Nettbanker med dårlige rutiner

[abene]

Dårlige nettbankrutiner avsløres i ny doktoravhandling.

 

Les mer

[Sorce]

Dette er vel ikke noen kjempenyhet, siden man er klar over alt banker spekulerer i dårligsikkerhet for å spare penger. Men det kunne jo vært morsomt å se hvordan det stod til her i Norge

[haalo]

Det må være ekstremt mye redundans i denne tesen .

[qualbeen]

Men det kunne jo vært morsomt å se hvordan det stod til her i Norge

Du får høre med "den såkalte professoren" (sitat: bankId-folk) fra Bergen. Tror i grunn ikke at det står så veldig bra til. Mulig at designet i de fleste nettbanker begynner å bli bra, men hva med mobilbank? Eller sms-bank? Alle vet jo at et sms-avsender kan fakes; vi kjenner til disse lure-sidene som sender sms med falsk avsender. Hva med å sende en slik sms til banken og be om å få overført et par mill? (Eller et par hundre, slik at bankens interne rutiner ikke fanger det opp?)

[Patrick de Maar]

Som qualbeen sier står det dårlig til i Norge. Den store satsingen på BankID er en flopp. Ikke bare har så langt minst to personer, matematikere, knekket systemet; BankID nekter å la andre tette igjen systemet og lite tyder på at de kommer til å gjøre det selv. Bastant uttaler de at "BankID er sikkert nok".

[ATWindsor]

Men det kunne jo vært morsomt å se hvordan det stod til her i Norge

Du får høre med "den såkalte professoren" (sitat: bankId-folk) fra Bergen. Tror i grunn ikke at det står så veldig bra til. Mulig at designet i de fleste nettbanker begynner å bli bra, men hva med mobilbank? Eller sms-bank? Alle vet jo at et sms-avsender kan fakes; vi kjenner til disse lure-sidene som sender sms med falsk avsender. Hva med å sende en slik sms til banken og be om å få overført et par mill? (Eller et par hundre, slik at bankens interne rutiner ikke fanger det opp?)

 

Designet er heller ikke bra på norske nettbanker, har fokus-bank sine nettsider, det funker dårlig, spesielt i andre ting enn IE, og til alt overmål må man nå sendes til nettbanken når man betaler med kort over norske nettbutikker, det er rett og slett latterlig dårlig. Og jeg er skeptisk til sikkerheten også, jeg fikk beskjed om å stille ned sikkerhetsinnstillingene i IE for å få nettbanken til å funke.

 

AtW

[sk0yern]

Som qualbeen sier står det dårlig til i Norge. Den store satsingen på BankID er en flopp. Ikke bare har så langt minst to personer, matematikere, knekket systemet; BankID nekter å la andre tette igjen systemet og lite tyder på at de kommer til å gjøre det selv. Bastant uttaler de at "BankID er sikkert nok".

 

Bastant uttaler du at satsingen på BankID er en flopp. Rart, siden flertallet av innlogginger i nettbank nå blir gjort med BankID, og den andelen øker stadig.

Wow, de har knekket systemet?

Hvor mange har brutt seg inn i norske nettbanker ved å utnytte svakheter i BankID?

Hvis du klarer å liste opp noe som helst, hadde det gamle systemet den aktuelle nettbanken brukte beskyttet mot angrepet?

[Patrick de Maar]

Det skal ikke mer til enn at èn knekker systemet, og dette er allerede gjort. Selvfølgelig kan det diskuteres om det er den enkelte banks intigrering av systemet eller systemet selv som inneholder kritiske svakheter, men uansett gjenstår hovedpoenget: nettsikkerheten i Norge er dårlig.

 

Jeg kan dessverre ikke liste opp navn da jeg leste disse i papirutgaver av Dagens Næringsliv. Qualbeen sikter til den ene, den andre var fra Trondheim om jeg ikke bommer.

 

Nei, de gamle systemene hadde nok ikke beskyttet mot angrepene, men så lenge det nye heller ikke gjør det, ser jeg ikke relevansen med spørsmålet ditt. Det har ingen verdi så lenge verken eller beskytter tilstrekkelig mot angrep. Slik systemet er i dag kan "hvermannsen" knekke det, og da er det ikke et godt produkt!

Endret 23. juli 2008 av Expired product

[sk0yern]

Det skal ikke mer til enn at èn knekker systemet, og dette er allerede gjort. Selvfølgelig kan det diskuteres om det er den enkelte banks intigrering av systemet eller systemet selv som inneholder kritiske svakheter, men uansett gjenstår hovedpoenget: nettsikkerheten i Norge er dårlig.

 

Jeg kan dessverre ikke liste opp navn da jeg leste disse i papirutgaver av Dagens Næringsliv. Qualbeen sikter til den ene, den andre var fra Trondheim om jeg ikke bommer.

 

Nei, de gamle systemene hadde nok ikke beskyttet mot angrepene, men så lenge det nye heller ikke gjør det, ser jeg ikke relevansen med spørsmålet ditt. Det har ingen verdi så lenge verken eller beskytter tilstrekkelig mot angrep. Slik systemet er i dag kan "hvermannsen" knekke det, og da er det ikke et godt produkt!

 

Legger merke til at du ikke kan nevne noen eksempler.

Slik jeg ser det er ikke systemet knekket.

Hvordan kan "hvermannsen" knekke systemet? Kom gjerne med detaljer.

[Patrick de Maar]

Sk0yern, kjære deg, så lenge jeg ikke sitter med papiravisen i hånden kan jeg ikke komme med noen navn, men jeg har nevnt eksempler. Jeg velger allikevell å ikke være naiv og tro at systemet er sikkert.

For meg virker det nesten som du er en av arkitektene eller programmererene bak systemet, slik du prøver å trekke alt ut. Hva som skal til? Mattekunnskaper om algoritmer, en nogenlunde "grei" tid innen dataverden og forståelse for ulike komponenter, samt litt oppfinsomhet.

 

Systemet _har_ blitt knekket. Dette er gjengitt og sitert i minst èn artikkel i Dagens Næringsliv. Antageligvis flere steder også. Qualbeen sier det samme.

 

 

 

Edit: http://www.idg.no/bransje/bransjenyheter/article77078.ece

 

Edit2: http://www.idg.no/bransje/bransjenyheter/article43544.ece

Edit3: Svakheter i nettbanksikkerhet, dette er jo bare latterlig: http://www.idg.no/computerworld/article41480.ece

 

 

 

Edit4: Relativt gamle artikler, men slik trenden nå er tar det nok ikke lang tid før vi ser enda et offentliggjort angrep. 

Endret 23. juli 2008 av Expired product

[sk0yern]

Vet ikke helt hvordan jeg skal tolke det du skriver.

I det ene skriver du at hvermannsen kan knekke systemet, i neste øyeblikk er du i tvil og skriver "Jeg velger allikevell å ikke være naiv og tro at systemet er sikkert. "

 

Ok, så du har egentlig ikke peiling, men magefølelsen sier at systemet ikke er sikkert? Fair enough, vi gjøre alle vurderinger av risiko flere ganger om dagen.

Oslo er visstnok den byen i norge det er farligst å sykle i, alikevel sykler jeg mange mil i Oslo hver uke.

Å bruke kredittkort på nett blir ikke nevnt her, jeg har selv fått et kort sperret av kredittkortselskapet pga at kortinfo har blitt stjålet fra en tredjepart. Til tross for dette fortsetter jeg å bruke kredittkort på nettet. Hvorfor? Jeg har ikke tapt noen penger på bruk av kort på nett, og synes det er svært praktisk.

Hva med nettbank? De eneste svakhetene jeg har lest om, går på brukere som blir utsatt for phising/MiM/trojanere på egen pc. Dette er helt klart problematisk, men ikke et BankID problem. Det blir like feil som å si at det er et Windows XP problem.

Nettbank'er kan dele ut en live-cd som må brukes for at kunder skal kunne logge seg på nettbank. Dette vil gi kundene en svært tryggeste løsningen vi får til idag, men flertallet ville blitt svært misfornøyd.

Ut ifra de opplysningene jeg har idag, er jeg ikke redd for at noen skal bryte seg inn i min nettbank og flytte penger. Dette fordi jeg har god kontroll på mitt eget nettverk, og sikkerheten på min egen pc.

At det er mange av dere andre som ikke har det, synes jeg ikke skal føre til at det blir vanskeligere for meg å bruke nettbank.

Er DU bekymret for at noen skal kunne få logget inn som deg i din nettbank?

Det blir bare for dumt å påstå at sikkerheten er elendig i norske nettbanker, når du ikke kan vise til en eneste person som har blitt tappet for penger, pga for dårlig sikkerhet i nettbanken.

[qualbeen]

Som qualbeen sier står det dårlig til i Norge. Den store satsingen på BankID er en flopp. Ikke bare har så langt minst to personer, matematikere, knekket systemet; BankID nekter å la andre tette igjen systemet og lite tyder på at de kommer til å gjøre det selv. Bastant uttaler de at "BankID er sikkert nok".

 

Bastant uttaler du at satsingen på BankID er en flopp. Rart, siden flertallet av innlogginger i nettbank nå blir gjort med BankID, og den andelen øker stadig.

Wow, de har knekket systemet?

Hvor mange har brutt seg inn i norske nettbanker ved å utnytte svakheter i BankID?

Hvis du klarer å liste opp noe som helst, hadde det gamle systemet den aktuelle nettbanken brukte beskyttet mot angrepet?

Pkt 1: "Bruk av BankID øker": Ja, det var da veldig rart. Med tanke på at BankID ikke fantes for et år siden, sier det seg selv at flere bruker BankID i dag, enn i fjor. Videre er det ikke alle nettbanker som gir kundene et valg; vil man på nettbank så _må_ man bruke BankID. Hva skal man da gjøre?

 

Pkt 2: "De har knekket systemet": Ja, de har det. Flere ganger. Men hver gang kontakter Hole & co utviklerne av BankID, og forteller om sårbarheten. Svært sjeldent har de publisert materiale som ennå ikke har blitt fikset, men hvis man bare blir oversett/ledd av, er det sikkert fristende å også publisere metoder som fortsatt fungerer for å bryte seg inn.

 

Pkt 3: "Hvor mange har brutt seg inn": Hvor mange som har brutt seg inn i norske nettbanker, tviler jeg at det finnes tall på. Det er neppe særlig mange som har brutt seg inn i BankID og stjelt penger. Men for forbrukere er ikke innbrudd i nettbank så veldig farlig; til nå har iallefall bankene selv dekket kundenes tap ved innbrudd (såfremt innbruddet ikke skyldes brukeren).

 

Pkt 4: "Gamle system bedre enn BankID?": Nope, det skal jeg være veldig forsiktig med å påstå. Men intensjonene om de gamle systemet kontra BankID er totalt forskjellig! Gårsdagens løsninger skulle kun brukes til innlogging i den ene bankens nettbank. Finito. BankID derimot har ambisjoner om å være en felles innloggings-portal for samtlige tjenester du kan tenke deg på nett - og flere til. Med tilgang til BankID vil du om noen år kunne gjøre mye mer enn å ta ut penger fra en slunken konto; du kan endre skatteopplysninger, personinfo, utfylle utallige statlige og kummunale skjemaer, handle alt fra bøker og t-skjorter til hytte og bil, endre postadresser, studiegang. Ja, det er egentlig bare fantasien som setter grenser for hva BankID kan brukes til: ambisjonene er å være omtrent overalt på nett. (Ja, jeg setter det litt på spissen, men ikke så mye).

 

Hva betyr dette siste? Jo, folk vil bli fortrolige med å oppgi BankID-brukernavn og passord på utallige lugubre nettsteder. Hvilket betyr at hvem som helst kan sette opp sin egen lille nettside og påstå de driver med boksalg eller lignende. Så er det bare å vente på at brukernavn, passord og engangspassord strømmer inn. Vips så er folkregistret oppdatert med ny adresse, pass bestilt og kontoer på tvers av bankene tømt. Det blir kjekt det.

[Patrick de Maar]

Vet ikke helt hvordan jeg skal tolke det du skriver.

I det ene skriver du at hvermannsen kan knekke systemet, i neste øyeblikk er du i tvil og skriver "Jeg velger allikevell å ikke være naiv og tro at systemet er sikkert. "

Jeg skriver at jeg IKKE er naiv og tror at systemet KAN knekkes, og HAR blitt knukket. Å komme med at du har god kontroll er trossalt sprøyt. Om noen bestemmer seg for å gå etter ditt system så holder det ikke lenge. Selv om du har over gjennomsnittslig god sikkerhet, så hjelper det lite når de 700.000 andre brukerene av BankID ikke har dette. Da må BankID gjøre slik at deres system blir sikrere; for å prøve å laste inn linux og sette opp dedikerte brannmurer på 700.000 brukeres nettverk er en mye tyngre vei. Ansvaret ligger altså på BankID, og bankene, som har valgt å benytte dette systemet.

 

-

 

Slutt å vri på det jeg skriver. For øvrig skrev jeg "hvermannsen" i Hermetegn/anførselstegn nettopp fordi jeg ikke mente det i direkte betydning. Enhver kan tilegne seg kunnskaper om hvordan en knekker et system, få gjør det, men muligheten er der. Hadde bergenseren og hans lag hatt onde hensikter hadde vi sett flere tilfeller av kontoer som hadde vært tappet for penger. 

Endret 23. juli 2008 av Expired product

[Langbein]

Selv har jeg vanskelig for å se hva BankID gir av ekstra sikkerhet i forhold til det gamle systemet (avhengig av hvilken nettbank man bruker da..). For min del bruker jeg akkurat samme "kode-kalkulator" for å generere engangspassord som tidligere.

 

Jeg for min del syns i hvertfall det var mye greiere å bruke Nordea sin nettbank FØR de tok i bruk BankID. Nå man man laste en hersens Java-applet bare for å kunne taste inn passordet sitt. Hva er egentlig hensikten? En programmerer som akkurat har gått på Java-kurs og funnet ut at han skulle briljere med å kode en Applet? Eneste man oppnår er jo frustasjon og høyere systemkrav. Min kjære far kunne f.eks plutselig ikke logge inn lenger, for han hadde ikke Java installert, og hadde aldri greid å fikse det uten min hjelp. Og selv for meg skaper det problemer hvis jeg skulle få lyst til å bruke nettbanken fra en liten mobil enhet som plutselig ikke oppfyller kravene. Please enlighten me, jeg lurer virkelig på hvordan sikkerheten blir så mye bedre av å taste inn passordet i en java-applet kontra en HTML-form over SSL.

 

Vurderer faktisk å bytte bank bare for å slippe BankID-driten

 

Alt jeg ønsker er tross alt bare en enkel bankløsning, jeg er ikke interessert i å kunne bytte bostedsadresse med samme løsning.

Endret 23. juli 2008 av Langbein

[sk0yern]

Du skriver som om du tror det er lett å fikse problemene du snakker om.

Ifølge deg ligger alt ansvaret på BankID, og det plager meg. Jeg liker dårlig at jeg må betale mer for å bruke nettbank, fordi det finnes mange folk som ikke klarer å holde sin egen pc ren for trojanere.

Hvis du mister nøklene til huset ditt, eventuelt noen klarer å kopiere nøklene dine, hvem har da ansvaret når noen tømmer hele kåken? De som har produsert låsen, ikke sant?

 

Tiden er kanskje ikke inne ennå, men før eller siden (hvis tapene blir store nok) vil bankene si, at de ikke kan ta ansvar for tapene til kunder som ikke har kontroll over egen pc.

 

Utfordrer deg nok en gang, si meg hvordan du/bergenseren skal få logget inn som meg i min nettbank (som bruker BankID som pålogging).

[Patrick de Maar]

Hadde det vært en minioritet som hadde "skitne" pcer, hadde jeg vært enig med deg, men så lenge brorparten av brukerene av BankID har skitne pcer, er det kun BankID som kan rydde opp. Om dette blir i form av mail, ansvarsfraskrivelse eller andre midler, det får være opp til bankene, BankID og forbrukerene. Om de allerede har avskrevet seg alt ansvar vet jeg dessverre ikke, og det interisserer meg nada da jeg allerede har en pc som er mye sikrere enn gjennomsnittet, slik som deg.

 

Fysiske eksempler kan ikke benyttes. En fysisk nøkkel og en datanøkkel er to forskjellige ting, så ikke engang gå innpå det.

 

Jeg innehar ikke nok kunnskap til å vite hvordan bergenseren skal få til det. Kanskje avansert phising som omgår dine filtre og gud vet hva? Nei, jeg aner ikke. Der skal jeg ærlig si at jeg ikke innehar nok viten.

[sk0yern]

Pkt 1: "Bruk av BankID øker": Ja, det var da veldig rart. Med tanke på at BankID ikke fantes for et år siden, sier det seg selv at flere bruker BankID i dag, enn i fjor. Videre er det ikke alle nettbanker som gir kundene et valg; vil man på nettbank så _må_ man bruke BankID. Hva skal man da gjøre?

 

Pkt 2: "De har knekket systemet": Ja, de har det. Flere ganger. Men hver gang kontakter Hole & co utviklerne av BankID, og forteller om sårbarheten. Svært sjeldent har de publisert materiale som ennå ikke har blitt fikset, men hvis man bare blir oversett/ledd av, er det sikkert fristende å også publisere metoder som fortsatt fungerer for å bryte seg inn.

 

Pkt 3: "Hvor mange har brutt seg inn": Hvor mange som har brutt seg inn i norske nettbanker, tviler jeg at det finnes tall på. Det er neppe særlig mange som har brutt seg inn i BankID og stjelt penger. Men for forbrukere er ikke innbrudd i nettbank så veldig farlig; til nå har iallefall bankene selv dekket kundenes tap ved innbrudd (såfremt innbruddet ikke skyldes brukeren).

 

Pkt 4: "Gamle system bedre enn BankID?": Nope, det skal jeg være veldig forsiktig med å påstå. Men intensjonene om de gamle systemet kontra BankID er totalt forskjellig! Gårsdagens løsninger skulle kun brukes til innlogging i den ene bankens nettbank. Finito. BankID derimot har ambisjoner om å være en felles innloggings-portal for samtlige tjenester du kan tenke deg på nett - og flere til. Med tilgang til BankID vil du om noen år kunne gjøre mye mer enn å ta ut penger fra en slunken konto; du kan endre skatteopplysninger, personinfo, utfylle utallige statlige og kummunale skjemaer, handle alt fra bøker og t-skjorter til hytte og bil, endre postadresser, studiegang. Ja, det er egentlig bare fantasien som setter grenser for hva BankID kan brukes til: ambisjonene er å være omtrent overalt på nett. (Ja, jeg setter det litt på spissen, men ikke så mye).

 

Hva betyr dette siste? Jo, folk vil bli fortrolige med å oppgi BankID-brukernavn og passord på utallige lugubre nettsteder. Hvilket betyr at hvem som helst kan sette opp sin egen lille nettside og påstå de driver med boksalg eller lignende. Så er det bare å vente på at brukernavn, passord og engangspassord strømmer inn. Vips så er folkregistret oppdatert med ny adresse, pass bestilt og kontoer på tvers av bankene tømt. Det blir kjekt det.

 

Pkt 1:

Jeg kommenterte påstanden om at BankID er en flopp. Ingen har klart å argumentere fornuftig for at den er det.

 

Pkt 2:

Denne oppklarer du jo egentlig fint selv i pkt 3... Hvis de endelig kunne publisert et angrep som var gjennomførbart uten å benytte seg av phising, eller at bruker godtar falske sertifikater, så vil jeg applaudere. Jeg holder ikke pusten for å si det sånn...

 

 

Pkt 3:

Yes, her er du inne på noe, bruk av BankID i nettbank framstår som trygt for brukerne! Hva tror du den gjennomsnittlige bruker vil si hvis det blir enda vanskeligere (tryggere) å bruke nettbank? "hvorfor skal det være så jævla vanskelig, nettbanken er jo trygg nok".

 

Pkt 4:

Hva BankID har ambisjoner om aner jeg lite om, det jeg vet er innlogging i nettbank, samt signering av dokumenter.

Visste du forresten at alt som skal til for å endre skatteopplysninger i dag er personnummer samt en pin-kode på 5 siffer?

 

Hvordan du kan komme med at folk blir fortolig med å benytte BankID på "utallige lugubre nettsteder" er for meg et mysterium, men deg om det. Man skal aldri undervurdere enkelte menneskers dumhet, men det bør ikke nødvendigvis gå ut over oss andre.

[sk0yern]

Fysiske eksempler kan ikke benyttes. En fysisk nøkkel og en datanøkkel er to forskjellige ting, så ikke engang gå innpå det.

 

Jeg innehar ikke nok kunnskap til å vite hvordan bergenseren skal få til det. Kanskje avansert phising som omgår dine filtre og gud vet hva? Nei, jeg aner ikke. Der skal jeg ærlig si at jeg ikke innehar nok viten.

 

Nei, og datapenger kan ikke sammenlignes med fysiske penger. *PLONK*

Om ikke annet, så er jeg enig i det siste du skriver

[qualbeen]

Selv har jeg vanskelig for å se hva BankID gir av ekstra sikkerhet i forhold til det gamle systemet (avhengig av hvilken nettbank man bruker da..). For min del bruker jeg akkurat samme "kode-kalkulator" for å generere engangspassord som tidligere.

 

Jeg for min del syns i hvertfall det var mye greiere å bruke Nordea sin nettbank FØR de tok i bruk BankID. Nå man man laste en hersens Java-applet bare for å kunne taste inn passordet sitt. Hva er egentlig hensikten? En programmerer som akkurat har gått på Java-kurs og funnet ut at han skulle briljere med å kode en Applet? Eneste man oppnår er jo frustasjon og høyere systemkrav. Min kjære far kunne f.eks plutselig ikke logge inn lenger, for han hadde ikke Java installert, og hadde aldri greid å fikse det uten min hjelp. Og selv for meg skaper det problemer hvis jeg skulle få lyst til å bruke nettbanken fra en liten mobil enhet som plutselig ikke oppfyller kravene. Please enlighten me, jeg lurer virkelig på hvordan sikkerheten blir så mye bedre av å taste inn passordet i en java-applet kontra en HTML-form over SSL.

Sikkerheten blir ikke større ved å bruke java-applet, da all trafikk foregår over nøyaktig samme protokoll. Så om man bruker java-applets eller https spiller mindre rolle, så lenge man setter opp protokollen med korrekt nøkkellengde etc.. "Fordelen" med en java-applet er at denne kan vises på en hvilket som helst nettside. Det er ikke vanskelig for en hvilken som helst nettbutikk å legge inn en javaapplet i koden sin. Dermed har BankID alltid kontroll på hvordan innloggingen foretas. Brukermessig er det svært uheldig med en slik dårlig, treg løsning, og som du selvpåpeker: langt fra alle klarer å benytte BankID. Men nå må vi huske at BankID er fortsatt veldig ungt, så dårlig grafisk design og oppsett bryr jeg meg lite om. Hadde jeg jobbet med BankID ville jeg rett nok vært veldig flau for å levere ut en slik java-applet, men det er nå så..

 

Til tross for at BankID fortsatt er veldig ungt, tar jeg derimot ikke lett på sikkerheten de påstår å tilby. For det er noe grunnleggende galt med BankID, og for å rette opp slikt er det mer hensiktmessig å ta for seg problemet og løse det ved roten, istedetfor å kladde på med noen malingsflekker her og der for å dekke over.

 

 

Hvis du mister nøklene til huset ditt, eventuelt noen klarer å kopiere nøklene dine, hvem har da ansvaret når noen tømmer hele kåken? De som har produsert låsen, ikke sant?

Artig at du drar frem dette eksemplet. For er du klar over hvem som sitter på nøkkelen i BankID? Gjett en gang... Aner ikke om du kjenner til prinsippene bak privat+offentlig nøkkel-kryptering, men dette er et punkt hvor BankID feiler for fullt! Rett og slett hårreisende at vi er nødt til å stole på at din "private" nøkkel virkelig er din egen.

 

Når jeg må låse meg inn i huset mitt har jeg alltid nøkkelen på meg - jeg slipper å måtte spørre naboen om han har en nøkkel som jeg kan bruke, for så å håpe at den passer.. (Vel, i et hus vil man jo merke om du kommer inn eller ei; på nettet er det lettere å bli lurt til å tro at du er inne, og dermed loppet for engangskoder og det som værre er)

[sk0yern]

Artig at du drar frem dette eksemplet. For er du klar over hvem som sitter på nøkkelen i BankID? Gjett en gang... Aner ikke om du kjenner til prinsippene bak privat+offentlig nøkkel-kryptering, men dette er et punkt hvor BankID feiler for fullt! Rett og slett hårreisende at vi er nødt til å stole på at din "private" nøkkel virkelig er din egen.

 

Når jeg må låse meg inn i huset mitt har jeg alltid nøkkelen på meg - jeg slipper å måtte spørre naboen om han har en nøkkel som jeg kan bruke, for så å håpe at den passer.. (Vel, i et hus vil man jo merke om du kommer inn eller ei; på nettet er det lettere å bli lurt til å tro at du er inne, og dermed loppet for engangskoder og det som værre er)

 

Jeg er klar over at BBS lagrer brukerenes private nøkkel, og så langt jeg vet er dette noe de bestreber seg på å gjøre på en god måte. Serverne står f.eks i rom, der man må være to personer for å komme til.

Man har noen fordeler med at din private nøkkel lagres sentralt:

1) Du kan logge inn med bankid fra hvilken som helst pc, uten å måtte ha med key'en på en usb-stick eller lignende.

2) Det ville vært en drøss med tilfeller av kunder som mister sin bankid, pga reinstallasjon av pc, at de har mistet laptop etc.

3) Hvor trygt er det egentlig å la den jevne bruker ta vare på sin egen private nøkkel?

Kjapt søk på google gir meg:

Bot-Infected Computers Proliferate in 2006 (March 20, 2007)

The number of bot-infected computers in Europe, Middle East and Africa (EMEA) increased 130 percent from the 1 million seen during the first half of 2006, according to the latest Internet Security Threat Report, published on March 19 by Symantec.

Tro meg, dette tallet er mye styggere nå.

 

Når en maskin er bot-infisert, og har en private key lagret på seg, så er den private key'en kompromitert. Key'en er beskyttet av et statisk passord som selvfølgelig er triviell å keylogge.

Hvordan foreslår du at dette skal håndteres?