DEBATT: BankID: Hvorfor har svenskene sikrere BankID enn oss?

[Ida Oftebro]

DEBATT: BankID: Hvorfor har svenskene sikrere BankID enn oss?

[inside_966960]

Selv om det er viktige poenger som trekkes fram i artikkelen blir det for enkelt og overfladisk å hevde at en app på smartmobilløsning er sikrest. Da tar man ikke hensyn til manglende sikkerhetsoppdatering av de aller fleste android-telefoner, hvordan biometri (som mange bruker) for innlogging kan omgås, hvor mange som glemmer igjen tlf ulike steder, og sist men ikke minst kompleksiteten og de mulige sårbarhetene i en app og underliggende (tilfeldige) biblioteker.

[Dubious]

BankID med brikke er sikrest om man oppbevarer brikken på en trygg måte og har nettvett så en ikke får keyloggers
 

[del_diablo]

Blir ikke mye til debatten når platformen til en digital kodebrikke ikke er sikret.
Klarer du å få inn en keylogger klarer du å samle biometri. 

[Bjarte_1]

Dubious skrev (På 28.8.2020 den 18.30):

BankID med brikke er sikrest om man oppbevarer brikken på en trygg måte og har nettvett så en ikke får keyloggers
 

Nordea har brikke som en må taste in pinkode for å få engangskode ut. Tror den er den sikreste på markedet. 

[Ernie]

Problemet er jo at BankID i realiteten ikke er reell to-faktor autentisering. Brukeren oppgir et passord de selv har valgt og et generert passord. Førstnevnte er ubestridelig «noe man vet» og det genererte passordet påstår man skal være «noe man har». Det gir ganske tullete sikkerhet når man bare trenger en keylogger for å spenne beina under hele greia.

Det beste er selvsagt BankID på mobil hvor man altså presterer å tillate transaksjoner initiert fra enheten som skal representere «noe man har». Det blir ikke mye sikkerhet ut av sånt tull.

[0laf]

Ernie skrev (30 minutter siden):

Brukeren oppgir et passord de selv har valgt og et generert passord. Førstnevnte er ubestridelig «noe man vet» og det genererte passordet påstår man skal være «noe man har». Det gir ganske tullete sikkerhet når man bare trenger en keylogger for å spenne beina under hele greia.

Dette er åpenbart et problem med all autentisering på nett, to-faktor eller ikke.

Både det man vet, og det man har, kan kompromitteres, dersom andre får tak i det du har, eller finner ut av det du vet, ingenting er helt sikkert, målet må være å gjøre det "sikkert nok" !

Akkurat hvor den grensen går, vet ikke jeg, men at BankID ikke er spesielt sikkert er innlysende, spørsmålet er om det er sikkert nok, forutsatt at man har et snev av nettvett eller ikke benytter det på datamaskiner med malware eller på usikre nett osv ?

Som bruker av både norsk og svensk BankID, så kan jeg melde om den svenske varianten ikke fremstår noe bedre så vidt jeg kan forstå.

Jeg benytter Swedbank, en av Sveriges største banker, og det er hverken biometri eller QR-koder involvert i signering med BankID, selv om svensk BankID nå selvfølgelig støtter dette, det ser ut for meg som om det fungerer på akkurat samme måte som norsk BankID, så fremt man bruker mobilen.

Kodebrikken har dog et ekstra lag sikkerhet ved at man må taste inn en kode før den generer koden for innlogging, men så kreves det heller ikke passord når man logger inn, det er kun koden fra kodebrikken som kreves, slik at det blir i praksis det samme, annet enn at kode man taster inn på kodebrikken åpenbart ikke er sårbar for keyloggere, i motsetning til kode man taster hos BankID på nett.

[Jonny Rein Eriksen]

0laf skrev (5 timer siden):

Jeg benytter Swedbank, en av Sveriges største banker, og det er hverken biometri eller QR-koder involvert i signering med BankID, selv om svensk BankID nå selvfølgelig støtter dette, det ser ut for meg som om det fungerer på akkurat samme måte som norsk BankID, så fremt man bruker mobilen.

Det stemmer, men ta en titt her: https://www.swedbank.se/privat/digitala-tjanster/internetbanken/hjalp-att-logga-in.html

Det er kun når du logger inn med BankID på en annen enhet at du potensielt er utsatt for Vishing. Dermed er det også kun da du må bruke QR-kode.

[oppat]

Det finnes ikke grunnlag i artikkelen for å hevde at svensk BankID på noen måte er sikrere enn norsk BankID mot svindel i nære relasjoner.

 

Begge systemene har den svakheten at det ikke finnes delegering, ikke finnes mulighet for begrensninger, samt at de er innført i samfunnet for å betale alt fra en pølse til boliglån.

Det medfører nødvendigvis at begge systemer, uansett tekniske løsninger er fullstendig uten sikkerhet i nære relasjoner.

[0laf]

oppat skrev (24 minutter siden):

Det medfører nødvendigvis at begge systemer, uansett tekniske løsninger er fullstendig uten sikkerhet i nære relasjoner.

Mnja, så fremt man ikke opplyser de i nære relasjoner om passord, gir tilgang til kodebrikker eller mobil osv, så er sikkerheten ivaretatt.

Som artikkelen nevner kan keylogger benyttes for å finne passord, og det vil være enklere å få tilgang til kodebrikke, som de fleste lar ligge hjemme, enn noens mobil, også i nære relasjoner.

Biometri ville åpenbart gi økt beskyttelse for BankID på mobil, gjennom egen app.

Som alle andre steder, så kommer man langt med litt sunn fornuft, men leverer man ut slik informasjon til sine nærmeste, så er man jo også kompromittert, å må håpe at de nærmeste ikke driver med svindel.