i banken. Men det kan være at f.eks. de verifiseringsrutinene vi har i Norge, må endres noe.

* Den er ikke avhengig av å vise informasjon på skjermen, på skjermen har man bare den vanlige nettsida til banken. Infoen som er relevant (sikkerhet) vises på ZTIC, og det er kun på denne en transaksjon kan godkjennes eller kanselleres.

 

Sjekk ellers denne filmen.

 

Jeg skal ikke gi meg ut på å forklare noe som ligger i grenselandet av min kompetanse, men legger ved link til en skikkelig faglig beskrivelse som er publisert, ZTIC artikkel. Artikkelen bygger på et foredrag på TRUST2008 konferansen.

 

Det er greitt å være kritisk, men det er alltid lurt å sjekke bakgrunnskildene først.

Endret 31. oktober 2008 av Bolson

[Lucifer 666]

Blir vel noe alà norsk tipping sin dings for online tipping

[Terrasque]

Takker for linken, Bolson.

 

Det dingsen basically gjør (etter det jeg forstår) er å verifisere / overta https linken til banken, slik at den har endpoint inn i usb dingsen. Så sender den plaintext dataene videre til brukerens nettleser via en proxy som kjører på brukerens pc (autostart fra usb dingsen). Proxy'en i seg selv inneholder ikke noen viktig info, og kan derfor trygt kjøre på en ubeskyttet maskin.

 

Når brukeren gjør en transaksjon, så sendes den til dingsen, der den parser http / html (hvis jeg har forstått riktig), og viser relevant data på en liten skjerm, med to knapper : Ok og Cancel. Brukeren velger da om transaksjonen skal godkjennes / avvises.

 

Et par punkter:

Det kjøres et program på pc'en, og usb dingsen bruker pc'ens nettverks-stack. Den bruker SSL for å sikre kommunikasjonen, noe som gjør pc'en til enda en usikker ruter på veien, og dermed ingen risiko.

 

Siden representert til brukeren har ingen sikring direkte (noe som forsåvidt hadde vært poengløst om pc'en allerede var angrept), så bør kanskje autentisering mot nettbanken bli gjort av usb dingsen (det er noe som banken kan bestemme - autentisering via nettleser vil ha samme risiko som dagens løsninger).

 

Avlesningen på displayet avhenger av at det formatet som er lagt inn fra bankens side (http layout) ikke endres.

 

EDIT: Ser at produksjons enheten vil bruke HTTPS, mest for at kunden skal være komfortabel med sidene, og for å hindre nettleser å cache sider.

Endret 3. november 2008 av Terrasque