mboost-dp1
PBS A/S
Man kunne jo starte med at indføre den samme sikkerhed som man havde ved Sydbank. Her skulle man benytte en nøgle ved log-in og en nøgle ved overførsel til konti der ikke var ens egen eller ved betaling af regninger. Kort sagt hver gang man ville flytte penge væk fra sig selv...
Det her angreb ville stadigvæk være muligt, men for mig er det alligevel at gå ned i sikkerheden, i forhold til hvad jeg havde før....
Det her angreb ville stadigvæk være muligt, men for mig er det alligevel at gå ned i sikkerheden, i forhold til hvad jeg havde før....
Hvis folk selv installerer malware og giver deres nøgler ud til tilfældige pop-op vinduer er det jo ved at være rigtig svært at lave det sikkert. Systemet kan ikke være mere sikker end brugeren dum. Hvis de havde opdateret java som de skulle var det her heller ikke sket.
Jeg har aldrig forstået at man i denne teknologiske højalder benytter gammeldags talkoder til sådan noget her. Der findes jo tydeligvis folk som ikke fatter en meter om brugen af computere.
Lav da for fanden en aktiv hardware nøgle, som skal behandle og kryptere trafikken mellem kunden og banken, med en rullende krypteringsnøgle.
Lav da for fanden en aktiv hardware nøgle, som skal behandle og kryptere trafikken mellem kunden og banken, med en rullende krypteringsnøgle.
#7 I dag har man det fejlfyldte element, mennesket, det håndterer nøglerne. Så længe det element er med i løsningen, kan sikkerheden nemt brydes. Der findes jo mennesker der er dummere end en snotskovl.
Jackiass (3) skrev:Hvis folk selv installerer malware og giver deres nøgler ud til tilfældige pop-op vinduer er det jo ved at være rigtig svært at lave det sikkert. Systemet kan ikke være mere sikker end brugeren dum. Hvis de havde opdateret java som de skulle var det her heller ikke sket.
Ved du noget om, at det er en outdated java, der er skyld i det her?
I øvrigt, så kan man ikke forvente af en almindelig bruger, at de ikke taster deres login-oplysninger, når de prøver at logge ind på netbanken.
Fuck NemID.. Det lort bliver forsøgt presset ned over hovedet på os alle...Har feks en konto hos danske spil jeg ikke kan komme til fordi jeg ikke har NemID. men det skal der pludselig bruges og jeg vil fanme ikke tvinges til at bruge noget jeg ikke selv ønsker... så jo mere det bliver misbrugt, jo før forsvinder det forhåbentligt....
Jeg er ikke vild med hvor ofte min bank (arbejdernes landsbank) ændre på login+overførsel procedure. Det gør det svært at opdage når der sker noget unormalt.
For en overførsel mellem egne konti kræver det:
I dag
Login: user, pwd
Overførsel: pwd, code
Forrige gang
Login: user, pwd, code
Overførsel: pwd
Tidligere
Login: user, pwd, code
Overførsel: code
For en overførsel mellem egne konti kræver det:
I dag
Login: user, pwd
Overførsel: pwd, code
Forrige gang
Login: user, pwd, code
Overførsel: pwd
Tidligere
Login: user, pwd, code
Overførsel: code
1: Lav option i indstillingerne, som kun din bankrådgiver kan ændre: "Overfør kun til kendte konti"
2: Med denne option slået til kan man ikke overføre penge til konti, hvor banken ikke kender identiteten på personen i den anden ende.
3: ???
4: Profit
Med denne løsning kan evt. svindlere retsforfølges.
2: Med denne option slået til kan man ikke overføre penge til konti, hvor banken ikke kender identiteten på personen i den anden ende.
3: ???
4: Profit
Med denne løsning kan evt. svindlere retsforfølges.
Jeg ved det er en upopulær beslutning men bankerne burde simpelthen overveje hvem de vil gi homebanking. I de fleste tilfælde er banken ude med erstatningen til borgeren men på bekostning, mener jeg, alt for mange hvis'er. Fx om brugeren er egnet til at administrere en computer.
Banker fraskriver sig en del sikkerhed ved selv at lade det være op til brugeren at administrere sikkerheden. Jeg vil mene at disse brugere ikke burde ha erstatning. Ihvertfald ikke dør der kommer klare linjer mellem bank og forbruger.
Fx mener jeg ikke at phising, malware etc er argument for erstatning. Det er ude af bankens hænder og derfor må det være brugerens eget ansvar.
Jeg savner klare retningslinjer og indskærpede krav fra bankerne. Det kan ikke passe at en usikker Wndows-installation medfører erstatning fra en bank.
Banker fraskriver sig en del sikkerhed ved selv at lade det være op til brugeren at administrere sikkerheden. Jeg vil mene at disse brugere ikke burde ha erstatning. Ihvertfald ikke dør der kommer klare linjer mellem bank og forbruger.
Fx mener jeg ikke at phising, malware etc er argument for erstatning. Det er ude af bankens hænder og derfor må det være brugerens eget ansvar.
Jeg savner klare retningslinjer og indskærpede krav fra bankerne. Det kan ikke passe at en usikker Wndows-installation medfører erstatning fra en bank.
#14 - nu er problemet jo netop at pengene nærmest altid overføres til almindelige konti hos såkaldte muldyr - der hæver pengene og sender dem via Western Union eller alm. brev til de kriminelle. Muldyrene er oftest rimeligt uvidende omkring det kriminelle aspekt - de fleste har nok modtaget "jobtilbud" pr. mails hvor man skal modtage penge på sin konto og så flytte dem videre...
Ang. NEMID - jeg har godt nok svært ved at se hvordan de vil gøre det mere sikkert - det bedste råd jeg så var:
1. Hvis du bliver spurgt om to nøgler fra nøglekortet skal du være mistænksom!
Nu skal vi vel også lige huske at sagerne omkring netbank svindel er faldet drastisk siden nemid blev indført.
#15 - hvis du virkelig mener hvad du skriver ville homebanking jo gå i døden i løbet af kort tid.
Ang. NEMID - jeg har godt nok svært ved at se hvordan de vil gøre det mere sikkert - det bedste råd jeg så var:
1. Hvis du bliver spurgt om to nøgler fra nøglekortet skal du være mistænksom!
Nu skal vi vel også lige huske at sagerne omkring netbank svindel er faldet drastisk siden nemid blev indført.
#15 - hvis du virkelig mener hvad du skriver ville homebanking jo gå i døden i løbet af kort tid.
Kian (15) skrev:Banker fraskriver sig en del sikkerhed ved selv at lade det være op til brugeren at administrere sikkerheden. Jeg vil mene at disse brugere ikke burde ha erstatning. Ihvertfald ikke dør der kommer klare linjer mellem bank og forbruger.
Taget i betragtning af hvor lille problemet er og hvor mange penge bankerne sparer på homebanking, så tror jeg såmænd nok, de kan afse de småpenge til lidt erstatninger i ny og næ.
Wassini (10) skrev:Nu er NemID jo solgt på at det skal være muligt at benytte det 100% sikkert fra enhver PC - uanset hvor den står - om det er ens private eller på den lokale Café.
Så det kan NÆPPE være brugernes skyld at de stoler på systemet.
Nu vil jeg jo også mene at det her ikke er et brist i NemID men et brist i brugerens egen opfattelse af hvordan en computer gængs skal beskyttes (eller mangel på samme). NemID er ikke en viruskiller, malwareremover eller lign. NemID er en metode til at tilgå private oplysninger og med "100% sikkert" er der jo nok nærmere tænkt på krypteret trafik. Det betyder altså ikke at NemID samtidig skal lege viruskiller og minde dig om at du har 4 keyloggers installeret og at du iøvrigt ikke har opdateret din Windows i fire år.
NemID kan kun agerer inden for NemIDs afgrænsede sfære - at forlange at NemID skal kunne en masse andet er plat (som fx at agere viruskiller)
biopv (16) skrev:#14 - nu er problemet jo netop at pengene nærmest altid overføres til almindelige konti hos såkaldte muldyr - der hæver pengene og sender dem via Western Union eller alm. brev til de kriminelle. Muldyrene er oftest rimeligt uvidende omkring det kriminelle aspekt - de fleste har nok modtaget "jobtilbud" pr. mails hvor man skal modtage penge på sin konto og så flytte dem videre...
Det burde få nogle alarmklokker til at ringe. Kan de iøvrigt ikke straffes for det her muldyr nummer?
Ang. NEMID - jeg har godt nok svært ved at se hvordan de vil gøre det mere sikkert - det bedste råd jeg så var:
1. Hvis du bliver spurgt om to nøgler fra nøglekortet skal du være mistænksom!
At gøre det mere sikkert er ikke umuligt. Man kunne til en start lave det sådan at brugeren skal bekræfte overførelse via en token. Samme token skal så indeholde vores private nøgler. Det åbner yderligere op for at ens token kan verificere at det faktisk er en nemid logind man står overfor og ikke en fishing side som der var en der lavede på nemid.dk for noget tid siden.
Nu skal vi vel også lige huske at sagerne omkring netbank svindel er faldet drastisk siden nemid blev indført.
Antallet af indbrud var da vist faldende allerede før nemid..?
#15 - hvis du virkelig mener hvad du skriver ville homebanking jo gå i døden i løbet af kort tid.
Virksomheder skal selv sørge for at forsikre sig mod misbrug på netbank. Og der er netbanken da ikke død. :)
XorpiZ (17) skrev:Taget i betragtning af hvor lille problemet er og hvor mange penge bankerne sparer på homebanking, så tror jeg såmænd nok, de kan afse de småpenge til lidt erstatninger i ny og næ.
Du har nok ret. Jeg gider bare ikke høre på folk der siger at der er sikkerhedsbrist og at de vil ha penge tilbage når de selv er ansvarlige for deres egen sikkerhed på deres egen computer. Det er og bliver brugerens eget ansvar at holde styr på sikkerheden og jeg tror faktisk ikke at folk reflekterer over det når de anskaffer sig homebanking.
biopv (16) skrev:
#15 - hvis du virkelig mener hvad du skriver ville homebanking jo gå i døden i løbet af kort tid.
Det tror jeg sgu ikke. Man kunne jo også bare som bank sige at nu får De så homebanking, fru Jensen, men husk at hvis De på den baggrund oplever tab og dette tab kan spores til at være mangel på sikkerhed på Deres computer så er der ingen erstatning.
Det er i min optik kun retfærdigt at fremhæve at det er brugerfejl fremfor 'Kriminelle bryder igen igennem NemID' som svagt antyder at det er NemID der er klovner. Istedet skulle overskriften måske ha været 'Usikker computerinstallation igen skyld i netbanksvindel'
Undrede mig over at jeg ikke kunne bruge mit kort i går aftes, ringende så til Danske Bank der fortalte at de havde spærret det kl. 15. Men beroligede mig med at det havde en masse andre også fået gjort.
Da der var tale om flere synes de ikke at det var nødvendigt at ringe og fortælle det, ej heller sende en mail, SMS eller en besked på netbanken.
Jeg har så en nyt kort om 5-8 dage...
Gad vide hvor mange de har lavet nye kort til?
Da der var tale om flere synes de ikke at det var nødvendigt at ringe og fortælle det, ej heller sende en mail, SMS eller en besked på netbanken.
Jeg har så en nyt kort om 5-8 dage...
Gad vide hvor mange de har lavet nye kort til?
Det er jo lige meget hvor god sikkerheden er, så kan man aldrig lave et system, hvor folk ikke kan blive snydt.
Dog virker løsningen på lige netop dette eksempel rimelig simpel;
Hvorfor kan man oprette mere end én session til nemid ad gangen? Og hvorfor blokere den ikke for IP'er som kommer fra et helt andet land, kort tid efter at der er logget ind i Danmark?
Dog virker løsningen på lige netop dette eksempel rimelig simpel;
Hvorfor kan man oprette mere end én session til nemid ad gangen? Og hvorfor blokere den ikke for IP'er som kommer fra et helt andet land, kort tid efter at der er logget ind i Danmark?
Kian (21) skrev:
Det tror jeg sgu ikke. Man kunne jo også bare som bank sige at nu får De så homebanking, fru Jensen, men husk at hvis De på den baggrund oplever tab og dette tab kan spores til at være mangel på sikkerhed på Deres computer så er der ingen erstatning.
Det er i min optik kun retfærdigt at fremhæve at det er brugerfejl fremfor 'Kriminelle bryder igen igennem NemID' som svagt antyder at det er NemID der er klovner. Istedet skulle overskriften måske ha været 'Usikker computerinstallation igen skyld i netbanksvindel'
Problemet ved at smide den slags beskeder ud er at nemid i sin tid blev solgt på at kunne bruges på en maskine der var fyldt med malware. Argumentet var den gang at fordi man skulle bruge papkortet så var alt godt.
Hubert (24) skrev:
Problemet ved at smide den slags beskeder ud er at nemid i sin tid blev solgt på at kunne bruges på en maskine der var fyldt med malware. Argumentet var den gang at fordi man skulle bruge papkortet så var alt godt.
Men det er da sikkert stadigvæk rigtigt. Det er jo ikke en fejl i NemID at brugeren oplyser kode mv til et malware-program. Når jeg tænker sikkerhed og NemID så er mit fokus på kryptering, sessions etc. Ikke på hvor dum brugeren er. Det er en anden form for sikkerhed som ingen kan udstede. Og det må selv den dummeste bruger fatte.
#12: Du kan ikke svarer mig på om mit nemID uden certifikat-delen aktiv, duer til danskespil.dk nu? :-P
En hardwarelåst nøgle, der skal have en blodprøve og matche dit DNA til det den har på lager :-P
Lige indtil at mobilstråling får muteret et enkelt gen, så har man tabt igen :-D
En selektiv process? Dem der dummer sig med en computer, får frataget retten til at have nemID?
Må hellere huske at afmelde alle de offentlige ting jeg før havde digitalt, når signaturen udløber.
Ja, nemID er solgt på en løgn - for du må netop kun bruge det fra en PC, som du ved med sikkerhed er opdateret mv. - så bruger du nemID fra en netcafé og bliver rippet, kan DanID pege på at du ikke har opfyldt brugerbetingelserne, og ellers lade dig rende og hoppe.
biopv (16) skrev:Ang. NEMID - jeg har godt nok svært ved at se hvordan de vil gøre det mere sikkert
En hardwarelåst nøgle, der skal have en blodprøve og matche dit DNA til det den har på lager :-P
Lige indtil at mobilstråling får muteret et enkelt gen, så har man tabt igen :-D
En selektiv process? Dem der dummer sig med en computer, får frataget retten til at have nemID?
Må hellere huske at afmelde alle de offentlige ting jeg før havde digitalt, når signaturen udløber.
Wassini (10) skrev:Nu er NemID jo solgt på at det skal være muligt at benytte det 100% sikkert fra enhver PC - uanset hvor den står - om det er ens private eller på den lokale Café.
Så det kan NÆPPE være brugernes skyld at de stoler på systemet.
Ja, nemID er solgt på en løgn - for du må netop kun bruge det fra en PC, som du ved med sikkerhed er opdateret mv. - så bruger du nemID fra en netcafé og bliver rippet, kan DanID pege på at du ikke har opfyldt brugerbetingelserne, og ellers lade dig rende og hoppe.
[quote=Kian (25)
Men det er da sikkert stadigvæk rigtigt. Det er jo ikke en fejl i NemID at brugeren oplyser kode mv til et malware-program. Når jeg tænker sikkerhed og NemID så er mit fokus på kryptering, sessions etc. Ikke på hvor dum brugeren er. Det er en anden form for sikkerhed som ingen kan udstede. Og det må selv den dummeste bruger fatte. [/quote]
Det store problem med dum,e brugere er vel at der findes så mange. Og når man så sælger en løsning på at det er en silver bullet løsning mod dumme brugere så er det ikke så heldigt når løsningen fejler i netop at være en silver bullet løsning mod dumme brugere.
Lad os få et system hvor vi skal godkende overførsler på en token eller tilsvarende. Det skal man så vidt jeg ved i både Sverige og Tyskland, hvor der så vidt jeg har kunne læse mig til popper noget op på et display?
Men det er da sikkert stadigvæk rigtigt. Det er jo ikke en fejl i NemID at brugeren oplyser kode mv til et malware-program. Når jeg tænker sikkerhed og NemID så er mit fokus på kryptering, sessions etc. Ikke på hvor dum brugeren er. Det er en anden form for sikkerhed som ingen kan udstede. Og det må selv den dummeste bruger fatte. [/quote]
Det store problem med dum,e brugere er vel at der findes så mange. Og når man så sælger en løsning på at det er en silver bullet løsning mod dumme brugere så er det ikke så heldigt når løsningen fejler i netop at være en silver bullet løsning mod dumme brugere.
Lad os få et system hvor vi skal godkende overførsler på en token eller tilsvarende. Det skal man så vidt jeg ved i både Sverige og Tyskland, hvor der så vidt jeg har kunne læse mig til popper noget op på et display?
Kian (25) skrev:
Men det er da sikkert stadigvæk rigtigt. Det er jo ikke en fejl i NemID at brugeren oplyser kode mv til et malware-program. Når jeg tænker sikkerhed og NemID så er mit fokus på kryptering, sessions etc. Ikke på hvor dum brugeren er. Det er en anden form for sikkerhed som ingen kan udstede. Og det må selv den dummeste bruger fatte.
Det store problem med dumme brugere er vel at der findes så mange. Og når man så sælger en løsning på at det er en silver bullet løsning mod dumme brugere så er det ikke så heldigt når løsningen fejler i netop at være en silver bullet løsning mod dumme brugere.
Lad os få et system hvor vi skal godkende overførsler på en token eller tilsvarende. Det skal man så vidt jeg ved i både Sverige og Tyskland, hvor der så vidt jeg har kunne læse mig til popper noget op på et display?
satans citat funktion...
Overskriften er forkert. Der er ikke fremvist nogen beviser for at der blev brugt en svaghed i nemid.
1. Nogle politikere beslutter at der skal laves en identifikationsløsning, som er sikker hvis den bruges fra en tilfældig netcafe.
2. Forskellige seriøse IT virksomheder bedes komme med et bud.
3. Alle de seriøse IT virksomheder kommer med deres bedste bud på en løsning, men slår fast at kravet om at det er sikkert fra en kompromitteret maskine ikke kan lade sig gøre.
4. Politikerne vil ikke acceptere at deres idé er umulig og bliver ved med at lede efter nogen der kan løse opgaven.
5. Til sidst lykkes det at finde nogen, som har så lidt styr på hvad de laver til at de faktisk tror på at de kan løse opgaven.
Imens har vi andre hele tiden været klar over, at en kompromitteret klient vil kunne udnyttes imod ethvert system. Lad mig citere hvad jeg sagde for et par dage siden:
Men hvis en svaghed i java er måden de er kommet ind på, så beviser det at det var et forkert valg at bruge java.
Efter nemid er blevet indført er antallet af sager steget igen. Dog er antallet af sager stadigvæk så lille at statistiske unøjagtigheder ikke kan udelukkes.
Det største problem er risikoen for mere omfattende svindel. Hvor mange penge kan forsvinde før bankerne sætter ind imod mere omfattende svindel? Hvad er risikoen for at der pludseligt indenfor et døgn sker svindel som koster mere end alle de penge, der er sparet?
Bankerne har forhåbentligt overvågning på plads, som kan fryse alle transaktionerne, hvis der skulle være mange mistænkelige transaktioner på kort tid.
Under alle omstændigheder er bankerne bedre rustet til at håndtere denne type risici end kunderne er. Og hvis bankerne ikke kan håndtere det, må de tage fat i et forsikringsselskab.
Jeg har personligt et gæt på hvor den næste bølge af angreb imod nemid sættes ind. Det bliver gennem udenlandske poker sites. Enten gennem falske sites eller gennem legitime sites, som ikke har styr på sikkerheden af deres webservere.
Danskere som besøger et sådan site vil præsenteres for en lookalike nemid login, som i virkeligheden bruges til et realtime angreb imod deres bank.
Lad mig igen citere hvad jeg sagde for et par dage siden:
Gad vide om det er ønsket om sådan en garanti der har ført til en så elendig løsning som vi ser nu. Jeg ved ikke hvordan beslutningsprocessen er foregået, men lige nu forestiller jeg mig følgende.Wassini (10) skrev:Nu er NemID jo solgt på at det skal være muligt at benytte det 100% sikkert fra enhver PC - uanset hvor den står - om det er ens private eller på den lokale Café.
1. Nogle politikere beslutter at der skal laves en identifikationsløsning, som er sikker hvis den bruges fra en tilfældig netcafe.
2. Forskellige seriøse IT virksomheder bedes komme med et bud.
3. Alle de seriøse IT virksomheder kommer med deres bedste bud på en løsning, men slår fast at kravet om at det er sikkert fra en kompromitteret maskine ikke kan lade sig gøre.
4. Politikerne vil ikke acceptere at deres idé er umulig og bliver ved med at lede efter nogen der kan løse opgaven.
5. Til sidst lykkes det at finde nogen, som har så lidt styr på hvad de laver til at de faktisk tror på at de kan løse opgaven.
Imens har vi andre hele tiden været klar over, at en kompromitteret klient vil kunne udnyttes imod ethvert system. Lad mig citere hvad jeg sagde for et par dage siden:
http://newz.dk/forum/software/aabent-brev-til-danid-115934/page3#122 skrev:Jeg har adskillige gange i tidens løb sagt, at ingen netbank løsning kan være sikker hvis klient maskinen er kompromitteret. Denne historie viser blot at jeg havde ret i det.
Eftersom danid ikke ved det er mit gæt, at det kun er de kriminelle som ved om det er tilfældet.XorpiZ (11) skrev:Ved du noget om, at det er en outdated java, der er skyld i det her?
Men hvis en svaghed i java er måden de er kommet ind på, så beviser det at det var et forkert valg at bruge java.
Det er forkert. Der var et drastisk fald i omfanget over en periode på ca. et år før nemid blev indført. Faktisk var der så vidt jeg husker et halvt år helt uden en eneste sag. Og derefter blev nemid indført.biopv (16) skrev:Nu skal vi vel også lige huske at sagerne omkring netbank svindel er faldet drastisk siden nemid blev indført.
Efter nemid er blevet indført er antallet af sager steget igen. Dog er antallet af sager stadigvæk så lille at statistiske unøjagtigheder ikke kan udelukkes.
Bankerne sparer mange penge på dette, og det er ganske rimeligt at en del af de penge bruges på at dække de få tab der er på svindelen.XorpiZ (17) skrev:Taget i betragtning af hvor lille problemet er og hvor mange penge bankerne sparer på homebanking
Det største problem er risikoen for mere omfattende svindel. Hvor mange penge kan forsvinde før bankerne sætter ind imod mere omfattende svindel? Hvad er risikoen for at der pludseligt indenfor et døgn sker svindel som koster mere end alle de penge, der er sparet?
Bankerne har forhåbentligt overvågning på plads, som kan fryse alle transaktionerne, hvis der skulle være mange mistænkelige transaktioner på kort tid.
Under alle omstændigheder er bankerne bedre rustet til at håndtere denne type risici end kunderne er. Og hvis bankerne ikke kan håndtere det, må de tage fat i et forsikringsselskab.
Jeg har personligt et gæt på hvor den næste bølge af angreb imod nemid sættes ind. Det bliver gennem udenlandske poker sites. Enten gennem falske sites eller gennem legitime sites, som ikke har styr på sikkerheden af deres webservere.
Danskere som besøger et sådan site vil præsenteres for en lookalike nemid login, som i virkeligheden bruges til et realtime angreb imod deres bank.
Lad mig igen citere hvad jeg sagde for et par dage siden:
http://newz.dk/forum/software/aabent-brev-til-danid-115934/page3#130 skrev:Nu kommer det store spørgsmål, hvilket beløb vil være størst? De ekstra skatter man kan indkræve fra brugen af disse poker sites eller den mængde penge der forsvinder ud af landet pga. en øget mængde phishing?
biopv (16) skrev:#14 - nu er problemet jo netop at pengene nærmest altid overføres til almindelige konti hos såkaldte muldyr - der hæver pengene og sender dem via Western Union eller alm. brev til de kriminelle. Muldyrene er oftest rimeligt uvidende omkring det kriminelle aspekt - de fleste har nok modtaget "jobtilbud" pr. mails hvor man skal modtage penge på sin konto og så flytte dem videre...
Uvidenhed om loven er ingen undskyldning.
En person som har taget et job med at hente nogle pakker i sydamerika og så levere dem i Danmark, er han også uskyldig hvis det viser sig at være f.eks. narko?
Der er grænser for hvor dum man har lov at være.
Kian (21) skrev:biopv (16) skrev:
#15 - hvis du virkelig mener hvad du skriver ville homebanking jo gå i døden i løbet af kort tid.
Det tror jeg sgu ikke. Man kunne jo også bare som bank sige at nu får De så homebanking, fru Jensen, men husk at hvis De på den baggrund oplever tab og dette tab kan spores til at være mangel på sikkerhed på Deres computer så er der ingen erstatning.
Det er i min optik kun retfærdigt at fremhæve at det er brugerfejl fremfor 'Kriminelle bryder igen igennem NemID' som svagt antyder at det er NemID der er klovner. Istedet skulle overskriften måske ha været 'Usikker computerinstallation igen skyld i netbanksvindel'
Præcis. Min mor ringede bekymret fordi hun havde hørt at der var nogen der havde fundet ud af at misbruge NetBank.
Hun aner nada om computere og har fået en fordi hun ikke længere kan leve uden. Skat, lønsedler og bank presser hende til en løsning hun ikke har lyst til - og reelt set ikke føler sig tryg ved.
NemID bliver nødt til at være sikker, selv når brugerne ikke er det.
I min bank sender de en SMS hvis jeg ønsker at hæve større beløb. I den SMS er der en kode jeg skal indtaste. Men SMS'en indeholder ikke bare koden. Også modtagerens kontonummer og beløb står deri.
Jeg ved ikke hvad der sker hvis jeg laver 135 mindre overførsler samme dag, - men jeg håber at der sker det samme. På et tidspunkt beder dem om et reality-check og sender en sikkerheds-SMS.
Er det 100% sikkert? Næppe. Men mange af de problemer vi hører om nu kunne være undgået.
Derudover mener jeg at der bør ske større oplysning for at forhindre mulddyr - og så nogle reelle straffe (ganske som der er det for de der smugler narko m.m.). Det rammer måske ikke bagmændene direkte, - men det gør at omfanget bliver mindre.
Bankerne kunne jo også indføre brugen af NAP på deres netbanker således, at pc'ere som ikke bliver vedligeholdt slet ikke får lov til at logge på?
sjovt... sverige havde samme problem i sin tid og alt blev udskiftet til kortlæsere (hvor man putte sin kort ind, indtaster 1 gangskode, pinkode og får en kode man indtaster på en webside)
Danmark valgte den løsning som sverige havde bortkastet pga. samme problemer som danskerne oplever nu......
Danmark valgte den løsning som sverige havde bortkastet pga. samme problemer som danskerne oplever nu......
kasperd (30) skrev:Bankerne har forhåbentligt overvågning på plads, som kan fryse alle transaktionerne, hvis der skulle være mange mistænkelige transaktioner på kort tid.
Det har de ja. Danske Bank udtalte dog, at systemerne først registrerede indbruddet efter kunderne havde ringet og brokket sig.
1. Indtast brugernavn og password
2. Systemet sender en besked til den registrerede mobiltelefon
3. Svar tilbage på beskeden med den rigtige kode
4. Få adgang
Meget sværere at kompromittere to adskilte systemer end ét, og banken kan evt. betale for de to sendte beskeder.
2. Systemet sender en besked til den registrerede mobiltelefon
3. Svar tilbage på beskeden med den rigtige kode
4. Få adgang
Meget sværere at kompromittere to adskilte systemer end ét, og banken kan evt. betale for de to sendte beskeder.
Sikkerheden af min computer ville være højere, hvis det ikke var for nemid.Kian (20) skrev:Jeg gider bare ikke høre på folk der siger at der er sikkerhedsbrist og at de vil ha penge tilbage når de selv er ansvarlige for deres egen sikkerhed på deres egen computer.
For at bruge nemid er man nødt til at gøre netop den slags handlinger, som åbner op for muligheden for at få malware ind på computeren.
Lister over hvilket land en IP ligger i har aldrig været særligt præcise. Nogle legitime brugere ville aldrig kunne komme ind.Amavin (23) skrev:Og hvorfor blokere den ikke for IP'er som kommer fra et helt andet land, kort tid efter at der er logget ind i Danmark?
Desuden er der personer, som bruger proxies eller VPN, som får det til at se ud som om de er et andet sted end de i virkeligheden er. Det er nok mere udbredt på computere stillet til rådighed af en arbejdsplads end det er på private computere, men der er nok også personer, som kun har den computer deres arbejdsplads stiller til rådighed.
Desuden skal de kriminelle nemt finde en måde at få det til at se ud som om de kommer fra Danmark.
Og hvad får dig til at tro, at danskere aldrig er i udlandet?
Og hvorfor vil du give de kriminelle tid nok til at gennemføre deres angreb, og først blokere når det er for sent?
Gør det muligt at låse NemID til bestemte computere. Så brugerne kan vælge om man vil lade det være muligt at logge på fra alle steder, så man skal have godkendt hver mac-adresse hos nem-id.
Men dem som så vælger at bruge det, ved sikkert også hvordan de beskytter sig imod den slags malware som er blevet brugt i disse tilfælde.
Men dem som så vælger at bruge det, ved sikkert også hvordan de beskytter sig imod den slags malware som er blevet brugt i disse tilfælde.
kblood (38) skrev:Gør det muligt at låse NemID til bestemte computere. Så brugerne kan vælge om man vil lade det være muligt at logge på fra alle steder, så man skal have godkendt hver mac-adresse hos nem-id.
Men dem som så vælger at bruge det, ved sikkert også hvordan de beskytter sig imod den slags malware som er blevet brugt i disse tilfælde.
Og det faktum, at det er ret nemt at spoofe en MAC-adresse? :)
ITemplate (9) skrev:#8: Alternativet er jo noget styret af software og formentligt endda forbundet til din computer/whatever. Det er netop denne kobling man ikke ønsker.
Jeg snakker om en hardware løsning, ikke udelukkende software.
kasperd (30) skrev:Overskriften er forkert. Der er ikke fremvist nogen beviser for at der blev brugt en svaghed i nemid.
Svagheden i NemID er jo brugeren. Er det ikke bevis nok?
Dijkstra (32) skrev:
Præcis. Min mor ringede bekymret fordi hun havde hørt at der var nogen der havde fundet ud af at misbruge NetBank.
Hun aner nada om computere og har fået en fordi hun ikke længere kan leve uden. Skat, lønsedler og bank presser hende til en løsning hun ikke har lyst til - og reelt set ikke føler sig tryg ved.
NemID bliver nødt til at være sikker, selv når brugerne ikke er det.
[...]
Derudover mener jeg at der bør ske større oplysning for at forhindre mulddyr - og så nogle reelle straffe (ganske som der er det for de der smugler narko m.m.). Det rammer måske ikke bagmændene direkte, - men det gør at omfanget bliver mindre.
Jeg er ikke enig! Det er ikke NemID's problem at brugeren er en klaphat. NemID leverer en METODE til hvordan du som borger kan tilgå dine oplsyninger på en sikker måde. Hvis du, bevidst eller ubevidst, vælger at kompromitere den sikkerhed ved fx at uddele dine oplysninger så er det DIN fejl! Også selvom du ikke er klar over hvad du har gjort. Det kan ALDRIG være NemIDs ansvar at du som bruger er dum.
Man sagsøger heller ikke producenten af TNT fordi Bjørnebanden bruger det til at sprænge Joakim von Ands pengetank i stykker med.
Jeg er enig med dig i at der skal ske oplysning. Men den oplysning skal gå på at fortælle familien Danmark at det er meget fint de kan handle aktier hjemmefra og flytte penge, men de er også samtidig blevet administratorer for egen konto og al sikkerhed er nu placeret hos brugeren og ikke længere hos banken som fx når man hæver penge i banken eller overfører penge i banken osv.
Folk må dælme lære at tage ansvar istedet for at sige at det er NemID der er gal på dem!
Hubert (29) skrev:Kian (25) skrev:
Men det er da sikkert stadigvæk rigtigt. Det er jo ikke en fejl i NemID at brugeren oplyser kode mv til et malware-program. Når jeg tænker sikkerhed og NemID så er mit fokus på kryptering, sessions etc. Ikke på hvor dum brugeren er. Det er en anden form for sikkerhed som ingen kan udstede. Og det må selv den dummeste bruger fatte.
Det store problem med dumme brugere er vel at der findes så mange. Og når man så sælger en løsning på at det er en silver bullet løsning mod dumme brugere så er det ikke så heldigt når løsningen fejler i netop at være en silver bullet løsning mod dumme brugere.
Lad os få et system hvor vi skal godkende overførsler på en token eller tilsvarende. Det skal man så vidt jeg ved i både Sverige og Tyskland, hvor der så vidt jeg har kunne læse mig til popper noget op på et display?
satans citat funktion...
Nu ved jeg ikke hvordan NemID har markedsført produktet. Men jeg vil mene at det at påstå at det stadig er 100% sikkert stadig holder såfremt kryperting, sessions osv ikke er brækket endnu.
At man som bruger selv kompromiterer og laver hul i væggen må stå for brugerens egen regning. Det kan aldrig være NemIDs problem at brugeren ikke kan finde ud af at bruge det og derved begår fejl og kompromiterer et værktøj som brugeren i princippet er Administrator over.
NemID har jo ikke fejlet... NemID har gjort som NemID skulle - der har ikke været nogle sikkerhedsbrist - der har været et brugerbrist men NemID har jo gjort hvad NemID skal/skulle gøre!
I sparekassen østjylland bruger de i deres netbank app til iPhone SMS godkendelser ved alle overførseler, hvis jeg så ellers bruger deres netbank app fra en ikke jailbreaked iphone til alt i netbank (overførseler, betalinger af regninger osv.) umiddelbart vil jeg jo mene at det ikke vil kunne lade sig gøre at kompromittere den løsning uanset hvor dum jeg måtte være?
Wassini (10) skrev:Nu er NemID jo solgt på at det skal være muligt at benytte det 100% sikkert
Jeg har set flere påstå dette. Hvem af betydning har nogensinde påstået at NemID er 100% sikkert, uden en kedelig liste med betingelser?
Er det ikke bare en overfortolkning?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund