mboost-dp1
sxc.hu - simonok
Kunne det tænkes at det ikke skyldes sikkerheden, men problemet i at finde en bank at flytte pengene til? Til hvilket land kan man flytte pengene, uden at banken har mulighed for at trække beløbet tilbage?
Jeg forestiller mig sikkerhedsforanstaltninger fra bankens side ala:
At der ikke kan overføres store beløb fra en konto, hvis pengene ikke står på kontoen.
Overførsler over x kr. skal bekræftes personligt (banken kontakter dig) Evt. kun på udenlandsoverførsler?
..men netbank svindel er måske primært små beløb, for at de ikke skal blive opdaget?
Offtopic:
Hvis nogen flytter penge fra min konto opdager jeg det, med mindre det er til elektronik eller junkfood :P
Jeg forestiller mig sikkerhedsforanstaltninger fra bankens side ala:
At der ikke kan overføres store beløb fra en konto, hvis pengene ikke står på kontoen.
Overførsler over x kr. skal bekræftes personligt (banken kontakter dig) Evt. kun på udenlandsoverførsler?
..men netbank svindel er måske primært små beløb, for at de ikke skal blive opdaget?
Offtopic:
Hvis nogen flytter penge fra min konto opdager jeg det, med mindre det er til elektronik eller junkfood :P
skrev:NemID blev dog først introduceret i juli 2010, mens tallene fra Finansrådet viser, at der i første halvår slet ikke blev registreret nogle netbankindbrud.
Sådan som jeg læser det, så er der først sket netbankindbrud efter man har indført NemId... Så hvis min konklusion er, at NemId har været skyld i netbankindbruddene og laver en rapport om det, så ehm ...
Jeg mener at have læst et sted at der siden indførelsen af NemID ikke har været noget misbrug af nogle konti beskyttet med denne løsning.
Selvfølgelig kan NemID stadig misbruges, men tidligere kunne man hacke en computer via netadgang og ad den vej få adgang til netbank. Det kan man ikke med indførelsen af papkortet.
Selvfølgelig kan NemID stadig misbruges, men tidligere kunne man hacke en computer via netadgang og ad den vej få adgang til netbank. Det kan man ikke med indførelsen af papkortet.
Nøj hvor ville jeg ønske der på et tidspunkt kom en uvildig rapport med en sammenligning af før og nu - bare om et halvt år, når NemID har haft lidt tid at blive modent i. Det ville være rart ikke at få serveret en omgang pladder, sovset ind i holdninger og meninger, men rent faktisk tal man kunne forholde sig til :)
Cyberguyen (4) skrev:Jeg mener at have læst et sted at der siden indførelsen af NemID ikke har været noget misbrug af nogle konti beskyttet med denne løsning.
Selvfølgelig kan NemID stadig misbruges, men tidligere kunne man hacke en computer via netadgang og ad den vej få adgang til netbank. Det kan man ikke med indførelsen af papkortet.
Dude - passphrase på en private-key... Du kender passphrase, den ligger ikke på din spand, og så¨er du ovre dét... Så er det ligegyldigt om nøglen er en du husker, eller om den står på et papkort... Og vupti har du samme sikkerhed som nu med nemid...
nyx (6) skrev:Cyberguyen (4) skrev:Jeg mener at have læst et sted at der siden indførelsen af NemID ikke har været noget misbrug af nogle konti beskyttet med denne løsning.
Selvfølgelig kan NemID stadig misbruges, men tidligere kunne man hacke en computer via netadgang og ad den vej få adgang til netbank. Det kan man ikke med indførelsen af papkortet.
Dude - passphrase på en private-key... Du kender passphrase, den ligger ikke på din spand, og så¨er du ovre dét... Så er det ligegyldigt om nøglen er en du husker, eller om den står på et papkort... Og vupti har du samme sikkerhed som nu med nemid...
Hvis der ligger malware på computeren som stjæler din private key, så er der med stor sandsynlighed også en keylogger.
Sådan et to-faktor adgangssystem er gennemhullet når ovenstående er opfyldt.
Et tre-faktor adgangssystem som NemID kræver papkortet, som malware ikke kan få fingre i.
Så - Dude - læs lidt mere op på emnet datasikkerhed og adgangsmekanismer.
koehler (2) skrev:Kunne det tænkes at det ikke skyldes sikkerheden, men problemet i at finde en bank at flytte pengene til? Til hvilket land kan man flytte pengene, uden at banken har mulighed for at trække beløbet tilbage?
Jeg er ikke bekendt med at der skulle være sket noget specielt på dette område de sidste to år, så det kan ikke forklare nedgangen.
Der er lavet noget (både teknisk og forretningsmæssigt) til at undgå hvidvaskning af penge, det kan muligvis bruges til at fange pengene på vej fra offer til den kriminelle. Men det forhindrer ikke indbrud.
koehler (2) skrev:..men netbank svindel er måske primært små beløb, for at de ikke skal blive opdaget?
Hvis jeg skulle gøre noget så risikabelt som indbrud i netbank (stor risiko for at blive fanget, stor konsekvens hvis jeg gør), så ville det dælme ikke være for småpenge.
#7
Jeg er enig, hans løsning er ikke særlig meget mere sikker end den gamle med certifikat-filer.
Men du er off-by-one. Vi går fra one-factor til two-factor. Brugernavnet er ikke en faktor. De tre mulige faktorer er:
- Noget du ved, fx. et kodeord
- Noget du har, fx. et nøglekort
- Noget du er, fx. fingeraftryk
Og "noget du er"-faktoren giver ikke meget mening, når man ikke har kontrol over hardwaren. Med. fx. en fingeraftrykslæser hos brugeren vil det være lige så let at opsnappe og kopiere et fingeraftryk som et kodeord.
(Så kan vi diskutere om certifikatfilen er en faktor. Det mente man da man indførte det, og teknisk set er det vel stadig. Den er bare temmelig dårlig, da man kan snuppe både kodeord og certifikatfil med simpel malware.)
Jeg er enig, hans løsning er ikke særlig meget mere sikker end den gamle med certifikat-filer.
Men du er off-by-one. Vi går fra one-factor til two-factor. Brugernavnet er ikke en faktor. De tre mulige faktorer er:
- Noget du ved, fx. et kodeord
- Noget du har, fx. et nøglekort
- Noget du er, fx. fingeraftryk
Og "noget du er"-faktoren giver ikke meget mening, når man ikke har kontrol over hardwaren. Med. fx. en fingeraftrykslæser hos brugeren vil det være lige så let at opsnappe og kopiere et fingeraftryk som et kodeord.
(Så kan vi diskutere om certifikatfilen er en faktor. Det mente man da man indførte det, og teknisk set er det vel stadig. Den er bare temmelig dårlig, da man kan snuppe både kodeord og certifikatfil med simpel malware.)
tror snarere faldet kom pga at mange banker indførte systemer som fx sms-bekræftelse på visse betalinger, der vurderes at være risikable (til konti i nigeria fx :-) )
Enig i at det er lidt plat at give NemID æren, malware kan stadig teoretisk snige betalinger igennem med nemid, det er bare en del mere vanskeligt end at hugge en nøglefil. Hvis et stykke malware kan lægge en ekstra betaling i en batch-betaling mens bruger allerede er logget på, så bliver den godkendt sammen med brugers egne betalinger, hvis bruger ikke har øjnene med sig.
Enig i at det er lidt plat at give NemID æren, malware kan stadig teoretisk snige betalinger igennem med nemid, det er bare en del mere vanskeligt end at hugge en nøglefil. Hvis et stykke malware kan lægge en ekstra betaling i en batch-betaling mens bruger allerede er logget på, så bliver den godkendt sammen med brugers egne betalinger, hvis bruger ikke har øjnene med sig.
Jaqen (10) skrev:
Enig i at det er lidt plat at give NemID æren, malware kan stadig teoretisk snige betalinger igennem med nemid, det er bare en del mere vanskeligt end at hugge en nøglefil. Hvis et stykke malware kan lægge en ekstra betaling i en batch-betaling mens bruger allerede er logget på, så bliver den godkendt sammen med brugers egne betalinger, hvis bruger ikke har øjnene med sig.
NemID går ikke æren i kilde artiklen. Som det fremgår af resumeét er der først kommet misbrug af netbanker efter man er begyndt at rulle nemID ud. Det er dog tvivlsom om vi nogen sinde får oplyst om det har været konti med nemid tilknyttet.
myplacedk (9) skrev:#7
Jeg er enig, hans løsning er ikke særlig meget mere sikker end den gamle med certifikat-filer.
Men du er off-by-one. Vi går fra one-factor til two-factor. Brugernavnet er ikke en faktor. De tre mulige faktorer er:
- Noget du ved, fx. et kodeord
- Noget du har, fx. et nøglekort
- Noget du er, fx. fingeraftryk
Og "noget du er"-faktoren giver ikke meget mening, når man ikke har kontrol over hardwaren. Med. fx. en fingeraftrykslæser hos brugeren vil det være lige så let at opsnappe og kopiere et fingeraftryk som et kodeord.
(Så kan vi diskutere om certifikatfilen er en faktor. Det mente man da man indførte det, og teknisk set er det vel stadig. Den er bare temmelig dårlig, da man kan snuppe både kodeord og certifikatfil med simpel malware.)
De tre faktorer er ganske udemærkede, og jeg kan sagtens se at når der er grund til have stærk-stærk-stærk sikkerhed på noget, at det er metoden man vælger.
Jeg syntes dog at der mangler noget i den her debat - erkendelsen af at et certifikat er noget du *HAR* og en passphrase er noget du *VED*. Dvs. at vi altså allerede havde to ud af tre dækket med den digitale signatur. Tænker vi på f.eks. Danske Banks (tror jeg det var?) løsning, og kombinerer det hele med en Token, så er det så sikkert som det bliver (sådan da).
Og så er der resten af løsningen, med SPOF osv., kun passwords med små bogstaver og applikationer der får fuld kontrol over folks maskiner, uden vi må se hvad de gør - well...
Jeg mener at vi havde den rigtige løsning FØR NemID, som bare var håbløst dårligt implementeret. At gå fra noget decentralt, til noget stærkt cenraliseret var en alvorlig brøler i min bog. Ligeledes mener jeg at vi havde samme sikkerhedsniveau før, som nu. Der er ikke ændret andet end at det er blevet mere besværligt at bruge, og er i større fare for at bryde sammen... At gå fra et tidssvarende system, til et der var forældet før det gamle testamente blev skrevet, tæller hverken som "bedre" eller "fremskridt" i min bog..
#7 og #9:
Jeg er snart træt af at høre folk påstå at NemID er "Two-factor authentication" det opfylder KUN en faktor nemlig noget man ved, om det er en statisk kode eller engangs koder er stadig bare noget man ved, også selvom DanID hårdnakket påstår at nøglekortet er noget man har... der er jo den detalje, at når man logger ind er der ingen der kan se om man rent faktisk har nøglekortet. "Two-factor authentication" kan simpelthen ikke foregå over et datanetværk da der kun kan sendes information, derfor bliver NemID heller aldrig "Two-factor authentication", heller ikke hvis vi får smart cards, da vi jo stadigvæk bruger vores egen computer til at logge ind, og det derfor overfor DanID's servere kun vil være "noget du ved".
Sammenlign det med et hævekort/dankort du bruger i en hæveautomat, overfor hæveautomaten er der tale om "Two-factor authentication" da du har det fysiske kort, altså noget du har, og så din kode, som er noget du ved. Men når hæveautomaten snakker med banken/PBS's server er der stadigvæk kun tale om noget den ved (information), den sender jo ikke det fysiske kort gennem ledningerne :P
Da maskinen til at bruge NemID ikke er en der bliver stillet til rådighed for brugeren, men brugeren selv kommer med den, er der kun tale om "noget man ved" som bliver præsenteret for DanID's servere, også selvom man sidder med et nøglekort eller et smart card.
Dermed ikke sagt at løsningen ikke er bedre end bare at have et statisk Kodeord, men information kan stadigvæk uden ret store problemer ændres, kopires eller omdirigeres af malware og andet skidt!
Jeg er snart træt af at høre folk påstå at NemID er "Two-factor authentication" det opfylder KUN en faktor nemlig noget man ved, om det er en statisk kode eller engangs koder er stadig bare noget man ved, også selvom DanID hårdnakket påstår at nøglekortet er noget man har... der er jo den detalje, at når man logger ind er der ingen der kan se om man rent faktisk har nøglekortet. "Two-factor authentication" kan simpelthen ikke foregå over et datanetværk da der kun kan sendes information, derfor bliver NemID heller aldrig "Two-factor authentication", heller ikke hvis vi får smart cards, da vi jo stadigvæk bruger vores egen computer til at logge ind, og det derfor overfor DanID's servere kun vil være "noget du ved".
Sammenlign det med et hævekort/dankort du bruger i en hæveautomat, overfor hæveautomaten er der tale om "Two-factor authentication" da du har det fysiske kort, altså noget du har, og så din kode, som er noget du ved. Men når hæveautomaten snakker med banken/PBS's server er der stadigvæk kun tale om noget den ved (information), den sender jo ikke det fysiske kort gennem ledningerne :P
Da maskinen til at bruge NemID ikke er en der bliver stillet til rådighed for brugeren, men brugeren selv kommer med den, er der kun tale om "noget man ved" som bliver præsenteret for DanID's servere, også selvom man sidder med et nøglekort eller et smart card.
Dermed ikke sagt at løsningen ikke er bedre end bare at have et statisk Kodeord, men information kan stadigvæk uden ret store problemer ændres, kopires eller omdirigeres af malware og andet skidt!
nyx (12) skrev:Jeg syntes dog at der mangler noget i den her debat - erkendelsen af at et certifikat er noget du *HAR* og en passphrase er noget du *VED*. Dvs. at vi altså allerede havde to ud af tre dækket med den digitale signatur.
Nu begynder du at skifte emne, Digital Signatur har jo intet med netbanker at gøre.
Men problemet med Digital Signatur er jo det samme som med netbankernes gamle certifikatfiler: Det du "har", er nemt at kopiere med når du snupper kodeordet.
nyx (12) skrev:Og så er der resten af løsningen, med SPOF osv., kun passwords med små bogstaver og applikationer der får fuld kontrol over folks maskiner, uden vi må se hvad de gør - well...
Det med kodeordet er blevet bevist adskillige gange at det ikke er et problem, jeg har knapt nok forstået hvorfor nogle tror at det ER et problem. (Ud over at beregningerne åbenbart er uintuitive.)
Og det med Java-applettens rettigheder, det er altså ikke så stort et problem som det lyder til. Jeg synes det er langt være at min bankrådgiver (og alle hendes kolleger) har fuld adgang til mine konti. Og det synes jeg ikke er et problem.
baloo (14) skrev:Jeg er snart træt af at høre folk påstå at NemID er "Two-factor authentication" det opfylder KUN en faktor nemlig noget man ved, om det er en statisk kode eller engangs koder er stadig bare noget man ved, også selvom DanID hårdnakket påstår at nøglekortet er noget man har... der er jo den detalje, at når man logger ind er der ingen der kan se om man rent faktisk har nøglekortet.
Det er korrekt at nøglekortet kan kopieres, og at det ville være mere sikkert hvis det ikke kunne. I hvert fald teoretisk set.
Men pointen er, at ingen malware kan sniffe sig til dit nøglekort. Og ingen lommetyv kan stjæle din viden. Du er nødt til at skaffe de to ting på hver sin måde, og så kombinere dem. Ergo - to faktorer.
Ellers skal du gå efter personen, altså social hacking. Og det kan vi realistisk set ikke gøre noget ved, som det ser ud i dag. Jo vi kunne gøre det lidt mere besværligt med en token som ikke kan kopieres, men det koster.
Husk at det kan ALTID blive mere sikkert. Målet vil aldrig være at gøre det så sikkert som muligt. Det skal være sikkert NOK, men det skal også være billigt og brugervenligt nok.
Øh, det er jo ikke netbank indbrud der er tale om. Det er basal svindel...
Svindlerne kopierer en bankkundes brugernavn, password og/eller nøglefil, og bruger den til at logge ind på netbanktjenesten, der korrekt giver dem mulighed for at overføre penge.
Hvis der var tale om "netbank indbrud" så var netbankens sikkerhed kompromitteret. Her er der kun tale om at kundernes sikkerhed var kompromitteret.
Svindlerne kopierer en bankkundes brugernavn, password og/eller nøglefil, og bruger den til at logge ind på netbanktjenesten, der korrekt giver dem mulighed for at overføre penge.
Hvis der var tale om "netbank indbrud" så var netbankens sikkerhed kompromitteret. Her er der kun tale om at kundernes sikkerhed var kompromitteret.
myplacedk (15) skrev:Nu begynder du at skifte emne, Digital Signatur har jo intet med netbanker at gøre.
Men problemet med Digital Signatur er jo det samme som med netbankernes gamle certifikatfiler: Det du "har", er nemt at kopiere med når du snupper kodeordet.
Så længe danid fejlagtigt kalder nemid for en digital signatur er der vel ikke noget galt i nyx også gør det?
Og det med Java-applettens rettigheder, det er altså ikke så stort et problem som det lyder til. Jeg synes det er langt være at min bankrådgiver (og alle hendes kolleger) har fuld adgang til mine konti. Og det synes jeg ikke er et problem.
Mener du vitterligt at det kan sammen lignes?
myplacedk (16) skrev:Det er korrekt at nøglekortet kan kopieres, og at det ville være mere sikkert hvis det ikke kunne. I hvert fald teoretisk set.
Det kan vi da også tage op :P
Nej DanID har heller ikke gjordt det mindste for at forhindre kopiring af nøglekortet, det mindste de kunne have gjordt ville da være at printe EURion konstellationen på kortet! Endnu bedre ville det dog have været vis de havde lavet kortet så man skulle skrabe et felt fri for hver kode, skrabeloder kan de fleste jo godt finde ud af og det ville ikke koste særligt meget mere...
myplacedk (16) skrev:Men pointen er, at ingen malware kan sniffe sig til dit nøglekort. Og ingen lommetyv kan stjæle din viden. Du er nødt til at skaffe de to ting på hver sin måde, og så kombinere dem. Ergo - to faktorer.
Har du hørt om "Man in the middle" angreb der skal jo kun bruges dit statiske brugernavn og kode, og så en enkelt kode fra nøglekortet til at lave ulykker! Det hele kan man uden problemer få ved hjælp af malware. Men ja, det er bedre også at have engangskoder end bare at have en statisk kode.
men du har stadigvæk misforstået pointen: koder høre under noget du ved, ligemeget om det er en statisk kode eller engangs koder printet på et papkort eller skrevet på displayet af en Token, så længe der ikke er noget der kontrollere at du rent faktisk har dit kort eller token, hvilket er umuligt over et datanetværk, så er det stadigvæk kun information, og dermed "noget du ved", altså kun EN faktor!
baloo (19) skrev:Det kan vi da også tage op :P
Øh, var det ikke dig der startede med at snakke om at nøglekort kan kopieres? Hvad mente du ellers med det her:
"der er jo den detalje, at når man logger ind er der ingen der kan se om man rent faktisk har nøglekortet."
Du kan ikke logge ind uden af have nøglekortet, eller en kopi.
baloo (19) skrev:Har du hørt om "Man in the middle" angreb
Ja, men jeg kan ikke lige se hvad det har med diskutionen at gøre. Måske understreger du min pointe om at intet er 100% sikkert?
baloo (19) skrev:men du har stadigvæk misforstået pointen
Det kommer an på hvad pointen er. For min skyld kan du godt kalde kodeord og nøglekort for én faktor.
To-faktor-effekten er der stadig. Dvs. du kan ikke skaffe begge dele med samme metode. Altså ud over social hacking/trusler og man-in-the-middle, men det vil en kopisikret token ikke hjælpe imod alligevel.
myplacedk (20) skrev:Hvad mente du ellers med det her:
"der er jo den detalje, at når man logger ind er der ingen der kan se om man rent faktisk har nøglekortet."
Du kan ikke logge ind uden af have nøglekortet, eller en kopi.
Jo, ved at have den ene nøgle fra nøglekortet der bliver spurgt om, det jeg henviste til (eller ihvertfald prøvede på) var netop at MITM angreb er meget nemt at lave på NemID. Du snakker så vidt jeg kan se om at kopiere det fysiske nøglekort... Hvilket jo, også er latterligt nemt, men taget de andre problemer i betragtning, nok er relevant men i mindre grad, da du formentlig har større problemer hvis du ikke kan stole på de personer der kunne få fysisk adgang til det...
myplacedk (20) skrev:
To-faktor-effekten er der stadig. Dvs. du kan ikke skaffe begge dele med samme metode. Altså ud over social hacking/trusler og man-in-the-middle, men det vil en kopisikret token ikke hjælpe imod alligevel.
NEJ "To-faktor-effekten" er der ikke, har heller aldrig været der, og kan for den sags skyld ikke være der, da det er umuligt at lave over et datanetværk. Du skal abstrahere fra at du får engangskoderne fra et fysisk papkort, den eneste forskel på engangskoderne og din statiske kode er at de kun kan bruges en gang. Du kunne jo for så vidt ligesågodt have memoriseret dem ligesom din statiske kode, det er bare svært at huske dem alle sammen.
De 2 faktorer, noget man ved og noget man har, vil hvis de kombineres netop beskytte imod MITM og Social engineering, da noget fysisk ikke kan være på 2 steder på en gang, og hvis du mangler den fysiske genstand vil du kunne opdage/vide det, dette forudsætter selvfølgelig at det du har, ikke er nemt at kopiere. Den sidste med noget man er, er jeg personligt ikke så vild med at bruge da den giver nogle problemstillinger netop i forhold til trusler m.m., men som sagt kan man hverken sende sig selv eller en fysisk genstand over et datanetværk, så vi kan ikke bruge 2 faktorer.
myplacedk (20) skrev:Måske understreger du min pointe om at intet er 100% sikkert?
korrekt intet er 100% sikkert, det har jeg heller ikke sagt jeg forlanger, men jeg har noget imod når nogen lyver og forsøger at fremstille noget bedre end det i virkeligheden er, hvilket er det DanID forsøger når de begynder at proklamere at "NemID baserer sig på ægte to-faktor sikkerhed."
Havde de bare skrevet at NemID er baseret på at den samme information ikke kan genbruges til at logge ind flere gange, så var det noget helt andet. Det de bilder folk ind ved at kalde det "ægte to-faktor sikkerhed" er at ingen kan logge ind uden at side med det fysiske kort med koder foran sig.
myplacedk hvad siger du til vi bare bliver enige om at NemID nøglekortet ikke kan kvalificeres under faktoren "Noget du har" når systemet som du selv skriver ikke har kontrol over hardwaren, og dermed er Cyberguyen (#7) ikke "off-by-one", men "off-by-two"? :)
Og så er det at der pludselig ligger 10.000 emails fra en mand i Nigeria, som har arvet 90.054kr efter sin tante i Danmark, men fordi han ikke selv kan møde op i Danmark for at bekræfte overførslen af pengene til Nigeria, så har han brug for en person med en bankkonto som pengene kan gå igennem, og som får 10% af pengene for ulejligheden.koehler (2) skrev:Overførsler over x kr. skal bekræftes personligt (banken kontakter dig) Evt. kun på udenlandsoverførsler?
Hvis dette malware er en anelse mere gennemført, så sørger det samtidigt for at den ekstra betaling slet ikke vises på skærmen, så det ikke hjælper at brugeren kigger godt efter.Jaqen (10) skrev:Hvis et stykke malware kan lægge en ekstra betaling i en batch-betaling mens bruger allerede er logget på, så bliver den godkendt sammen med brugers egne betalinger, hvis bruger ikke har øjnene med sig.
Der er til gengæld stor forskel på hvor nemt noget man har kan kopieres, og af hvem.nyx (12) skrev:erkendelsen af at et certifikat er noget du *HAR*
En fil på din computer er nem at kopiere, både for brugeren selv og få et stykke malware.
Et nøglekort er praktisk taget umuligt at kopiere for et stykke malware. Det er tilgæld nemt at kopiere for brugeren. Og hvis brugeren kopierer det er der pludselig en større risiko for misbrug. (Om brugeren nemmest kan kopiere en fil eller et papkort afhænger af hvilken bruger det er).
En kryptonøgle i et separat stykke hardware, som anvendes til en challenge response er svært at kopiere for både bruger og malware. Det separate stykke hardware kunne i princippet være en chip i din computer, men der er to grunde til at det ikke er praktisk. For det første skal nøglen ind i det stykke hardware, og det er svært at gøre sikkert når chippen ikke kommer fra din bank. Desuden vil et stykke hardware i din computer nemmere kunne bruges uden at du opdager det. Det eksterne stykke hardware kræver at du aktivt gør noget når det skal bruges.
Ingen af disse metoder beskytter imod malware der udfører et man-in-the-middle angreb. For at beskytte imod dette ville det være nødvendigt at rent faktisk bekræfte transaktionerne på det eksterne hardware. Det ville sige at du skulle have en skærm på det eksterne hardware, som viser hvilken transaktion du er ved at gennemføre, og en måde at overføre data til det eksterne hardware (USB, netværk, SMS)
baloo (21) skrev:den eneste forskel på engangskoderne og din statiske kode er at de kun kan bruges en gang.
Det er jo også netop den forskel der er hele pointen, som jeg har forklaret et par gange i denne tråd. At man potentielt kan kopiere nøglekortet (med scanner, fotografering, afskrivning, memorering...) ændrer ikke på at du ikke kan få fat i engangsnøglerne på samme måde som kodeordet.
baloo (21) skrev:som sagt kan man hverken sende sig selv eller en fysisk genstand over et datanetværk, så vi kan ikke bruge 2 faktorer.
Hvad er det egentlig du argumenterer for? Er det stadig bare at du ikke kan lide at jeg kalder det to faktorer? Eller mener du ikke nøglekortet er mere sikket end et password?
baloo (21) skrev:jeg har noget imod når nogen lyver og forsøger at fremstille noget bedre end det i virkeligheden er, hvilket er det DanID forsøger når de begynder at proklamere at "NemID baserer sig på ægte to-faktor sikkerhed."
Som jeg forstår begrebet har de ret. Så kan du forstå begrebet anderledes, det er jeg helt ligeglad med. Og hvis du dermed vil påstå at DanID lyver, så vil jeg ikke blande mig i det.
baloo (21) skrev:myplacedk hvad siger du til vi bare bliver enige om at NemID nøglekortet ikke kan kvalificeres under faktoren "Noget du har" når systemet som du selv skriver ikke har kontrol over hardwaren
Nej. De overholder definitionen som jeg forstår den. Jeg har kigget lidt på Wikipedia-artiklen om det, og jeg kan ikke se forskellen på nøglekortet og deres eksempler. Altså ud over at nøglekortet kan kopieres, men det er jo ikke det du snakker om.
Men som sagt er jeg også ligeglad med hvad du kalder det. Jeg er langt mere interesseret i om det virker.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund