mboost-dp1
PBS A/S
No shit at de ikke har gjort det mere sikker!
Nem ID er overhovedet ikke hvad det lyder til, og det gør "os" som brugere mere tilgængelig til at benytte nemme passwords, tage billeder/kopier af vores skide nøglekort.
Og det er i DET at det går galt!
--
Hvis de dog bare snart ville lære af de enormt mange (tvungne) "kunder"'s kald og får det lavet mere simpelt, så kan det være det hjælper lidt på sikkerheden.
Nem ID er overhovedet ikke hvad det lyder til, og det gør "os" som brugere mere tilgængelig til at benytte nemme passwords, tage billeder/kopier af vores skide nøglekort.
Og det er i DET at det går galt!
--
Hvis de dog bare snart ville lære af de enormt mange (tvungne) "kunder"'s kald og får det lavet mere simpelt, så kan det være det hjælper lidt på sikkerheden.
>#2
Med fare for at stikke hånden ned i en hvepserede, hvad kan de gøre, der både er mere simpelt og ikke er sårbar over for de Man-in-the-middel angreb der har været?
Jeg ved mange har klager over at de ikke har lavet Nem-id som en sandkasse-løsning, men det har, så vidt jeg har forstået, ikke haft indflydelse på de angreb vi har set indtil nu eller??
Med fare for at stikke hånden ned i en hvepserede, hvad kan de gøre, der både er mere simpelt og ikke er sårbar over for de Man-in-the-middel angreb der har været?
Jeg ved mange har klager over at de ikke har lavet Nem-id som en sandkasse-løsning, men det har, så vidt jeg har forstået, ikke haft indflydelse på de angreb vi har set indtil nu eller??
Ja men et ekstra kode ved selve overførelsen vil vel heller ikke hjælpe. Sidder der en svindler imellem brugeren og banken, kan han vel let få et ekstra kodeord ud. Hvor mange ikke-nørder ville ikke falde for sådan en besked her:
Din browser tabte forbindelsen til vores server, og det er derfor nødvendigt at logge på igen. Opgiv venligst Nem-id kode for #4745
Din browser tabte forbindelsen til vores server, og det er derfor nødvendigt at logge på igen. Opgiv venligst Nem-id kode for #4745
CableCat (3) skrev:De kunne jo gøre således at man også skal angive en engangskode når man overføre penge, og ikke kun ved login.
Ved vores netbank er det valgfrit at benytte NemID ved login, så jeg bruger stadig mit "almindelige" login.
Til gengæld skal man bruge NemID ved hver eneste handling som "flytter" penge, altså overførsler, girokort-betalinger osv.
Jeg foretrækker dog stadig mobil-app'en, den gør det hele så meget nemmere - uden NemID.
CableCat (3) skrev:De kunne jo gøre således at man også skal angive en engangskode når man overføre penge, og ikke kun ved login.
De banker der bruger BEC netbankerne kan sættes deres netbank op til dette, alt efter hvordan de ønsker det skal virke. F.eks. skal man hos FIH ikke bruge en engangskode når man logger ind, men først når man overfører penge.
Nu har NemID jo også den åbenlyse fejl at hver enkelt web side viser sin egen login dialog. Det er jo håbløst let for en svindelside at efterligne den dialog og så bruge de indtastede oplysninger til at stjæle pengene.
Havde NemID krævet login på deres egen HTTPS side og der vist netaddressen på den side man er ved at blive godkendt til, så er det meget mere åbenlyst for brugeren hvem han er ved at sende sit login til.
NemID har fået dette at vide for mange år siden og valgte dengang at ignorere problemet, da de mente det kun var en teoretisk mulighed og ingen jo havde misbrugt systemet endnu.
Havde NemID krævet login på deres egen HTTPS side og der vist netaddressen på den side man er ved at blive godkendt til, så er det meget mere åbenlyst for brugeren hvem han er ved at sende sit login til.
NemID har fået dette at vide for mange år siden og valgte dengang at ignorere problemet, da de mente det kun var en teoretisk mulighed og ingen jo havde misbrugt systemet endnu.
#9: og nu er det endda valgfrit, man kan vælge om man vil bruge nøglekort allerede ved login, eller først ved første overførsel eller lign. Skulle gælde alle BEC-banker.
#5: bor i sverige, har det der bank-id. Der skal installeres særskilt software på din computer for at man kan bruge selve kort-læseren kablet, hvilket er krævet ved visse transaktioner. den software er buggy og har gået i baglås et par gange, så min generelle oplevelse er ikke bedre end java+nemid
om Bankid er mere sikkert ved jeg ikke, moster oda, der bliver ringet op af en inder med teamviewer og stor overtalelsesevner er nok lige så sårbar med begge systemer. Mange brugere ignorerer også certifikatadvarsler, og så kan systemet være nok så sikkert imod MitM og lignende.
#10: "ingen har misbrugt det endnu" er en meget brugt og meget elendig undskyldning, jeg har hørt den i sikkerhedssammenhænge før, som afvisning af at lukke himmelråbende sikkerhedshuller. Glæder mig ikke en gang til at kunne sige "told you so" :-P
#5: bor i sverige, har det der bank-id. Der skal installeres særskilt software på din computer for at man kan bruge selve kort-læseren kablet, hvilket er krævet ved visse transaktioner. den software er buggy og har gået i baglås et par gange, så min generelle oplevelse er ikke bedre end java+nemid
om Bankid er mere sikkert ved jeg ikke, moster oda, der bliver ringet op af en inder med teamviewer og stor overtalelsesevner er nok lige så sårbar med begge systemer. Mange brugere ignorerer også certifikatadvarsler, og så kan systemet være nok så sikkert imod MitM og lignende.
#10: "ingen har misbrugt det endnu" er en meget brugt og meget elendig undskyldning, jeg har hørt den i sikkerhedssammenhænge før, som afvisning af at lukke himmelråbende sikkerhedshuller. Glæder mig ikke en gang til at kunne sige "told you so" :-P
#4
Jeg er helt enig. Sikkerhed findes kun så længe brugeren bag skærmen ikke modarbejder den.
Det er muligt at modarbejdelsen ikke sker bevidst, men kæden er ikke stærkere end det svageste led, og hvis det svageste led er brugeren så kan alt gå galt.
Jeg holder stadig på at hvis bankerne skal kunne tilbagebetale penge til brugeren der har været udsat for indbrud i netbank, netop fordi brugeren selv var medvirkende til indbrudet, så burde banken kunne stille krav til fx pc-kursus eller andet før brugeren får lov til at få netbank.
Jeg synes også at banken er i sin gode ret til at nægte erstatning hvis brugeren selv er medvirkende til at indbrudet er sket - om det er bevidst eller ej er ligegyldigt.
Det kan ikke være bankens problem at brugeren ødelægger sin egen konto bare fordi han vil ha netbank. Der er gået inflation i folk der vil håndtere personlige oplysninger - det er skide smart at man kan, men hvis man ikke behersker mediet så kan det ende grueligt galt og netop det at folk kræver erstatning i hoved og røv viser at de ikke aner en skid om hvad de er gået ind til da de underskrev netbank-aftalen med banken.
Jeg er helt enig. Sikkerhed findes kun så længe brugeren bag skærmen ikke modarbejder den.
Det er muligt at modarbejdelsen ikke sker bevidst, men kæden er ikke stærkere end det svageste led, og hvis det svageste led er brugeren så kan alt gå galt.
Jeg holder stadig på at hvis bankerne skal kunne tilbagebetale penge til brugeren der har været udsat for indbrud i netbank, netop fordi brugeren selv var medvirkende til indbrudet, så burde banken kunne stille krav til fx pc-kursus eller andet før brugeren får lov til at få netbank.
Jeg synes også at banken er i sin gode ret til at nægte erstatning hvis brugeren selv er medvirkende til at indbrudet er sket - om det er bevidst eller ej er ligegyldigt.
Det kan ikke være bankens problem at brugeren ødelægger sin egen konto bare fordi han vil ha netbank. Der er gået inflation i folk der vil håndtere personlige oplysninger - det er skide smart at man kan, men hvis man ikke behersker mediet så kan det ende grueligt galt og netop det at folk kræver erstatning i hoved og røv viser at de ikke aner en skid om hvad de er gået ind til da de underskrev netbank-aftalen med banken.
Jeg tror det er en fin måde at måle ansvarlighedsprocenten i befolkningen. Eller skal vi kalden den idiotkvotienten?
På den tekniske front, er det stadig ikke lykkedes at bryde NemID. Så alle indbrud er set ved brugerens egen hjælp = uansvarlig opførsel (idiotisk opførsel)
På den tekniske front, er det stadig ikke lykkedes at bryde NemID. Så alle indbrud er set ved brugerens egen hjælp = uansvarlig opførsel (idiotisk opførsel)
#10
Er det håbløs let ligefrem?
Hvordan er det lige du vil gætte hvilke indeks numre er på brugeren nøglekort? Det er jeg ikke lige med på...
Er det håbløs let ligefrem?
Hvordan er det lige du vil gætte hvilke indeks numre er på brugeren nøglekort? Det er jeg ikke lige med på...
#15 Ved at lave en falsk login side der spørger efter det og bruger oplysningen til at logge ind på din netbank...
Og indekstallet får den ved at spørge din bank samtidig lige efter du har oplyst hvem din bank er...
Nogle mennesker svarer jo på alt de bliver spurgt om...
Og indekstallet får den ved at spørge din bank samtidig lige efter du har oplyst hvem din bank er...
Nogle mennesker svarer jo på alt de bliver spurgt om...
Kian (12) skrev:Jeg synes også at banken er i sin gode ret til at nægte erstatning hvis brugeren selv er medvirkende til at indbrudet er sket - om det er bevidst eller ej er ligegyldigt.
Det kan ikke være bankens problem at brugeren ødelægger sin egen konto bare fordi han vil ha netbank.
Nu har bankerne jo ikke ligefrem ligget på den lade side her - de har jo øjnet at kunne spare en del kassemedarbejdere, såfremt de kunne få folk over på selvbetjening.
Bankerne ser en generel online-løsning som værende en måde at spare medarbejdere, det er fint. Men en dyrere online løsning, kunne måske sortere en del fra - men det vil kræve flere penge og aktive medarbejdere - og så har de jo ikke sparet noget?
Antallet af netbankindbrud nærmer sig niveauet fra før NemIDDet ville have været en god nyhed, hvis det var sandt. Men det er det desværre ikke.
Antallet af indbrud faldt kraftigt før NemID blev indført. Det sidste halve år før NemID blev indført blev det faktisk ingen penge stjålet ved indbrud i danske netbanker.
Det har åbenbart taget de kriminelle et års tid at lære at angribe NemID. Jeg har en mistanke om at noget af den seneste stigning skyldes at man er begyndt at bruge NemID til gambling sites.
Ud over alle de gode råd i #10 vil jeg samtidigt sige at man bør droppe det tredjepartssoftware og spyware, som NemID gør brug af. En løsning som kun involverer en browser giver en mere gennemskuelig sikkerhedsmodel. Og den nuværende model er for kompliceret til at Danid kan gennemskue konsekvenserne af den.cnr (4) skrev:hvad kan de gøre, der både er mere simpelt og ikke er sårbar over for de Man-in-the-middel angreb der har været?
En mulighed er at finde en godtroende person som vil hjælpe imod at få en del af pengene.Jonas_ (21) skrev:Jeg fatter stadig ikke hvad tyvene så gør med pengene... Det må da være lidt for let at spore overførslerne..
Find en person som vil modtage pengene ved en kontooverførsel og derefter hæve 90% af pengene og overføre dem til udlandet gennem noget ikke særligt sporbart. Så vidt jeg husker er Western Union populært til den slags.
Nogle personer er så naive at tro, at blot fordi de har modtaget pengene først, så er det sikkert at sende dem videre.
Denne godtroende person har sandsynligvis fået en helt anden forklaring på hvor pengene kommer fra.
De kriminelle kan også besværliggøre efterforskning af den slags sager ved en gang imellem at overføre penge til ganske intetanende personers konti.
nbn (19) skrev:#18 mindre tud over nemid, tak.
INTET kan beskytte mod folks egen dumhed... Klikker du på alle links på facebook fortjener du at blive taget i røven. Simple as.
???, Hvad er værdien af nemid?
Hvilke problemer har det løst ?
Jeg tuder over alle de penge som kunne være brugt til at hjælpe folk, børn og gamle.
GeoJensen (25) skrev:nbn (19) skrev:#18 mindre tud over nemid, tak.
INTET kan beskytte mod folks egen dumhed... Klikker du på alle links på facebook fortjener du at blive taget i røven. Simple as.
???, Hvad er værdien af nemid?
Hvilke problemer har det løst ?
Jeg tuder over alle de penge som kunne være brugt til at hjælpe folk, børn og gamle.
Og kodeordet her er vist "tuder". Når man tager i betragtning, hvor mange banker der inden NemID stadig brugte certifikatløsninger, hvor en simpel keylogger og trojan var nok til at få fuld adgang til personens netbank, er NemID, på trods af fejl og mangler, stadig det sikreste alternativ på grund af papkortet.
moulder666 (26) skrev:
Og kodeordet her er vist "tuder". Når man tager i betragtning, hvor mange banker der inden NemID stadig brugte certifikatløsninger, hvor en simpel keylogger og trojan var nok til at få fuld adgang til personens netbank, er NemID, på trods af fejl og mangler, stadig det sikreste alternativ på grund af papkortet.
Øhh...: Antallet af netbankindbrud nærmer sig niveauet fra før NemID
>#24
Undskyld hvis jeg spørger dumt - er ikke ekspert på det her, men vil en løsning der er indeholdt i en browser ikke være lige så sårbar over for den type angreb vi har set?
Misforstå mig ikke, jeg er heller ikke tilhænger af den måde Nem-id er sat op på, men hvis din løsning heller ikke havde stoppet de her angreb, er det vel lidt ligegyldigt i netop den her sammenhæng?
Undskyld hvis jeg spørger dumt - er ikke ekspert på det her, men vil en løsning der er indeholdt i en browser ikke være lige så sårbar over for den type angreb vi har set?
Misforstå mig ikke, jeg er heller ikke tilhænger af den måde Nem-id er sat op på, men hvis din løsning heller ikke havde stoppet de her angreb, er det vel lidt ligegyldigt i netop den her sammenhæng?
Mistænker mere og mere at den virkelige bagtanke bag systemer som NemID, er for at sikre virksomhederne og ikke brugeren.
Bliver en bruger snydt, så er det ikke altid de får deres penge tilbage.
Bliver bankens system hacket (cracked), så skal de give alle pengene tilbage til brugerne.
Nu når NemID's system skulle være "forholdsvis" sikker, så er det næsten kun kundens fejl tilbage.
Sådanne udsagn fra NemID at de ikke bekymre sig om at kunden kan se om det er en troværdig og sikker forbindelse NemID login boksen har adgang til, lugter langt, langt, langt væk af at de er ligeglade med om kunden bliver snydt.
Sjovt nok giver det så også bagslag, da NemID ikke har brug for dårlig omtale i dimensioner der ser ud til at være på vej.
Jeg undre mig over at de ikke har tænkt så langt hvis dette er tilfældet... Men igen... De klokker jo hele tiden i det hos NemID, f.eks. den enorme forsinkelse på mindst 2-3 år der er på mobil NemID fordi ledelsen sov i timen og på trods af løfter dertil.
Som et logisk tænkende menneske, tænkter man ofte, "Nej, så dumme kan de da ikke have været"... Men sagen er, at nogen virksomheder virkeligt er så dumme, at de ikke ser hvor vigtig god omtale faktisk er for dem.
Så det vil bestemt ikke undre mig at de mest frem for alt tænkte på virksomheders sikkerhed da de lavede NemID, og ikke Kundens.
Det ville ikke være første gang at virksomheder tænker sådan, nej tværtimod, det er hyppigt.
NemID lugter, tror det er på tide de for en konkurrent, så vi kan få noget mere fokus på kunderne og ikke virksomhederne.
Bliver en bruger snydt, så er det ikke altid de får deres penge tilbage.
Bliver bankens system hacket (cracked), så skal de give alle pengene tilbage til brugerne.
Nu når NemID's system skulle være "forholdsvis" sikker, så er det næsten kun kundens fejl tilbage.
Sådanne udsagn fra NemID at de ikke bekymre sig om at kunden kan se om det er en troværdig og sikker forbindelse NemID login boksen har adgang til, lugter langt, langt, langt væk af at de er ligeglade med om kunden bliver snydt.
Sjovt nok giver det så også bagslag, da NemID ikke har brug for dårlig omtale i dimensioner der ser ud til at være på vej.
Jeg undre mig over at de ikke har tænkt så langt hvis dette er tilfældet... Men igen... De klokker jo hele tiden i det hos NemID, f.eks. den enorme forsinkelse på mindst 2-3 år der er på mobil NemID fordi ledelsen sov i timen og på trods af løfter dertil.
Som et logisk tænkende menneske, tænkter man ofte, "Nej, så dumme kan de da ikke have været"... Men sagen er, at nogen virksomheder virkeligt er så dumme, at de ikke ser hvor vigtig god omtale faktisk er for dem.
Så det vil bestemt ikke undre mig at de mest frem for alt tænkte på virksomheders sikkerhed da de lavede NemID, og ikke Kundens.
Det ville ikke være første gang at virksomheder tænker sådan, nej tværtimod, det er hyppigt.
NemID lugter, tror det er på tide de for en konkurrent, så vi kan få noget mere fokus på kunderne og ikke virksomhederne.
kasperd (24) skrev:Ud over alle de gode råd i #10 vil jeg samtidigt sige at man bør droppe det tredjepartssoftware og spyware, som NemID gør brug af. En løsning som kun involverer en browser giver en mere gennemskuelig sikkerhedsmodel. Og den nuværende model er for kompliceret til at Danid kan gennemskue konsekvenserne af den.
Hvis man bruger den tidligere omtalte HTTPS løsning, ser jeg ingen grund til samtidig at have tredjeparts software (Java klienten) indblandet.
Løsningen vil virke på alle platforme og alle webbrowsere som understøtter HTTPS, og for at lave et man-in-the-middle angreb, kræver det at nogen kan knække HTTPS krypteringen først.
GeoJensen (27) skrev:Øhh...: Antallet af netbankindbrud nærmer sig niveauet fra før NemID
Jeg er lige ved at rode mig ud i Terracide-gebet og begynde at tale om "fallacies" og den slags pladder...for du kan ikke konkludere det du gør. Well - du kan, men det giver ingen mening!
Gamle netbanker: Brugernavn + adgangskode + certifikat. Alt hvad du havde brug for, kunne opnås ved at få adgang til pcen.
NemID: Brugernavn + adgangskode + papkort. Et ekstra, fysisk element. Dermed ekstra sikkerhed.
Kan NemID forbedres? Hell to the yeah! Er det bedre end de gamle alternativer med certifikat? Helt klart!
moulder666 (32) skrev:Gamle netbanker: Brugernavn + adgangskode + certifikat. Alt hvad du havde brug for, kunne opnås ved at få adgang til pcen.
NemID: Brugernavn + adgangskode + papkort. Et ekstra, fysisk element. Dermed ekstra sikkerhed
Kom meget an på din netbank!
Flere netbanker have engangsnøgler som en del af den gamle løsning.
Altså der havde de:
Brugernavn + adgangskode + papkort - Java.
og NemID har
Brugernavn + adgangskode + papkort + Java
Så din ekstra sikkerhed er hvor ?
Saxov (33) skrev:moulder666 (32) skrev:Gamle netbanker: Brugernavn + adgangskode + certifikat. Alt hvad du havde brug for, kunne opnås ved at få adgang til pcen.
NemID: Brugernavn + adgangskode + papkort. Et ekstra, fysisk element. Dermed ekstra sikkerhed
Kom meget an på din netbank!
Flere netbanker have engangsnøgler som en del af den gamle løsning.
Altså der havde de:
Brugernavn + adgangskode + papkort - Java.
og NemID har
Brugernavn + adgangskode + papkort + Java
Så din ekstra sikkerhed er hvor ?
Sandt - og der var også nogle, der allerede dengang havde elektroniske nøglegeneratorer eller lignende, som i min optik også er bedre end papkort.
Men der var en meget stor del af bankerne, der brugte certifikater, så generelt må det da siges at være en forbedring. (nej, jeg har ikke en liste, men på stående fod kan jeg da nævne, at alle Bankdata-banker - ca. 50 styks - havde mulighed for certifikat indtil ganske kort tid inden NemID.)
Så generelt er det da et skridt fremad mht sikkerheden...
En mobilenhed der kan måle ens celle DNA på huden og evt. fingeraftryk eller øjen signatur + 6 cifre kode med max 3 forsøg før den lukkes.
Det er muligt i dag, hvor ikke bare tage springet. Man behøver jo ikke alle alternativer nævnt ovenfor, blot at systemt kan kende brugeren.
Tror næppe de kan snyde kunderne til noget med sådan en system, medmindre de truer dem på livet på gaden eller i hjemmet for at få pengene overført.
Måske kan tophemmelig agencies få adgang til ens DNA osv. eller meget sofistikeret tyve, men det fjerne i det mindste langt de fleste tyverier, fordi det et for stort arbejde at få pengene derfra.
Tyveri kan derved ikke "standardiseres" og er derfor ikke særlig tillokkende for langt de fleste tyve.
Så mangler man blot sikkerheden fra NemID's side, men det behøver vi som kunder jo ikke at bekymre os over, hvis de bliver hacket (cracket), så er det deres ansvar at få løst og give vores penge tilbage, ikke vores.
Det er muligt i dag, hvor ikke bare tage springet. Man behøver jo ikke alle alternativer nævnt ovenfor, blot at systemt kan kende brugeren.
Tror næppe de kan snyde kunderne til noget med sådan en system, medmindre de truer dem på livet på gaden eller i hjemmet for at få pengene overført.
Måske kan tophemmelig agencies få adgang til ens DNA osv. eller meget sofistikeret tyve, men det fjerne i det mindste langt de fleste tyverier, fordi det et for stort arbejde at få pengene derfra.
Tyveri kan derved ikke "standardiseres" og er derfor ikke særlig tillokkende for langt de fleste tyve.
Så mangler man blot sikkerheden fra NemID's side, men det behøver vi som kunder jo ikke at bekymre os over, hvis de bliver hacket (cracket), så er det deres ansvar at få løst og give vores penge tilbage, ikke vores.
#35 - Hvis nogen smider en server ind imellem via malware e.lign og du ignorerer certifikater og det hele så er verificeringen jo ligegyldig :)
Øjensignatur er sejt dog, idet dit irismønster ændrer sig hvis du er bange/ophidset, så det bliver sværere at tvinge dig til det. Man kan heller ikke fjerne øjet og tage det med som man kan med fingeraftryk og fingre ;)
Øjensignatur er sejt dog, idet dit irismønster ændrer sig hvis du er bange/ophidset, så det bliver sværere at tvinge dig til det. Man kan heller ikke fjerne øjet og tage det med som man kan med fingeraftryk og fingre ;)
En mobilapp ville dog være lige så sikkert som papkort og langt nemmere/sejere.
Så længe man husker at beskytte sin mobil med adgangskode.
Men det kræver jo også login og password så adgang til telefonen ville ikke gøre det alene :)
Så længe man husker at beskytte sin mobil med adgangskode.
Men det kræver jo også login og password så adgang til telefonen ville ikke gøre det alene :)
Jeg ser ingen grund til at bruge java uanset om man bruger den ene eller den anden struktur til systemet. Hvilket var årsagen til at jeg anbefalede at man dropper det. På nuværende tidspunkt udgør brugen af deres tredjepartssoftware en risiko fordi det giver et par mulige angrebsvektorer mere, end hvad der ellers ville have været.Mort (31) skrev:Hvis man bruger den tidligere omtalte HTTPS løsning, ser jeg ingen grund til samtidig at have tredjeparts software (Java klienten) indblandet.
Og vil man lave et single-sign-on system til flere services, så skal man altid indtaste sine loginoplysninger på samme https domæne uanset hvilken service man er ved at logge på, ellers er systemet sårbart overfor phishing.
Den ekstra sikkerhed i det gamle system ligger i at uden java er der en angrebsflade mindre. Og fordi der ikke blandes domæner på samme måder i det gamle system er det mindre sårbart overfor phishing.Saxov (33) skrev:Altså der havde de:
Brugernavn + adgangskode + papkort - Java.
og NemID har
Brugernavn + adgangskode + papkort + Java
Så din ekstra sikkerhed er hvor ?
@ #35
Og hvem skal så betale for at hver eneste bruger kan få omtalte udstyr installeret på deres computer?
En mobilenhed der kan måle ens celle DNA på huden og evt. fingeraftryk eller øjen signatur + 6 cifre kode med max 3 forsøg før den lukkes.
Det er muligt i dag, hvor ikke bare tage springet.
Og hvem skal så betale for at hver eneste bruger kan få omtalte udstyr installeret på deres computer?
moulder666 (32) skrev:Jeg er lige ved at rode mig ud i Terracide-gebet og begynde at tale om "fallacies" og den slags pladder...for du kan ikke konkludere det du gør. Well - du kan, men det giver ingen mening!
Gamle netbanker: Brugernavn + adgangskode + certifikat. Alt hvad du havde brug for, kunne opnås ved at få adgang til pcen.
NemID: Brugernavn + adgangskode + papkort. Et ekstra, fysisk element. Dermed ekstra sikkerhed.
Kan NemID forbedres? Hell to the yeah! Er det bedre end de gamle alternativer med certifikat? Helt klart!
Herved begår du selv en "fallacy" ved at antage at alle bruger NemID som det er tiltænkt af skaberne, hvilket allerede fra udgangspunktet er forkert. Som #2 netop skriver, er der nogle der kopiere / af-fotograferer / skanner / osv. deres nøglekort, og derved forsvinder dit ekstra lag af sikkerhed.
#14 har fat i noget med "idiotkvotienten" - den kan intet system sikre brugerne mod. Det er kun brugeren der hér kan gøre noget. Som min gamle underviser sagde om sikkerhed: "Det eneste sikre system der findes, er utilgængeligt. Så snart der menneskelig interaktion, er systemet per definition sårbart". Selvfølgelig skal man sikre sig bedst muligt, men at gøre systemet så kompliceret at brugerne vælger at gøre noget dumt (bruger "qwerty"+talsekvens der inkrementeres hver gang et system forlanger et ny kodeord, eller tager et billede af deres pap-NemID-kort på telefonen, eller, osv. ...) - well... Det er det modsatte af at øge sikkerheden.
NemID var aldrig mere sikkert. Man skulle have brugt pengene på at uddanne brugerne, ikke på at tage ansvaret fra brugerne og så tude over de er dummere end før... Brugere er noget underligt noget - giver du dem ansvar, så tager de fleste også ansvaret på sig. Tager du ansvaret fra dem, lægger de pænt hovedet fra sig allerede ved login... Og det gælder i alle mulige andre sammenhænge også. Pointen er blot - du kan IKKE forhindre de dumme brugere i at være dumme, uanset hvor hårdt du anstrenger dig - det er umuligt...
TwistedSage (36) skrev:Man kan heller ikke fjerne øjet og tage det med som man kan med fingeraftryk og fingre ;)
Challenge accepted
Når man vælger at lave en følles løsning, så skal alle være med på den.
Det dur ikke at Agnes på 80 skal fedte med et nøglekort for at tjekke om hendes pension er gået ind.
Hvis der skal laves sådan et fællessystem, skal sikkerheden ikke lægge i hverken koden eller personens computer. Ellers ender vi med... ja det vi ser nu.
Man kan ikke forvente at hele befolkningen kan finde ud af at bruge sikkerhed rigtigt, og derfor syntes jeg at man skal lave et system der omgår alt dette. Urealistisk? ja, men det virker jo heller ikke nu.
(jeg har ikke forstand på hvordan, jeg siger bare at der skal laves noget som ALLE kan bruge uden de skal tænke på integriteten af deres bankkonti.)
Det dur ikke at Agnes på 80 skal fedte med et nøglekort for at tjekke om hendes pension er gået ind.
Hvis der skal laves sådan et fællessystem, skal sikkerheden ikke lægge i hverken koden eller personens computer. Ellers ender vi med... ja det vi ser nu.
Man kan ikke forvente at hele befolkningen kan finde ud af at bruge sikkerhed rigtigt, og derfor syntes jeg at man skal lave et system der omgår alt dette. Urealistisk? ja, men det virker jo heller ikke nu.
(jeg har ikke forstand på hvordan, jeg siger bare at der skal laves noget som ALLE kan bruge uden de skal tænke på integriteten af deres bankkonti.)
moulder666 (32) skrev:Jeg er lige ved at rode mig ud i Terracide-gebet og begynde at tale om "fallacies" og den slags pladder...for du kan ikke konkludere det du gør. Well - du kan, men det giver ingen mening!
Det kan man da sagtens
før nemid var der 100 indbrud om året
med nemid har der de sidste 12 månederværet 90 indbrud
altså stort set det samme antal, det giver da fint mening
(nej, jeg kender ikke de faktisk antal)
Saxov (33) skrev:moulder666 (32) skrev:Gamle netbanker: Brugernavn + adgangskode + certifikat. Alt hvad du havde brug for, kunne opnås ved at få adgang til pcen.
NemID: Brugernavn + adgangskode + papkort. Et ekstra, fysisk element. Dermed ekstra sikkerhed
Kom meget an på din netbank!
Flere netbanker have engangsnøgler som en del af den gamle løsning.
Altså der havde de:
Brugernavn + adgangskode + papkort - Java.
og NemID har
Brugernavn + adgangskode + papkort + Java
Så din ekstra sikkerhed er hvor ?
nogle banker havde
Brugernavn + adgangskode + papkort
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund