Arne5

Hva med norske datamaskinen Nusse i 1954?

https://snl.no/NUSSE

On 8/26/2020 at 3:17 PM, Rudde said:

Når vi har deg her, så har jeg en gang hørt et rykte om at dere kjører toupper på passordene, slik at BankID ikke differensierer store og små bokstaver i passordene våre? Stemmer dette?

At BankID passord ikke differensierer på store og små bokstaver er litt mer enn et rykte, det står på BankID sin FAQ. https://www.bankid.no/privat/hjelp/

1 hour ago, pergh said:

Yep, det er et fremskritt. Så får en avveie om en stoler så mye på mobilen sin at man legger det egget i samme kurven som de andre ?

Det er et fair poeng angående mobil, men i denne sammenheng blir det uansett nok en faktor som også må kompromitteres, på en annen måte, individuelt hos deg, for å kunne lykkes med resten av BankID MITM forsøket. Sikkerhet handler mye om å håndtere og balansere risiko-nivå. For egen del vil jeg i praksis sette langt større verdi på det å kunne se hvilke transaksjoner jeg faktisk godkjenner, selv når de går gjennom et MITM forsøk, enn evt. økt annen risiko ved mobil vs brikke.

39 minutes ago, pergh said:

Nei, det går ikke. 1 kode - 1 transaksjon. Typen transaksjon er derimot ikke begrenset.

Dvs, hvis du har logget inn på banken din og tror du godkjenner en regning med en kode, så vil en angriper som har klart å ta kontroll på maskina di kunne erstatte betaling av regningen med en forespørsel om lån isteden for. Eller noe annet som man får gjort i banken og signert ved bruk av en kode.

Som er et godt argument for å fase ut de gammeldagse kodebrikkene for kun BankID på mobil, hvor du ser hva du faktisk godkjenner.

> Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.

Det er hva phisheren prøver å bruke innloggingen/pengene dine til som dukker opp i mobildialogen. Selv om de klarer å logge seg inn på banken din så kreves ny BankID for å flytte penger, og da ser du hvor de går, før du godkjenner.

>Så det er NULL mer sikkert med BankID enn brukernavn/passord....

Det er mulig å MITM BankId, men å si at det gir null ekstra sikkerhet kontra kun brukernavn/passord er en overdrivelse. Det er ikke bare MITM som da er en trussel, og BankID hindrer mange andre typer angrep som kan overvinne kun brukernavn/passord.

> Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.

Om brukeren ikke følger med i det hele tatt på hva man godkjenner, for det står i mobil-dialogen hvor man faktisk logger seg inn og hva man faktisk godkjenner. Vet at mange brukere er ubevisste, men da blir sikkerhet vanskelig.

Forøvrig interessant å observere at artikkelforfatteren ser ut til å kun snakke om BankID som noe som krever at man har med seg kodebrikke. For meg er det litt det samme som at betaling krever at man har med seg sjekkhefte. Trodde dette i praksis var erstattet av mobil for de fleste for lenge siden. Forsåvidt bare en digresjon.