mboost-dp1
PBS A/S
jeg syntes at diverse bank apps fungerer fint, men der er stadig nogle få steder hvor man ikke kan komme igennem... jeg mener dette er et problem da nogle mennesker som ikke har det store it behov burde kunne nøjes med en tablet eller smartphone og stadig kunne modtage al kommunikation med det offentlige
det er ikke et problem for alle os som har flere devices
det er ikke et problem for alle os som har flere devices
Mobilkoder? Er det SMS de mener her? For så vil jeg gerne stemme imod dette forslag. Det forhindrer nemlig os i udlandet i at bruge disse services. I hvert er det typisk at denne slags service kun tilbydes til danske numre, og derudover ville det i så fald koste penge at modtage koden (hvilket er en dårlig ide).
Jaqen (1) skrev:brugergenererede spørgsmål og svar er da også sårbare over for MitM-angreb?
Det er alle de realistiske muligheder. Det eneste man kan gøre er, at gøre det så besværligt som muligt.
Jaqen (1) skrev:ville ellers tro de havde penge nok
8 millioner lyder for mig som et meget lille beløb. Kan de gøre det for de penge, fint. Er det dyrere, så kast dog nogle flere penge efter det. Især i betragtning af at halvdelen skal fordeles mellem samtlige danske banker, og resten på staten, så er det da virkelig småpenge. Jeg vil gætte på at det har kostet samfundet væsentligt mere at undvære en ordentlig løsning.
Makey (4) skrev:Mobilkoder? Er det SMS de mener her?
Som jeg forstår det betyder at du har forskellige kodeord alt efter om du logger på med appletten på en PC, eller om du logger på med dit håndholdte device.
Dvs. sådan som det er i dag med en uofficielle løsning, som virker fint i udlandet.
Hvorfor laver man ikke noget i stil med Citrix eller Blizzard Activatoren. Det fungere helt fantastik, og er vel så sikkert som det næsten kan blive.
#7
Er det ikke nøgle-generatorer du taler om der? Det er noget helt andet, og det må mobiltelefonen endelig ikke gøre. Så ryger en af mest grundlæggende elementer af sikkerheden.
Jeg ved ikke hvad du mener med "Citrix", det er ikke et login-system. Når JEG logger på Citrix er det bare brugernavn og kodeord. Der ligger sikkerheden i at jeg først skal logge på VPN'en.
Er det ikke nøgle-generatorer du taler om der? Det er noget helt andet, og det må mobiltelefonen endelig ikke gøre. Så ryger en af mest grundlæggende elementer af sikkerheden.
Jeg ved ikke hvad du mener med "Citrix", det er ikke et login-system. Når JEG logger på Citrix er det bare brugernavn og kodeord. Der ligger sikkerheden i at jeg først skal logge på VPN'en.
myplacedk (8) skrev:#7
Er det ikke nøgle-generatorer du taler om der? Det er noget helt andet, og det må mobiltelefonen endelig ikke gøre. Så ryger en af mest grundlæggende elementer af sikkerheden.
Jeg ved ikke hvad du mener med "Citrix", det er ikke et login-system. Når JEG logger på Citrix er det bare brugernavn og kodeord. Der ligger sikkerheden i at jeg først skal logge på VPN'en.
Jeg vil da tro han mener sådan en her...
http://eu.blizzard.com/store/details.xml?id=221004...
Lignende løsninger bruger mange ved citrix logon..
gensplejs (9) skrev:Jeg vil da tro han mener sådan en her...
Ja netop, en nøglegenerator. Vi har allerede nøglekort (papkortet) og nøgleviser, og der kommer IKKE en app som alternativ til dem.
gensplejs (9) skrev:Lignende løsninger bruger mange ved citrix logon..
Jeg har ikke meget forstand på Citrix, men som jeg har forstået det er det nok ganske normalt at bruge en eller anden form for engangs-nøgle i forbindelse med logge ind på Citrix, men jeg tror det er noget som står foran Citrix. Hvis jeg logger på Citrix fra virksomhedens eget LAN, så er det enten brugernavn/kodeord, eller auto-logon. Hvis jeg logger på "udefra", så skal jeg først logge på VPN med engangskodeord, og derefter har jeg almindelig kedelig citrix-login med brugernavn og kodeord.
Anyway, der er ikke rigtigt noget at diskutere her. Du vil IKKE kommer til at få dit engangskodeord fra din mobil-telefon, det ER afgjort af DanID at det er en dårlig ide. Så kan du nemlig ikke bruge din mobil-telefon som klient, byebye mobilbank.
Som #1 siger ville jeg også mene at spgm og svar var sårbare overfor MitM. Ligesom at det er bevist flere gange, at selv NemID's engangskoder er sårbare overfor MitM (angriber logger på for dig, og serverer spørgsmålet / engangskoden til dig direkte).
For mig ville den aller sikreste løsning, også overfor MitM, være 'ssl pinning'. Her kræver klienten, at serveren udstiller et af nogle godkendte certifikater. Kan den ikke det, nægtes kommunikation fra klientsiden.
Dette er meget sikkert da, forhåbentligt, ingen andre end DanID har deres certifikat, og det ville være upraktisk at forsøge at bruteforce sig til certifikatet.
Med SSL pinning kan selv et web-interface blive sikkert (givet at klienten overholder ssl standarden, f.eks. vha. et custom app i Android, som dog ville ikke virke i Windows Phone)
For mig ville den aller sikreste løsning, også overfor MitM, være 'ssl pinning'. Her kræver klienten, at serveren udstiller et af nogle godkendte certifikater. Kan den ikke det, nægtes kommunikation fra klientsiden.
Dette er meget sikkert da, forhåbentligt, ingen andre end DanID har deres certifikat, og det ville være upraktisk at forsøge at bruteforce sig til certifikatet.
Med SSL pinning kan selv et web-interface blive sikkert (givet at klienten overholder ssl standarden, f.eks. vha. et custom app i Android, som dog ville ikke virke i Windows Phone)
LordMike (11) skrev:For mig ville den aller sikreste løsning, også overfor MitM, være 'ssl pinning'. Her kræver klienten, at serveren udstiller et af nogle godkendte certifikater. Kan den ikke det, nægtes kommunikation fra klientsiden.
Forestil dig en typisk dansker, som er stolt af at være i stand til at sætte uret på videoen.
Kan du lave en brugerflade som sådan en person synes er attraktiv og brugervenlig, og som gør brugeren i stand til at genkende et MitM-angreb?
Kan man ikke bare lave en app/hjemmeside som påstår at certifikatet er OK?
#12.
Her er det vigtige jo at du kun bruger det app fra Nordea, Borger.dk osv. (eller DanID). Det er op til div. Marketplaces at sørge for det.
Det er så op til app'en at enforce ssl pinning. Hvis det var muligt at få en browser til, med garanti, kun at tillade visse certifikater (signed eller ej), så ville det også virke.
Så for gennemsnitsdanskeren, så bunder det hele i at Nordea får meldt ud hvad deres app hedder, og hvad man skal søge efter. Derefter kan kanalen mellem app og bank anses for værende ubrydelig.
Her er det vigtige jo at du kun bruger det app fra Nordea, Borger.dk osv. (eller DanID). Det er op til div. Marketplaces at sørge for det.
Det er så op til app'en at enforce ssl pinning. Hvis det var muligt at få en browser til, med garanti, kun at tillade visse certifikater (signed eller ej), så ville det også virke.
Så for gennemsnitsdanskeren, så bunder det hele i at Nordea får meldt ud hvad deres app hedder, og hvad man skal søge efter. Derefter kan kanalen mellem app og bank anses for værende ubrydelig.
LordMike (13) skrev:Her er det vigtige jo at du kun bruger det app fra Nordea, Borger.dk osv. (eller DanID).
[...]
Så for gennemsnitsdanskeren, så bunder det hele i at Nordea får meldt ud hvad deres app hedder, og hvad man skal søge efter.
Der har du allerede fundet det første hul som tillader MitM. Man skal blot nare folk til at installere en anden applikation. Det kan gøres ved at bruge et navn der ligner tilstrækkeligt meget. I nogle tilfælde er det nemt at lave et navn som ser mere officielt ud end det officielle. Vil du fx. installere "Salling Bank" fra "Bankernes EDB Central", eller "Salling Mobilbank" fra "Salling Bank"?
Man kan også sende dem en reklame-mail med direkte link til den fake app, så er du fri for at bekymre dig om sortering i søgeresultaterne.
Det er blot hvad jeg kan finde i løbet af få sekunder.
LordMike (13) skrev:Det er op til div. Marketplaces at sørge for det.
Nej. Det er ikke deres ansvar, og de kan heller ikke leve op til det.
Tænk på at phishing-emails med ufatteligt dårligt dansk hvor man ganske enkelt beder brugeren om at oplyse brugernavn og kodeord faktisk virker. Det er ikke den store udfordring at lokke en eller anden til at installere en fake app.
Jaqen (1) skrev:brugergenererede spørgsmål og svar er da også sårbare over for MitM-angreb?
ville ellers tro de havde penge nok, det er ikke helt billigt for banker og private tjenesteudbydere at have nemid-login til deres sider
Det ændrer vel ikke noget, hvis det er staten og ikke bankerne der betaler for nem-id? :)
Clauzii (15) skrev:"...og om det er sikkert at skrue ned for sikkerheden."
Nej. Det er det aldrig.
Det kommer an på hvad du mener med "sikkert". Det bliver jo aldrig 100% sikkert alligevel. Læs "sikkert" som "sikkert nok", så giver det mere mening. :)
(Bemærk i øvrigt at det er nyhedsskribentens formulering, ikke DanID's.)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund