mboost-dp1
#50
Ah, på den måde. Ja, det er træls at det er nødvendigt at øge sikkerhedsniveauet på den måde, men det er det altså. Det er ikke DanID's beslutning. Det ville også ske helt uden en sektorløsning.
Vi er under alle omstændigheder nødt til at have en fysisk dims som en del af loginproceduren på fx. netbank, inden for en overskuelig fremtid. I samme øjeblik den fysiske dims er noget du ikke behøver at have på dig, så virker den ikke.
DanID er fuldt ud klar over at nogle skider på reglerne hvis de synes de er besværlige at overholde. Disse brugere risikere at må tage konsekvensen. Og det er sådan set bare det, der er min pointe: Banken og DanID garanterer din sikkerhed, så længe du overholder reglerne. Alt hvad vi i Danmark er vant til af beskyttelse, som skaber tryghed for netbank og nethandel, bliver reduceret hver gang man bryder en regel.
Selvfølgelig vil der altid være nogen som skriver sin pinkode på bagsiden af sit Dankort. Der vil altid være nogen som smider nøglen under måtten. I de to tilfælde kan de fleste selv regne ud hvad de risikerer. Affotografering af nøglekortet er knapt så intuitivt, derfor gør jeg opmærksom på det.
Ah, på den måde. Ja, det er træls at det er nødvendigt at øge sikkerhedsniveauet på den måde, men det er det altså. Det er ikke DanID's beslutning. Det ville også ske helt uden en sektorløsning.
Vi er under alle omstændigheder nødt til at have en fysisk dims som en del af loginproceduren på fx. netbank, inden for en overskuelig fremtid. I samme øjeblik den fysiske dims er noget du ikke behøver at have på dig, så virker den ikke.
DanID er fuldt ud klar over at nogle skider på reglerne hvis de synes de er besværlige at overholde. Disse brugere risikere at må tage konsekvensen. Og det er sådan set bare det, der er min pointe: Banken og DanID garanterer din sikkerhed, så længe du overholder reglerne. Alt hvad vi i Danmark er vant til af beskyttelse, som skaber tryghed for netbank og nethandel, bliver reduceret hver gang man bryder en regel.
Selvfølgelig vil der altid være nogen som skriver sin pinkode på bagsiden af sit Dankort. Der vil altid være nogen som smider nøglen under måtten. I de to tilfælde kan de fleste selv regne ud hvad de risikerer. Affotografering af nøglekortet er knapt så intuitivt, derfor gør jeg opmærksom på det.
myplacedk (51) skrev:Vi er under alle omstændigheder nødt til at have en fysisk dims som en del af loginproceduren på fx. netbank, inden for en overskuelig fremtid. I samme øjeblik den fysiske dims er noget du ikke behøver at have på dig, så virker den ikke.
Men hvorfor kan den fysiske dims ikke være den mobiltelefon, som vi alligevel har med os?
Eksempelvis via SMS, eller en token-applikation?
Det kunne fx være RSA's SecurID token applikation.
(ok, ovenstående er kun til iPhone, BlackBerry, Windows Mobile, Java og Symbian/UIQ baserede telefoner, men det kommer nok smart også til Android, Windows Phone, PalmOS og andre relevante mobil-OS'er...)
angelenglen (52) skrev:Men hvorfor kan den fysiske dims ikke være den mobiltelefon, som vi alligevel har med os?
I første omgang: Fordi ikke alle har en mobiltelefon.
I næsten omgang: Hvis din mobiltelefon fungerer som token, kan den ikke være klient. Dvs. du frasiger dig muligheder. Men det kan da være at der kommer fx. en SMS-løsning engang.
angelenglen (52) skrev:(ok, ovenstående er kun til iPhone, BlackBerry, Windows Mobile, Java og Symbian/UIQ baserede telefoner, men det kommer nok smart også til Android, Windows Phone, PalmOS og andre relevante mobil-OS'er...)
Du kan godt selv fornemme kompleksiteten i det, ik'? ;-)
myplacedk (53) skrev:I første omgang: Fordi ikke alle har en mobiltelefon.
Sandt, så kunne pap-kortet være alternativ til dem der ikke har mobiltelefon. Problem solved.
myplacedk (53) skrev:I næsten omgang: Hvis din mobiltelefon fungerer som token, kan den ikke være klient.
Det er vi så ikke enige i.
(Jeg ved godt du mener det er en sikkerhedsrisiko, men jeg mener det er at skyde over målet, hvis man lader det stoppe muligheden.)
myplacedk (53) skrev:Men det kan da være at der kommer fx. en SMS-løsning engang.
Er telefonen så ikke stadig klient?
(Ikke at jeg personligt synes der er noget galt med det...)
myplacedk (53) skrev:Du kan godt selv fornemme kompleksiteten i det, ik'? ;-)
Jo, men hvor der er en vilje, er der en vej.
angelenglen (54) skrev:Sandt, så kunne pap-kortet være alternativ til dem der ikke har mobiltelefon. Problem solved.
Det går jo så lidt imod at have én simpel løsning alle kan bruge, ik'?
angelenglen (54) skrev:Jeg ved godt du mener det er en sikkerhedsrisiko, men jeg mener det er at skyde over målet, hvis man lader det stoppe muligheden.
Hvis man har et sikkerhedskrav, man kan ikke bare lige sætte det til side for at lave en sej feature.
angelenglen (54) skrev:Er telefonen så ikke stadig klient?
Ikke nødvendigvis. Måske kan du få en nøgle tilsendt via SMS, til at logge på desktop-netbanken med.
Eller du kan bruge det til en mobil service, hvor sikkerhedsniveauet kan være lavere.
angelenglen (54) skrev:Jo, men hvor der er en vilje, er der en vej.
Jojo. Men kompleksitet øger udviklingstiden. Jo mere kompliceret det er, jo længere ude i fremtiden er det. Det er derfor vi har et simpelt papkort NU, og fancy komplicerede løsninger SENERE.
Jeg tror der er mange som har svært ved at se forskel på "senere" og "aldrig". Det lyder i hvert fald sådan i mange af NemID-diskutionerne. (Jeg siger ikke at du er en af dem.)
myplacedk (55) skrev:Hvis man har et sikkerhedskrav, man kan ikke bare lige sætte det til side for at lave en sej feature.
Min pointe var netop at sikkerhedskravet måske er for højt.
(Selvom det efter min mening, på andre punkter, er for lavt...)
Og at omtale det som bare værende en "sej feature" er sikkert lige så nedgørende overfor mig, som det er overfor dig, når folk kalder dit elskede nøglekort for et "dumt papkort"?
myplacedk (55) skrev:Ikke nødvendigvis. Måske kan du få en nøgle tilsendt via SMS, til at logge på desktop-netbanken med.
Eller du kan bruge det til en mobil service, hvor sikkerhedsniveauet kan være lavere.
Det går jo så lidt imod at have én simpel løsning som kan bruges alle steder, ik'?
Ikke at det er en hindring for mig. Kun at tilbyde éen løsning, er for ufleksibelt i min bog.
Og nu vil du pludselig godt gå med til at sænke sikkerhedskravet?
myplacedk (55) skrev:Jojo. Men kompleksitet øger udviklingstiden. Jo mere kompliceret det er, jo længere ude i fremtiden er det.
Sandt, men et projekt i denne størrelse, med de midler der er brugt, burde kunne klare det.
Her har DanID dog skuffet lidt allerede.
myplacedk (55) skrev:Jeg tror der er mange som har svært ved at se forskel på "senere" og "aldrig". Det lyder i hvert fald sådan i mange af NemID-diskutionerne.
Jeg kan godt se at der er mange muligheder "senere", men en stor del af det jeg ikke kan lide er to ting:
1. Det bliver formentligt ikke gratis.
2. Det kommer formentligt til at blive *meget* senere, når man ser på hvor lang tid der allerede er spildt på dette projekt.
Og når det nu er DanID der er tale om, kan man så virkelig fortænke folk i at sætte lighedstegn mellem "senere" og "aldrig"?
Erfaringen har jo vist, at systemet formentligt bliver udskiftet/skrottet, inden problemerne er løst.
Sådan gik det jo for Digital Signatur, hvor DanID også havde en finger med i spillet...
angelenglen (57) skrev:Min pointe var netop at sikkerhedskravet måske er for højt.
Sikkerhedniveauet med certifikat-løsningen (nøglefiler) er for lavt. Har du et forslag til en mellemting?
angelenglen (57) skrev:Og at omtale det som bare værende en "sej feature" er sikkert lige så nedgørende overfor mig, som det er overfor dig, når folk kalder dit elskede nøglekort for et "dumt papkort"?
Det kan være, men pointen er at det ikke er en feature som gør dig i stand til at gøre noget nyt. Det er bare fede at have endnu en app på mobilen, end at bruge et stykke papir. (Eller jo, det giver faktisk noget ekstra, men det er jo ikke det du efterspørger.)
I øvrigt elsker jeg ikke mit papkort. Jeg hader at bruge det, lige så meget som de fleste andre. There, der var lidt subjektivt imellem. Så vender vi tilbage til fakta.
angelenglen (57) skrev:Det går jo så lidt imod at have én simpel løsning som kan bruges alle steder, ik'?
Nutid: Én simpel løsning
Fremtid: Flere løsninger, så flere behov kan dækkes
Vi har én simpel løsning NU, og så kommer der flere muligheder til senere. Jeg snakkede om hvad der potentielt kan komme i fremtiden.
angelenglen (57) skrev:Kun at tilbyde éen løsning, er for ufleksibelt i min bog.
Det er alle vist enige om. Men alternativet var at udbyde nul løsninger, indtil flere var klar. Det kunne man også have argumenteret før at gøre, men der var tungere argumenter får at starte med én ting.
angelenglen (57) skrev:Og nu vil du pludselig godt gå med til at sænke sikkerhedskravet?
Når der kun er én løsning, skal sikkerheden være høj nok til at kunne bruges til "det hele". (Helt konkret: Netbanken.)
Men i fremtiden når man har flere løsninger, vil de ikke alle være lige sikre, og kan ikke alle bruges til det samme.
Fx. er der rent teknisk allerede nu mulighed for at logge ind med NemID, uden nøglekort, java-applet osv. Af forskellige årsager er der klare aftaler om hvad man må bruge det til. Fx. er Danske Banks iPhone app helt klart imod aftalerne. Det er bla. derfor ingen andre tilbyder noget tilsvarende.
Anyway: En løsning som ikke er sikker nok til netbanken, kan fx. være god nok til at logge på newz. Man kunne i princippet godt forestille sig at du kunne logge på newz med dit nemid brugernavn og kodeord, og så gemme nøglekortet til noget vigtigere.
For eksempel lidt i stil med Nykredits netbank. Der logger du ind med nemid brugernavn og kodeord, og så kan du se din saldo osv. Skal du så fx. betale regninger, så skal du bruge en kode fra nøglekortet.
angelenglen (57) skrev:Sandt, men et projekt i denne størrelse, med de midler der er brugt, burde kunne klare det.
Det er skam heller ikke et spørgsmål om hvad der er ressourcer til. Men man er altså nødt til at vente med at bruge løsningen, til den er lavet.
angelenglen (57) skrev:Og når det nu er DanID der er tale om, kan man så virkelig fortænke folk i at sætte lighedstegn mellem "senere" og "aldrig"?
Har DanID lovet at levere et produkt, og så aldrig leveret det? Eller har de "bare" lavet noget som nogle ikke kan lide?
(Der er masser af ting ved DanID, Digital Signatur og NemID jeg ikke kan lide. Jeg synes bare tingene skal sættes i perspektiv. Der er stor forskel på at levere et produkt nogle ikke kan lide, og at bryde sine egne løfter.)
terracide (56) skrev:En forsimplet løsning alle kan bruge(none case-sensitive PW f.eks) runger dårligt i mine øre når vi snakker om adgang til min bankkonto...
Brugervenlighed og sikkerhed er ikke to ting som er modsat hinanden.
Og ærligt talt, den latterlige diskussion om case-sensitive kan jeg ikke forstå at du ikke har forstået endnu.
Kodeordet skal have en bestemt kompleksitet. Store/små bogstaver er en del af kompleksieten, men den er ikke afgørende. Det kan man for eksempel kompensere for ved at tilføje et bogstav eller to. Og man har jo ikke mulighed for at brute force alligevel, så det er faktisk slet ikke så vigtigt.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund