Jump to content
Sign in to follow this  
Redaksjonen.

DEBATT: – Jo, BankID kan være farlig

Recommended Posts

Her var det mange gode tanker.

Forbrukere er uansett ikke i posisjon til hverken å forstå risikoen eller endre vilkårene.

Dersom vi i all hovedsak legger ansvaret på banken, kan denne vurdere risiko og bestemme når det er nødvendig med ekstra sikringstiltak. Eksempelvis personlig oppmøte eller varsling og forsinket utbetaling.

Samme prinsipp kan benyttes for de andre utfordringene, legg ansvaret der ting best kan vurderes og løses. Det er sjelden hos sluttbruker.

  • Like 1

Share this post


Link to post

Med BankID på mobil kommer det opp på telefonen hvilken tjeneste Man-in-middle angriperen logger seg inn på, så hvis du reagerer med å ikke godkjenne hvis det står BankNorwegian på den, når du logger på en annen side, så slipper du ansvar for forbrukslån. Ellers er du helt korrekt.

  • Like 1

Share this post


Link to post

>Så det er NULL mer sikkert med BankID enn brukernavn/passord....

 

Det er mulig å MITM BankId, men å si at det gir null ekstra sikkerhet kontra kun brukernavn/passord er en overdrivelse. Det er ikke bare MITM som da er en trussel, og BankID hindrer mange andre typer angrep som kan overvinne kun brukernavn/passord.

 

> Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.

 

Om brukeren ikke følger med i det hele tatt på hva man godkjenner, for det står i mobil-dialogen hvor man faktisk logger seg inn og hva man faktisk godkjenner. Vet at mange brukere er ubevisste, men da blir sikkerhet vanskelig.

 

Forøvrig interessant å observere at artikkelforfatteren ser ut til å kun snakke om BankID som noe som krever at man har med seg kodebrikke. For meg er det litt det samme som at betaling krever at man har med seg sjekkhefte. Trodde dette i praksis var erstattet av mobil for de fleste for lenge siden. Forsåvidt bare en digresjon.

Edited by Arne5
  • Like 2
  • Innsiktsfullt 1

Share this post


Link to post

Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? 

Share this post


Link to post
7 minutes ago, Rudde said:

Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? 

Dersom du har lagt fleire betalingar i kø, så vil alle bli godkjent med ein kode. Du kan ikkje utføra forskjellige operasjonar med same kode.

  • Like 1

Share this post


Link to post

Hele poenget med man-in-middle phishing er jo at brukeren tror at det er den ekte siden (som dukker opp i mobil dialogen) de er på.

Så når bruker på sin mobil ser kodeord «SULTEN SNEGLE» og brukersted feks «KLP Bank» når man tror man er på feks den ekte KLP siden så forsterker det jo bare inntrykket av at man ikke er utsatt for phishing!

Jeg vil dermed argumentere for at dette er ENDA lettere å bli lurt av enn normal phishing, siden du får mobil flyten som faktisk jobber MOT brukerene (bekrefter at de er på en ekte side, når de IKKE er det) og jobber FOR man-in-middle.

Helt utrolig at noe så enkelt å phishe er godkjent løsning i Norge som nivå 4 og at man kan komme i finansiell-ruin ved å bli utsatt for noe så enkelt, eller få alle sine helse data på avveie.

Share this post


Link to post

> Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for.

 

Det er hva phisheren prøver å bruke innloggingen/pengene dine til som dukker opp i mobildialogen. Selv om de klarer å logge seg inn på banken din så kreves ny BankID for å flytte penger, og da ser du hvor de går, før du godkjenner.

Edited by Arne5

Share this post


Link to post
digimator skrev (1 time siden):

Dersom du har lagt fleire betalingar i kø, så vil alle bli godkjent med ein kode. Du kan ikkje utføra forskjellige operasjonar med same kode.

Det var ikke det spørsmålet var og ikke en gang et sammenlignbart scenario. 

Share this post


Link to post
Rudde skrev (1 time siden):

Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? 

Nei, det går ikke. 1 kode - 1 transaksjon. Typen transaksjon er derimot ikke begrenset.

Dvs, hvis du har logget inn på banken din og tror du godkjenner en regning med en kode, så vil en angriper som har klart å ta kontroll på maskina di kunne erstatte betaling av regningen med en forespørsel om lån isteden for. Eller noe annet som man får gjort i banken og signert ved bruk av en kode.

 

Mvh

Per gunnar Hansø

Share this post


Link to post
39 minutes ago, pergh said:

Nei, det går ikke. 1 kode - 1 transaksjon. Typen transaksjon er derimot ikke begrenset.

Dvs, hvis du har logget inn på banken din og tror du godkjenner en regning med en kode, så vil en angriper som har klart å ta kontroll på maskina di kunne erstatte betaling av regningen med en forespørsel om lån isteden for. Eller noe annet som man får gjort i banken og signert ved bruk av en kode.

 

Som er et godt argument for å fase ut de gammeldagse kodebrikkene for kun BankID på mobil, hvor du ser hva du faktisk godkjenner.

Share this post


Link to post
Arne5 skrev (2 timer siden):

Det er mulig å MITM BankId, men å si at det gir null ekstra sikkerhet kontra kun brukernavn/passord er en overdrivelse. Det er ikke bare MITM som da er en trussel, og BankID hindrer mange andre typer angrep som kan overvinne kun brukernavn/passord.

Yep, enig i denne. 

Arne5 skrev (2 timer siden):

Forøvrig interessant å observere at artikkelforfatteren ser ut til å kun snakke om BankID som noe som krever at man har med seg kodebrikke. For meg er det litt det samme som at betaling krever at man har med seg sjekkhefte. Trodde dette i praksis var erstattet av mobil for de fleste for lenge siden. Forsåvidt bare en digresjon.

Det er et valg jeg har tatt, ja, å ikke ha hele sikkerhetskjeden liggende på enheter som er på nett for det meste og der binærkoden kan byttes ut. Litt mindre praktisk enn å ha den tilgjengelig hele tiden, men så blir det litt enklere å huske når og i hvilken setting den brukes. I overkant konservativt kanskje, men liker å kunne resonere rundt ting.

 

Mvh

Per Gunnar "stein-og-stål-kan-tenne-bål" Hansø

Share this post


Link to post
Arne5 skrev (9 minutter siden):

 

Som er et godt argument for å fase ut de gammeldagse kodebrikkene for kun BankID på mobil, hvor du ser hva du faktisk godkjenner.

Yep, det er et fremskritt. Så får en avveie om en stoler så mye på mobilen sin at man legger det egget i samme kurven som de andre ?

 

Mvh

Per Gunnar Hansø

Share this post


Link to post
1 hour ago, pergh said:

Yep, det er et fremskritt. Så får en avveie om en stoler så mye på mobilen sin at man legger det egget i samme kurven som de andre ?

 

Det er et fair poeng angående mobil, men i denne sammenheng blir det uansett nok en faktor som også må kompromitteres, på en annen måte, individuelt hos deg, for å kunne lykkes med resten av BankID MITM forsøket. Sikkerhet handler mye om å håndtere og balansere risiko-nivå. For egen del vil jeg i praksis sette langt større verdi på det å kunne se hvilke transaksjoner jeg faktisk godkjenner, selv når de går gjennom et MITM forsøk, enn evt. økt annen risiko ved mobil vs brikke.

Share this post


Link to post
pergh skrev (1 time siden):

Mvh

Per Gunnar "stein-og-stål-kan-tenne-bål" Hansø

Når vi har deg her, så har jeg en gang hørt et rykte om at dere kjører toupper på passordene, slik at BankID ikke differensierer store og små bokstaver i passordene våre? Stemmer dette?

Share this post


Link to post
Rudde skrev (51 minutter siden):

Når vi har deg her, så har jeg en gang hørt et rykte om at dere kjører toupper på passordene, slik at BankID ikke differensierer store og små bokstaver i passordene våre? Stemmer dette?

Har vært med på å rydde systemer for klartekst-passord, ja, men aldri et system som brukte BankID på noen måte.

 

Mvh

Per Gunnar Hansø

Share this post


Link to post
pergh skrev (22 minutter siden):

Mvh

Per Gunnar Hansø

Åh, trodde  du hadde jobbet i BankID sidene 1996, men at du idag jobber i bilbransjen...

Share this post


Link to post

Mangel DNSSEC er en ting, at dersom man logger inn på en bankid side så logger man automatisk inn på andre. mangel på biometri eller noe annet enn pin eller mulighet og stenge kodebrikker slik at kun bankid på mobil er mulig er andre ting

Share this post


Link to post

Intressant hvordan det ikke er mulig å gjennomføre kredittkortbetalinger uten koding av typen vare som kjøpes.

Også umulig er overføring av større beløp ut av landet uten koding av typen betaling som skjer.

Hvis det hadde vært ett øre skatt involvert i bruken av BankID så ville koding av hva man signerer og de økonomiske konsekvensene av det vært obligatorisk å oppgi.

Det å gi innbyggerne kontroll over hvem som får signere for dem for hvilke koder og med hvilke økonomiske konsekvenser er imidlertid umulig å få til.

Det er tydelig hvem som ble prioritert under utviklingen av BankId.

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...