Gå til innhold

DEBATT: – Jo, BankID kan være farlig


Anbefalte innlegg

Videoannonse
Annonse

Her var det mange gode tanker.

Forbrukere er uansett ikke i posisjon til hverken å forstå risikoen eller endre vilkårene.

Dersom vi i all hovedsak legger ansvaret på banken, kan denne vurdere risiko og bestemme når det er nødvendig med ekstra sikringstiltak. Eksempelvis personlig oppmøte eller varsling og forsinket utbetaling.

Samme prinsipp kan benyttes for de andre utfordringene, legg ansvaret der ting best kan vurderes og løses. Det er sjelden hos sluttbruker.

  • Liker 1
Lenke til kommentar

>Så det er NULL mer sikkert med BankID enn brukernavn/passord....

 

Det er mulig å MITM BankId, men å si at det gir null ekstra sikkerhet kontra kun brukernavn/passord er en overdrivelse. Det er ikke bare MITM som da er en trussel, og BankID hindrer mange andre typer angrep som kan overvinne kun brukernavn/passord.

 

> Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.

 

Om brukeren ikke følger med i det hele tatt på hva man godkjenner, for det står i mobil-dialogen hvor man faktisk logger seg inn og hva man faktisk godkjenner. Vet at mange brukere er ubevisste, men da blir sikkerhet vanskelig.

 

Forøvrig interessant å observere at artikkelforfatteren ser ut til å kun snakke om BankID som noe som krever at man har med seg kodebrikke. For meg er det litt det samme som at betaling krever at man har med seg sjekkhefte. Trodde dette i praksis var erstattet av mobil for de fleste for lenge siden. Forsåvidt bare en digresjon.

Endret av Arne5
  • Liker 2
  • Innsiktsfullt 1
Lenke til kommentar
7 minutes ago, Rudde said:

Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? 

Dersom du har lagt fleire betalingar i kø, så vil alle bli godkjent med ein kode. Du kan ikkje utføra forskjellige operasjonar med same kode.

  • Liker 1
Lenke til kommentar

Hele poenget med man-in-middle phishing er jo at brukeren tror at det er den ekte siden (som dukker opp i mobil dialogen) de er på.

Så når bruker på sin mobil ser kodeord «SULTEN SNEGLE» og brukersted feks «KLP Bank» når man tror man er på feks den ekte KLP siden så forsterker det jo bare inntrykket av at man ikke er utsatt for phishing!

Jeg vil dermed argumentere for at dette er ENDA lettere å bli lurt av enn normal phishing, siden du får mobil flyten som faktisk jobber MOT brukerene (bekrefter at de er på en ekte side, når de IKKE er det) og jobber FOR man-in-middle.

Helt utrolig at noe så enkelt å phishe er godkjent løsning i Norge som nivå 4 og at man kan komme i finansiell-ruin ved å bli utsatt for noe så enkelt, eller få alle sine helse data på avveie.

Lenke til kommentar

> Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.

 

Det er hva phisheren prøver å bruke innloggingen/pengene dine til som dukker opp i mobildialogen. Selv om de klarer å logge seg inn på banken din så kreves ny BankID for å flytte penger, og da ser du hvor de går, før du godkjenner.

Endret av Arne5
Lenke til kommentar
Rudde skrev (1 time siden):

Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? 

Nei, det går ikke. 1 kode - 1 transaksjon. Typen transaksjon er derimot ikke begrenset.

Dvs, hvis du har logget inn på banken din og tror du godkjenner en regning med en kode, så vil en angriper som har klart å ta kontroll på maskina di kunne erstatte betaling av regningen med en forespørsel om lån isteden for. Eller noe annet som man får gjort i banken og signert ved bruk av en kode.

 

Mvh

Per gunnar Hansø

Lenke til kommentar
39 minutes ago, pergh said:

Nei, det går ikke. 1 kode - 1 transaksjon. Typen transaksjon er derimot ikke begrenset.

Dvs, hvis du har logget inn på banken din og tror du godkjenner en regning med en kode, så vil en angriper som har klart å ta kontroll på maskina di kunne erstatte betaling av regningen med en forespørsel om lån isteden for. Eller noe annet som man får gjort i banken og signert ved bruk av en kode.

 

Som er et godt argument for å fase ut de gammeldagse kodebrikkene for kun BankID på mobil, hvor du ser hva du faktisk godkjenner.

Lenke til kommentar
Arne5 skrev (2 timer siden):

Det er mulig å MITM BankId, men å si at det gir null ekstra sikkerhet kontra kun brukernavn/passord er en overdrivelse. Det er ikke bare MITM som da er en trussel, og BankID hindrer mange andre typer angrep som kan overvinne kun brukernavn/passord.

Yep, enig i denne. 

Arne5 skrev (2 timer siden):

Forøvrig interessant å observere at artikkelforfatteren ser ut til å kun snakke om BankID som noe som krever at man har med seg kodebrikke. For meg er det litt det samme som at betaling krever at man har med seg sjekkhefte. Trodde dette i praksis var erstattet av mobil for de fleste for lenge siden. Forsåvidt bare en digresjon.

Det er et valg jeg har tatt, ja, å ikke ha hele sikkerhetskjeden liggende på enheter som er på nett for det meste og der binærkoden kan byttes ut. Litt mindre praktisk enn å ha den tilgjengelig hele tiden, men så blir det litt enklere å huske når og i hvilken setting den brukes. I overkant konservativt kanskje, men liker å kunne resonere rundt ting.

 

Mvh

Per Gunnar "stein-og-stål-kan-tenne-bål" Hansø

Lenke til kommentar
Arne5 skrev (9 minutter siden):

 

Som er et godt argument for å fase ut de gammeldagse kodebrikkene for kun BankID på mobil, hvor du ser hva du faktisk godkjenner.

Yep, det er et fremskritt. Så får en avveie om en stoler så mye på mobilen sin at man legger det egget i samme kurven som de andre ?

 

Mvh

Per Gunnar Hansø

Lenke til kommentar
1 hour ago, pergh said:

Yep, det er et fremskritt. Så får en avveie om en stoler så mye på mobilen sin at man legger det egget i samme kurven som de andre ?

 

Det er et fair poeng angående mobil, men i denne sammenheng blir det uansett nok en faktor som også må kompromitteres, på en annen måte, individuelt hos deg, for å kunne lykkes med resten av BankID MITM forsøket. Sikkerhet handler mye om å håndtere og balansere risiko-nivå. For egen del vil jeg i praksis sette langt større verdi på det å kunne se hvilke transaksjoner jeg faktisk godkjenner, selv når de går gjennom et MITM forsøk, enn evt. økt annen risiko ved mobil vs brikke.

Lenke til kommentar
Rudde skrev (51 minutter siden):

Når vi har deg her, så har jeg en gang hørt et rykte om at dere kjører toupper på passordene, slik at BankID ikke differensierer store og små bokstaver i passordene våre? Stemmer dette?

Har vært med på å rydde systemer for klartekst-passord, ja, men aldri et system som brukte BankID på noen måte.

 

Mvh

Per Gunnar Hansø

Lenke til kommentar

Intressant hvordan det ikke er mulig å gjennomføre kredittkortbetalinger uten koding av typen vare som kjøpes.

Også umulig er overføring av større beløp ut av landet uten koding av typen betaling som skjer.

Hvis det hadde vært ett øre skatt involvert i bruken av BankID så ville koding av hva man signerer og de økonomiske konsekvensene av det vært obligatorisk å oppgi.

Det å gi innbyggerne kontroll over hvem som får signere for dem for hvilke koder og med hvilke økonomiske konsekvenser er imidlertid umulig å få til.

Det er tydelig hvem som ble prioritert under utviklingen av BankId.

 

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
×
×
  • Opprett ny...