Hvordan virker kodebrikken til BankID?

[simenss]

Har fundert på en ting: hvordan vet kodebrikken til BankID at jeg har benyttet en kode? Den samme koden kommer hver gang, helt til jeg har benyttet den i nettbanken. Kodebrikken må derfor på en eller annen måte kommunisere med banken. Hvordan? Hvilken teknologi?

 

Kodebrikken min ser slik ut:

[Nedward]

Er du sikker på at den vet når du har brukt en kode?. Jeg har samme kodedings(Geo2), og hos meg virker det som kodene er tidsbegrenset. Dvs. trykker du på knappen nå, også venter du f.eks. 10 minutter og trykker på nytt, så er det en ny kode. Uten at jeg har brukt koden.

Jeg kan også, hvis jeg er rask nok, oppleve å få samme kode to ganger selv om jeg har brukt koden før.

 

Måten de virker på er at den genererer en kode ut i fra en algoritme (en oppskrift om du vil). Som igjen er synkronisert med banken.

Her (klikkbar) er litt informasjon om slike "kodedingser".

[nebrewfoz]

Det finnes i hovedsak to typer dingser for slike formål.

 

Den ene er tidsbasert; koden i displayet endres med fast intervall, drevet av en klokke inni dingsen. Banken har et motstykke til din dings som genererer eksakt samme kodesekvens.

 

Den andre er event-basert; koden i displayet endres når du trykker på en knapp. Men min BankID-dings må jeg sette VISA-kortet inn i dingsen først, ellers kommer det ikke opp noen kode. Banken har et motstykke til denne dingsen, og det vet hvilke koder jeg har brukt, og hvilke koder som følger deretter.

 

Ikke i noen av tilfellene er det noen form for kommunikasjon mellom min dings og banken. Alt er forutbestemt (kodesekvensene og måten man skifter til neste kode på).

 

Jeg har ikke eksperimentert altfor mye med min BankID, så jeg vet ikke hvor lang tid jeg må vente mellom to trykk på knappen for å få ny kode. Jeg har alltid tatt ut VISA-kortet, satt det inn igjen og trykket på knappen, og da har jeg alltid fått ny kode automatisk. Jeg har heller ikke testet hva som skjer om jeg genererer en haug med koder som jeg så ikke bruker. (Jeg ser ingen fordeler med det, og mange potensielle problemer, så da lar jeg heller være.)

[simenss]

Har prøvd med 10 minutters mellomrom nå, og får – som Dj_eLmO skriver – en ny kode. Man hva om man logger inn og utfører en betaling i nettbanken innenfor denne tidsperioden? Kan man da oppleve å bruke den samme koden to ganger?

[Sondring]

Kan man da oppleve å bruke den samme koden to ganger?

 

Nå sitter jeg ikke med BankID, men jeg sitter med en lignende teknologi brikke som jeg bruker på World of Warcraft kontoene mine

 

I WoW's tilfelle, så kan en ikke bruke samme kode flere ganger med ett unntak; om en bruker samme kode samtidig flere steder (for å logge på flere kontoer tilknyttet samme brikke).

Bruker man en kode, må man i mitt tilfelle vente ~30 sekund eller så før neste kode er klar til bruk.

[nebrewfoz]

Har prøvd med 10 minutters mellomrom nå, og får – som Dj_eLmO skriver – en ny kode. Man hva om man logger inn og utfører en betaling i nettbanken innenfor denne tidsperioden? Kan man da oppleve å bruke den samme koden to ganger?

Det er jo meningen at man (i teorien) aldri skal bruke samme kode to ganger, i hvert fall helt til man har brukt én million koder ..., så hvis du gjør det vil jeg tro du får beskjed om å generere en ny kode ...

[Nedward]

Har prøvd med 10 minutters mellomrom nå, og får – som Dj_eLmO skriver – en ny kode. Man hva om man logger inn og utfører en betaling i nettbanken innenfor denne tidsperioden? Kan man da oppleve å bruke den samme koden to ganger?

Du kan ikke bruke samme kode to ganger. Eller, jeg kan ikke det. Jeg får bare beskjed om at koden jeg prøver å bruke allerede er benyttet, og at jeg må generere ny kode.

[Budeia]

Hadde tenkt å lage en tråd om dette.

Noen steder på nettet kan man bruke kodene fra en annen bank til å logge inn, eller bruke kodene til andre ting.

Hvordan "vet" da den lokale nettbanken at jeg har brukt opp en ekstra kode før jeg vender tilbake dit?

[nebrewfoz]

Hadde tenkt å lage en tråd om dette. Noen steder på nettet kan man bruke kodene fra en annen bank til å logge inn, eller bruke kodene til andre ting. Hvordan "vet" da den lokale nettbanken at jeg har brukt opp en ekstra kode før jeg vender tilbake dit?

Hvis du tar BankID som eksempel, så er det en tjeneste som jeg har fått gjennom min lokale bank. Jeg har ikke satt mine ben i bankens lokaler på 10 år, og alt skjer via nettbank. I det siste har jeg også kunnet bruke BankID-koder for å logge meg på andre nettbanker, for å sjekke forsikringsordninger, for å laste ned dokumenter fra Skatteetaten, osv.

Grunnen til at dette funker er at BankID ikke er en del av min bank som sådan, men de tilbyr en tjeneste som flere banker og organisasjoner (og deres kunder) kan benytte. Du kan godt si at når jeg vil logge med inn i nettbanken, så kaller nettbanken på BankID, jeg dokumenterer overfor BankID hvem jeg er, og så sier BankID til nettbanken at "kunden har fremlagt gyldig ID, bare slipp ham inn". Dette kan BankID gjøre for både nettbanker og andre, og det spiller ingen rolle om du bruker kodene for å logge deg på det ene eller det andre. Når alt kommer til alt er kodene en sak mellom deg og BankID.

[Caddy]

Min digipass 250:

 

 

Key Features

Internal real-time clock

OATH Challenge Response (OCRA) on-demand

Intelligent battery management with expected battery life of 10 years*

After a programmable number of invalid PIN attempts, device locks automatically

Remote de-blocking

Dual function on-off/erase button

Limitation settings can be time-based or based on a maximum number of operations

Electronic signatures guarantee integrity of transmitted data

PIN in user-changeable

Size: 75 x 46 x 13 mm

Weight: 28 gr

* for devices produces as from 2011

 

Synes også jeg så "Very shock resistant" et sted, men det kan ikke stemme. Den blokka seg en gang da jeg trykka inn feil passord litt for mange ganger. Ble sinna og slang den i bakken. Funka etterpå og aldri lagd no trøbbel siden..

 

Digipass Go: (den 1knappsgreia)

 

Key Features

Only 10 grams in weight, including the battery

Size: 12,5 x 30 x 60 mm (H x W x L )

8-character L CD display

Activated by pushing 1 small button

DES or 3-DES

supports VASCO’s Multi OTP technology

On board real time clock

Encryption can be:

Time synchronous

Time and event synchronous

Can be combined with a PIN entry on a PC

Expected lifetime of the battery: 5 years minimum

Compatible with all other DIGIPASS family members

Can be programmed with DIGIPASS Programmer and Digilink or can be delivered fully programmed.

Compatible with over 50 major application software vendors.

 

Les mer her: http://www.vasco.com/products/products.aspx

Endret 27. juni 2012 av Caddy

[Henrik C]

Når vi er inne på temaet, så har jeg lurt på noe en stund. Da jeg var kunde hos Nordea hadde jeg en kodebrikke hvor jeg måtte taste inn PIN-kode. Tastet feil kode et par ganger for mye, og den ble da låst. Måtte ringe banken og de kunne låse den opp.

 

Akkurat denne opplåsingsprosessen forstår jeg ikke. De gjorde de bare over telefonen og det tok cirka 5 sekunder før den var tilbake til normalt - så det må jo være en form for kommunikasjon mellom banken og brikken akkurat for opplåsingsbiten. Hvordan gjør de det?

[Budeia]

Tastet feil kode et par ganger for mye, og den ble da låst.

 

Kan være at det var nettbanken som ble låst, og ikke brikken?

[Nedward]

Tastet feil kode et par ganger for mye, og den ble da låst.

 

Kan være at det var nettbanken som ble låst, og ikke brikken?

Det er nettbanken som låses. Hvis du ringer banken din og forklarer problemet så ber de deg lese opp serienummeret på din kodebrikke også låser de opp nettbankkontoen din når de er tilfredsstilt med din legitimasjon (mener å huske at de stiller noen sikkerhetsspørsmål også).

[Henrik C]

Neida - tastet feil kode på BankID-brikken, og det var den som var låst. Husker det stod i displayet at den var låst, så tenkte først at nå måtte jeg få ny brikke.

[Icetears]

Kommunikasjonen mellom deg og banken foregår med en privat og en public/delt nøkkel.

BankID'en din er den som er delt/utgitt av banken, og du har opprettet din private nøkkel.

 

http://en.wikipedia.org/wiki/RSA_(algorithm)

http://en.wikipedia.org/wiki/Public-key_cryptography

[Caddy]

Når vi er inne på temaet, så har jeg lurt på noe en stund. Da jeg var kunde hos Nordea hadde jeg en kodebrikke hvor jeg måtte taste inn PIN-kode. Tastet feil kode et par ganger for mye, og den ble da låst. Måtte ringe banken og de kunne låse den opp.

 

Synes også jeg så "Very shock resistant" et sted, men det kan ikke stemme. Den blokka seg en gang da jeg trykka inn feil passord litt for mange ganger. Ble sinna og slang den i bakken. Funka etterpå og aldri lagd no trøbbel siden..

 

Høres ut som en resett funksjon i brikka.. "hversegod, prøv 9996 ganger til......"

[Emancipate]

Neida - tastet feil kode på BankID-brikken, og det var den som var låst. Husker det stod i displayet at den var låst, så tenkte først at nå måtte jeg få ny brikke.

Den eneste forklaringen jeg har er at du husker feil. Man må ha ny brikke når den låser seg.

[nebrewfoz]

Neida - tastet feil kode på BankID-brikken, og det var den som var låst. Husker det stod i displayet at den var låst, så tenkte først at nå måtte jeg få ny brikke.

Den eneste forklaringen jeg har er at du husker feil. Man må ha ny brikke når den låser seg.

Eller kan det ha vært slik at BankID-brikken låste seg for en tidsbestemt periode? Dvs. at du måtte vente i x minutter før du kunne prøve igjen?

 

Det er i hvert fall en enkel metode som er mye brukt for at 'brute force' angrep skal ta lenger tid.

[Henrik C]

Jeg har fortsatt samme brikken, vet at jeg ikke byttet den, men kan ha vært en tidsperiode ja. Kan egentlig sjekke når jeg er tilbake på hybelen, har byttet bank nå, så den brikken bruker jeg såvidt.