mboost-dp1
PBS A/S
Det er jo så et godt spørgsmål. Er der overhovedet nogen af betydning der har udtalt sig offentligt?myplacedk (46) skrev:Hvem af betydning har nogensinde påstået at NemID er 100% sikkert
Der er vel strengt taget ingen der har haft brug for at overbevise befolkningen om at nemid var en god idé. Det blev jo indført uden at man havde noget valg. I sidste ende har det vel været nok at overbevise de politikere, der kunne gennemføre beslutningen.
Jeg tvivler på nogen i dette forum kender de argumenter der har været anvendt til at overbevise politikerne om fornuften af idéen i første omgang.
Til gengæld mener jeg at danid ikke mente det var et problem, da Version2 demonstrerede hvor nemt det var at lave phishing imod nemid. Version2 var måske heller ikke helt gode nok til at kommunikere præcist hvori problemet bestod. At man kan lave phishing er ikke en svaghed i sig selv. Hvis brugerne fuldstændigt ukritisk indtaster deres oplysninger på vilkårlige sites kan intet beskyttes imod phishing.
Men da nemid bruges med et stadigt større spektrum af sites, og da nemid samtidigt er designet således at det er umuligt at se om login dialogen er fra det rigtige site er nemid faktisk meget sårbart.
Hvis man sammenholder den demonstration Version2 lavede med planerne om at bruge nemid til alle poker sites, så bør man kunne få øje på problemet.
At danid ikke ville erkende at ovenstående kunne betrages som en svaghed i nemid er en indikation af, at de har ekstremt høje forventninger om hvor opmærksomme deres brugere er på sikkerheden. Denne indstilling ville på ingen måde harmonere med at danid samtidigt udtalte at nemid var sikkert, hvis det blev brugt fra en kompromitteret computer.
Udtalelsen om at det var sikkert at bruge nemid fra en kompromitteret computer er bestemt blevet fremsat mange gange. Men jeg ved ikke hvor den kommer fra, og hvorvidt den person der har stået for at udbrede denne misinformation er en person af betydning.
kblood (38) skrev:Gør det muligt at låse NemID til bestemte computere. Så brugerne kan vælge om man vil lade det være muligt at logge på fra alle steder, så man skal have godkendt hver mac-adresse hos nem-id.
Men dem som så vælger at bruge det, ved sikkert også hvordan de beskytter sig imod den slags malware som er blevet brugt i disse tilfælde.
Det ville ikke nødvendigvis hjælpe i den her situation. Nu har de ikke oplyst ret meget endnu men de skal jo også lige have tid til at analysere hvad der er sket. Men hvis det er malware der er skyld i det her så kan angrebet jo udføres fra brugerens PC.
kasperd (51) skrev:Det er jo så et godt spørgsmål. Er der overhovedet nogen af betydning der har udtalt sig offentligt?
Deres officielle hjemmeside er godt nok ikke en person, men må nu alligevel tælle som en afsender af betydning. Og alt hvad der står på den, må vel tælle som en "officiel udtalelse", hvad denne diskussion angår.
Men når folk bliver ved med at sige at de har fået at vide det er 100% sikkert, så må de have fået det et eller andet sted fra. Mit bud er at enten har de det fra en kilde vi ikke kan bruge til noget, eller også har de misforstået et eller andet.
Jeg har den holdning at intet aldrig er 100% sikkert.
Hvis man virkelig vil ind så kommer man det også til sidst..
Men det skal så også siges at høj sikkerhed og brugervenlighed sjældent følges af, Derudover så kan man aldrig stoppe med at optimere sine systemer, og sikkerhed.
Hvis man virkelig vil ind så kommer man det også til sidst..
Men det skal så også siges at høj sikkerhed og brugervenlighed sjældent følges af, Derudover så kan man aldrig stoppe med at optimere sine systemer, og sikkerhed.
rd-Target (39) skrev:kblood (38) skrev:Gør det muligt at låse NemID til bestemte computere. Så brugerne kan vælge om man vil lade det være muligt at logge på fra alle steder, så man skal have godkendt hver mac-adresse hos nem-id.
Men dem som så vælger at bruge det, ved sikkert også hvordan de beskytter sig imod den slags malware som er blevet brugt i disse tilfælde.
Og det faktum, at det er ret nemt at spoofe en MAC-adresse? :)
Det stopper det ikke fra at være ekstra sikkerhed ;)
kblood (55) skrev:rd-Target (39) skrev:kblood (38) skrev:Gør det muligt at låse NemID til bestemte computere. Så brugerne kan vælge om man vil lade det være muligt at logge på fra alle steder, så man skal have godkendt hver mac-adresse hos nem-id.
Men dem som så vælger at bruge det, ved sikkert også hvordan de beskytter sig imod den slags malware som er blevet brugt i disse tilfælde.
Og det faktum, at det er ret nemt at spoofe en MAC-adresse? :)
Det stopper det ikke fra at være ekstra sikkerhed ;)
Enig.
Men det er ligegyldig sikkerhed... Kun besværende for den almene bruger, og absolut ingen hændring for personer med lidt teknisk indsigt, som man må formode de kriminelle har. :)
rd-Target (56) skrev:kblood (55) skrev:rd-Target (39) skrev:kblood (38) skrev:Gør det muligt at låse NemID til bestemte computere. Så brugerne kan vælge om man vil lade det være muligt at logge på fra alle steder, så man skal have godkendt hver mac-adresse hos nem-id.
Men dem som så vælger at bruge det, ved sikkert også hvordan de beskytter sig imod den slags malware som er blevet brugt i disse tilfælde.
Og det faktum, at det er ret nemt at spoofe en MAC-adresse? :)
Det stopper det ikke fra at være ekstra sikkerhed ;)
Enig.
Men det er ligegyldig sikkerhed... Kun besværende for den almene bruger, og absolut ingen hændring for personer med lidt teknisk indsigt, som man må formode de kriminelle har. :)
Men nu glemmer i vel ikke at nemID i forvejen sender MAC adresse, serie nummer på din CPU og RAM, det brugernavn du er logget ind med, og en masse andre hardware og software info med når man skal logge ind.
Med et passende DoS angreb kan man forhindre den kode i at køre. Man kan stadigvæk logge ind.Saxov (57) skrev:Men nu glemmer i vel ikke at nemID i forvejen sender MAC adresse, serie nummer på din CPU og RAM, det brugernavn du er logget ind med, og en masse andre hardware og software info med når man skal logge ind.
Wassini (47) skrev:Jeg gentager: NemID blev solgt på at det var sikkert at bruge det fra enhver computer... Gentager!: ENHVER!
Så det må være NemID der er nogle klaphatte!
Hvem siger andet er tilfældet?
Det er brugeren der er en klaphat og ikke systemet hvis det er det du antyder.
Og du får intet ud af at gentage din sætning. Det gør ikke NemID skyldig. NemID har intet gjort. Det har derimod brugeren af NemID.
Min lås på døren er også 100% sikker. Og den er stadig 100% sikker selvom jeg laver en kopi af min nøgle og giver den til en tyv. Det er jo ikke låsens skyld at jeg videregiver unlock-metoden...
Og hvis jeg endelig giver en nøglekopi til en tyv så kunne jeg aldrig drømme om at sagsøge Ruko for at lave en usikker løsning.
Så er det satme da min egen skyld at tyven har brudt ind.
Jeg fatter ikke hvorfor det er så svært at forstå!
Kian (42) skrev:Jeg er ikke enig! Det er ikke NemID's problem at brugeren er en klaphat. NemID leverer en METODE til hvordan du som borger kan tilgå dine oplsyninger på en sikker måde. Hvis du, bevidst eller ubevidst, vælger at kompromitere den sikkerhed ved fx at uddele dine oplysninger så er det DIN fejl! Også selvom du ikke er klar over hvad du har gjort. Det kan ALDRIG være NemIDs ansvar at du som bruger er dum.
Dybt uenig.
Du har reelt set ikke et valg. Det koster i dag 30 kr at lave bankoverførsler og indbetaling på girokort hvis du ikke har netbank. Der er uden tvivl andre hindringer også. Hvis du ikke har et valg - så skal det virke for alle.
Derudover så mener jeg du er naiv. Før eller siden får du, på trods af at du er væsentligt kyndigere på PC end min mor og alt for mange andre danskere som bankerne stadig ønsker skal bruge netbank, en virus og/eller malware på din computer.
Man kan (og bør) gøre meget for at undgå det. Men du kan ikke være sikker. Jeg mener der var en sag om at danske mediers websites har kørt flash-annoncer med malware. I ny og næ hører man om lovligt købte, originale, programmer som får en virus med uden at det opdages, før det er for sent.
Hvis du laver en klartekstfil på din computer med dine passwords og scanner dit NEM-id kort. Nå ja. Så har du dummet dig og bør holdes ansvarlig.
Men at du ikke er computer-wiz bør ikke afholde dig fra at gå i banken.
I øvrigt er NEM-id en parodi. Der kendes adskille løsninger på de problemer som NEM-id har men som ikke bruger:
* Challenges
*
* SMS (bruges delvist)
NEM-id er ikke primært sikkert. Det er primært nemt og billigt og komfortabelt.
Der er noget forkert i at jeg tvinges til at bruge samme kode til alle mine banker og i øvrigt også told og skat og en masse andre sites som bruger NEM-id.
Alene det at jeg ikke har et kodeord eller andet som NEM-id ikke er bekendt med er en sikkerhedsbrist af dimensioner. Hvad sker der den dag NEM-id bliver hacket?
Dijkstra (60) skrev:set går det ud på at flytte en del af klient funktionaliteten over på et separat stykke hardware. Det store spørgsmål er, hvor billig kan den ekstra hardware laves og stadig give sikkerhed.
Der er fire krav der som minimum skal være opfyldt for at hardwaren har mulighed for at give ekstra sikkerhed.
- Der skal være en måde at overføre noget data fra computeren til den separate hardware.
- Der skal være en måde at overføre noget data fra den separate hardware til computeren.
- Der skal være en måde for brugeren at verificere gyldigheden af den transaktion som den separate hardware arbejder på.
- Det skal være muligt for brugeren at forhindre at computeren modtager det nødvendige svar til at afslutte transaktionen.
Hvert af de fire krav kan løses på forskellige måder.
Data fra computer til enhed
Denne del udføres typisk med et tal på skærmen, og et tastatur på enheden. Videoen du linker til bruger i stedet for en scanner på enheden og binær data på skærmen. Sidstnævnte er praktisk fordi det muliggør overførsel af mere data, men er måske dyrere.
At de bruger en animation og ikke en QR kode kan være problematisk, da det stiller større krav til softwaren på computeren. En QR kode kunne vises af en vilkårlig browser med support for at vise billeder (det vil sige alle de almindelige brwosere kan bruges). Måske ville QR koden kræve dyrere hardware på enheden.
Kommunikationen kunne også udføres elektronisk. Men det stiller helt andre krav til både software og hardware. Jeg har ikke set nogen løsninger der gjorde dette (bortset fra SMS, som kan have problemer med de andre krav).
Data fra enhed til computer
Dette bliver stort set altid gjort ved at bruge en verifikationskode, som vises på et display på enheden og indtastes på computeren. Jeg har dog set det gjort med en enhed der har et USB stik og selv opfører sig som et tastatur når den forbindes til computeren. Sidstnævnte enhed havde dog mangler, der forhindrede den i at opfylde de andre krav.
Verifikation af af transaktion
Hvis enheden har et display kan dette løses ved at vise oplysningerne på displayet. Det kræver dog at alle oplysningerne er til stede på enheden, så man skal have styr på overførsel af data til enheden. Eksemplet i videoen bruger denne metode.
En anden metode er at brugeren selv indtaster nogle af transaktionsoplysningerne på enheden. Denne metode har jeg set brugt i UBS netbank, hvor man skulle indtaste nogle af cifrene fra kontonummeret for at udføre en international pengeoverførsel.
Forhindre ugyldige transaktioner
Alle systemer jeg har set kræver at brugeren enten taster en kode på tastaturet eller sætter enheden i en USB port og trykker på en knap på enheden for at godkende transaktionen.
Når man har undersøgt om transaktionen er korrekt kan man blot lade være med at gennemføre dette skridt.
Dijkstra (60) skrev:Du har reelt set ikke et valg. Det koster i dag 30 kr at lave bankoverførsler og indbetaling på girokort hvis du ikke har netbank. Der er uden tvivl andre hindringer også. Hvis du ikke har et valg - så skal det virke for alle.
Det virker da også! NemID har ikke fejlet! Hvis du selv vælger at kompromitere sikkerheden er det klart at sikkerheden forsvinder. Hvad havde du egentlig regnet med? At du frit skulle kunne give dine oplysninger uden at forvente at det fik konsekvenser?
Hvis du giver din Ruko-nøgle til din lejlighed væk så må du da forvente at du får indbrud! Folk skifter lås når de taber deres nøglebund - specielt de tosser der render rundt med en lille label i nøglebundet hvorpå adressen står. Det er jo i princippet det samme som med NemID. Render du rundt med lablen i dit nøglebundt kompromiterer du nøglen og Rukos sikkerhed. Og så er du selv ude om det.
Dijkstra (60) skrev:Derudover så mener jeg du er naiv. Før eller siden får du, på trods af at du er væsentligt kyndigere på PC end min mor og alt for mange andre danskere som bankerne stadig ønsker skal bruge netbank, en virus og/eller malware på din computer.
Det er sket! Jeg formaterede øjeblikket min computer, bestilte nyt nøglekort og ringede til min bankrådgiver! Også selvom jeg ikke havde brugt NemID i laaange tider.
Men hvad har det med NemIDs sikkerhed at gøre? NemID er, _stadig_, ikke skyld i at jeg får virus/malware mv og at denne sender info om homebanking etc videre.
Dijkstra (60) skrev:Man kan (og bør) gøre meget for at undgå det. Men du kan ikke være sikker. Jeg mener der var en sag om at danske mediers websites har kørt flash-annoncer med malware.
Og? Det har stadig intet med NemIDs sikkerhed at gøre. Du bliver altså snart nødt til at forstå at begrebet 'sikkerhed' i NemIDs optik kun strækker sig til hvad NemID kan formå. 'Sikkerhed' i NemIDs topologi indebærer altså kun den sikkerhed som ligger within NemID - og altså ikke den sikkerhed der er i omverdenen. NemID kan ikke agere i den omverden den er i - det er ikke NemIDs job! (til gengæld er det dit eget job og der findes udmærkede programmer - fx Heimdal, som jeg dog mener havde et andet navn engang). NemIDs sikkerhedsjob er at skabe en forbindelse til en server der er krypteret så du kan udføre personlige transaktioner. And thats it!
Præcis ligesom det er dit eget ansvar at beskytte dit eget hjem ved fx at låse døren når du går på arbejde, på uni osv. Det kan ikke være Rukos problem at du ikke låser døren.
Dijkstra (60) skrev:I ny og næ hører man om lovligt købte, originale, programmer som får en virus med uden at det opdages, før det er for sent.
Hvis du laver en klartekstfil på din computer med dine passwords og scanner dit NEM-id kort. Nå ja. Så har du dummet dig og bør holdes ansvarlig.
Jeg mener så at det at lægge sine oplysninger i klartekst som fil er præcis det samme som at give oplysningerne væk til tyven. Forskellen er præcis den samme. Og jeg kan slet ikke se hvordan du overhovedet kan komme i tanke om at der er forskel på at gi tyven dine oplsyninger end på at lægge dem på din computer og så blive hacket.
Dijkstra (60) skrev:Men at du ikke er computer-wiz bør ikke afholde dig fra at gå i banken.
Det har jeg heller aldrig sagt! Men folk må satme tage ansvar! Det er folks eget ansvar at have styr på sikkerheden på deres computere. Og ja det er muligt at de er nogle klovner og at de ikke kan stave til sikkerhed og at deres computere er pestbefængte med vira, malware etc. Men så er det jo ret åbenlyst heller ikke dem der skal ha homebanking. Det siger ligesom sig selv!
Spørg du et forsikringsselvskab om de vil dække din lejlighed hvis du kronisk aldrig låser døren, lader vinduerne stå åbne og har et skilt hængende med invitation til tag-selv-bord. Svaret vil nok være nej!
Jeg kan nemt forholde mig til din harme over at det koster penge og bla bla bla omkring Girokort. Det ændrer dog ikke på at NemID intet har med dette at gøre. Du forplumrer billedet og er ude i en frustration over at bankerne-jo-ikke-har-andre-løsninger-så-man-tvinges-til-NemID... det er muligt! men det har intet med NemID og sikkerhed at gøre! I såfald vil jeg gerne høre hvordan krypteret dataforbindelse kan relateres til bankens manglende løsninger for betaling af Giro-kort.
Dijkstra (60) skrev:
I øvrigt er NEM-id en parodi. Der kendes adskille løsninger på de problemer som NEM-id har men som ikke bruger:
* Challenges
* http://www.youtube.com/..
* SMS (bruges delvist)
NEM-id er ikke primært sikkert. Det er primært nemt og billigt og komfortabelt.
Der er noget forkert i at jeg tvinges til at bruge samme kode til alle mine banker og i øvrigt også told og skat og en masse andre sites som bruger NEM-id.
Alene det at jeg ikke har et kodeord eller andet som NEM-id ikke er bekendt med er en sikkerhedsbrist af dimensioner. Hvad sker der den dag NEM-id bliver hacket?
Jeg har ALDRIG forsøgt at tale positivt for NemID. Jeg mener det samme som dig (i ovenstående). Men derfor bliver du altså stadig nødt til at holde skæg fra snot når du taler sikkerhed og NemID.
Kian (64) skrev:[quote]
Jeg har ALDRIG forsøgt at tale positivt for NemID. Jeg mener det samme som dig (i ovenstående). Men derfor bliver du altså stadig nødt til at holde skæg fra snot når du taler sikkerhed og NemID.
Du skal jo også selv holde skæg fra snot i den her debat. Nemid har intet med din krypterede forbindelse at gøre. Nemid er en sso løsning og har intet med krypteringen af trafikken fra din klient til netbanken at gøre.
Hubert (65) skrev:
Du skal jo også selv holde skæg fra snot i den her debat. Nemid har intet med din krypterede forbindelse at gøre. Nemid er en sso løsning og har intet med krypteringen af trafikken fra din klient til netbanken at gøre.
Det er sikkert rigtigt! Men det undergraver ikke min pointe. Jeg ved ikke noget om den sikkerhed der ligger i NemID - jeg ved bare at der er en eller anden form for sikkerhed.
Og den sikkerhed der er i NemID intet har med den sikkerhed at gøre som brugeren selv skal stå for - fx i form af ikke at videregive oplysninger mv.
ty (67) skrev:Sikkerhed består også i at lave en løsning, som gør det sværere for kriminelle at snyde brugerne
Det er jeg da helt enig i! Men min kamp er i første omgang at få folk til at lade være med at sige at det er NemID der har fejlet. Når man vil uddele ansvar og skyld i sådan en sag så man dælme også vedstå sig sit eget ansvar og det synes jeg i høj grad mangler i den debat der har været her på Newz. Folk mener at det er NemIDs skyld at de er blevet kompromiteret idet de selv har videregivet 'administratorrettighederne'.
Jeg har spurgt 15 kollegaer (vi sidder i en IT-afdeling) ved en pause og de medgav alle straks at det ikke er sikkerheden i NemID der er skyld i at folk er blevet hacket.
Det er og bliver et brugerproblem! Det er muligt at der rummet hvori brugeren kan begå fejl kan indsnævres, og muligvis fra NemID, men der er endnu ingen der har mistet penge pga fejl i NemIDs sikkerhed!
ty (67) skrev:Det er næppe med overlæg, at brugerne installerer onde ting på deres computer og trykker, hvor de gør.
Nej selvfølgelig er det ikke med overlæg. Hvem f***** vil også lade sin dør stå uåbnet når man forlader sit hjem!(?) Men er det så pludselig et NemID-problem?
myplacedk (68) skrev:#67
Ja, der skal være balance. En ting jeg virkelig savner i samtlige NemID-debatter på newz.
Nu er IT jo sjældent et sted med gråtoner. Computere tænker ALTID logisk og når logik så har indvirkning på dagligdagen så har folk det med at gi computeren skylden. Du må gerne tænke i gråtoner og efterlyse gråtoner. Men det ændrer ikke på at computeren kun gør hvad den bliver bedt om. Hvis nogen beder den om at overføre penge (via fx NemID) så bliver der overført penge. Og det er ikke NemIDs fejl at det sker. Alt peger på brugeren... du kan sige sikkerhed. Fint nok! Men sikkerhed i NemID beskytter altså ikke mod dumme brugere... og det er et håbløst projekt at forsøge på at dække dumme brugere.
Helt personligt er jeg fx heller ikke glad for at mine forældre har homebanking - jeg har før fjernet malware etc fra computeren og det eneste jeg kan konstatere er at homebanking simpelthen er risci business.
Man må ligesom også formå at afgrænse sine muligheder efter sine evner. Hvis man er 50 kg overvægter kaster man sig heller ikke ud i et marthonløb uden at ha løbet før. Hvis man er der downloader malware, vira osv. så er man nok heller ikke lige den der skal ha installeret en homebanking-klient. Og her henviser jeg ikke til at NemID ikke er sikkert; - men derimod til at brugeren nok kunne antages at være for dum til at håndtere den generelle computer-sikkerhed.
Kian, du har vist ikke helt forstået pointen. Hold nu op med dine "dumme brugere". Alle kan blive snydt. Nogle bliver snyde nemmere end andre. Jeg kan garantere dig for, at de kriminelle også sagtens kan lave et system, som kan frarøve selv dig penge - sådan som det omtalte system fungerer på.
Kian (66) skrev:
Det er sikkert rigtigt! Men det undergraver ikke min pointe. Jeg ved ikke noget om den sikkerhed der ligger i NemID - jeg ved bare at der er en eller anden form for sikkerhed.
Og den sikkerhed der er i NemID intet har med den sikkerhed at gøre som brugeren selv skal stå for - fx i form af ikke at videregive oplysninger mv.
Det er måske lige tidligt nok at give skylden for det her til enten brugerne eller nemid. De arbejder så vidt jeg ved stadig på at analysere de her indbrud så hvad der er sket er ikke til at sige.
Jeg er ret sikker på at i min netbank havde det ikke være nødvendigt at give noget væk. Hvis jeg havde overført penge kunne et stykke malware lave nok så mange overførsler. Det er kun første gang der skal indtastes en nøgle.
Hvordan det fungerer i Danske banks netbank skal jeg ikke kunne sige...
ty (70) skrev:Kian, du har vist ikke helt forstået pointen. Hold nu op med dine "dumme brugere". Alle kan blive snydt. Nogle bliver snyde nemmere end andre. Jeg kan garantere dig for, at de kriminelle også sagtens kan lave et system, som kan frarøve selv dig penge - sådan som det omtalte system fungerer på.
Jeg har aldrig ment dumme brugere som i idioti eller lign. Nærmere som brugere der ikke forstår systemer osv.
Det er jo et begreb ('dum bruger') som også kan bruges uden at det er negativt.
Jeg har heller aldrig sagt jeg ikke selv kan blive snydt. Jeg er absolut ikke hellig i den her krig - på nogen måde. Jeg er fx en dum bruger hvis jeg satte mig bag OSX. Jeg aner absolut intet om OSX.
Men i det mindste er jeg mit ansvar bevidst! Jeg ved hvor grænserne går for hvornår det er mig der laver lort i lagkagen, og hvornår det er systemet. Og i de fleste tilfælde er det altså brugeren...
Hubert (71) skrev:Kian (66) skrev:
Det er sikkert rigtigt! Men det undergraver ikke min pointe. Jeg ved ikke noget om den sikkerhed der ligger i NemID - jeg ved bare at der er en eller anden form for sikkerhed.
Og den sikkerhed der er i NemID intet har med den sikkerhed at gøre som brugeren selv skal stå for - fx i form af ikke at videregive oplysninger mv.
Det er måske lige tidligt nok at give skylden for det her til enten brugerne eller nemid. De arbejder så vidt jeg ved stadig på at analysere de her indbrud så hvad der er sket er ikke til at sige.
Jeg er ret sikker på at i min netbank havde det ikke være nødvendigt at give noget væk. Hvis jeg havde overført penge kunne et stykke malware lave nok så mange overførsler. Det er kun første gang der skal indtastes en nøgle.
Hvordan det fungerer i Danske banks netbank skal jeg ikke kunne sige...
Hmmm... så vidt jeg har forstået så skyldes det malware der har franaret brugeren oplysninger. Jeg behøver ikke at vide mere end det. Og på den baggrund så er der ikke meget andet end at konstatere at det er brugeren selv der har oplyst nøglen. Men hvis der er sikkerhedsfeature der ikke har fungeret - som fx send-en-sms-for-at-bekræfte-overførsel eller andet så er jeg da helt enig i snakken om at NemID har fejlet.
Kian (73) skrev:
Hmmm... så vidt jeg har forstået så skyldes det malware der har franaret brugeren oplysninger. Jeg behøver ikke at vide mere end det. Og på den baggrund så er der ikke meget andet end at konstatere at det er brugeren selv der har oplyst nøglen. Men hvis der er sikkerhedsfeature der ikke har fungeret - som fx send-en-sms-for-at-bekræfte-overførsel eller andet så er jeg da helt enig i snakken om at NemID har fejlet.
Så du behøver ikke kende den fulde historie før du mener at vide at det er brugeren der har fejlet..?
Så er der vist ikke meget grund til at fortsætte debatten. :)
Hubert (74) skrev:Kian (73) skrev:
Hmmm... så vidt jeg har forstået så skyldes det malware der har franaret brugeren oplysninger. Jeg behøver ikke at vide mere end det. Og på den baggrund så er der ikke meget andet end at konstatere at det er brugeren selv der har oplyst nøglen. Men hvis der er sikkerhedsfeature der ikke har fungeret - som fx send-en-sms-for-at-bekræfte-overførsel eller andet så er jeg da helt enig i snakken om at NemID har fejlet.
Så du behøver ikke kende den fulde historie før du mener at vide at det er brugeren der har fejlet..?
Så er der vist ikke meget grund til at fortsætte debatten. :)
Det skal du jo selv bestemme. Som jeg har forstået det er brugerne blevet franarret deres NemID-oplysninger via malware. Jeg behøves ikke vide mere for at konkludere at NemID ikke er årsag til problemet. Og jeg kan ret nemt sige at hvisbrugeren ikke havde udleveret oplysninger så var uheldet ikke sket. Ergo er problemet brugeren.
Det er ren deduktion.
Kian (75) skrev:
Det skal du jo selv bestemme. Som jeg har forstået det er brugerne blevet franarret deres NemID-oplysninger via malware. Jeg behøves ikke vide mere for at konkludere at NemID ikke er årsag til problemet. Og jeg kan ret nemt sige at hvisbrugeren ikke havde udleveret oplysninger så var uheldet ikke sket. Ergo er problemet brugeren.
Det er ren deduktion.
Det er meget uheldigt at konkludere noget før man har alle fakta. Nu fortæller historien så at danid ikke er særligt åbne så vi får formentlig aldrig alle fakta på bordet.
Det letteste verden er at give brugeren skylden. Men det ændrer vel ikke på at nemid der skulle højne sikkerheden ikke har virket efter hensigten her..?
Du kan tage NemID med dig og bruge den fra andre computere. Du skal bare huske dit nøglekort, så kan du bruge NemID fra de fleste computere med internetforbindelse.
For eksempel kan du bruge NemID på din pc på arbejde om dagen, på din mac derhjemme om aftenen eller på en internet-café, når du er ude at rejse.
Kilde
Ovenstående giver jo ikke just indtryk af at jeg behøver holde min pc opdateret. Det fremgår jo endda jeg kan benytte mig af en pc på en netcafe. Det er da en pc jeg på ingen måde kan stole på... Så jeg ville nok passe på med at kalde brugeren for dumme.
Der ud over overså du åbenbart det senarie jeg satte op tidligere hvor man da ihvertfald ikke kan påstå at brugeren har gjort andet end at benytte sin netbank som man kan forvente de gør.
#76
Både for sin egen pc, sin arbejds-pc og en netcafé pc kræver MitM angrebet da så vidt jeg forstår det, at brugeren følger et link fra email. Om man kan kalde det en bruger fejl er semantik, men klogt er det ikke.
Angrebet har osse fået hjælp fra banken, der har vægtet brugeroplevelsen højere end sikkerhed. Login kræver kode men ikke transaktioner... hmmm... jeg ville umiddelbart sige det burde være stik modsat.
Så (mindst) to helt afgørende trin kan man ikke laste NemID for. Men for den skrigende uvaskede pøbel er det svært at komme igennem med.
Kan man lave et sikrere system? Ja da, de findes allerede. Men NemID var den afvejning mellem pris, brugeroplevelse og sikkerhed som bankerne og det offentlige kunne enes om.
Den poetiske retfærdighed er alt andet lige, at det er bankerne selv der hæfter, og det gør de uden brok. Dommedagsscenariet hvor brugeren hæfter - osse for at ha' overdraget sit skøde med en digital signatur til Boris Kriminalski i Usbejistan - er ikke en realitet.
Både for sin egen pc, sin arbejds-pc og en netcafé pc kræver MitM angrebet da så vidt jeg forstår det, at brugeren følger et link fra email. Om man kan kalde det en bruger fejl er semantik, men klogt er det ikke.
Angrebet har osse fået hjælp fra banken, der har vægtet brugeroplevelsen højere end sikkerhed. Login kræver kode men ikke transaktioner... hmmm... jeg ville umiddelbart sige det burde være stik modsat.
Så (mindst) to helt afgørende trin kan man ikke laste NemID for. Men for den skrigende uvaskede pøbel er det svært at komme igennem med.
Kan man lave et sikrere system? Ja da, de findes allerede. Men NemID var den afvejning mellem pris, brugeroplevelse og sikkerhed som bankerne og det offentlige kunne enes om.
Den poetiske retfærdighed er alt andet lige, at det er bankerne selv der hæfter, og det gør de uden brok. Dommedagsscenariet hvor brugeren hæfter - osse for at ha' overdraget sit skøde med en digital signatur til Boris Kriminalski i Usbejistan - er ikke en realitet.
Pally (77) skrev:
Både for sin egen pc, sin arbejds-pc og en netcafé pc kræver MitM angrebet da så vidt jeg forstår det, at brugeren følger et link fra email. Om man kan kalde det en bruger fejl er semantik, men klogt er det ikke.
Der er intet der underbygger at det er foregået via en mail med den information der er kommet frem indtil nu. Det eneste der er kommet frem indtil nu er at det er et stykke malware. Og det kan lige så godt have været et drive by install.
Angrebet har osse fået hjælp fra banken, der har vægtet brugeroplevelsen højere end sikkerhed. Login kræver kode men ikke transaktioner... hmmm... jeg ville umiddelbart sige det burde være stik modsat.
Det afhænger helt af hvilken netbank du benytter dig af. I den netbank jeg har adgang til skal jeg ikke bruge en nøgle for at logge ind men vil jeg lave andet end at kigge på mine konti skal jeg bruge en nøgle.
Så (mindst) to helt afgørende trin kan man ikke laste NemID for. Men for den skrigende uvaskede pøbel er det svært at komme igennem med.
Man kan ikke klandre Danid for at brugeren får malware på sin PC det er vi da enige om. Man kan ligeledes ikke klandre hverkan Danid eller brugeren for den måde Danske bank har valgt at implementere nemid i deres netbank.
Kan man lave et sikrere system? Ja da, de findes allerede. Men NemID var den afvejning mellem pris, brugeroplevelse og sikkerhed som bankerne og det offentlige kunne enes om.
Der findes allerede eksisterende systemer der er mere sikre end nemid ja. Sjovt nok er de typisk blevet lavet fordi man har fundet systemer tilsvarende nemid for usikre. Tankevækkende... :)
Den poetiske retfærdighed er alt andet lige, at det er bankerne selv der hæfter, og det gør de uden brok. Dommedagsscenariet hvor brugeren hæfter - osse for at ha' overdraget sit skøde med en digital signatur til Boris Kriminalski i Usbejistan - er ikke en realitet.
De har jo ikke noget valg. Hvis de begynder at brokke sig over at skulle dække en udgift de selv bør afholde så risikerer de jo at folk på borgen får øjnene op for andre muligheder. Og lur mig om de ikke gerne vil beholde den her guld gås de har fundet nu. Også efter aftalen udløber om 3-4 år.
Kian: Igen vil jeg bare sige at vi ikke er enige.
Jeg tror ikke vi bliver det.
Phising angreb ligner normalt websiden som den plagiere rigtig godt. Så at klantre folk for at skrive deres koder der lyder hult for mig.
Hvad laver man overhovedet på en phising side???
Well, hvis den hedder dansebank.dk eller et anden stavefejl - så kan det forekomme. Selv for dig eller mig.
Men oftere sker det med f.eks. DNS poisoning (eller nogen der laver en hosts fil med danskebank.dk til et forkert IP nummer). Det er altså umuligt at se.
Dermed mener jeg stadig at løsningen bliver nødt til at være sikker mod MitM angreb.
Jeg tror ikke vi bliver det.
Phising angreb ligner normalt websiden som den plagiere rigtig godt. Så at klantre folk for at skrive deres koder der lyder hult for mig.
Hvad laver man overhovedet på en phising side???
Well, hvis den hedder dansebank.dk eller et anden stavefejl - så kan det forekomme. Selv for dig eller mig.
Men oftere sker det med f.eks. DNS poisoning (eller nogen der laver en hosts fil med danskebank.dk til et forkert IP nummer). Det er altså umuligt at se.
Dermed mener jeg stadig at løsningen bliver nødt til at være sikker mod MitM angreb.
Pally (77) skrev:#76
Både for sin egen pc, sin arbejds-pc og en netcafé pc kræver MitM angrebet da så vidt jeg forstår det, at brugeren følger et link fra email. Om man kan kalde det en bruger fejl er semantik, men klogt er det ikke.
Nej. Hvis du ikke kan stole på DNS'en så kan du intet gøre for at forhindre en phising side.
I windows er det bare at ligge en hosts fil det rigtige sted.
Andre steder er det måske nødvendigt at hacke din router, - men det er også sket.
Pally (77) skrev:Den poetiske retfærdighed er alt andet lige, at det er bankerne selv der hæfter, og det gør de uden brok. Dommedagsscenariet hvor brugeren hæfter - osse for at ha' overdraget sit skøde med en digital signatur til Boris Kriminalski i Usbejistan - er ikke en realitet.
Nej, - og den dag det sker bliver jeg aktiv lobbyist og opsiger mine netbank-aftaler etc.
#80
Jep jep. Jeg fik formuleret mig uklart: jeg mente det specifikke MitM angreb som jeg har forstået ud fra Version2's beskrivelse. MitM angreb generelt dækker over langt flere scenarier: DNS'en som du nævner, falske certifikater i browserens certifikat-storage er et andet oplagt sted.
Jep jep. Jeg fik formuleret mig uklart: jeg mente det specifikke MitM angreb som jeg har forstået ud fra Version2's beskrivelse. MitM angreb generelt dækker over langt flere scenarier: DNS'en som du nævner, falske certifikater i browserens certifikat-storage er et andet oplagt sted.
#78
Hvad er det tankevækkende i at der er sikrere systemer? Jeg ved det, du ved det, bankerne, NETS og staten ved det.
Hvis der svindles for X kr årligt, så har bankerne incitament til at bruge max X-1 kr årligt på at reducere svindel. Bankernes mål er ikke - og vil aldrig være - at få elimineret svindel; svindel skal blot reduceres til et acceptabelt niveau.
Tilsvarende har det offentlige formodenlig størst gevinst i et system som er simpelt og - meget vigtigt - udbredt. Derved kan der spares kontor folk, manuelle processer osv. Det offentlige har næppe den store interesse i et sikrere system som færre borgere vil bruge.
Ordførerne i Folketinget vil måske komme med en uforpligtende gummi-udtalelse om NemID i ny og næ; men så længe der ikke kommer alternativer der er billigere og/eller kan eliminere flere manuelle arbejdsgange, så er jeg overbevist om at der ikke sker nogen form for indgreb.
Det er lidt en Lomborg diskussion: hvordan får vi mest sikkerhed for færrest penge. Welcome to the real world.
Hvad er det tankevækkende i at der er sikrere systemer? Jeg ved det, du ved det, bankerne, NETS og staten ved det.
Hvis der svindles for X kr årligt, så har bankerne incitament til at bruge max X-1 kr årligt på at reducere svindel. Bankernes mål er ikke - og vil aldrig være - at få elimineret svindel; svindel skal blot reduceres til et acceptabelt niveau.
Tilsvarende har det offentlige formodenlig størst gevinst i et system som er simpelt og - meget vigtigt - udbredt. Derved kan der spares kontor folk, manuelle processer osv. Det offentlige har næppe den store interesse i et sikrere system som færre borgere vil bruge.
Ordførerne i Folketinget vil måske komme med en uforpligtende gummi-udtalelse om NemID i ny og næ; men så længe der ikke kommer alternativer der er billigere og/eller kan eliminere flere manuelle arbejdsgange, så er jeg overbevist om at der ikke sker nogen form for indgreb.
Det er lidt en Lomborg diskussion: hvordan får vi mest sikkerhed for færrest penge. Welcome to the real world.
Pally (82) skrev:#78
Hvad er det tankevækkende i at der er sikrere systemer? Jeg ved det, du ved det, bankerne, NETS og staten ved det.
jeg mener det bør være tankevækkende at man ikke vælger det der sikrer vores digitale identitet bedst muligt. Der ud over kan jeg godt være i tvivl om hvor mange politikere der faktisk ved at der findes mere sikre systemer end nemid.
Hvis der svindles for X kr årligt, så har bankerne incitament til at bruge max X-1 kr årligt på at reducere svindel. Bankernes mål er ikke - og vil aldrig være - at få elimineret svindel; svindel skal blot reduceres til et acceptabelt niveau.
Ja netbank svindel. Men problemet er jo så bare at nemid når så meget længere end netbanken.
Tilsvarende har det offentlige formodenlig størst gevinst i et system som er simpelt og - meget vigtigt - udbredt. Derved kan der spares kontor folk, manuelle processer osv. Det offentlige har næppe den store interesse i et sikrere system som færre borgere vil bruge.
Udbredelse er bestemt vigtigt. Men når man benytter den her slags 'frivillig' udbredelse så skal man sgu sørge for at sikre folk ordentligt. Og det gør man ikke ved at vælge en løsning der andre steder er vraget fordi den var for dårlig.
Ordførerne i Folketinget vil måske komme med en uforpligtende gummi-udtalelse om NemID i ny og næ; men så længe der ikke kommer alternativer der er billigere og/eller kan eliminere flere manuelle arbejdsgange, så er jeg overbevist om at der ikke sker nogen form for indgreb.
Har nemid overhovedet fjernet nogle manuelle arbejdsgange? Det er vel i brund og grund blot en ny måde at logge ind på. Det ændrer da ikke på arbejdsgangen.
Det er lidt en Lomborg diskussion: hvordan får vi mest sikkerhed for færrest penge. Welcome to the real world.
Nu har jeg så også længe ment at Lomborg til tider har haft nogle gode pointer.
Hubert (76) skrev:Kian (75) skrev:
Det skal du jo selv bestemme. Som jeg har forstået det er brugerne blevet franarret deres NemID-oplysninger via malware. Jeg behøves ikke vide mere for at konkludere at NemID ikke er årsag til problemet. Og jeg kan ret nemt sige at hvisbrugeren ikke havde udleveret oplysninger så var uheldet ikke sket. Ergo er problemet brugeren.
Det er ren deduktion.
Det er meget uheldigt at konkludere noget før man har alle fakta. Nu fortæller historien så at danid ikke er særligt åbne så vi får formentlig aldrig alle fakta på bordet.
Det letteste verden er at give brugeren skylden. Men det ændrer vel ikke på at nemid der skulle højne sikkerheden ikke har virket efter hensigten her..?
Du kan tage NemID med dig og bruge den fra andre computere. Du skal bare huske dit nøglekort, så kan du bruge NemID fra de fleste computere med internetforbindelse.
For eksempel kan du bruge NemID på din pc på arbejde om dagen, på din mac derhjemme om aftenen eller på en internet-café, når du er ude at rejse.
Kilde
Ovenstående giver jo ikke just indtryk af at jeg behøver holde min pc opdateret. Det fremgår jo endda jeg kan benytte mig af en pc på en netcafe. Det er da en pc jeg på ingen måde kan stole på... Så jeg ville nok passe på med at kalde brugeren for dumme.
Der ud over overså du åbenbart det senarie jeg satte op tidligere hvor man da ihvertfald ikke kan påstå at brugeren har gjort andet end at benytte sin netbank som man kan forvente de gør.
Jeg gentager bare mig selv uden længere forklaring: der er INGEN og jeg mener det, absolut INGEN der har mistet penge på bekostning af at NemIDs sikkerhed har fejlet. Det er brugeren der har fejlet.
Og det står jeg ret så stejlt på.
Du må gerne udvaske begrebet lige så tosset som du vil - og det er du jo ret godt igang med, men det ændrer ikke fakta i en verden hvor realiteter muligvis er kolde.
Dijkstra (79) skrev:Kian: Igen vil jeg bare sige at vi ikke er enige.
Jeg tror ikke vi bliver det.
Phising angreb ligner normalt websiden som den plagiere rigtig godt. Så at klantre folk for at skrive deres koder der lyder hult for mig.
Hvad laver man overhovedet på en phising side???
Well, hvis den hedder dansebank.dk eller et anden stavefejl - så kan det forekomme. Selv for dig eller mig.
Men oftere sker det med f.eks. DNS poisoning (eller nogen der laver en hosts fil med danskebank.dk til et forkert IP nummer). Det er altså umuligt at se.
Dermed mener jeg stadig at løsningen bliver nødt til at være sikker mod MitM angreb.
Hør nu her. Det er muligt at brugeren ikke ved det er en phising-side. Og jeg forsøg ikke at kalde brugeren dum. Men det er sgu da immervæk brugeren selv der gør noget for at uheldet sker. Vi kan nemt blive enige om at det er meeegauheldigt, men det ændrer altså ikke på action -> cause. Hvis du piller brugeren ud af kæden så var uheldet jo ikke sket.
Jeg kan simpelthen ikke forstå hvorfor I er så tungnemme!
Jeg vil ikke brugeren noget ondt! Jeg gør blot opmærksom på at brugeren begår en fejl. Om det så er at lade sig lokke af phising-sites eller andet er totalt ligegyldigt. Det er pointen i at uden brugeren var fejlen ikke opstået fordi brugeren ikke kunne begå fejlen. Ergo er fejlen, at indtaste oplysning på phisin-sites, en brugerfejl. Det er så satans simpelt.
Jeg er enig i at man skal gøre alt for at komme det til livs så gamle mennesker og PC-analfabeter kan bruge fx netbank sikkert. Jeg sig så også bare at det ikke er NemID der skal rette fx phising-problemet. Hvordan fanden skal NemID kunne gøre det?
Folk bør ha endnu mere oplysning om virus, malware mv. Og mit forslag er at banken, da det jo i sidste ende er dem der skal erstatte dit tab, tillader sig at stille krav - fx at du har antivirus på din computer.
Jeg synes også det er en skide god ide med mere integration i NemID som fx at man fik en SMS ved hver transaktion om overført beløb osv.
Et stykke malware kunne da uden videre udnytte ethvert forsøg på at tilgå et legitimt site, der anvender nemid. Hvis du bruger en tilfældig computer på en netcafe er det nok rimeligt at antage at den kan være inficeret af malware. Når du så taster adressen på et legitimt site med nemid aktiveres malwaren, og i stedet for at gennemføre den transaktion du har forventet overføres et større beløb fra din bankkonto til en forbryder.Pally (77) skrev:Både for sin egen pc, sin arbejds-pc og en netcafé pc kræver MitM angrebet da så vidt jeg forstår det, at brugeren følger et link fra email.
Det eneste du som bruger behøver gøre forkert er at bruge en computer, der ikke er til at stole på. Intet af det der sker på skærmen giver indikation af at der er noget galt.
Folk burde altså kunne lære at kigge på den URL de er gået ind på før de indtaster deres login oplysninger.Dijkstra (79) skrev:Phising angreb ligner normalt websiden som den plagiere rigtig godt. Så at klantre folk for at skrive deres koder der lyder hult for mig.
Og URLen er jo en de selv har indtastet. Og man bør selvfølgelig bruge et bookmark. Det både nemmere og sikre at bruget et bookmark, så er der mindre chancer for tastefejl.
Der hvor problemet ligger i nemid er, at man forventer at brugerne kender listen over alle legitime sites, der bruger nemid, og er i stand til at huske denne liste. Det er ikke et rimeligt krav at stille til nemid. Jeg tror ikke på at der er en eneste person der er i stand til at huske præcist hvilke sites, der bruger nemid.
Det site man besøger er ikke det som login oplysningerne sendes til. Men da man ikke kan se hvilket site login oplysningerne sendes til, er man nødt til at stole på det site man faktisk er på vej ind på. Det vil sige at man er nødt til at stole på en liste af sites, der er så lang, at der ikke er nogen, som kan huske den præcise liste.
Man burde altid taste sine login oplysninger på en side på det samme domæne, uanset hvilket domæne man er på vej ind på. Og faktisk burde man kunne lave to forskellige typer bookmarks til denne login side. Den ene type skulle efter login redirecte til det ønskede site. Den anden type skulle efter login vise en liste over alle legitime sites, der bruger nemid, så man selv kan vælge hvilket af dem vil logges på.
En advarsel om et ugyldigt SSL certifikat er ikke umulig at se. DNS poisoning er kun et problem for de bruger der taster en http adresse i stedet for en https adresse, og ikke er omhyggelige med at checke at de er blevet redirectet til den rigtige adresse.Dijkstra (79) skrev:Men oftere sker det med f.eks. DNS poisoning (eller nogen der laver en hosts fil med danskebank.dk til et forkert IP nummer). Det er altså umuligt at se.
Det er så endnu en grund til at bruge et bookmark.
Hvis klientcomputeren er kompromitteret hjælper ovenstående selvfølgelig ikke. I så fald ville der være mange måder at gennemføre et angreb på. Det nemmeste ville nok være at tilføje et rod certifikat til browseren og ændre hosts filen således at legitime domæner peger på en kompromitteret computer, der bruges til et fake SSL website. (En mulighed ville være at bruge 127.0.0.1).
Hvis det nuværende system giver mulighed for svindel, så er der en risiko for at der bliver svindlet for væsentligt flere penge til næste år.Pally (82) skrev:Hvis der svindles for X kr årligt, så har bankerne incitament til at bruge max X-1 kr årligt på at reducere svindel.
Hvis der blev brugt 0kr på sikkerhed, så ville der uden tvivl blive svindlet for mange milliarder kroner. Der er ingen tvivl om at de første kroner man bruger på sikkerhed er dem, der giver den største reduktion i omkostningerne til svindel. Men man er nødt til at tage risikoen med i sine beregninger. Hvor mange penge er det værd at bruge på at forhindre en 1% risiko for et tab på 10.000.000kr? Svaret er mere end 100.000kr, men hvor meget mere er ikke et nemt spørgsmål at besvare. Det bliver ikke nemmere at besvare af at man hverken kender det mulige beløbs størrelse eller sandsynligheden for at det vil ske.
Kian (84) skrev:
Jeg gentager bare mig selv uden længere forklaring: der er INGEN og jeg mener det, absolut INGEN der har mistet penge på bekostning af at NemIDs sikkerhed har fejlet. Det er brugeren der har fejlet.
Og det står jeg ret så stejlt på.
Du må gerne udvaske begrebet lige så tosset som du vil - og det er du jo ret godt igang med, men det ændrer ikke fakta i en verden hvor realiteter muligvis er kolde.
Du kan da stå så stejlt som du lyster. Men det ændrer ikke rigtigt på noget. Dine "fakta" bygger iøvrigt på hvad? Der er ikke meldt noget særligt ud endnu.
Kian (85) skrev:
Hør nu her. Det er muligt at brugeren ikke ved det er en phising-side. Og jeg forsøg ikke at kalde brugeren dum. Men det er sgu da immervæk brugeren selv der gør noget for at uheldet sker. Vi kan nemt blive enige om at det er meeegauheldigt, men det ændrer altså ikke på action -> cause. Hvis du piller brugeren ud af kæden så var uheldet jo ikke sket.
Og hvis vi fjernede netbanken var det heller ikke sket...
I det her tilfælde har NemID vist sig ikke at være mere sikkert end det gamle system med nøglefiler.
Jeg kan simpelthen ikke forstå hvorfor I er så tungnemme!
Jeg vil ikke brugeren noget ondt! Jeg gør blot opmærksom på at brugeren begår en fejl. Om det så er at lade sig lokke af phising-sites eller andet er totalt ligegyldigt. Det er pointen i at uden brugeren var fejlen ikke opstået fordi brugeren ikke kunne begå fejlen. Ergo er fejlen, at indtaste oplysning på phisin-sites, en brugerfejl. Det er så satans simpelt.
At de har indtastet noget på et fishing site er da noget af en påstand at komme med. Er det noget du kan underbygge?
Det er ikke fremgået af noget af det jeg har læst om det her misbrug af netbanken.
Jeg er enig i at man skal gøre alt for at komme det til livs så gamle mennesker og PC-analfabeter kan bruge fx netbank sikkert. Jeg sig så også bare at det ikke er NemID der skal rette fx phising-problemet. Hvordan fanden skal NemID kunne gøre det?
Folk bør ha endnu mere oplysning om virus, malware mv. Og mit forslag er at banken, da det jo i sidste ende er dem der skal erstatte dit tab, tillader sig at stille krav - fx at du har antivirus på din computer.
De skal rigtig nok erstatte det tab der er i netbanken men hvad hvis der sker andet misbrug med nemid? Det er det største problem med nemid. At det snart sagt skal/kan bruges til alt.
Jeg synes også det er en skide god ide med mere integration i NemID som fx at man fik en SMS ved hver transaktion om overført beløb osv.
Det findes vist allerede i nogle netbanker.
@Hubert. At du generelt stiller dig tvivlede overfor alt hvad jeg siger pga af at DanID endnu ikke har været ude med et hændelsesforløb ændrer ikke på at jeg ikke kan drage min konklusion med hvad jeg ved fra artikler mv. iøvrigt er din vedholdenhed og insisteren ligegyldig når det kommer til afdækkelsen af franarringen. Det er i princippet komplet ligegyldigt om det er malware, phising eller manglende logoff (og herefter udnyttelse af computeren) - det ændrer ikke på at brugeren er gået i en fælde! Det er enormt uheldigt men det er ikke NemIDs skyld. Det er brugerens egen skyld!
Jeg har studeret moderne filosofi, jeg har læst om netværksteorier og hændelse/årsags-relationer på universitetet. Jeg har skrevet speciale i hvordan IT-systemers hændelse påvirker andre. Og jeg arbejder i dag med et kæmpe IT-system og implementering heraf.
Det tætteste jeg kan tilnærme mig dine påstande er at en klon af NemID udnyttes fx på phising-sites. Men det nærmer sig aldrig din meget svage og højst bizarre begrundelse om at det er NemIDs skyld at tante Olga lod sig lokke ind på et phising-site og opgav oplysningerne.
Jeg gider ikke snakke mere om det. Jeg gider ikke kommentere mere på dine platte kommentarer. Jeg håber blot at du en dag bliver oplyst.
Og dette er så mit sidste bidrag i den her debat.
Forslået litteratur til oplysning: Bruno Latour - Science in Action og Vi har aldrig været Moderne. Og evt Reassembeling the Social (som vist nok lige er kommet på dansk)
Jeg har studeret moderne filosofi, jeg har læst om netværksteorier og hændelse/årsags-relationer på universitetet. Jeg har skrevet speciale i hvordan IT-systemers hændelse påvirker andre. Og jeg arbejder i dag med et kæmpe IT-system og implementering heraf.
Det tætteste jeg kan tilnærme mig dine påstande er at en klon af NemID udnyttes fx på phising-sites. Men det nærmer sig aldrig din meget svage og højst bizarre begrundelse om at det er NemIDs skyld at tante Olga lod sig lokke ind på et phising-site og opgav oplysningerne.
Jeg gider ikke snakke mere om det. Jeg gider ikke kommentere mere på dine platte kommentarer. Jeg håber blot at du en dag bliver oplyst.
Og dette er så mit sidste bidrag i den her debat.
Forslået litteratur til oplysning: Bruno Latour - Science in Action og Vi har aldrig været Moderne. Og evt Reassembeling the Social (som vist nok lige er kommet på dansk)
Kian (91) skrev:@Hubert. At du generelt stiller dig tvivlede overfor alt hvad jeg siger pga af at DanID endnu ikke har været ude med et hændelsesforløb ændrer ikke på at jeg ikke kan drage min konklusion med hvad jeg ved fra artikler mv. iøvrigt er din vedholdenhed og insisteren ligegyldig når det kommer til afdækkelsen af franarringen. Det er i princippet komplet ligegyldigt om det er malware, phising eller manglende logoff (og herefter udnyttelse af computeren) - det ændrer ikke på at brugeren er gået i en fælde! Det er enormt uheldigt men det er ikke NemIDs skyld. Det er brugerens egen skyld!
I alt den stund at brugeren selv indtaster sine nøgle er det brugerens egen skyld. Der er ingen der har givet udtryk for det modsatte..?
Jeg stiller mig iøvrigt også kun tvivlende over for dine "fakta" du bygger på kilder du ikke kan/vil oplyse.
Jeg har studeret moderne filosofi, jeg har læst om netværksteorier og hændelse/årsags-relationer på universitetet. Jeg har skrevet speciale i hvordan IT-systemers hændelse påvirker andre. Og jeg arbejder i dag med et kæmpe IT-system og implementering heraf.
Det tætteste jeg kan tilnærme mig dine påstande er at en klon af NemID udnyttes fx på phising-sites. Men det nærmer sig aldrig din meget svage og højst bizarre begrundelse om at det er NemIDs skyld at tante Olga lod sig lokke ind på et phising-site og opgav oplysningerne.
Og så kommer din påstand om at de er lokket ind på et fishing site igen.
Jeg gider ikke snakke mere om det. Jeg gider ikke kommentere mere på dine platte kommentarer. Jeg håber blot at du en dag bliver oplyst.
Og dette er så mit sidste bidrag i den her debat.
Forslået litteratur til oplysning: Bruno Latour - Science in Action og Vi har aldrig været Moderne. Og evt Reassembeling the Social (som vist nok lige er kommet på dansk)
Var det ikke lettere blot at skrive "jeg kan sgu ikke dokumentere mine "fakta" så jeg har muligvis taget fejl" istedet for at komme med en lang svada..?
kasperd (87) skrev:Et stykke malware kunne da uden videre udnytte ethvert forsøg på at tilgå et legitimt site, der anvender nemid.
I know. Som allerede sagt: jeg udtalte mig om det konkrete MitM angreb - ikke MitM angreb generelt. Min pointe var, at brugeren selv (i hvertfald iflg de første beskrivelser jeg læste) var skyld i at malwaren var på deres pc.
kasperd (87) skrev:Der hvor problemet ligger i nemid er, at man forventer at brugerne kender listen over alle legitime sites, der bruger nemid, og er i stand til at huske denne liste
Problemet er snarere at en nøgle challenge er temmelig simpel. Visa's CAP er noget smartere, men dyrere i logistik og lidt mere kompliceret for brugerne. En løsning jeg personligt ville foretrække.
kasperd (87) skrev:Hvis det nuværende system giver mulighed for svindel, så er der en risiko for at der bliver svindlet for væsentligt flere penge til næste år.Pally (82) skrev:Hvis der svindles for X kr årligt, så har bankerne incitament til at bruge max X-1 kr årligt på at reducere svindel.
Hvis der blev brugt 0kr på sikkerhed, så ville der uden tvivl blive svindlet for mange milliarder kroner. Der er ingen tvivl om at de første kroner man bruger på sikkerhed er dem, der giver den største reduktion i omkostningerne til svindel. Men man er nødt til at tage risikoen med i sine beregninger. Hvor mange penge er det værd at bruge på at forhindre en 1% risiko for et tab på 10.000.000kr? Svaret er mere end 100.000kr, men hvor meget mere er ikke et nemt spørgsmål at besvare. Det bliver ikke nemmere at besvare af at man hverken kender det mulige beløbs størrelse eller sandsynligheden for at det vil ske.
Ja, for ikke at skrive en mindre fristil, så kogte jeg problemstillingen ned. POINTEN er, at bankerne selvfølgelig følger med i hvor meget der snydes for og hvad trenden er med deres eksisterende modforanstaltninger. Når det budgeterede tab overstiger en fortventet udgift til sikkerhedsforbedringer, så indføres de. Kompliceret at beregne? Ja da, men det er der meget i budgetlægning der er. Og jeg vil forvente at bankerne er betydelig bedre stillet til den afvejning end brugerne på Newz er.
Edit: slåfjel
Ok, så tror jeg bedre jeg forstår hvad det er du mener.Pally (93) skrev:jeg udtalte mig om det konkrete MitM angreb - ikke MitM angreb generelt. Min pointe var, at brugeren selv (i hvertfald iflg de første beskrivelser jeg læste) var skyld i at malwaren var på deres pc.
Det er så i øvrigt lidt forkert at kalde det for et MitM angreb, da det jo er et angreb på det ene endepunkt og ikke på forbindelsen imellem de to endepunkter.
Hvordan malwaren er kommet ind på computerne, ved jeg ikke. Hvis alt hvad der skulle til er at man følger et link fra en email, så er det nok ikke brugernes skyld, at der kom malware på computeren. Hvis et link kan resultere i at der kommer malware på computeren er det et sikkerhedshul i softwaren på computeren. Det kan man kun lægge brugerne til last, hvis de har undladt at opdatere softwaren, når der kom sikkerhedsrettelser.
Hvis ofrene har brugt en computer på en netcafe, så er det deres egen fejl. Men de kan have været fejlinformeret omkring hvilke risici der er ved den adfærd.
Med sådan en computer på en netcafe kan man ikke stole på at softwaren nødvendigvis er opdateret. Og både ejeren af computeren, administratoren og andre brugere kan potentielt have kompromitteret computeren. Der er simpelthen så mange personer, der bevidst eller ubevidst kan udgøre en trussel imod sikkerheden, at man som udgangspunkt bør antage at sådan en computer er kompromitteret.
Selvfølgelig. For det første har de adgang til de data der skal til for at kunne regne på det. Det er en forudsætning for at man har en chance. Derudover har banken formodentligt ansatte, der ved hvordan man regner på den slags. Men der er uden tvivl nogle brugere på newz, der ville være i stand til at lære det.Pally (94) skrev:Og jeg vil forvente at bankerne er betydelig bedre stillet til den afvejning end brugerne på Newz er.
Jeg tror roligt vi kan gå ud fra, at bankerne har bedre styr på de udregninger end den gennemsnitlige newz bruger har.
Et andet spørgsmål er så i hvor høj grad banken er i stand til at lægge omkostningerne over på andre. Jeg har i hvert fald ladet mig fortælle, at bankerne ikke hænger på risikoen ved kreditkortsbetalinger fordi de kan lægge hele risikoen over hos butikkerne.
Og for de dovne:
Trojaneren har fundet adgang til pc’erne ved at bankkunden har besøgt en legitim hjemmeside, der har været hacket. De almindelige forholdsregler for adfærd på nettet er derfor ikke tilstrækkelige til at undgå denne virus.
Pc’erne havde installeret antivirusprogrammer, men ingen af disse opdagede BankTexeasy.
Hubert (92) skrev:Kian (91) skrev:@Hubert. At du generelt stiller dig tvivlede overfor alt hvad jeg siger pga af at DanID endnu ikke har været ude med et hændelsesforløb ændrer ikke på at jeg ikke kan drage min konklusion med hvad jeg ved fra artikler mv. iøvrigt er din vedholdenhed og insisteren ligegyldig når det kommer til afdækkelsen af franarringen. Det er i princippet komplet ligegyldigt om det er malware, phising eller manglende logoff (og herefter udnyttelse af computeren) - det ændrer ikke på at brugeren er gået i en fælde! Det er enormt uheldigt men det er ikke NemIDs skyld. Det er brugerens egen skyld!
I alt den stund at brugeren selv indtaster sine nøgle er det brugerens egen skyld. Der er ingen der har givet udtryk for det modsatte..?
Jeg stiller mig iøvrigt også kun tvivlende over for dine "fakta" du bygger på kilder du ikke kan/vil oplyse.
Jeg har studeret moderne filosofi, jeg har læst om netværksteorier og hændelse/årsags-relationer på universitetet. Jeg har skrevet speciale i hvordan IT-systemers hændelse påvirker andre. Og jeg arbejder i dag med et kæmpe IT-system og implementering heraf.
Det tætteste jeg kan tilnærme mig dine påstande er at en klon af NemID udnyttes fx på phising-sites. Men det nærmer sig aldrig din meget svage og højst bizarre begrundelse om at det er NemIDs skyld at tante Olga lod sig lokke ind på et phising-site og opgav oplysningerne.
Og så kommer din påstand om at de er lokket ind på et fishing site igen.
Jeg gider ikke snakke mere om det. Jeg gider ikke kommentere mere på dine platte kommentarer. Jeg håber blot at du en dag bliver oplyst.
Og dette er så mit sidste bidrag i den her debat.
Forslået litteratur til oplysning: Bruno Latour - Science in Action og Vi har aldrig været Moderne. Og evt Reassembeling the Social (som vist nok lige er kommet på dansk)
Var det ikke lettere blot at skrive "jeg kan sgu ikke dokumentere mine "fakta" så jeg har muligvis taget fejl" istedet for at komme med en lang svada..?
Jeg prøver lige en gang til. Bare for at se om du er komplet tonedøv. Jeg har nemlig fundet en sammenligning som måske kan gøre at du fatter min pointe.
Når du sætter dig op på en cykel og træder i pedalen så er det din skyld at cyklen kører. Det er din handling der får cyklen til at trille. Du udfører en handling. Du er altså delvist (med delvis refererer jeg til at der selvfølgelig skal være nogle der bygger cyklen før cyklen kan eksistere) hovedårsagen til at cyklen triller fordi du er den der bibringer kraften der mangler.
Og det er præcis det samme der sker med NemID og fejlen her. Det er brugeren der udfører en handling som fører dårlige konsekvenser med sig. Det er brugeren der aktivt indtaster oplysninger, i det her tilfælde i noget malware der sender en ekstra popup med login. Hvis brugeren IKKE havde indtastet oplysningerne var udfaldet anderledes. Præcis som hvis du IKKE trådte i pedalerne hvorefter cyklen IKKE ville trille. Det afgørende punkt er begge steder begravet hos brugeren: træder han i pedalerne? Eller lader han være? Indtaster han sine oplysninger? Eller lader han være?
I begge situationer er der en meget stor forskel på udfaldet. Brugeren er aktivt afgørende for udfaldet hvadenten brugeren har det godt eller skidt med det.
NemID er ikke involveret i udfaldet af processen da NemID tilsvarende kan sammenlignes med pedalerne du træder på.
Er det alt for fjernt?
@98
Så brugeren er sikker hvis han bare lader være med at benytte servicen?
Som Nets selv har skrevet, så "De almindelige forholdsregler for adfærd på nettet er derfor ikke tilstrækkelige til at undgå denne virus."...
Eller så du kan fatte det.
Brugeren har intet kunne gøre for at undgå at få deres konto misbrugt (hvis du ser bort fra "ikke at benytte servicen" som en måde at undgå misbrug)...
Så brugeren er sikker hvis han bare lader være med at benytte servicen?
Som Nets selv har skrevet, så "De almindelige forholdsregler for adfærd på nettet er derfor ikke tilstrækkelige til at undgå denne virus."...
Eller så du kan fatte det.
Brugeren har intet kunne gøre for at undgå at få deres konto misbrugt (hvis du ser bort fra "ikke at benytte servicen" som en måde at undgå misbrug)...
Kian (98) skrev:
Jeg prøver lige en gang til. Bare for at se om du er komplet tonedøv. Jeg har nemlig fundet en sammenligning som måske kan gøre at du fatter min pointe.
Se evt #92 igen. Jeg har faktisk skrevet det selvsamme. Men jeg tror faktisk jeg er ret tonedøv hvilket nok ødelægger mine planer om at lære at spille sækkepipe. :(
Når du sætter dig op på en cykel og træder i pedalen så er det din skyld at cyklen kører. Det er din handling der får cyklen til at trille. Du udfører en handling. Du er altså delvist (med delvis refererer jeg til at der selvfølgelig skal være nogle der bygger cyklen før cyklen kan eksistere) hovedårsagen til at cyklen triller fordi du er den der bibringer kraften der mangler.
Nu er der bare den lille ulempe at nemid er solgt som idiot sikre pedaller...
Og det er præcis det samme der sker med NemID og fejlen her. Det er brugeren der udfører en handling som fører dårlige konsekvenser med sig. Det er brugeren der aktivt indtaster oplysninger, i det her tilfælde i noget malware der sender en ekstra popup med login. Hvis brugeren IKKE havde indtastet oplysningerne var udfaldet anderledes. Præcis som hvis du IKKE trådte i pedalerne hvorefter cyklen IKKE ville trille. Det afgørende punkt er begge steder begravet hos brugeren: træder han i pedalerne? Eller lader han være? Indtaster han sine oplysninger? Eller lader han være?
I begge situationer er der en meget stor forskel på udfaldet. Brugeren er aktivt afgørende for udfaldet hvadenten brugeren har det godt eller skidt med det.
NemID er ikke involveret i udfaldet af processen da NemID tilsvarende kan sammenlignes med pedalerne du træder på.
Er det alt for fjernt?
Så din løsning er simpelthen at man skal lade være med at bruge nemid? Der går desværre nok 3-4 år før den ide får noget særlig medvind. Det virker iøvrigt lidt tosset at sige at det udelukkende er en brugerfejl når brugeren bruger nemid som man kan forvente det skal bruges.
Det ville så heller ikke være umuligt at designe nemid så dette problem ikke ville opstå. Hvis du skulle bekræfte alle nemid ibrugtagninger så ville det her misbrug ikke kunne ske.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund