BankID-eieren: – Ingen sårbarhet

[Harald Brombach (digi.no)]

BankID-eieren: – Ingen sårbarhet

[Ivar Nesje]

Kan noen fortelle meg hvordan jeg som bruker sjekker sertifikatinfo hvis jeg er usikker når en nettbutikk popper opp med en BankID boks? Navnet kan jo åpenbart lett forfalskes hvis boksen ikke er ekte i utgangspunktet.

Et annet relevant spørsmål er hva jeg skal gjøre i det jeg oppdager at jeg har oppgitt bankID informasjon på et nettsted jeg senere oppdager ikke er på rett domene (eg etter en phishing mail, eller en av de andre phishing mulighetene). Er det noe sted jeg kan gå inn og se loggen for hva min BankID har blitt brukt til?

Endret 22. mars 2019 av Omnia vincit amor

[digimator]

Et annet relevant spørsmål er hva jeg skal gjøre i det jeg oppdager at jeg har oppgitt bankID informasjon på et nettsted jeg senere oppdager ikke er på rett domene (eg etter en phishing mail, eller en av de andre phishing mulighetene). Er det noe sted jeg kan gå inn og se loggen for hva min BankID har blitt brukt til?

 

BankID informasjonen må jo brukast i "real time", så mest sannsynlig så vil misbruk visa på kontoutskrifta.

[Gjest Slettet-OvFPdyiZ]

"Eksempelet som trekkes frem er et resultat av rutinesvikt og noe som det også fremgår av artikkelen er dette rettet opp."

Dette er 100% pølsevev.

Om brukerene ikke reagerte når en login hos nabobil.no vistes som SigniCat i BankID rettes ikke ved at en endrer fra "Nabobil.no" til "SigniCat" på login-vinduet. De har ikke gjort det noe mer synlig for brukerene.

La oss nå si at noen nå angriper Nabobil.no. Når brukerene ikke reagerte på at det sto SigniCat på det de fikk opp på mobilen, hva er sjansen for at de reagerer når det står Storebrand?

[Ivar Nesje]

 

Et annet relevant spørsmål er hva jeg skal gjøre i det jeg oppdager at jeg har oppgitt bankID informasjon på et nettsted jeg senere oppdager ikke er på rett domene (eg etter en phishing mail, eller en av de andre phishing mulighetene). Er det noe sted jeg kan gå inn og se loggen for hva min BankID har blitt brukt til?

 

BankID informasjonen må jo brukast i "real time", så mest sannsynlig så vil misbruk visa på kontoutskrifta.

Hva slags kontoutskrift sjekker du for å se om noen har tatt opp lån i BankNorwegian i ditt navn(selv om du ikke er kunde der fra før), pansatt boligen din, eller hentet ut telefonloggene dine fra Telia? BankID er ikke bare nøkkelen til banken lenger, den er nøkkelen til hele din digitale eksistens, både for brukersteder du har et forhold til, og alle de du aldri har hørt om.

[tommyb]

Korriger meg hvis jeg tar feil, men er det ikke slik at den mest omtalte problemstillingen ville ha falt bort dersom det rett og slett ikke var lov å åpne bankID-påloggingen i en iframe? Hvis man åpnet et nytt vindu, ville sertifikatet faktisk hatt en verdi, hengelåsen i adressefeltet faktisk hatt en verdi, og URLen faktisk hatt en verdi. Nå har den det ikke, den kan se svært ekte ut og likevel bare være pen HTML.

Har aldri vært problematisk for meg når Paypal-påloggingen åpnes i et nytt vindu eller redirecter etter pålogging/bruk, tror ikke det hadde vært en krise om BankID også gjorde det.

Endret 22. mars 2019 av tommyb

[mandela]

Ikke uvanlig av "bransjen" å avfeie eller bagatellisere kritikk, det ligger kanskje i tiden. For noen år siden la politikere seg "langflate" ved skandaler, nå avfeies ting som usannheter eller svares med motangrep.

 

 

Utfordringene som påpekes rundt BankID på mobil i sammenligning med svensk BankID er vi uenige i. Referanseordene i BankID på Mobil er en del av dybdeforsvaret og kommer i tillegg til visningen av brukerstedet.

Den type forbedringer har vært høyt på prioriteringslisten ganske lenge, spesielt blant nettlesere, det å presentere nøkkelinformasjon for brukeren på en måte som kan redusere spoofing.

 

Ikke relatert til artikkelen, men en kommentar angående Vipps på Android:

Innlogging til Vipps appen beskyttes av en personlig kode som kun kan bestå av et tall på maksimalt fire siffer.

Endret 23. mars 2019 av mandela

[tommyb]

Ikke uvanlig av "bransjen" å avfeie eller bagatellisere kritikk, det ligger kanskje i tiden. For noen år siden la politikere seg "langflate" ved skandaler, nå avfeies ting som usannheter eller svares med motangrep.

 

To riktige observasjoner, men sammenhengen mellom disse er nok ikke riktig/viktig. Å bli satt i medias søkelys kan være en mer alvorlig trussel for et firma enn sikkerhetshullet. Det er viktig for eksistensen til BankID å ha tiltro, og de vil/kan miste mer tiltro om de legger seg flate for en alvorlig ting enn om de framstår som ydmyke men ikke bekymret fordi det er en bagatell som de allerede har gjort en god risikovurdering av. 

 

De kommer da til å framstå som ydmyke og som om dette er en bagatell som de allerede har gjort en god risikovurdering av. 

 

Slik har det vært ved kjente sikkerhetsbrudd så lenge som jeg kan huske. Noen håndterer det bra, og andre håndterer det dårlig, noen forsøker å framstille det som om varsleren har en agenda eller ikke har peiling på hva han snakker om, andre legger seg flate, og noen, sånn som her, sier "så, så, bare slapp av, de voksne har kontroll". 

[T5TQBQ4D]

 

Et annet relevant spørsmål er hva jeg skal gjøre i det jeg oppdager at jeg har oppgitt bankID informasjon på et nettsted jeg senere oppdager ikke er på rett domene (eg etter en phishing mail, eller en av de andre phishing mulighetene). Er det noe sted jeg kan gå inn og se loggen for hva min BankID har blitt brukt til?

 

BankID informasjonen må jo brukast i "real time", så mest sannsynlig så vil misbruk visa på kontoutskrifta.

Veldig mye skade som kan gjøres før du sjekker kontoutskriften. Det kan tas opp lån, eierskap til ting kan overføres og utbetalinger kan foretas nå, og registreres frem i tid.

[T5TQBQ4D]

Jeg har sett med forferdelse på innføringen av først BankId på mobil og deretter lanseringen av Vipps, tidenes skrekkeksempel på sikkerhet i betalingsløsninger.

Brukerens ønske om en enkel hverdag kommer erfaringsmessig alltid i konflikt med sikkerhet på løsninger. Unikt passord og individuell kodebrikke per tjeneste er en noe mer omstendelig løsning, men jeg ser tiden er kommet for å være "kjerringa mot strømmen". Dette er per dags dato den beste blant dårlige løsninger.

BankId var en helt grei løsning all den tid den var begrenset til noen få tjenester innenfor et veldefinert segment. De fleste banker burde være i stand til å holde egne sider fri for phising-kode og tredjeparts iframes. Den samme antagelsen gjelder garantert ikke for småbedrifter som kommer og går.

En kort oppsummering av gevinster og risiko slik jeg vurderer det som kunde:

Med BankId:

+ Enkel felles innlogging.

- Risiko for misbruk

-- på tjenester jeg aldri har brukt eller ikke ønsker.

-- på tjenester jeg allerede benytter.

- Du kobles via BankId-avtalen til problemer med misbruk. Dersom BankId-koden din misbrukes er det du som må bevise at det IKKE var deg.

Uten BankId:

- Må ha eget passord og, for noen tjenester, egen kodebrikke.

+ Ingen mulighet for misbruk av innlogging fra en tjeneste på en annen.

+ Dersom noen oppretter en falsk konto i ditt navn så er det ingen avtalemessig kobling til deg og det er motparten som må bevise at det er deg.

 

Jeg har brukt den siste timen på å kansellere BankId,

[Slettamann]

Og dersom BankID virkelig utgjør en så stor sikkerhetsrisiko samtidig som innloggingsmetoden brukes av tusenvis mennesker daglig, hvorfor er denne debatten gjemt på et lite nettsted med noen få kommentarer fra "spesielt interesserte"?

[Jonny Rein Eriksen]

Og dersom BankID virkelig utgjør en så stor sikkerhetsrisiko samtidig som innloggingsmetoden brukes av tusenvis mennesker daglig, hvorfor er denne debatten gjemt på et lite nettsted med noen få kommentarer fra "spesielt interesserte"?

Jeg valgte å gå til digi.no fordi det er avisen med størst og best fokus på it-sikkerhet. I tillegg er leserne her de som best forstår sikkerhets-spørsmål.

[Tastaturskriver]

Pluss at terskelen for å få noe publisert på digi er vesentlig lavere...

[G]

Det mest negative med BankID som jeg har opplevd er at man kan bli bedt om å endre passord. Dette øker ikke sikkerheten nevneverdig. Og er mest for et irritasjonmoment å regne.

 

(obs! dette er en dobbeltbesvarelse fra meg på to forskjellige diskusjonstråder, fant ut at den passer bedre her, da sjansen er større for at selve BankID organisasjonen leser dette innlegget her)

Endret 23. mars 2019 av G

[NPV]

"Hanne Kjærnes, kommunikasjonssjef hos Vipps"

 

" informasjonsdirektør Even Westerveld"

 

Hvis disse organisasjonene forventer at vi skal tro på dem når de sier noe om sikkerheten i løsningene deres bør de la uttalelsene komme fra noen som har grunnlag for å si noe om den. Kommunikasjonsjef og informasjonsdirektør leser jeg som MARKEDSFØRING ansatte, noe jeg har rimelig lav tillit til. Om de mot formodning skulle ha teknisk kompetanse på sikkerhet burde de justere tittlen sin litt.

 

Hva med å la et par arkitekter eller utviklere uttale seg? Eller er de ikke gode nok skuespillere til å holde maska, eller såpass uvante med å bli intervjuet at de kanskje glipper ut en sannhet?

[Tastaturskriver]

Hva er poenget med å ha en markedsavdeling om en ikke har tillit nok til å slippe dem til i intervjuer som dette?

[mandela]

Hva er poenget med å ha en markedsavdeling om en ikke har tillit nok til å slippe dem til i intervjuer som dette?

1. Svarene ble sendt inn skriftlig slik jeg forstår det, ikke i intervjuform

2. Fordi de kun sitter på overflatekunnskap og ikke har forutsetningene for å kunne svare på kritikken, den må formaliseres i samarbeid med ekspertene

[SteinGo]

Jeg valgte å gå til digi.no fordi det er avisen med størst og best fokus på it-sikkerhet. I tillegg er leserne her de som best forstår sikkerhets-spørsmål.

 

Takker for en av de beste artiklene jeg har lest på lenge :-) (BankID).

 

Sikkerhets mekanismer (med ulikt sikkerhets nivå) som ikke er fremme i debatten:

 

Virtuell kodebrikke på Mobiltelefon (med lavest sikkerhet i denne sammenhengen, muligens bra nok?) (dersom noen klarer å bryte sikkerheten på mobiltelefonen så har du person nr. og passord "igjen").

 

Fysisk Kodebrikke (en må ha tilgang til den fysiske kodebrikken, dersom en stoler på at bankenes infrastruktur er sikret slik at det ikke er mulig å få tilgang til den aktuelle kodebrikke "koden" fra "baksiden".

 

Fysisk Kodebrikke med Pin kode tastatur (DNB og Posten med flere? hadde denne mest sikre Identifiserings mekanismen for noen år tilbake).

 

Liten kuriositet, jeg spurte en vanlig bankansatt bak skranken om endringen fra kodebrikke med pinkode til kodebrikke med bare "trykk-knapp uten identifisering". Den bankansatte insisterte på at den nye billigere kodebrikken var like sikker. Den bankansatte ble irritert når jeg ikke aksepterte denne merkelige påstanden.

 

Mvh Stein

Endret 27. mars 2019 av SteinGo