mboost-dp1
newz Media ApS
#50
Jeg plejer at være enig med dig om det meste, men her er jeg dybt uenig - det er "super nemt" hvis man har fået en trojan på en PC.
Præsenter falsk bank webside der ligner (lav egen webserver + CA på maskine, issue CA Trusted Root, lav csr til banknavn.dk og lav den lokalt på webserver på maskine = fin hængelås på falsk website. Når du bemærker bruger går mod netbank, så logger du på ved siden af, og ser hvad du bliver bedt om. Hvis timing er korrekt, så beder du bruger finde det til dig, som du lige er blevet bedt om af rigtig bank. Du logger ind, rigtigt, men sender bruger til 'midlertidig driftproblem - vent 60 sekunder på login". I baggrunden arbejder du hurtigt på at sætte overførsel i gang - oghvis du promptes for nemID igen, så har du en "så, nu er banken klar igen - angiv nemID' hvor du igen prompter bruger for det du selv skal angive.
Nemt for dem der har et par dage til at preppe angrebet, og har et par trojans på bankkunders PC'er.
Det bør give success på mindst 25% af dem man prøver på, kun rigtige teknikere vil lugte lunten - min mor vil dævlme ikke.
Der er *ingen* MITM beskyttelse i NemID. Der er højest en timing udfordring.
Jeg plejer at være enig med dig om det meste, men her er jeg dybt uenig - det er "super nemt" hvis man har fået en trojan på en PC.
Præsenter falsk bank webside der ligner (lav egen webserver + CA på maskine, issue CA Trusted Root, lav csr til banknavn.dk og lav den lokalt på webserver på maskine = fin hængelås på falsk website. Når du bemærker bruger går mod netbank, så logger du på ved siden af, og ser hvad du bliver bedt om. Hvis timing er korrekt, så beder du bruger finde det til dig, som du lige er blevet bedt om af rigtig bank. Du logger ind, rigtigt, men sender bruger til 'midlertidig driftproblem - vent 60 sekunder på login". I baggrunden arbejder du hurtigt på at sætte overførsel i gang - oghvis du promptes for nemID igen, så har du en "så, nu er banken klar igen - angiv nemID' hvor du igen prompter bruger for det du selv skal angive.
Nemt for dem der har et par dage til at preppe angrebet, og har et par trojans på bankkunders PC'er.
Det bør give success på mindst 25% af dem man prøver på, kun rigtige teknikere vil lugte lunten - min mor vil dævlme ikke.
Der er *ingen* MITM beskyttelse i NemID. Der er højest en timing udfordring.
Zalon (42) skrev:Jeg kan ikke forstå hvorfor folk har så meget imod pap-kortet, men måske er det bare fordi at min bank altid har brugt dette system.
Tja, det er meget mere besværlig at bruge og det tager længere tid at logge ind
Before Nemid:
Indtast bruger + password
Press ok
Tada... nu har du netbank
After Nemid:
Find pung
Åben pung
Tag nemid kortet ud
Indtast bruger + password
Press ok
Læs et tal på skærmen
Gå kortet igennem for at finde samme tal
Indtast det tal du finder fra nemid kortet
*gab*
Tryk ok
Tada... nu har du netbank... og har længe glemt hvad det egentligt var du ville derinde
Det tager 100 gange så langt tid at komme ind i netbank nu i forhold til før og man føler som om at man er gået tilbage til middelalderen
Og som ekstra bonus så er alle data nu samme sted. Hvis det lykkedes en at komme ind bag systemet, har han alle data der skal bruges for at tømme alle kontoer i DK. Og med alle de sikkerheds-problemer man hører om nemid, så føler jeg mig altså ikke særlig sikker
What is there not to hate?
Mit forbrug af Netbank er faldet ned til 10% i forhold til før. Før hoppede jeg ofte ind bare lige for hurtigt at tjekke kontoen, nu besøger jeg kun netbank når det er nødvendigt
Nize (51) skrev:Der er *ingen* MITM beskyttelse
Findes der en motode til at sikre sig 100% mod dette ?
Jeg har faktisk oplevet at der var ged i systemet og jeg skulle benytte 2 forsøg/nøgler for at komme ind. - rimeligt spooky med jeg tror virkelig der var tale om en fejl.
Man bør faktisk altid checke signaturen på nemID appleten inden man benytter den. - men det kan sikkert også "fuskes".
Adagio (53) skrev:Det tager 100 gange så langt tid at komme ind i netbank nu i forhold til før og man føler som om at man er gået tilbage til middelalderen
Den nye sikkerhedsmodel er mere sikker end den gamle.
Den nye sikkerhedsmodel er et samarbejde mellem mange parter, og kan bruges mange steder.
Det lyder som fremgang for mig. Ikke alt med døde træer i er gammeldags.
Adagio (53) skrev:Og som ekstra bonus så er alle data nu samme sted.
Nu ligger id-data hos DanID og resten hos banken, modsat før hvor begge dele var hos Banken. Det lyder som en opdeling for mig.
Man kan argumentere for at alle bank-kunder nu har samlet sit id-data et sted, men det skal ses i forhold til at alle bankerne har sine data samlet 5 steder, snart 3.
Adagio (53) skrev:Og med alle de sikkerheds-problemer man hører om nemid, så føler jeg mig altså ikke særlig sikker
Ja, pressen kan ødelægge meget. Næsten samtlige artikler jeg har læst om NemID poplær-medier har intet med NemID at gøre.
Nu er NemID nyt, og så er sikkerhed pludselig spændende. I virkeligheden er stort set alle sikkerhedshuller som NemID har fået skylden for (set med den almindelige danskers øjne) var der enda også før NemID.
Verden er blevet MERE sikker, der er bare mere opmærksomhed på problemer nu end der var før. Det er pressens sædvanlige ubalancerede "oplysning" som skræmmer borgerne, for det tjener de penge på.
Kort sagt: Stort set al modstand mod NemID bunder i uvidenhed.
myplacedk (55) skrev:Den nye sikkerhedsmodel er mere sikker end den gamle.
Den nye sikkerhedsmodel er et samarbejde mellem mange parter, og kan bruges mange steder.
Det lyder som fremgang for mig
Den gamle metode var ikke ligefrem den mest sikre, det kan vi hurtigt blive enig om, men jeg ser nemid kun som marginalt mere sikker
myplacedk (55) skrev:Ikke alt med døde træer i er gammeldags.
Du syntes ikke det er noget i vejen at man ødelægger en hel masse træer når det er unødvendigt? Unskyld at vi andre ønsker at værne mere om naturen, når det kan undgås
myplacedk (55) skrev:
Nu ligger id-data hos DanID og resten hos banken, modsat før hvor begge dele var hos Banken. Det lyder som en opdeling for mig.
Nu ligger alt login-data ET sted (danid). Har man fat i disse data kan man logge ind alle steder og gøre hvad som helst. Det lyder ærligt talt ikke som opdeling for mig. Banken har ikke noget information der er nødvendig for at kunne logge ind med nemid, alt den information ligger hos danid (at du så kan bruge denne information ved banken betyder ikke at det er opdelt)
myplacedk (55) skrev:
Ja, pressen kan ødelægge meget. Næsten samtlige artikler jeg har læst om NemID poplær-medier har intet med NemID at gøre.
Og næsten alle dem jeg har læst henviser til problemer direkte hos danid
koester (14) skrev:med Digital Signatur var det lettere. For mit vedkommende som er på netbank 10-12 gange om dagen, som jeg har nedsat det til, der det en fas tjans for posten at komme med ny kort. Hvem sidder et offenligt sted, eller på en andens PC og gør netbankning. Man har da bærbar PC eller de kunne have lavet Digital Signatur til mobil. Men hvad der er kunde dumme forbruger/skatteyder der skal betale. "Dumme dansker"
Mht til mobilen - så har jeg brugt mit gamle digitale signatur på min mobil i snart halvandet år ...
Det fungerede nu fint! Længe live IE på mobilen ;)
Adagio (56) skrev:Den gamle metode var ikke ligefrem den mest sikre, det kan vi hurtigt blive enig om, men jeg ser nemid kun som marginalt mere sikker
Arbejder du med netbank-sikkerhed eller andet kvalificerende? Eller lukker du bare varm luft ud?
Adagio (56) skrev:Du syntes ikke det er noget i vejen at man ødelægger en hel masse træer når det er unødvendigt?
Det er straks noget helt andet. Men det argument er jo bare endnu værre. Tror du virkelig det er mere miljøvenligt at lave en elektronisk dims til alle danskere?
Adagio (56) skrev:Nu ligger alt login-data ET sted (danid).
Du har en pointe. Men jeg kan ikke se problemet, i forhold til fordelene.
Det kan det jo også være men nemID, Du skal ind og checke dine skatte oplysninger, nemID kan interceptes her, du skal checke noget i kommunen nemID kan fanges her, osv. Jo flere steder nemID bruges, jo lettere er det at få fanget en dum/uopmærksom bruger.røvskæg (49) skrev:Uden nemID, er der jo ikke brug for en fishnet-bank side. Det kan være hvilkensomhelst ondsindet side man er inde på. - Se video i #43.
Eftersom det med den gamle metode kræver du har en trojan på din pc (som med linket i #43, der jo ikke bringer noget nyt på banen) så har jeg svært ved at se hvad forskellen er på en trojan der bruger den key der er bundet op på dit hardware, eller en trojan der modifiere din hosts fil, så www.skat.dk pejer på www.myhackdomain.nu og derved kan lave MITM.
Og som du selv skriver i #54, så ved du også man ind imellem kan resikere at skulle logge ind to gange.
Så med gammel løsning:
- De skal hacke din pc, log dit username/password, og via din pc bruge tømme din netbank.
Med nemID:
- De skal hacke din pc, og redirecte de 7000 sider der bruger nemID til deres egne domains, hvor de laver et alm. klasisk MITM angreb.
Saxov (59) skrev:Så med gammel løsning:
- De skal hacke din pc, log dit username/password, og via din pc bruge tømme din netbank.
det behøver vel ikke være "via" din pc. De skal vel bare stjæle en copi af en nøglefil. Og så selvfølgelig logge brugernavn og password.
Det er da langt nemmere, end bare at lave et alm. klasisk MITM atack.
Udover det tekniske skal der laves, fake java applet, og hjemmeside(r). Så brugeren ikke aner uråd.
Desuden kan atackeren kun loggen ind en gang (og sikkert kun) på den side som NemID-key'en er blevet opkrævet fra.
Det kommer de ikke så langt med, eftersom min nøglefil er låst til min hardware ;)røvskæg (60) skrev:De skal vel bare stjæle en copi af en nøglefil. Og så selvfølgelig logge brugernavn og password.
Så de er nød til at bruge min hardware, til enten:
a) at logge ind på min netbank og overføre penge
b) logge ind på min netbank, generere en unlocked nøglefil, som de så skal download, og bruge.
Darwind (33) skrev:
Mener du helt seriøst, at du havde kontrol over din egen nøgle tidligere? Er du overhovedet klar over, hvordan en nøgle ser ud? Det er skuda bankens system, der selv har skabt din nøgle. Ja du har indtastet din egen kode, men hvordan mon bankens system finder ud af, at du har indtastet den rigtige kode?
"Kompromitteret" er bare et stort ord i denne her sammenhæng. Du virker for paranoid til at bruge internettet. Måske skulle du overveje bare at gå ned i din bank og hæve og overføre penge, når du har brug for det - bedre endnu, put pengene i din pude derhjemme.
Du ved den lille fil du havde på din pc før... Det var din nøgle Hvorvidt jeg er for paranoid til at bruge internettet har vel næppe nogen relevans her og må derfor tolkes som et forsøg på at miskreditere mine indlæg. Det må jo så igen skyldes at du ikke rigtig har nogle gode argumenter imod hvad jeg har skrevet...
myplacedk (35) skrev:
Det er en fin teori, som i mange tilfælde kan bruges i praksis. Men ikke her. Du skal ikke tænke på det som digital signatur, tænk på det som et identifikations-system. (Det hedder jo ikke NemDS, det hedder NemID.)
Systemet er designet til at DanID har din nøgle. Og så er den altså ikke kompromitteret ved at DanID har din nøgle. Det er blot et system som fungerer som designet.
Netop. Det har intet med en digital signatur at gøre. Og alligevel har nemid travlt med at påstå det modsatte [1]. Det er ikke andet end en meget dyr sso løsning. Hvorfor skal det system der giver mig adgang til min netbank også være det der giver adgang til meget personfølsomme data?
[1]
NemID-løsningen er anden generation af digital signatur
[url=NemID-løsningen er anden generation af digital signatur]Kilde[/url]
Darwind (33) skrev:Mener du helt seriøst, at du havde kontrol over din egen nøgle tidligere? Er du overhovedet klar over, hvordan en nøgle ser ud? Det er skuda bankens system, der selv har skabt din nøgle. Ja du har indtastet din egen kode, men hvordan mon bankens system finder ud af, at du har indtastet den rigtige kode?
Til orientering fandtes den gamle digitale signatur i en open-source form der tillod at man kunne verificere sikkerheden i systemet hvis man ville. Det gør NemID ikke.
myplacedk (58) skrev:
Det er straks noget helt andet. Men det argument er jo bare endnu værre. Tror du virkelig det er mere miljøvenligt at lave en elektronisk dims til alle danskere?
Du ser det lidt sort/hvidt: Hvis man ikke vælger løsning A, SKAL man bruge løsning B
Der findes nu engang tonsvis af andre løsninger at vælge imellem
Til jer, som er træt af at kun have papkortet ét sted, så scan da kortet ind, og gem det på din PC - banken skal vel påvise, at du har handlet uansvarligt, og man behøver jo ikke fortælle, hvis uheldet er ude, at man har scannet det ind.
Men hav kortet i pungen til når man er ude, og indscanningen, når du sidder ved din egen PC.
Og så før eller siden kommer der jo også en device-løsning, så indtil da...
Men hav kortet i pungen til når man er ude, og indscanningen, når du sidder ved din egen PC.
Og så før eller siden kommer der jo også en device-løsning, så indtil da...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund