- BankID for dårlig sikret

[Quattro7]

Dårlig sikkerhet hos bankene? Neppe.

Pishing er det disse forskerne har gjort

[KalleKanin]

Er en sikkerhetskode fra BankID-brikken gyldig i all fremtid (helt til den blir benyttet, altså)? Hvis så er tilfelle kunne man jo økt sikkerheten ved å tidsbegrense dem. Fra du trykker på knappen for å generere en kode må den benyttes innen fem minutter, ellers blir den ubrukelig.

 

Dette forutsetter selvfølgelig at BankID-brikken får en klokke som fra fabrikk er synkronisert med serverklokken til banksystemet. De kan komme i utakt etter en viss tid, men fem minutter bør være god nok margin for de fleste tilfeller av dårlig synk... evt. kan man sende ut nye brikker annenhvert år, om man forventer at dette er tiden det tar før de fleste brikkene kommer for mye ut av synk.

Sikkerhetskodene fra BankID er på mange måter som koder fra et engangskodekort, der du bruker kodene i den rekkefølgen de står skrevet på kortet. Forskjellen er at du må stikke smartkortet ditt inn i BankID-dingsen får å få ut en kode. Men hvis noen snapper opp to koder etter hverandre, så kan de bruke disse kodene til å logge seg på nettbanken din - hvis de også vet personnnummeret ditt.

 

5 minutter varighet vil jo hjelpe noe, men det er fortsatt tid nok til å få foretatt en transaksjon dersom "tyven" sitter foran PC-en og følger med når "offeret" taster inn kodene sine.

 

Kan ikke helt skjønne at det bør være et så stort problem å gjøre dette mye sikrere.

Hvis man sørger for at kodene kun kan brukes i den riktige rekkefølgen, vil alle tidligere koder bli invalidert når man logger seg på mot den ekte BankID'en.

Hvis man kombinerer dette med at man får et verifiseringssvar tilbake fra BankID(f.eks. de to siste sifrene i koden fra kodekalkulatoren), bør man være ganske trygg på at det ikke sitter noe i midten. (En del banker bruker allerede denne siste "challenge-response"-måten)

 

Brukeren bør da også bli lært opp til at man alltid prøver en gang til hvis man får en feilmelding. Slik ville da brukeren "rydde opp" etter seg. (Ved vedvarende feil bør man betrakte dette som at noe blir hacket, og ringe banken sin)

 

Det virker som måten BankID blir brukt på varierer fra bank til bank. Dette burde være standardisert på en måte som er sentralt godkjent, og hvor alle sikkerhetsaspektene er gått gjennom.

 

Synes også det er betenkelig at man bruker personnummer som innloggingsnavn. Det burde holde med å bruke kontonummer, eller evt. et brukernavn. Da ville det være mye lettere å sperre brukere ved misbruk.

[KalleKanin]

Dårlig sikkerhet hos bankene? Neppe.

Pishing er det disse forskerne har gjort

 

Som det blir nevnt av andre her på forumet, vil svakhetene i BankID også være et problem ved andre typer hacking, som f.eks. ved bruk av trojanere eller at noen fysisk har plassert noen "slemme" bokser i infrastrukturen.

[Kimble]

Syns BankID implementasjonen til DnB er i beste fall snodig. Som andre DnB kunder vet får man opp en java applet som ber om koden fra passordkalkulatoren og det personlige passordet, men dersom man besøker nettbanken med en browser uten java støtte får man opp den gamle siden der man bare trenger koden fra kalkulatoren.

 

Det er jo ikke så jævlig mye vits med det ekstra passordet om det bare er å slå av java for å slippe og skrive det inn

[NevroMance]

Det mest sikre hadde jo vært å ha to forskjellige BankIDer. En til innlogging og en annen til selve betalingen. På den måten hadde de som drev med phissingangrep kun fått tilgang til påloggingen, og dermed ikke fått gjort noen reell skade med det første. Selvsagt hadde det blitt ett problem for folk å ta vare på begge to, men det er bare noe en må lære seg til. Synes faktisk det er ganske merkelig at de lager ett system som har same kodegeneratoren for både pålogging og betaling med tanke på pishing, som er en fryktelig vanlig svindelmetode.

[CrZy_T]

Det mest sikre hadde jo vært å ha to forskjellige BankIDer. En til innlogging og en annen til selve betalingen. På den måten hadde de som drev med phissingangrep kun fått tilgang til påloggingen, og dermed ikke fått gjort noen reell skade med det første. Selvsagt hadde det blitt ett problem for folk å ta vare på begge to, men det er bare noe en må lære seg til. Synes faktisk det er ganske merkelig at de lager ett system som har same kodegeneratoren for både pålogging og betaling med tanke på pishing, som er en fryktelig vanlig svindelmetode.

 

Hvis de først skal ha 2 forskjellige identifiseringsmetoder så burde de jo absolutt kjøre på å ha 2 forskjellige typer.

[KalleKanin]

Det mest sikre hadde jo vært å ha to forskjellige BankIDer. En til innlogging og en annen til selve betalingen. På den måten hadde de som drev med phissingangrep kun fått tilgang til påloggingen, og dermed ikke fått gjort noen reell skade med det første. Selvsagt hadde det blitt ett problem for folk å ta vare på begge to, men det er bare noe en må lære seg til. Synes faktisk det er ganske merkelig at de lager ett system som har same kodegeneratoren for både pålogging og betaling med tanke på pishing, som er en fryktelig vanlig svindelmetode.

 

Dette er absolutt en god idé, og burde ikke være så vanskelig å lage løsning for heller.

Dette kan jo gjøres ved at man har to knapper på kodekalkuatoren, en for "innloggingskode", og en for "bekreftelseskode", som hver har sitt sett med koder.

Brukeren kan i tillegg få beskjed om hvilken han skal bruke, for å gjøre det hele idiotsikkert....

[asbjornu]

Selv bruker jeg nettbanken til SpareBank1 og synes BankID-opplegget er helt på trynet. Å bruke Java-applet til autentisering av brukeren er grensesprengende idiotisk og åpner for så utrolig mange angrepsvektorer at det er helt latterlig. Hvis det virkelig er nødvendig med en sentral autentiseringsapplikasjon som gjenbrukes av alle nettbankene, ville en helt vanlig web-applikasjon, servert over HTTPS, vært den beste løsningen. Denne kunne kjørt på bankid.no og blitt videresendt til for autentisering. Autentisering kunne så vært gjennomført enten som i dag, med personnummer, passord og engangskode, eller med et klientsertifikat som innstalleres på PC-en. Et sertifikat forenkler autentiseringen veldig og koblet med en engangskode ved betaling ville det vært mye enklere i bruk også.

[harald_]

Jeg vil anta dette er på samme måte som vanlige kodekalkulatorer. De er tidsstyrt og gyldige i normalt 5 minutter. For å ungå problemer med at klokker går feil osv, så er det normalt at +-1 nøkkel blir godkjent (dvs at til enhver tid vil det finner 3 gyldige nøkler).

De er nok ikke det...

Jeg bruker BankID for å logge inn i min nettbank og har opplevd å trykke på knappen for å få en engangskode, for så å oppdage at nettbanken er nede. Denne koden må brukes, men det gikk fint å bruke den flere dager senere.

 

Så det virker ikke som den er tidsbegrenset, men om kunden prøver å logge inn med en kode som kommer "etter" en som ikke er brukt vil brukern bli sperret, og man må ringe til banken for å få resatt greiene.

[Olaaaaa]

Jeg mener å ha sett denne saken tidligere, for et par dager siden. Da ble den ikke presentert på langt nær så flåsete og banal som den blir her. Phishing er ikke, eller burde ikke være breaking news for folk. Det jeg mener å huske de satte lys på, som faktisk er et graverende hull i BankID-løsningen er hvordan de benytter de samme nøklene til autentisering som autorisering. Kryptisk? La meg utdype:

 

Når man logger inn i en nettbank i dag er det mange løsninger som benytter kundenummer, gjerne personnummer, som identifikator. Dette er på tross av hva mange tror, ikke konfidensiell informasjon. Deretter benytter de ofte en PIN-kode og et engangspassord. Disse burde være konfidensielle, da all sikkerhet beror på disse.

 

Når man betaler i en nettbank er det mange som nå har begynt å kreve at man taster inn enda en engangskode, denne fra samme kodebrikke/kodekort som den man logget inn med. And herein lies the problem. Når BankID bruker kundenummer og engangspassord til å godkjenne en betaling kommer dette fra samme kilde som det man bruker for å logge inn i nettbank, og godkjenne en betaling. Dette er, sett fra et kryptografisk synspunkt, hull i hodet. Ettersom autentisering (innlogging) er en helt annen mekaniske enn autorisering (godkjenne en betaling) bør de også ha forskjellige nøkler. Okei, man bruker et engangspassord, men faren ligger i at man kan bruke de om hverandre. Kodebrikken min vet ikke om jeg trenger et passord for å logge inn i nettbanken eller godkjenne at jeg betaler en regning. Snapper man opp ett innloggingspassord kan man bruke det til å betale i en (for eksempel) nettbutikk som bruker BankID, noe mange gjør. Klarer man å snappe opp to, for eksempel gjennom et MITM-angrep på en BankID-løsning, noe som krever over gjennomsnittet hackeregenskaper men bør være mulig, kan man logge inn i nettbanken og gjennomføre (minst) én transasksjon slik man vil.

 

Det som står imellom det siste og en ordentlig gjennomføring er som regel en fire-sifret PIN-kode. Det er en syltynn sikkerhet.

 

Jeg tror bankene må begi seg ut på en vei som muligens krever mer av oss som bankkunder om de vil ha et system som kan addressere de problemene BankID medfører. Det å ha et felles system krever at man har et mer gjennomtenkt system enn det som brukes i dag. Bruker jeg det selv? Ja det gjør jeg. Føler jeg meg trygg? Forholdsvis. Kunne jeg gjennomført et angrep? Neppe. Men trusselen er der, og advarslene bør komme slik at angrepet aldri gjør det.

Endret 29. november 2007 av Olaaaaa

[nebrewfoz]

Når man betaler i en nettbank er det mange som nå har begynt å kreve at man taster inn enda en engangskode, denne fra samme kodebrikke/kodekort som den man logget inn med. And herein lies the problem. Når BankID bruker kundenummer og engangspassord til å godkjenne en betaling kommer dette fra samme kilde som det man bruker for å logge inn i nettbank, og godkjenne en betaling. Dette er, sett fra et kryptografisk synspunkt, hull i hodet.

Man må huske på at det ekstra step'et for å godkjenne en betaling ikke ble innført for å beskytte bankkunden, men for å beskytte banken .... Tidligere, når man hadde tastet inn feil kontonummer og først oppdaget det etter noen dager da pengene allerede var brukt opp av den heldige mottaker, da kunne man beklage seg over at nettbanken ikke beskyttet kundene mot slike ting. Ok, så bankene innførte enda et step: "Har du sjekket at kontonummerne er korrekte? Ja? Kryss av her, og tast inn neste kode + passord. Og kom ikke i ettertid og si at vi ikke advarte deg."

 

Vel, det er min versjon av historien ...

[NevroMance]

Hvis de først skal ha 2 forskjellige identifiseringsmetoder så burde de jo absolutt kjøre på å ha 2 forskjellige typer.

 

Enig i at de, ideelt sett burde det, men dette vil da koste penger. Du vil uansett ha en vesentlig sikrere løsning uansett om du benytter samme type, men forskjellige kort/knapp så kodene ikke er de samme.

 

Jeg mener å ha sett denne saken tidligere, for et par dager siden. Da ble den ikke presentert på langt nær så flåsete og banal som den blir her. Phishing er ikke, eller burde ikke være breaking news for folk. Det jeg mener å huske de satte lys på, som faktisk er et graverende hull i BankID-løsningen er hvordan de benytter de samme nøklene til autentisering som autorisering. Kryptisk? La meg utdype:

 

Du har nok lest det før ja. Professoren hadde nemlig en kronikk i Aftenposten om dette på lørdag eller søndag.

 

Man må huske på at det ekstra step'et for å godkjenne en betaling ikke ble innført for å beskytte bankkunden, men for å beskytte banken .... Tidligere, når man hadde tastet inn feil kontonummer og først oppdaget det etter noen dager da pengene allerede var brukt opp av den heldige mottaker, da kunne man beklage seg over at nettbanken ikke beskyttet kundene mot slike ting. Ok, så bankene innførte enda et step: "Har du sjekket at kontonummerne er korrekte? Ja? Kryss av her, og tast inn neste kode + passord. Og kom ikke i ettertid og si at vi ikke advarte deg."

 

Vel, det er min versjon av historien ...

 

Etter det jeg har fått med meg ble vel bankene tvunget til å ha "ett lag til" med sikkerhet foran selve betalingen. Hvem som kom med dette husker jeg ikke, men mener jeg leste det i kronikken nevnt ovenfor.

[Bergtora]

Tydelig at de som har kommentert denne artikkelen her ikke har peiling på hva saken egentlig handler om.

 

Siste kapittel er her:

http://www.aftenposten.no/meninger/debatt/article2126133.ece

 

Her finner dere også de fire tidligere debattinnleggene i saken.

 

Les igjennom de fem artiklene der, så blir dere sikkert litt klokere.

[nebrewfoz]

Etter det jeg har fått med meg ble vel bankene tvunget til å ha "ett lag til" med sikkerhet foran selve betalingen. Hvem som kom med dette husker jeg ikke, men mener jeg leste det i kronikken nevnt ovenfor.

Min bank (SpB1) innførte dette etter at et par personer hadde "gitt bort" 150.000 eller hvor mye det var ved å taste inn feil kontonummer på mottaker. Dette ble selvsagt oppdaget for sent, og den som hadde fått pengene hadde allerede brukt dem opp. Da ble det stilt spørsmål ved bankenes ansvar for å beskytte kundene mot kundens egne feil.

 

Om disse "pengedonasjonene" var den direkte årsaken til at det "ekstra laget" med sikkerhet ble innført, det skal jeg ikke påstå, men det skjedde i hvert fall i den rekkefølgen ...

[nebrewfoz]

Tydelig at de som har kommentert denne artikkelen her ikke har peiling på hva saken egentlig handler om.

Hvis du hadde lest alle innleggene, så ville du kanskje sett at meningene flyr i begge (mange) retninger, men du hevder altså at ingen hittil har vist at de "har peiling"?

 

Artiklene du linker til hevder 3 ulike synspunkter, men du bidrar ikke særlig mye til å hjelpe oss til å forstå hvilket av dem - om noen - som er det rette. Er det forskerne, BankID-folkene, eller PT som har rett i denne saken?

[KalleKanin]

Tydelig at de som har kommentert denne artikkelen her ikke har peiling på hva saken egentlig handler om.

 

Siste kapittel er her:

http://www.aftenposten.no/meninger/debatt/article2126133.ece

 

Her finner dere også de fire tidligere debattinnleggene i saken.

 

Les igjennom de fem artiklene der, så blir dere sikkert litt klokere.

 

Usikker på hva du sikter til. Det er mange forskjellige svakheter som har blitt avdekket vedr. BankID:

- Bruken av koder for innlogging og verifisering av betaling om hverandre, er en ting.

- En annen ting er at man i utgangspunktet ikke kan være sikker på hva man faktisk signerer.

- Det har også blitt påpekt at det er mangelfull sikring av de private nøklene.

osv.

 

Bare noen av problemstillingene blir tatt opp i denne artikkelen, og istedenfor å kun kritisere andre at de ikke har peiling, bør du heller opplyse oss om hva du synes man har misforstått...

 

Slik jeg ser det er det en rekke svakheter i løsningen, men at man kan diskutere hvor alvorlige disse er, og om de er overdrevet.

Synes uansett det er rart av BankID og PT later til å være så hardnakkede i sin tro på løsningen.

 

Men det er typisk banker å ikke ta sikkerhetsproblemene alvorlige. Dette har vi sett i mange tidligere eksempler også. Det blir ikke gjort noe med problemene før de koster bankene så mye at de taper mer på ikke å rette de opp.

 

Problemet i denne sammenhengen er at man nå prøver å legge noe av ansvaret over på kundene. Dvs at man prøver å lage løsninger for en "ikke-nektbarhet". Dette setter MYE strengere krav til løsningen enn det som har vært tilfelle for eksisterende løsninger som nettbank og minibank, hvor banken stort sett har sittet med alt ansvaret.

[qualbeen]

Tragisk av BankID å ikke ta inn over seg disse problemene. Men det står kanskje for mye prestisje på spill til å få lansert systemet?

 

Er det egentlig så lurt med et felles innloggingssystem? Hva når/hvis også bokhandlere og webmail bruker samme innloggingsystem? Tragisk hvis man kan bruke pwd fra webmailen til å overføre penger...

 

Dette minner mye om et vanlig phishing-angrep, men det er viktig å påpeke at det er veldig enkelt å utføre normale phising-angrep med BankID. Og det er også veldig fort gjort å havne på en nettside som man tror er bankens. (Klikke på lenke i mail/søkemotor, endre oppføring i host-fil, sette opp proxy m.m...)

[CrZy_T]

Hvis de først skal ha 2 forskjellige identifiseringsmetoder så burde de jo absolutt kjøre på å ha 2 forskjellige typer.

 

Enig i at de, ideelt sett burde det, men dette vil da koste penger. Du vil uansett ha en vesentlig sikrere løsning uansett om du benytter samme type, men forskjellige kort/knapp så kodene ikke er de samme.

 

Problemet er at du fortsatt har kun en type authentisering, nemlig noe du vet. Dvs at phishing og social engineering fortsatt er et problem.

[NevroMance]

phishing blir ikke ett fryktelig stort problem. Med 2 forskjellige koder kan en blant annet ikke lage en side hvor en kun trenger å komme med feilmeldingen "Feil sikkerhetskode, prøv igjen". Da får du bare enda en innloggingskode. De som prøver seg får dermed kun muligheten til å se på siden din, uten å få rørt pengene dine. Noe som er mye sikrere enn å bruke samme lista til begge deler. Jeg ville hatt en liste med innloggingskoder og en liste med betalingskoder. Riktignok er det ikke bra å la folk få tilgang til siden, men det er, tross alt, tryggere enn å gi de 2 koder som begge kan brukes til innlogging og betaling.

 

EDIT: Jeg sier ikke at dette er løsningen, da jeg ser sikkerhetsrisikoer med dette også. Det jeg sier er derimot at sikkerheten ville vært betydelig bedre med en så enkel løsning.

Endret 29. november 2007 av NevroMance

[Olaaaaa]

Riktig som du sier, NevroMance, med to lister blir problemet de skisserer eliminert. Det vi da møter er den kyniske virkeligheten; taper bankene mest på å erstatte penger dersom en konto blir misbrukt med et angrep av typen vi snakker om eller taper de mer på å sende ut to sett med koder, bruke endeløse timer på support med folk som har kastet den ene, roter i hva som er hva, etc. Det blir en betydelig utgift for bankene å rulle ut et helt nytt system.