mboost-dp1
Sun
trylleklovn (49) skrev:Eh, jeg mener jeg skulle skrive en nemid kode for at lave overførsler i starten, men det blev ændret til at jeg kun skulle skrive min kode.
Går ud fra banken selv kan vælge det, og at de vælger den mest bekvemte løsning, så brugerne ikke får opbrugt alle deres koder så hurtigt.
før havde jeg også et papkort dog med færre korder på
så jeg tvilver på af det er grunden
Programmer som kræver en gammel version af java kunne jo bare bundle den med deres program, så den bruger en ældre version (som de ved de har 100% kontrol over) - så kan man bruge en up2date version til alt andet, blandt andet i sin browser mv.
Ulempen er så, at det program som benytter java skal opdatere java, men det har de jo ikke planer om uanset, så der er vel som sådan intet skidt i den løsning?
Ulempen er så, at det program som benytter java skal opdatere java, men det har de jo ikke planer om uanset, så der er vel som sådan intet skidt i den løsning?
Jeg kan sagtens se problemet i at når man først er logget på webbank så kan en kompromitterede maskine bliver brugt til at overføre penge osv.
Så vidt det er mig bekendt bruger man som regel en keylogger som rapportere tilbage til en database som de søger i efter folks usename password til diverse kredit instituter og kreditkort numre... Det er stadig en "mange bække små" verden for dem og det kan ikke betale sig at fokusere for meget på hver enkelt maskine de vil stjæle fra.
Det korte vindue en hacker har til at udnytte en computer, han har kontrol med, er for kort. Ud over det så skulle han sidde standby til når brugeren valgte at logge på for så i selv samme tidspunkt tvinge sig adgang via en bagdør og udnytte situationen. Det bliver for svært i praksis og kan ikke betale sig for dem.
Derfor mener jeg at nemID er sikkert NOK
Så vidt det er mig bekendt bruger man som regel en keylogger som rapportere tilbage til en database som de søger i efter folks usename password til diverse kredit instituter og kreditkort numre... Det er stadig en "mange bække små" verden for dem og det kan ikke betale sig at fokusere for meget på hver enkelt maskine de vil stjæle fra.
Det korte vindue en hacker har til at udnytte en computer, han har kontrol med, er for kort. Ud over det så skulle han sidde standby til når brugeren valgte at logge på for så i selv samme tidspunkt tvinge sig adgang via en bagdør og udnytte situationen. Det bliver for svært i praksis og kan ikke betale sig for dem.
Derfor mener jeg at nemID er sikkert NOK
rasmussen (53) skrev:#52 Man behøver ikke en gammel version af Java for at afvikle ældre programmer.
Hvis tilfældet er sådan med java må det skyldes at et ældre program "benytter" en bug i en tidligere java version.
Java burde være 100% bagud kompatibelt.
- Anderledes er det med det geniale og overlegne .net.
Justin (42) skrev:Når jeg skal overføre penge skal jeg kun bruge mit eget opfundne kodeord, før skulle jeg også bruge en nøgle til det
Hvilken bank? Det har altid været standarten ved Danske Bank at man kun skulle indtaste ens password.
Det du siger er altså at når man finder en bug i .net undlader man at rette den.WinPower (56) skrev:Hvis tilfældet er sådan med java må det skyldes at et ældre program "benytter" en bug i en tidligere java version.
Java burde være 100% bagud kompatibelt.
- Anderledes er det med det geniale og overlegne .net.
kasperd (58) skrev:Det du siger er altså at når man finder en bug i .net undlader man at rette den.WinPower (56) skrev:Hvis tilfældet er sådan med java må det skyldes at et ældre program "benytter" en bug i en tidligere java version.
Java burde være 100% bagud kompatibelt.
- Anderledes er det med det geniale og overlegne .net.
Nej
kasperd(#58) skrev:
så skulle han sidde standby til når brugeren valgte at logge påofferlam (#54)
Nej, han skriver selvfølgelig et stykke software der kan klare opgaven, og det software lægger han så på brugerens computer.
god pointe!! :) var heller ikke sikker på jeg havde ret! :) Men vel så blive enige om at hvis man skulle bruge nøglekortet til at verificere alle transaktion så ville det være sikkert...
Nej heller ikke. Det garanterer blot at der kun gennemføres en transaktion når du vil gennemføre en transaktion. Hvad det ikke garanterer er indholdet af transaktionen.offerlam (60) skrev:hvis man skulle bruge nøglekortet til at verificere alle transaktion så ville det være sikkert...
Hvis klientmaskinen er kompromitteret kan der sagtens vises en transaktion på skærmen imens der faktisk udføres en anden transaktion i banken. Med andre ord, du indtaster en transaktion, men malware på din computer laver om på hvor mange penge der overføres og til hvilken konto.
Jeg har set et eksempel på en netbank som gør en ekstra indsats for at forhindre den slags misbrug. Første gang man overfører penge til en ny modtager skal modtageren bekræftes. Det foregår ved at netbanken udvælger nogle cifre fra modtagerkontonummeret. Disse cifre skal man indtaste på sin kortlæser. Svaret fra kortlæseren skal indtastes i netbanken for at bekræfte modtagerkontoen.
Kortlæseren er et separat stykke hardware som ikke kommunikerer med computeren. Man sætter sit chipkort i, indtaster en pin-kode, indtaster en challenge fra netbanken og displayet på kortlæseren viser en response man skal indtaste i netbanken.
Antallet af cifre i challenges til login er forskelligt fra antallet af cifre i challenges til bekræftelse af modtagerkonto.
Systemet forhindrer ikke helt malware i at gøre ondskabsfulde ting. Men det bliver meget sværere at overføre penge til en konto efter misbrugerens valg.
Det er UBS som bruger det system.
Hvis man vil lave noget endnu mere sikkert ville man nok have brug for at lave et separat stykke hardware med et display der var stort nok til at vise hele transaktionen, således at man kan se præcist hvad det er man bekræfter på et stykke hardware der forhåbentligt er sværere at kompromittere end computeren.
Kasperd (#61) skrev:
hvis man skulle bruge nøglekortet til at verificere alle transaktion så ville det være sikkert...offerlam (#60)
Nej heller ikke. Det garanterer blot at der kun gennemføres en transaktion når du vil gennemføre en transaktion. Hvad det ikke garanterer er indholdet af transaktionen.
Hvis klientmaskinen er kompromitteret kan der sagtens vises en transaktion på skærmen imens der faktisk udføres en anden transaktion i banken. Med andre ord, du indtaster en transaktion, men malware på din computer laver om på hvor mange penge der overføres og til hvilken konto.
Jeg har set et eksempel på en netbank som gør en ekstra indsats for at forhindre den slags misbrug. Første gang man overfører penge til en ny modtager skal modtageren bekræftes. Det foregår ved at netbanken udvælger nogle cifre fra modtagerkontonummeret. Disse cifre skal man indtaste på sin kortlæser. Svaret fra kortlæseren skal indtastes i netbanken for at bekræfte modtagerkontoen.
Kortlæseren er et separat stykke hardware som ikke kommunikerer med computeren. Man sætter sit chipkort i, indtaster en pin-kode, indtaster en challenge fra netbanken og displayet på kortlæseren viser en response man skal indtaste i netbanken.
Antallet af cifre i challenges til login er forskelligt fra antallet af cifre i challenges til bekræftelse af modtagerkonto.
Systemet forhindrer ikke helt malware i at gøre ondskabsfulde ting. Men det bliver meget sværere at overføre penge til en konto efter misbrugerens valg.
Det er UBS som bruger det system.
Hvis man vil lave noget endnu mere sikkert ville man nok have brug for at lave et separat stykke hardware med et display der var stort nok til at vise hele transaktionen, således at man kan se præcist hvad det er man bekræfter på et stykke hardware der forhåbentligt er sværere at kompromittere end computeren.
Hmm nu er jeg ikke kode mand så nu bevæger vi os ude i et felt jeg ikke ved så meget om. Men jeg kan sagtens se din pointe...
Men kunne man ikke gøre det mere simpelt ved blot at vise de transaktion er skal godkendes før man indlæser koden fra nøglekortet. Banken kan vel godt kode på server siden at når man når til verificerings siden skal den stoppe med at modtage anmodninger om andre transaktion eller endda før...
PS: jeg har åbenbart glemt hvordan man quoter herinde... hvorfor bliver brugernavnet ikke til et link og derfor blåt? hvad glemmer jeg...?
offerlam (62) skrev:Men kunne man ikke gøre det mere simpelt ved blot at vise de transaktion er skal godkendes før man indlæser koden fra nøglekortet.
Hvis jeg forstår dig ret, så er det præcist det man gør i dag. Men det er op til banken om de vil nøjes med kodeordet, eller om de også vil have fat i nøglekortet. Og om banken overhovedet vil bruge NemID til at signere transaktioner med.
Men hvis klientens maskine er kompromiteret, så kan man også forfalske den tekst der kommer frem på skærmen.
Jeg kan blot markere den tekst jeg vil citere og så klikke på "Citer indlæg" ude i højre side, så virker det hele af sig selv.offerlam (62) skrev:jeg har åbenbart glemt hvordan man quoter herinde... hvorfor bliver brugernavnet ikke til et link og derfor blåt? hvad glemmer jeg...?
Det virker dog ikke hvis den markerede tekst selv indeholder et citat, i det tilfælde citeres hele indlægget og ikke blot den markerede tekst.
Jeg bruger Firefox hvis det skulle have noget at sige.
jeg tester lige:
Så under jeg mig bankerne har sagt god for det... er det ikke dem der skal betale hvis ens konto bliver tømt via netbank? Der må da være en grund til de ikke har forlangt mere... og ud fra hvad i skriver så er webbank da mere sikkert idag end det var før nemid... eller tager jeg fejl der?
tak for tippet Kasperd
Myplacedk (64) skrev:
Men kunne man ikke gøre det mere simpelt ved blot at vise de transaktion er skal godkendes før man indlæser koden fra nøglekortet. offerlam (#62)
Hvis jeg forstår dig ret, så er det præcist det man gør i dag. Men det er op til banken om de vil nøjes med kodeordet, eller om de også vil have fat i nøglekortet. Og om banken overhovedet vil bruge NemID til at signere transaktioner med.
Men hvis klientens maskine er kompromiteret, så kan man også forfalske den tekst der kommer frem på skærmen.
Så under jeg mig bankerne har sagt god for det... er det ikke dem der skal betale hvis ens konto bliver tømt via netbank? Der må da være en grund til de ikke har forlangt mere... og ud fra hvad i skriver så er webbank da mere sikkert idag end det var før nemid... eller tager jeg fejl der?
tak for tippet Kasperd
offerlam (66) skrev:Så under jeg mig bankerne har sagt god for det... er det ikke dem der skal betale hvis ens konto bliver tømt via netbank?
De skal betale, hvis du ikke har overtrådt reglerne. Hvis du overtræder reglerne (tager et billede af dit papkort, f.eks.), så skal du selv dække dit tab.
offerlam (68) skrev:#67
Ja ok, men nu taler vi jo om hvor ens maskine bliver kompromitterede af hackere og udnyttet... der er det vel bankens hovedpine..
Hvis ellers du har antivirus og firewall installeret, og det er opdateret, så ja. Hvis du har valgt ikke at have antivirus og/eller firewall, så er det din hovedpine.
Alrekr (69) skrev:offerlam (68) skrev:#67
Ja ok, men nu taler vi jo om hvor ens maskine bliver kompromitterede af hackere og udnyttet... der er det vel bankens hovedpine..
Hvis ellers du har antivirus og firewall installeret, og det er opdateret, så ja. Hvis du har valgt ikke at have antivirus og/eller firewall, så er det din hovedpine.
Hvor har du det fra ?
Netbank og NemID TOS. Læs dem.
Edit: Danske banks netbank TOS (PDF). Punkt 7, side 5.
NemID TOS, punkter 3.2 og 3.3 især.
Edit: Danske banks netbank TOS (PDF). Punkt 7, side 5.
NemID TOS, punkter 3.2 og 3.3 især.
Alrekr (71) skrev:
Netbank og NemID TOS. Læs dem.
Edit: Danske banks netbank TOS (PDF). Punkt 7, side 5.
NemID TOS, punkter 3.2 og 3.3 især.
Jeg kan ikke helt se hvor Antivirus og firewall spiller ind?
udrag fra danske bank ounkt 7.1
7.1 Misbrug med NemID
Du skal dække tab op til 1.100 kroner (selvrisiko),
hvis dit NemID er blevet misbrugt af en
anden.
Du skal dække tab op til 8.000 kroner (inkl.
selvrisiko), hvis vi kan bevise, at dit NemID har
været brugt, og du ikke har spærret for adgangen
til aftalen hurtigst muligt, efter du har opdaget,
at dine nøgler er bortkommet, eller at en
anden har fået kendskab til din adgangskode
og/eller en eller flere af dine nøgler. Det samme
gælder, hvis du har oplyst din adgangskode
og/eller en eller flere af dine nøgler til misbrugeren,
men at betingelserne for at dække det
fulde tab ikke er opfyldt, eller du ved groft uforsvarlig
adfærd har muliggjort misbruget.
Du skal dække det fulde tab, hvis dit NemID har
været brugt, og vi kan bevise, at du har oplyst
din adgangskode og/eller en eller flere af dine
nøgler til misbrugeren, og du indså eller burde
have indset, at der var risiko for misbrug.
Du skal desuden dække det fulde tab, hvis du
har handlet svigagtigt eller med forsæt har
undladt at opfylde dine forpligtelser til at beskytte
dit NemID, jf. pkt. 2.1, eller spærre for
adgangen til aftalen, jf. pkt. 15.
Du er ikke ansvarlig for tab, der opstår efter, vi
har fået besked om, at adgangen til aftalen skal
spærres.
Der står jo bare at du skal betale en selvrisiko hvis de kan bevise du ikke har alarmeret banken så snart du fandt ud af du var blevet kompromitterede...
NemID:
stykke 3.3 kommer lidt ind på det men omhandler ikke Antivirus eller firewall men mere at du skal sørge for at dine programmer, browser og OS er opdateret. Ikke at du skal ha antivirus eller firewall på din maskine.
du bruger NemID på en computer, hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret med de seneste sikkerhedsopdateringer.
Og jeg tror faktisk det bliver svært for danske bank at bevise du ikke havde opdateret din OS, browser eller andre programmer (tænker her adobe reader og flash samt java)... der er jo grænser for hvad de må med din maskine..
Det kan godt ligne at banke har prøvet at dække sig ind... men jeg tror ikke det hjælper dem meget i praksis
At en kompromitteret klientmaskine kan misbruges er der intet nyt i. Det er tilfældet med alle netbanksystemer både før og efter nemid. Det er blevet brugt som et argument for at nemid skulle være mere sikkert, men argumentet holder ikke.offerlam (66) skrev:Så under jeg mig bankerne har sagt god for det... er det ikke dem der skal betale hvis ens konto bliver tømt via netbank?
Et andet argument der er blevet brugt er at kryptografi foretaget i en java applet er mere sikkert. Dette holder heller ikke fordi java appleten aldrig bliver mere sikker end den kanal der blev brugt til at distribuere den. Det argument ville være korrekt hvis alle brugere decompilerede java appleten hver gang de brugte netbanken for at se at den nu også gjorde det den burde. Det gør brugerne ikke, dermed ville en modificeret applet sætte den beskyttelse ud af spillet. Ydermere behøver et angreb ikke engang køre en modificeret applet på brugerens computer. Et angreb kunne nemt erstatte appleten med en lookalike i flash eller javascript og køre resten af angrebet på serversiden.
Java appleten giver altså ingen ekstra sikkerhed men det giver enormt ekstra besvær for brugerne og giver en angrebsflade mere. Nu kan sikkerheden angribes både gennem browser og gennem java. Det bliver også sværere for brugerne at checke certifikaterne. Det er et fåtal af brugerne der checker certifkaterne, men for et par år siden begyndte jeg på systematisk at checke serverens ssl certifikat hver eneste gang jeg bruge netbank. Det betød f.eks. at systematiske angreb med forfalskede ssl certifikater ville være blevet opdaget fordi nogle brugere checkede dem. Men java appleten kan ikke checkes lige så nemt, så det gør jeg altså ikke hver gang.
Om nemid har gjort adgangen nemmere og mere sikker afhænger af hvilken bank du sammenligner med. Hvis man sammenligner med det system som Jyske Bank brugte før i tiden, så ligner systemerne hinanden så meget at man forholdsvis nemt kan evaluere de punkter hvor de adskiller sig fra hinanden.
Fra brugerens synspunkt er flowet praktisk taget identisk med det gamle. Eneste forskel er at man nu er afhængig af et ekstra stykke tredjepartssoftware som ikke er specielt stabilt (går ned ca. hver anden gang). Dette ekstra software gør altså systemet mere besværligt at bruge, og der er ingen forbedringer indenfor brugervenlighed.
Med hensyn til sikkerheden er man nu afhængig af en part mere, og der er flere certifikater at checke og nogle af dem er ikke praktisk muligt at checke. Hvad angår faktorer brugt i autentifikationen er der ingen ændringer i forhold til det gamle system. Så ingen forbedringer, men tilføjelse af flere angrebsflader gør at systemet må betragtes som mindre sikkert.
Hvis man sammenligner med andre bankers systemer, så er der sikkert nogle der ligger længere fra måde nemid virker på, eller som afviger på andre måder (Danske Bank har længe brugt ustabile java applets til at håndtere login, hvilket er årsagen til de ikke længere har mig som kunde. På det punkt var Danske Bank altså tættere på nemid til gengæld var de længere fra nemid i forhold til hvilke autentifikations metoder der anvendtes). Man kan sikkert finde et gammelt system som havde både fordele og ulemper i forhold til nemid, i hvilket fald det ikke er oplagt om nemid er en forbedring eller forringelse i forhold til hvad den bank havde før i tiden.
Hvis der var en bank som havde sagt nej til nemid kunne de sikkert have scoret nogle kunder på at tilbyde et bedre system.
Et system hvor en kompromitteret klientmaskine ikke udgør en trussel er ganske enkelt umuligt. Det eneste bankerne kunne gøre ved det var at lade være med at bruge kundens computer som klient men derimod bruge et separat stykke hardware som klient. Men det er ganske enkelt for dyrt. Hvis bankerne blot engang imellem skal erstatte nogle mistede penge er det billigere end den hardware de ellers skulle stille til rådighed for alle brugerne.
Så længe der kun er enkelte tab er den nuværende løsning altså økonomisk set den bedste for bankerne, selv når bankerne hænger på tabene.
Ved systematisk misbrug ville bankerne have et problem. Men ved systematisk misbrug kunne bankerne aldrig være sluppet afsted med at vippe tabet over på kunderne. Man må håbe at bankerne på serversiden overvåger om der opstår en tendens af suspekte transaktioner og automatisk lukker for netbanken i så fald. Bankerne har mulighed for at detektere og stoppe systematisk misbrug fordi alle data netop går igennem deres system. Og den slags overvågning vil kunne lade sig gøre uanset hvordan kunderne er kompromitteret.
Bankerne kan altså begrænse tabet og på den måde sikre sig at det er billigere end det ville have været at købe alt den ekstra hardware til at lave et mere sikkert system.
Så længe bankerne hæfter for tabet er sikkerhed primært i bankernes interesse og et brugervenligt system er i kundernes interesse. Dog er sikkerhed stadig i nogen udstrækning i kundernes interesse. For det første vil en kompromitteret maskine betyde andet end blot misbrug af netbanken. For det andet er det stadig til besvær for kunderne hvis de skal til at have banken til at dække et tab. Der kan også være tale om en selvrisiko.
Hvis der var et kompromis mellem sikkerhed og brugervenlighed ville der være en interessekonflikt. Men for nogle kunder er nemid en forringelse af både sikkerhed og brugervenlighed. Det kan man undre sig over at bankerne er gået med til.
Sikke meget tekst. Jeg prøver lige med nogle korte svar. Er det allerede sagt, så kan det betragtes som et resume. *;-)
Man kan ikke lave en nebank som er 100% sikker. Dvs. alternativet er ikke at have en netbank.
I denne sammenhæng, jo.
Der er noget du har misforstået her.
Alle danske banker er fælles om Nets. Nets ejer DanID. Staten og DanID er gået sammen om en delvis fælles løsning, Hjemmesiden, nøglekortet og ellers det meste af hvad kunden ser er fælles. Men bagved ligger der faktisk to forskellige systemet - bankens og de andres.
Helt kort sagt, så er det bankerne der står bag den del af NemID de selv bruger. Bankerne som helhed har ikke fået trukket noget ned over hovederne, men i et samarbejde kan alle parter naturligvis ikke få alt lige som man ønsker det.
Som helhed: Ja, helt klart. Men alle ændringer har ulemper. Der er nogle enkelte elementer af sikkerhed som nogle kunder har mistet (fx. en token som ikke kan kopieres, det kan nøglekortet), og nogle personer vælger at fokusere rigtigt meget på dette, uden at tænke så meget over de fordele de ikke selv ser.
Sagen er LANGT mere kompliceret, end bare en skala for hvor sikker løsningen er. Sikkerhedsbrud koster penge, men det gør sikkerhed også. Der er STORE fordele ved en fælles løsning, det kan opveje mange mindre ulemper.
Man kan spørge sig selv: Når nu det er bankerne selv der står bag, ville de så lave en dårligere løsning end den gamle? Og hvis det skete alligevel, ville de så tage den i brug?
(Øv, det blev et langt indlæg alligevel.)
offerlam (66) skrev:Myplacedk (64) skrev:Men hvis klientens maskine er kompromiteret, så kan man også forfalske den tekst der kommer frem på skærmen.
Så under jeg mig bankerne har sagt god for det...
Man kan ikke lave en nebank som er 100% sikker. Dvs. alternativet er ikke at have en netbank.
offerlam (66) skrev:er det ikke dem der skal betale hvis ens konto bliver tømt via netbank?
I denne sammenhæng, jo.
offerlam (66) skrev:Der må da være en grund til de ikke har forlangt mere...
Der er noget du har misforstået her.
Alle danske banker er fælles om Nets. Nets ejer DanID. Staten og DanID er gået sammen om en delvis fælles løsning, Hjemmesiden, nøglekortet og ellers det meste af hvad kunden ser er fælles. Men bagved ligger der faktisk to forskellige systemet - bankens og de andres.
Helt kort sagt, så er det bankerne der står bag den del af NemID de selv bruger. Bankerne som helhed har ikke fået trukket noget ned over hovederne, men i et samarbejde kan alle parter naturligvis ikke få alt lige som man ønsker det.
offerlam (66) skrev:og ud fra hvad i skriver så er webbank da mere sikkert idag end det var før nemid... eller tager jeg fejl der?
Som helhed: Ja, helt klart. Men alle ændringer har ulemper. Der er nogle enkelte elementer af sikkerhed som nogle kunder har mistet (fx. en token som ikke kan kopieres, det kan nøglekortet), og nogle personer vælger at fokusere rigtigt meget på dette, uden at tænke så meget over de fordele de ikke selv ser.
Sagen er LANGT mere kompliceret, end bare en skala for hvor sikker løsningen er. Sikkerhedsbrud koster penge, men det gør sikkerhed også. Der er STORE fordele ved en fælles løsning, det kan opveje mange mindre ulemper.
Man kan spørge sig selv: Når nu det er bankerne selv der står bag, ville de så lave en dårligere løsning end den gamle? Og hvis det skete alligevel, ville de så tage den i brug?
(Øv, det blev et langt indlæg alligevel.)
myplacedk (76) skrev:
Men hvis klientens maskine er kompromiteret, så kan man også forfalske den tekst der kommer frem på skærmen.Myplacedk (#64)
Så under jeg mig bankerne har sagt god for det...offerlam (#66)
Man kan ikke lave en nebank som er 100% sikker. Dvs. alternativet er ikke at have en netbank.
Nej, jeg tror godt vi alle ved at man ikke kan lave en 100% sikker netbank. Jeg synes bare at selve historien og hvad alle andre siger, lægger op til at usikkerheden er enorm. At nemID er så usikker at man ikke burde bruge det... og det er det jeg har lidt delte holdninger omkring. For som KasperD har forklaret meget godt, så er det klart at det kan brydes. Spørgsmålet er hvor nemt. Kan det betale sig at undersøge for en hacker der vil tjene hurtige penge.
Det var derfor jeg kom ind på at i praksis er det jo banker der skal betale erstatningen hvis ens konto bliver hacket. Det kan godt være de har skrevet nogle, lidt svage, forbehold og jeg tror ikke på de i praksis reelt beskytter banken på nogen måde i forhold til forbruger.
Jeg formoder derfor at enten så ved bankerne noget vi ikke gør. Som KasperD var lidt inde på kan de jo monitorer på deres side og måske håber de på at fange dem der. Eller også er chance så lille at det sker på stor scala at det er en kalkuleret risiko for dem.
Man kan vel så spørge sig selv, hvorfor har vi så overhoved webbank. Det ligner jo de har det som en service for forbrugeren. Men jeg tror faktisk det mere hænger sammen med at banken for forbrugeren til at lave alt det elektroniske arbejde for dem. De lever jo at gebyrer osv så for dem tror jeg faktisk webbank er en fed forretning fordi de nu kan spare en ansat i at lave det elektroniske arbejde. Og det er nok den besparelse/fortjeneste der gør hele løsning rentable til trods for den sikkerheds brist der kan være.
myplacedk (76) skrev:
Man kan spørge sig selv: Når nu det er bankerne selv der står bag, ville de så lave en dårligere løsning end den gamle? Og hvis det skete alligevel, ville de så tage den i brug?
Hvis jeg har ret i noget af det jeg har skrevet oven over så tror jeg de har en interesse i at formindske muligheden for hacker angreb så meget som muligt. Det er rigtigt sådan en løsning ville/er sikkert dyr men meget af løsningen ville jo være engangs omkostninger i hardware software og opsætning af dette. Der vil så være nogle fortsatte omkostninger i form af vedligehold osv men dette skulle gerne ikke respræsentere størstedelen af beløbet.
myplacedk (76) skrev:
og ud fra hvad i skriver så er webbank da mere sikkert idag end det var før nemid... eller tager jeg fejl der?offerlam (#66)
Som helhed: Ja, helt klart. Men alle ændringer har ulemper. Der er nogle enkelte elementer af sikkerhed som nogle kunder har mistet (fx. en token som ikke kan kopieres, det kan nøglekortet), og nogle personer vælger at fokusere rigtigt meget på dette, uden at tænke så meget over de fordele de ikke selv ser.
Har de ikke sagt der kommer et token system på et tidspunkt?
offerlam (76) skrev:Jeg synes bare at selve historien og hvad alle andre siger, lægger op til at usikkerheden er enorm.
Ja, omtalen i pressen og diverse fora har været meget ensidig. Da emnet er vigtigt for os "alle", prøver jeg at balancere debatten.
Jeg kan næsten ikke forestille mig hvilken tankegang der skal til, for seriøst at tro at bankerne vil REDUCERE sikkerheden væsentligt.
offerlam (76) skrev:Kan det betale sig at undersøge for en hacker der vil tjene hurtige penge.
Det er der nogle der vil tro, og så gør de forsøget. En del af sikkerheden vil altid være, at hvis det lykkes, så kan du godt regne med at blive fundet og straffet. Dette er i øvrigt et af de punkter hvor NemID indeholder forbedringer som folk ikke snakker om.
offerlam (76) skrev:Har de ikke sagt der kommer et token system på et tidspunkt?
Jo, den er på vej.
#80
Ikke for ALLE overførsler, kun dem som er "flagged". Dvs. de skal tjekkes for om det ligner fx. hvidvask, eller hvad det kun kan være bankerne har fået besked på at holde øje med.
Systemet "flagger" overførsler ud fra flere kriterier. Fx. jo højere beløbet er, jo større er chancen for at beløbbet alene flagger overførslen. Jeg kan forestille mig at af andre kriterer kan være modtagerlandet.
Ikke for ALLE overførsler, kun dem som er "flagged". Dvs. de skal tjekkes for om det ligner fx. hvidvask, eller hvad det kun kan være bankerne har fået besked på at holde øje med.
Systemet "flagger" overførsler ud fra flere kriterier. Fx. jo højere beløbet er, jo større er chancen for at beløbbet alene flagger overførslen. Jeg kan forestille mig at af andre kriterer kan være modtagerlandet.
#80
Der laves et meget stor antal overførsler om året.
Lidt googling siger at PBS håndterer 200 millioner overførsler om året.
Lad os sige at det tager N minutter at checke afsender/modtager/beløb, så vil det kræve 1900*N fuldtidsansatte ved 100% effektivitet (og 100% effektivitet er nok ikke realistisk).
Der laves et meget stor antal overførsler om året.
Lidt googling siger at PBS håndterer 200 millioner overførsler om året.
Lad os sige at det tager N minutter at checke afsender/modtager/beløb, så vil det kræve 1900*N fuldtidsansatte ved 100% effektivitet (og 100% effektivitet er nok ikke realistisk).
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund