Gå til innhold

Hva er poenget med maskerte engangskoder til nettbank?


Anbefalte innlegg

Etter at Skandiabanken begynte å sende ut engangskodekort hvor kodene er dekket av et belegg som må skrapes bort (som på Flax-lodd), har jeg prøvd å finne en logisk grunn til å gå over fra det gamle kortet uten belegg.

 

Jeg skjønner at dette hindrer at noen bare kan kopiere eller skrive av kodene uten at jeg har blitt oppmerksom på at dette er gjort. Og dette er den eneste grunnen jeg faktisk kan se eksisterer, for hvis kortet blir stjålet er det jo bare å skrape i vei for den som stjeler lommeboken.

 

Hvis noen med skumle hensikter ønsker å ha mine engangskoder, OG som har tilgang til min lommebok uten at den er stjålet, er det jo bare å skrape noen tilfeldige koder, skrive av disse, og deretter legge kortet tilbake. Deretter kan vedkommende med jevne mellomrom forsøke å logge seg inn. Den eneste måten jeg kan finne ut at noen andre har skrapet kodene på er hvis jeg selv ser at jeg blir bedt om å legge inn en kode som allerede er skrapet. Men den som forsøker å komme seg inn, og som fra før må ha hatt tilgang til koden for å laste ned sertifikatet fra min mobil, bør jo i mellomtiden ha benyttet denne for å komme seg inn - og da vil jeg ikke merke det bortsett fra på eventuelle transaksjoner - og de vil jeg uansett legge merke til uansett belegg eller ikke!

 

Så derfor - er det en åpenbar grunn til dette irriterende belegget, som legger seg på fingre, i lommebok, sofa og på bord, som gjør at det faktisk bør være der? Gjør dette faktisk noe til eller fra for sikkerheten?

Lenke til kommentar
Videoannonse
Annonse
Gjør dette faktisk noe til eller fra for sikkerheten?

 

 

Det er også en tid før du mottar kortet hvor det ligger i en konvolutt et sted i posten. Dersom man hadde gjennomlyst kortet ville man kunne sett kodene om ikke de var med belegg på . I tillegg er kodene laget med skrapefelt slik at du skal vite hvilken kode som ikke er brukt. Dette for å laste ned sertifikat da du er nødt å benytte deg av en kode som ikke er brukt fra før av og de ikke foreslår noen

Lenke til kommentar
Det er også en tid før du mottar kortet hvor det ligger i en konvolutt et sted i posten. Dersom man hadde gjennomlyst kortet ville man kunne sett kodene om ikke de var med belegg på . I tillegg er kodene laget med skrapefelt slik at du skal vite hvilken kode som ikke er brukt. Dette for å laste ned sertifikat da du er nødt å benytte deg av en kode som ikke er brukt fra før av og de ikke foreslår noen

At det ligger i en konvolutt i posten er forsåvidt greit. Før plastkortene ble innført sendte bankene ut engangskodene på papir, noe som gjorde de virkelig sårbare for gjennomlysing. Hvis gjennomlysing virkelig hadde vært et problem, ville vi vel aldri sett plastkort uten skrapefelt i utgangspunktet ettersom dette ikke akkurat er ny teknologi.

 

Det andre argumentet er imidlertid direkte feil ettersom alle feltene er nummererte, og man blir bedt om å taste en spesifikk kode. Skrapefelt kan ha noe for seg på kort uten nummererte felt, men disse kortene er enda mer usikre ettersom det helt umulig å vite om noen har skrapt (og brukt) noen av engangskodene.

Lenke til kommentar
At det ligger i en konvolutt i posten er forsåvidt greit. Før plastkortene ble innført sendte bankene ut engangskodene på papir, noe som gjorde de virkelig sårbare for gjennomlysing. Hvis gjennomlysing virkelig hadde vært et problem, ville vi vel aldri sett plastkort uten skrapefelt i utgangspunktet ettersom dette ikke akkurat er ny teknologi.

Nåja, før nettbankene fikk funksjonalitet som muliggjør at du selv kan aktivere (bank)kort, så sendte jo bankene ut kort som var ferdig aktivisert, selv om disse bankkortene faktisk ble stjålet og misbrukt. På den tiden var det færre kortkunder, færre transaksjoner og (alt i alt) akseptable tap for bankene. For bankene er det alltid "akseptable tap" (kontra investeringer i nye og sikrere løsninger) som gjelder.

Et par eksempler:

- vi bruker fremdeles kort med magnetstripe her i landet i 2009, sev om en sikrere utgave (smartkort / chipkort) har vært tilgjengelig i mange år. Årsak: bankene har vurdert det slik at investeringene som må til (støtte for smartkort i minibanker og betalingsterminaler) koster mer enn det de taper på misbruk av magnetstripekort. Tapet er derfor akseptabelt.

 

- skimming av minibanker har vært en kjent teknikk i mange, mange år. Enkle og billige tiltak for deteksjon av skimmingsforsøk mot minibanker har også vært kjent i mange år. Likevel var det først da skimming ble utbredt her i landet at bankene monterte anti-skimmingsutstyr på minibankene. Hva ser vi nå? Jo, i 2009 går de kriminelle til skimming av kortautomater på bensinstasjoner. Altså har de ansvarlige for kortautomatene der ikke montert anti-skimmingsutstyr på dem. Jeg vet ikke om det er bankene som også har det økonomiske ansvaret (og risikoen) for kortautomater på bensinstasjoner, men fordi det har vært få skimmingstilfeller mot disse automatene (og dermed lite økonomisk tap) så har de ansvarlige ikke tatt kostnaden med å investere i anti-skimmingsutstyr.

Lenke til kommentar

Raude: At det er både chip og magnetstripe på kortet kommer av at ingen minibanker og mange andre brukersteder ikke støtter noe annet enn magnetstripe. For å få fart i utrulling av flere chip-terminaler, samt bruk av chip (som per i dag er helt sikkert), kunne kortutsteder tatt et gebyr fra både brukersted og bruker for bruk av magnetstripe foran chip.

 

Men det er ikke disse kortene jeg mener i den første posten. Jeg mener kortene med engangskoder for nettbank. Mitt poeng er at skrapefelt ikke har noe for seg, og styrker ikke nevneverdig sikkerheten, når man i tillegg krever sertifikat for innlogging, og engangskoder for dette sertifikatet blir levert på SMS til allerede registrert mobiltelefon.

Lenke til kommentar
Raude: At det er både chip og magnetstripe på kortet kommer av at ingen minibanker og mange andre brukersteder ikke støtter noe annet enn magnetstripe. For å få fart i utrulling av flere chip-terminaler, samt bruk av chip (som per i dag er helt sikkert), kunne kortutsteder tatt et gebyr fra både brukersted og bruker for bruk av magnetstripe foran chip.

 

Men det er ikke disse kortene jeg mener i den første posten. Jeg mener kortene med engangskoder for nettbank. Mitt poeng er at skrapefelt ikke har noe for seg, og styrker ikke nevneverdig sikkerheten, når man i tillegg krever sertifikat for innlogging, og engangskoder for dette sertifikatet blir levert på SMS til allerede registrert mobiltelefon.

 

mener du at en som ikke kan velge chip kort bør betale gebyr ? det er jeg ikke med på.

nå har jeg ikke undersøkt om postbanken kan tilby chip kort.

Lenke til kommentar
mener du at en som ikke kan velge chip kort bør betale gebyr ? det er jeg ikke med på.

nå har jeg ikke undersøkt om postbanken kan tilby chip kort.

En slik ordning må selvfølgelig komme etter en satt frist, hvor alle som per i dag har et kort med kun magnetstripe har fått et kort med chip. Per i dag skal det ikke være mulig å bruke magnetstripen på kort som også har chip, og hvor terminalen også støtter dette. Så vidt jeg vet er det chip på alle nye kort som sendes ut nå.

 

Dette gjør at sikkerhetsrisikoen fremover vil komme fra brukersteder som bruker gammel terminal. Det kan også tenkes at noen useriøse brukersteder også vil beholde gamle terminaler så lenge som mulig nettopp for å ha mulighet til skimming. Ved å ilegge disse et gebyr for hver transaksjon fordi terminalen er usikker (kun tar magnetstripe) kan man lokke flest mulig over til et sikrere system. Og eventuelt kan kundene måtte betale et gebyr for hver transaksjon i en usikker terminal, slik at kunder vil mase på brukerstedene for å få nye terminaler eller velge bort slike brukersteder inntil de får ny terminal.

Lenke til kommentar
mener du at en som ikke kan velge chip kort bør betale gebyr ? det er jeg ikke med på.

nå har jeg ikke undersøkt om postbanken kan tilby chip kort.

En slik ordning må selvfølgelig komme etter en satt frist, hvor alle som per i dag har et kort med kun magnetstripe har fått et kort med chip. Per i dag skal det ikke være mulig å bruke magnetstripen på kort som også har chip, og hvor terminalen også støtter dette. Så vidt jeg vet er det chip på alle nye kort som sendes ut nå.

 

Dette gjør at sikkerhetsrisikoen fremover vil komme fra brukersteder som bruker gammel terminal. Det kan også tenkes at noen useriøse brukersteder også vil beholde gamle terminaler så lenge som mulig nettopp for å ha mulighet til skimming. Ved å ilegge disse et gebyr for hver transaksjon fordi terminalen er usikker (kun tar magnetstripe) kan man lokke flest mulig over til et sikrere system. Og eventuelt kan kundene måtte betale et gebyr for hver transaksjon i en usikker terminal, slik at kunder vil mase på brukerstedene for å få nye terminaler eller velge bort slike brukersteder inntil de får ny terminal.

i det tilfellet er det umoralsk å velte avgifter på kunder når brukerstedet ikke følger utviklingen

Lenke til kommentar
i det tilfellet er det umoralsk å velte avgifter på kunder når brukerstedet ikke følger utviklingen

Poenget er at avgiftene MÅ veltes over på kundene for at kundene skal presse brukerstedet til å få bort en usikker løsning - enten ved å mase, eller å unngå å handle der. Det er uansett kundene som til syvende og sist betaler for brukerstedets husleie, strøm, lønn og andre avgifter - og en tilleggsavgift som gikk kun på brukerstedet ville uansett blitt veltet over på kundene gjennom høyere priser. Så kan man hevde at høyere priser vil gjøre at folk ikke handler der lenger, men jeg tror at en magnetstripeavgift f.eks. på 5 kroner har en større effekt enn at en handlekurv i gjennomsnitt blir 5 kr dyrere.

 

Jeg tror imidlertid at dette vil løse seg selv ved at BBS faser ut magnetstripeleserne så snart alle kort i Norge har chip.

 

Men nå er jeg igjen OT, spørsmålet er fortsatt om engangskoder til nettbank...

Lenke til kommentar

Jeg vet ikke hvordan kodekortet til Nordea ser ut. Men som Raude sier, så er det helt riktig at den som skal bruke kodekodet uansett må ha andre opplysninger i tillegg - og nettopp derfor mener jeg at skrapebelegget på kodekortet er unødvendig og bare egnet for irritasjon. Så lenge man krever et fødselsnummer, pin-kode og nedlastet sertifikat i tillegg til kodekort, så blir skrapebelegget overflødig.

Lenke til kommentar
Det er også en tid før du mottar kortet hvor det ligger i en konvolutt et sted i posten. Dersom man hadde gjennomlyst kortet ville man kunne sett kodene om ikke de var med belegg på . I tillegg er kodene laget med skrapefelt slik at du skal vite hvilken kode som ikke er brukt. Dette for å laste ned sertifikat da du er nødt å benytte deg av en kode som ikke er brukt fra før av og de ikke foreslår noen

Det andre argumentet er imidlertid direkte feil ettersom alle feltene er nummererte, og man blir bedt om å taste en spesifikk kode. Skrapefelt kan ha noe for seg på kort uten nummererte felt, men disse kortene er enda mer usikre ettersom det helt umulig å vite om noen har skrapt (og brukt) noen av engangskodene.

 

Selv synes jeg det er veldig greit med skrapefeltene på kortene til Skandiabanken. Om det har noen enorm effekt i forholdt til sikkerhet vet jeg ikke, men som du selv er inne på oppdager du i mange tilfeller fortere at noen har tuklet med kortet dersom flere felter er skrapt fram. For meg som kunde synes jeg måten man nå kan se hvor mange koder man har igjen på kortet, er en veldig fin mulighet. Da vet jeg selv om jeg snart bør få en nytt kort, om jeg trenger å ta med flere kodekort på reise og så videre.

 

Selvfølgelig er dette ting som man kunne løst ved å bruke mobiltelefon for å motta engangspassord, men enkelte ganger ligger kodekort nærmere enn mobil, og i andre tilfeller vil man gjerne ha en ekstra sikkerhet om noe skulle skje (mobil ødelagt/stjålet etc...).

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...