mboost-dp1
PBS A/S
Jeg har fundet en enkelt kilde som mener, at det er denne bug der er tale om: http://bugs.sun.com/bugdatabase/view_bug.do?bug_id...
det giver ikke kun problemer, det er også et kæmpe skridt baglæns mht. moderne teknologi og så er det et pisse bøvlet form for login, for det har intet med signatur at gøre.
Hvis man bruger sin netbank ofte og over flere pc'er så er nøglekortet godt nok elendigt. Man skal hele tiden havde det på sig, selv for at tjekke om penge er blevet overført eller ej. Jeg kunne forstå jeg skulle bruge det, hvis jeg ville overføre penge, men at det konstant skal bankes ind er en dårlig løsning. Et password og en nøglefil burde være nok når man kun skal se en saldo. Er godt nok spændt på om jeg får et brev med et nyt nøglekort til tiden, når der ikke er flere tilbage på det her kort :(
Jeg har ikke haft problemer med NemID andet end at det tager 3-4 gange så lang tid at logge ind.
Dog synes jeg at sikkerheden på Danske Banks App er ret dårlig.
For at logge ind skal du bruge en 4 cifret pinkode som du selv kan vælge, samt koden fra dit NemID-kort.
Så hvis man får stjålet sin pung sammen med sin telefon, hvilket i mange kvinders tilfælde nemt kan ske, så skal tyven bare finde personens pin, som ofte er nem at gætte.
Dog synes jeg at sikkerheden på Danske Banks App er ret dårlig.
For at logge ind skal du bruge en 4 cifret pinkode som du selv kan vælge, samt koden fra dit NemID-kort.
Så hvis man får stjålet sin pung sammen med sin telefon, hvilket i mange kvinders tilfælde nemt kan ske, så skal tyven bare finde personens pin, som ofte er nem at gætte.
Er glad for at jeg ikke er skiftet over til NemID endnu. Har flere venner som ikke har kunne bruge deres netbank siden de blev skiftet til NemID.
Og at dette nye problem ikke er så stort, fordi mange mennesker bruger en gammel version af Java, er absolut ikke en gyldig undskyldning.
Og at dette nye problem ikke er så stort, fordi mange mennesker bruger en gammel version af Java, er absolut ikke en gyldig undskyldning.
TuxDK (10) skrev:#9
Siden hvornår er en PIN kode blevet nem at gætte?
Folk får stjålet VISA/Dankort hele tiden uden at deres PIN kode bliver gættet.
Hvis man selv kan angive ens pinkode, er den meget ofte nem at gætte.
Har gjort det flere gange på kammeraters telefoner osv.
kiwi (14) skrev:Det kan godt være folk syntes det er lidt bøvlet med NemID, men det er da ingenting i forhold til Digital Signatur.. det var da virkelig noget bras.
Må faktisk sige at vi har været utroligt glade for DanID på mit arbejde. Installation, backup og restore af certifikater er forbløffende nemt og virker problemfrit.
reschat (12) skrev:Og at dette nye problem ikke er så stort, fordi mange mennesker bruger en gammel version af Java, er absolut ikke en gyldig undskyldning.
Jeg kan ikke se hvorfor DanID skal komme med en gyldig undskyldning for en fejl Oracle har lavet.
Der er da vist heller ingen som siger det er en undskyldning, det er bare relevant fakta.
Jeg havde aldrig problemer med den Digitale Signatur, men fandme nej om jeg skifter til NemID. pt har jeg både nøglefilen til min netbank og digitale signatur siddende i en HW krypteret USB nøgle og den har jeg altid med og derved kan jeg ALTID komme i banken eller få fat i det offentlige.
Og uden at lortet sårn lige går i stykker. Og nej der er ikke usikkert da min USB nøgle kun tillader 3 forsøg på at taste den rigtige kode hvorefter den eneste mulighed er at du kan formatere den.
Så først skal personen gætte min første kode på 3 forsøg. Dernæst gætte hvad bank jeg har, og så finde ud af min kode der for at komme ind. Så vil tro at jeg har sikret mig ret godt.
Og uden at lortet sårn lige går i stykker. Og nej der er ikke usikkert da min USB nøgle kun tillader 3 forsøg på at taste den rigtige kode hvorefter den eneste mulighed er at du kan formatere den.
Så først skal personen gætte min første kode på 3 forsøg. Dernæst gætte hvad bank jeg har, og så finde ud af min kode der for at komme ind. Så vil tro at jeg har sikret mig ret godt.
Kirsebær (8) skrev:Hvis man bruger sin netbank ofte og over flere pc'er så er nøglekortet godt nok elendigt. Man skal hele tiden havde det på sig, selv for at tjekke om penge er blevet overført eller ej. Jeg kunne forstå jeg skulle bruge det, hvis jeg ville overføre penge, men at det konstant skal bankes ind er en dårlig løsning. Et password og en nøglefil burde være nok når man kun skal se en saldo. Er godt nok spændt på om jeg får et brev med et nyt nøglekort til tiden, når der ikke er flere tilbage på det her kort :(
Ved sparnord netbank kan jeg vælge at logge ind uden nøgle kort, så kan jeg se alt uden møgle kortet. og den spør først efter data fra nøgle kortet hvis jeg vil f.eks vil overføre penge.
Uddrag fra betingelsene fra NemID:
3.3 Sikkerhed ved brug
Du skal sikre at,... du løbende opdaterer dit operativsystem, din internetbrowser ogdine øvrige programmer med seneste sikkerhedsopdateringer.
3.5.3 DanID spærrer ... NemID, hvis DanID får kendskab til, at du ikke har overholdt reglerne i afsnit 3.
=>
Dem der overholder reglerne kan ikke få det til at virke. Resten skal spærres...
Eller også er "løbende" åbenbart ikke lige med det samme.
3.3 Sikkerhed ved brug
Du skal sikre at,... du løbende opdaterer dit operativsystem, din internetbrowser ogdine øvrige programmer med seneste sikkerhedsopdateringer.
3.5.3 DanID spærrer ... NemID, hvis DanID får kendskab til, at du ikke har overholdt reglerne i afsnit 3.
=>
Dem der overholder reglerne kan ikke få det til at virke. Resten skal spærres...
Eller også er "løbende" åbenbart ikke lige med det samme.
#17
Det er så også en forholdvis naiv sikkerhed. Når først USB nøglen er mounted i OS'et, så kan alle programmer med diskadgang tilgå din nøgle.
Et ikke-utænkt eksempel: Du går ind på en side der loader en gammel defekt signeret java applet som ejeren af computeren har trusted. Så kan den side du er inde på uden problemer tilgå appletten med javascript, finde din nøgle og sende den tilbage til onde bagmænd. Samtidig med at den selvfølgelig også har fået startet en keyboard logger der fanger dit password.
Konklusion: Din krypterede USB beskytter dig kun mod tyveri af USB nægle, men ikke mod dine egne handlinger.
Det er så også en forholdvis naiv sikkerhed. Når først USB nøglen er mounted i OS'et, så kan alle programmer med diskadgang tilgå din nøgle.
Et ikke-utænkt eksempel: Du går ind på en side der loader en gammel defekt signeret java applet som ejeren af computeren har trusted. Så kan den side du er inde på uden problemer tilgå appletten med javascript, finde din nøgle og sende den tilbage til onde bagmænd. Samtidig med at den selvfølgelig også har fået startet en keyboard logger der fanger dit password.
Konklusion: Din krypterede USB beskytter dig kun mod tyveri af USB nægle, men ikke mod dine egne handlinger.
mwl (23) skrev:#17
Det er så også en forholdvis naiv sikkerhed. Når først USB nøglen er mounted i OS'et, så kan alle programmer med diskadgang tilgå din nøgle.
Et ikke-utænkt eksempel: Du går ind på en side der loader en gammel defekt signeret java applet som ejeren af computeren har trusted. Så kan den side du er inde på uden problemer tilgå appletten med javascript, finde din nøgle og sende den tilbage til onde bagmænd. Samtidig med at den selvfølgelig også har fået startet en keyboard logger der fanger dit password.
Konklusion: Din krypterede USB beskytter dig kun mod tyveri af USB nægle, men ikke mod dine egne handlinger.
Meh...med en keylogger og en bagdør på en PC er alle døre jo åbne ;)
#24
Nej. Det er netop hele pointen med det nøglekort. Du skal have "noget" fra brugeren både digitalt og fysisk. Begge dele er rimeligt nemt at opnå, men fra samme bruger - så er det en udfordring. Det udelukker næsten alle de blackhats som er/var et problem før NemID.
Nej. Det er netop hele pointen med det nøglekort. Du skal have "noget" fra brugeren både digitalt og fysisk. Begge dele er rimeligt nemt at opnå, men fra samme bruger - så er det en udfordring. Det udelukker næsten alle de blackhats som er/var et problem før NemID.
Giv os nu bare en keytoken.
Enten det, eller lav sådan et man kan koder det sammen med ens mobilnummer, hvorpå man får en sms-kode efter man har tastet sit eget password.
Ganske vidst så skal folk "kun" have fat i din mobil for at logge sig ind, men de skal stadigvæk kende dit password til banken. Så det giver det samme i sidste ende hvis man holder det op imod NemID.
Enten det, eller lav sådan et man kan koder det sammen med ens mobilnummer, hvorpå man får en sms-kode efter man har tastet sit eget password.
Ganske vidst så skal folk "kun" have fat i din mobil for at logge sig ind, men de skal stadigvæk kende dit password til banken. Så det giver det samme i sidste ende hvis man holder det op imod NemID.
BluepaiN (27) skrev:Giv os nu bare en keytoken.
Hav nu bare lidt tålmodighed. Det har været meldt ud fra starten at der kommer alternativer til nøglekortet.
BluepaiN (27) skrev:Så det giver det samme i sidste ende hvis man holder det op imod NemID.
Hvis din mobiltelefon er en del af din sikkerhed, så kan du ikke bruge til mobiltelefon som klient uden at sænke sikkerhedsniveauet. Dvs. hvis du erstattet nøglekortet med din mobiltelefon kan du godt vinke farvel til mobil netbank osv.
Men det er selvfølgelig også okay for nogle.
Jeg havde nemid i forvejen, fordi jeg kom til at smide min gamle digitale signatur væk ved en reinstall, men fik så den her popup på min netbank for et par uger siden med at nu kan man logge på med nemid og det er så smart. Prøver så at følge deres guide til at få lavet min nøglefil om til nemid login, hvilket ikke virker.. Og får så at vide af deres hotline at jeg bliver nødt til at møde op i banken, for at få nemid tilknyttet min netbank o_O
#30
Det lyder som om banken ikke (formelt) har set bevis for din identitet. Det er et krav for flere ting, bla. tilknytning af NemID.
Men jeg hører mange historier om hvor dårligt bankerne håndterer overgangen til NemID. Det er rigtigt ærgeligt. Godt nok er det kode som kun skal køre i nogle få måneder, men det er altså vigtigt at det fungerer ordentligt alligevel.
Det lyder som om banken ikke (formelt) har set bevis for din identitet. Det er et krav for flere ting, bla. tilknytning af NemID.
Men jeg hører mange historier om hvor dårligt bankerne håndterer overgangen til NemID. Det er rigtigt ærgeligt. Godt nok er det kode som kun skal køre i nogle få måneder, men det er altså vigtigt at det fungerer ordentligt alligevel.
incinerator (20) skrev:Uddrag fra betingelsene fra NemID:
3.3 Sikkerhed ved brug
Du skal sikre at,... du løbende opdaterer dit operativsystem, din internetbrowser ogdine øvrige programmer med seneste sikkerhedsopdateringer.
3.5.3 DanID spærrer ... NemID, hvis DanID får kendskab til, at du ikke har overholdt reglerne i afsnit 3.
.
Nå det var det NemId skulle bruge den der "fuld access baglæns gennem appletten" til.
Men de skal vel dokumentere hvordan de har indsamlet oplysningerne, så må vi til den tid se om det er lovligt.
el_barto (24) skrev:
Meh...med en keylogger og en bagdør på en PC er alle døre jo åbne ;)
Nej, det er de så ikke! Med DanskeBanks gamle system med låst nøglefil, ville jeg kunne stå offentligt og uddele min key-file samt password på USB-sticks ... og modtageren ville ikke kunne bruge det til noget som helst, da key-filen er låst, så det KUN virkede fra min telefon. Selvom en hacker kom ind ad "bagdøren" på min PC-og kopierede den key-file jeg der havde, samt fik fat i mit password, så skulle han stadig fysisk stjæle min PC, for at få hul igennem til netbanken. En oplåst udgave af selvsamme key-file befandt sig på en USB-stick et helt andet sted (var ikke sat til nogen PC), så jeg selv kunne få gang i netbanken igen efter f.eks en ominstallering af Windows.
Dette system ville jeg meget gerne have beholdt, men blev tvunget over på NemId
Jakob Jakobsen (13) skrev:TuxDK (10) skrev:#9
Siden hvornår er en PIN kode blevet nem at gætte?
Folk får stjålet VISA/Dankort hele tiden uden at deres PIN kode bliver gættet.
Hvis man selv kan angive ens pinkode, er den meget ofte nem at gætte.
Har gjort det flere gange på kammeraters telefoner osv.
Hvis folk, som kender dig godt nok til at gætte dit PIN, stjæler fra dig, bør du søge nye bekendtskaber.......
myplacedk (28) skrev:Hav nu bare lidt tålmodighed. Det har været meldt ud fra starten at der kommer alternativer til nøglekortet.BluepaiN (27) skrev:Så det giver det samme i sidste ende hvis man holder det op imod NemID.
Hvis din mobiltelefon er en del af din sikkerhed, så kan du ikke bruge til mobiltelefon som klient uden at sænke sikkerhedsniveauet. Dvs. hvis du erstattet nøglekortet med din mobiltelefon kan du godt vinke farvel til mobil netbank osv.
Men det er selvfølgelig også okay for nogle.
Det er da utroligt, at du forsvarer en påtvungen løsning, som involverer noget så primitivt og fordyrende som papkort med en liste af koder! Hvorfor ikke i stedet stille spørgsmålstegn ved, at man ikke som udgangspunkt har sørget for en fungerende, selvvalgt RSA-/SMSbaseret OTPløsning?
myplacedk (32) skrev:#31
DanID siger det. Har du grund til at tro at DanID lyver?
Der er en fejl i Java, som har samme symptomer. I en komponent som gør noget NemID-appletten gør.
Jeg synes nu mere det er dig der har noget at bevise, hvis du ikke tror på DanID.
Har du grund til at blindt stole på dem? Det er en virksomhed med et i forvejen blakket ry og forkærlighed for halve sandheder (=hele løgne)!
#0 << Og hvorfor er det, at man in the first place har besluttet at implementere det med client side-følsomhed? Blatant eksempel på manglende forståelse for driftsikre systemer!
rmariboe (37) skrev:Det er da utroligt, at du forsvarer
Nogen skal jo gøre det, det går jo mod lynch-stemning hvergang NemID bliver nemt.
Bemærk at jeg sjældent udtaler mig om hvorvidt jeg kan lide DanID eller NemID. Jeg retter bare folk der tager fejl, og bidrager med facts. Noget som jeg håber andre vil gøre, når det er mig der er sur og uforstående.
rmariboe (37) skrev:Hvorfor ikke i stedet stille spørgsmålstegn ved, at man ikke som udgangspunkt har sørget for en fungerende, selvvalgt RSA-/SMSbaseret OTPløsning?
Det har jeg gjort. Jeg har stillet spørgsmålet, fået svaret, forstået situationen og forklaret den her flere gange.
rmariboe (37) skrev:Har du grund til at blindt stole på dem?
Det er noget andet, i min terminologi. I dette tilfælde kan jeg ikke se nogen som helst indikation på at de skulle lyve. Er der grund til at beskylde dem for at lyve, eller er det bare had?
rmariboe (37) skrev:Og hvorfor er det, at man in the first place har besluttet at implementere det med client side-følsomhed?
http://newz.dk/danid-giver-ren-besked-om-nemid/
Jeg kan jeg så sige at der er MANGE, rigtig mange mennesker der bruger de 4 sidste cifre af deres CPR nummer, eller deres PIN kode fra dankort mm. til alle mulige situationer, fx kode i Blockbuster, ved deres teleselskab, osv.rmariboe (37) skrev:Hvis folk, som kender dig godt nok til at gætte dit PIN, stjæler fra dig, bør du søge nye bekendtskaber.......
Så for en stor del af befolkning, er der mange der kender folks typiske PIN kode. Og givet at de 4 sidste cifre af cpr nummeret er så ofte brugt, gør det at nakker man sygsikringsbevis + nøglekort har man vel 30% chance for at have fuld adgang.
Jeg forsøgte i dag at oprette en NemID til mig:
1) Opret med pasnummer
2) Du har hemmelige adresse: Indtast din adresse
3) Du skal nu godkende dig selv med din digitale signatur
4) Der er opstået en fejl. Kontakt support
5) Support: Du kan ikke oprette en NemID hvis du har hemmelig adresse! Gå ned på borgerservice!
Håbløst!
1) Opret med pasnummer
2) Du har hemmelige adresse: Indtast din adresse
3) Du skal nu godkende dig selv med din digitale signatur
4) Der er opstået en fejl. Kontakt support
5) Support: Du kan ikke oprette en NemID hvis du har hemmelig adresse! Gå ned på borgerservice!
Håbløst!
Jeg forstår ikke, at der er blevet valgt en løsning, som ikke går hånd i hånd med mobiltelefoni. Det virker da håbløst gammeldags, at jeg med min gamle netbank kunne gå på via min telefon, men ikke via et nyere system.
Java giver også lidt dårlig karma. Det sidste Java job jeg havde, blev jeg heldigvis headhuntet væk fra :-), thank god. Alle funktioner skal som standard være "virtual", var vel også et ret dårligt designvalg i sin tid...
Java giver også lidt dårlig karma. Det sidste Java job jeg havde, blev jeg heldigvis headhuntet væk fra :-), thank god. Alle funktioner skal som standard være "virtual", var vel også et ret dårligt designvalg i sin tid...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund