mboost-dp1
Flickr - tico24
#1 det kommer godt nok an på hvem du spørger
Jeg vil til en hver tid påstå at en kode du kan huske ikke er speciel sikker. Den menneskelige hjerne er ikke lavet til at huske komplekse talrækker og bogstaver derfor bliver det noget simpelt som din dattersnavn + din mors fødselsår eller noget i den stil.
Hvis du havde et A4 papir med en masse koder på (brugte som ubrugte) så kunne de være super komplekse og du ville ikke behøve at huske dem.
Der kan stå mange koder på et alm. stykke papir og chancen for nogen for det første finder papiret og derfter får mulighed for bare at prøve mere end 10 af dem inden applikationen brokker sig er ikke ret stor.
Det er noget nememre at huske B14 end TOU57¤GUT13#
Jeg har arbejdet på en skole hvor elever og lærer skulle ændre kode hver måned. Koden måtte ikke have været benyttet til de sidste 8 koder og skal være på 8 karakterer. Det betyder at eleverne har koder som 12345678 ABCE1234 osv. fordi de er til at huske.
Det er alt andet end sikkerhed :)
Jeg vil til en hver tid påstå at en kode du kan huske ikke er speciel sikker. Den menneskelige hjerne er ikke lavet til at huske komplekse talrækker og bogstaver derfor bliver det noget simpelt som din dattersnavn + din mors fødselsår eller noget i den stil.
Hvis du havde et A4 papir med en masse koder på (brugte som ubrugte) så kunne de være super komplekse og du ville ikke behøve at huske dem.
Der kan stå mange koder på et alm. stykke papir og chancen for nogen for det første finder papiret og derfter får mulighed for bare at prøve mere end 10 af dem inden applikationen brokker sig er ikke ret stor.
Det er noget nememre at huske B14 end TOU57¤GUT13#
Jeg har arbejdet på en skole hvor elever og lærer skulle ændre kode hver måned. Koden måtte ikke have været benyttet til de sidste 8 koder og skal være på 8 karakterer. Det betyder at eleverne har koder som 12345678 ABCE1234 osv. fordi de er til at huske.
Det er alt andet end sikkerhed :)
Den eneste grund jeg kan se til at de mener risikoen er meget lille (for det er den bestemt ikke) må være at det er problematisk/dyrt at pille i authentication koden (kan være det er leveret af 3. part) og derfor satser på at de ved at nedtone problemet kan tillade sig at holde det kørende til de får det nye system op at køre.
Set fra bankens side kan jeg sagtens forstå den beslutning, men som kunde er det lidt bekymrende at man tager så let på sikkerheden.
Set fra bankens side kan jeg sagtens forstå den beslutning, men som kunde er det lidt bekymrende at man tager så let på sikkerheden.
#2 Men som der står i artiklen: Et lignende kodekort uden personligt password efterlader et kæmpestort sikkerhedshul overfor lommetyve - så spørgsmålet er, om de helst vil have, at systemet er pivåbent overfor hackere eller lommetyve. :-)
(hvis man så kan stole på det de siger, at det ikke er blevet udnyttet, kunne det jo godt se ud som om de har valgt rigtigt ;-)
(hvis man så kan stole på det de siger, at det ikke er blevet udnyttet, kunne det jo godt se ud som om de har valgt rigtigt ;-)
Selv om det teoretisk er en mulighed, at en lommetyv stjæler både cpr-nummer og de udprintede engangskoder, betyder det ikke nødvendigvis, at ofret risikerer indbrud på netbanken.
"Hvis de vel at mærke ved, at man kan bruge cpr-nummer og engangskode til at komme på," siger Peter Trier Schleidt.
Fantastisk argument, men hvis de ikke vidste det før, så ved de det med overvejende sandsynlighed nu :)
Nu er det så temmelig let at lave en kode, som ikke umiddelbart kan brydes af et brute-force attack... Den menneskelige hjerne er jo netop god til mønstre, men en computer er ikke særlig kreativ.
Eksempel på et godt kodeord er:
dlrouto00otte
umiddelbart er det måske ikke let at huske, men det er så titlen på et eventyr "Den Lille Rødhætte Og Ulven" hvor hvert forbogstav er starten på koden, og så tilføjedes jeg 2008, som er årstallet jeg har lavet koden, men skrev "to" i stedet for 2, fortsatte med "00" og så skrev jeg "otte" i stedet for 8... Sådanne finurligheder kan hjernen sagtens huske, og et brute-force attack kan ikke bryde den. Variationer af denne form for kode, er næsten uendelige, og det er jo bare op til den enkelte at bruge det.
PS. Undskylder for at jeg ikke kan huske hvad et crackingforsøg med "ordbog" hedder, så jeg brugte det mere kendte udtryk "brute force", som er lidt misvisende, men håber folk forstår meningen. ;)
Eksempel på et godt kodeord er:
dlrouto00otte
umiddelbart er det måske ikke let at huske, men det er så titlen på et eventyr "Den Lille Rødhætte Og Ulven" hvor hvert forbogstav er starten på koden, og så tilføjedes jeg 2008, som er årstallet jeg har lavet koden, men skrev "to" i stedet for 2, fortsatte med "00" og så skrev jeg "otte" i stedet for 8... Sådanne finurligheder kan hjernen sagtens huske, og et brute-force attack kan ikke bryde den. Variationer af denne form for kode, er næsten uendelige, og det er jo bare op til den enkelte at bruge det.
PS. Undskylder for at jeg ikke kan huske hvad et crackingforsøg med "ordbog" hedder, så jeg brugte det mere kendte udtryk "brute force", som er lidt misvisende, men håber folk forstår meningen. ;)
7 skrev:PS. Undskylder for at jeg ikke kan huske hvad et crackingforsøg med "ordbog" hedder, så jeg brugte det mere kendte udtryk "brute force", som er lidt misvisende, men håber folk forstår meningen. ;)
Det hedder noget så simpelt som et dictionary attack: Wikipedia aka. ordbogsangreb.
#7: Du tænker nok på et dictionary attack :)
Ganske fin beskrivelse af hvordan man laver et fornuftigt kodeord, hvis det skal være helt godt plejer jeg ofte at indsætte et specialtegn et sted også eks. en af følgende: #¤%&
På den måde er man ude over dictionary attacks og simpel bruteforce udføres sjældent med mere end [a-z0-9] (+A-Z hvis checket er case sensitivt) skal der derudover også inkluderes diverse specialtegn så skal man have mere end almindelig regnekraft tilrådighed.
Ganske fin beskrivelse af hvordan man laver et fornuftigt kodeord, hvis det skal være helt godt plejer jeg ofte at indsætte et specialtegn et sted også eks. en af følgende: #¤%&
På den måde er man ude over dictionary attacks og simpel bruteforce udføres sjældent med mere end [a-z0-9] (+A-Z hvis checket er case sensitivt) skal der derudover også inkluderes diverse specialtegn så skal man have mere end almindelig regnekraft tilrådighed.
#1 og andre.
Der er ikke noget galt i at man udprinter engangs koder også kaldet OTP (One time Pad). Dette princip anvendes også af flere netbanker - dog ikke Danske Bank's.
Problemet opstår fordi løsningen her ikke kombineres med et personligt kodeord, og det er da også det kritikken går på. Sikkerhedløsninger bør være baseret på flere faktorer...eksempelvis noget du skal huske og noget du skal have fysisk i hånden. Her er det tilstrækkeligt med adgang til mandens ejendele.
At der ikke står hvad koderne skal anvendes til er udemærket, men det er at type Security by obscurity, og det tæller typisk ikke, og slet ikke her.
Der er ikke noget galt i at man udprinter engangs koder også kaldet OTP (One time Pad). Dette princip anvendes også af flere netbanker - dog ikke Danske Bank's.
Problemet opstår fordi løsningen her ikke kombineres med et personligt kodeord, og det er da også det kritikken går på. Sikkerhedløsninger bør være baseret på flere faktorer...eksempelvis noget du skal huske og noget du skal have fysisk i hånden. Her er det tilstrækkeligt med adgang til mandens ejendele.
At der ikke står hvad koderne skal anvendes til er udemærket, men det er at type Security by obscurity, og det tæller typisk ikke, og slet ikke her.
2 skrev:#1 det kommer godt nok an på hvem du spørger
Jeg vil til en hver tid påstå at en kode du kan huske ikke er speciel sikker. Den menneskelige hjerne er ikke lavet til at huske komplekse talrækker og bogstaver derfor bliver det noget simpelt som din dattersnavn + din mors fødselsår eller noget i den stil.
Hvorfor dog det?
Lad og sige din mor hedder Susanne Johansen. Koden kan så blive: 5u54nn3J0h4n53n. Det er let at huske, og meget svært at cracke. Hvis du vil have lidt mere sikkerhed skriver du bare /-\ i stedet for a. Eller måske ě i stedet for e.
Der er uendeligt muligheder at lave en kode som er let at huske, men svær at gennemskue eller gætte sig til.
Min søster havde en hest ved navn Trunte, så jeg brugte i lang tid denne kode til netbanken (info til russiske mafiaer: den benyttes ikke længere): SøstersTrunte, eller Søs73řsTrunt3. Jeg havde aldrig indbrud på min konto :)
Det der er galt her er det fundamentale princip med mindst to "trin". (Og jeg kan ikke lige huske hvad det hedder.)
Du kan vælge mellem:
* Noget du ved (kodeord)
* Noget du har (en seddel med engangskodeord, en dims som genererer en ny nøgle hvert minut osv.)
* Noget du er (fingeraftryk osv.)
For at opnå den sikkerhed der skal til i en bank, skal du have mindst to af dem. Men Danske Banks mobil-løsning kræver tilsyneladende kun "noget du har", hvilket er det samme som "noget der kan mistes/findes/stjæles". Den er derfor ikke god alene.
Men et simpelt kodeord ("noget du ved") er heller ikke godt alene.
Men kombinationen af de to giver en ret høj sikkerhed.
Dette fundamentale princip er det eneste argument der er nødvendigt, for at se at dette system ikke er sikkert nok til bank-ting.
Men det er så meldt ud at de arbejder på et bedre system, og så kan vi ikke forlange meget mere.
Du kan vælge mellem:
* Noget du ved (kodeord)
* Noget du har (en seddel med engangskodeord, en dims som genererer en ny nøgle hvert minut osv.)
* Noget du er (fingeraftryk osv.)
For at opnå den sikkerhed der skal til i en bank, skal du have mindst to af dem. Men Danske Banks mobil-løsning kræver tilsyneladende kun "noget du har", hvilket er det samme som "noget der kan mistes/findes/stjæles". Den er derfor ikke god alene.
Men et simpelt kodeord ("noget du ved") er heller ikke godt alene.
Men kombinationen af de to giver en ret høj sikkerhed.
Dette fundamentale princip er det eneste argument der er nødvendigt, for at se at dette system ikke er sikkert nok til bank-ting.
Men det er så meldt ud at de arbejder på et bedre system, og så kan vi ikke forlange meget mere.
#12
Nej. Et sikkert system kræver alle 3.
Problemet her er netop at de har designet et system som kun er afhængigt af 2 ting.
1. Noget du har/ved (Engangskoderne)
og
2. Noget du er (Cprnr)
Begge disse kan snuppes og misbruges.
Det er basal sikkerhedsviden, som man bør vide hvis man beskæftiger sig med sikkerhed.
De idioter i Danske Bank, der har besluttet at det var sikkert nok, burde sgu næsten fyres for deres inkompetance.
Nej. Et sikkert system kræver alle 3.
Problemet her er netop at de har designet et system som kun er afhængigt af 2 ting.
1. Noget du har/ved (Engangskoderne)
og
2. Noget du er (Cprnr)
Begge disse kan snuppes og misbruges.
Det er basal sikkerhedsviden, som man bør vide hvis man beskæftiger sig med sikkerhed.
De idioter i Danske Bank, der har besluttet at det var sikkert nok, burde sgu næsten fyres for deres inkompetance.
13 skrev:Nej. Et sikkert system kræver alle 3.
Husk at "sikkert" betyder "sikkert nok". To trin er "sikkert nok" nok til netbank.
Dette vurderes ud fra omkostningen ved at få fingeraftryks-læser, irisscanner eller whatevever ud til alle kundende, i forhold til omkostningerne ved ikke at gøre det.
13 skrev:Problemet her er netop at de har designet et system som kun er afhængigt af 2 ting.
2. Noget du har (Engangskoderne)
og
3. Noget du er (Cprnr)
CPR-nummeret er ikke noget du er, det er noget du har. På dit sygesikringsbevis. I din pung. Lige ved siden af listen med engangskoder.
(Du kan argumentere for at det er noget du ved, men i samme øjeblik det du ved er skrevet ned, så er det noget du har. Og når det står ved siden af engangskoderne, så er det ikke længere to ting du har, men effektivt én ting du har. Ligesom at skrive sin pinkode på dankortet. Desuden skal det være noget "du ALENE ved", og CPR-nummeret er ikke hemmeligt.)
#14 Ja du har ret. Det er naturligvis altid et spørgsmål om sikkert nok. Men nej, der SKAL alle 3 ting til en netbank.
Normalt er CPR nummeret er i denne sag "hvem du er" / "noget du er". Men det er nu ligegyldigt her. For normalt vil man altid have adgang til oplysninger om "hvem du er".
(Som du skriver så har Danske Bank ganske rigtigt lavet begge ting om til noget du har." og på denne måde reduceret hele sikkerheden til et latterligt niveau.)
De 3 ting som #12 nævnte hedder rigtigt:
1. Hvem du er: Normalt et brugernavn.
2. Noget du ved: Normalt et password.
3. Noget du har: Ofte en nøglefil på din harddisk.
"Hvem du er" kan alle altid få fat i.
Sikkerheden består så i at man ikke kan gætte passwordet selvom man har stjålet pc'en.
Og en ven som har lokket passwordet ud af brugeren kan ikke bruge det til noget fordi han ikke har PC'en.
(Desværre har man jo nu set sager hvor PC'en indeholder divs. malware som både kan få fat i nøglefilen og passwordet, og da man altid ved hvem brugeren er, har folk fået stjålet penge på den måde.)
Man kan erstatte nøglefilen med engangskoder. Dem vil man normalt printe ud, lige som det sker her. Det er der ingen sikkerhedsrisiko ved, og dette system bruges mange steder.
Sikkerheden hænger igen her på at man kan stjæle både information om "hvem du er", og "noget du har", men så længe passwordet kun er opbevaret i hjernen på brugeren, så kan en tyv ikke bruge det til noget.
Her har Danske Bank, som jeg skrev før, glemt password delen, "Noget du ved", og systemet er derfor ikke sikret mod simpelt misbrug ved tyveri.
Normalt er CPR nummeret er i denne sag "hvem du er" / "noget du er". Men det er nu ligegyldigt her. For normalt vil man altid have adgang til oplysninger om "hvem du er".
(Som du skriver så har Danske Bank ganske rigtigt lavet begge ting om til noget du har." og på denne måde reduceret hele sikkerheden til et latterligt niveau.)
De 3 ting som #12 nævnte hedder rigtigt:
1. Hvem du er: Normalt et brugernavn.
2. Noget du ved: Normalt et password.
3. Noget du har: Ofte en nøglefil på din harddisk.
"Hvem du er" kan alle altid få fat i.
Sikkerheden består så i at man ikke kan gætte passwordet selvom man har stjålet pc'en.
Og en ven som har lokket passwordet ud af brugeren kan ikke bruge det til noget fordi han ikke har PC'en.
(Desværre har man jo nu set sager hvor PC'en indeholder divs. malware som både kan få fat i nøglefilen og passwordet, og da man altid ved hvem brugeren er, har folk fået stjålet penge på den måde.)
Man kan erstatte nøglefilen med engangskoder. Dem vil man normalt printe ud, lige som det sker her. Det er der ingen sikkerhedsrisiko ved, og dette system bruges mange steder.
Sikkerheden hænger igen her på at man kan stjæle både information om "hvem du er", og "noget du har", men så længe passwordet kun er opbevaret i hjernen på brugeren, så kan en tyv ikke bruge det til noget.
Her har Danske Bank, som jeg skrev før, glemt password delen, "Noget du ved", og systemet er derfor ikke sikret mod simpelt misbrug ved tyveri.
#11
NOT!
Det er et kendt problem at mange tror at l33t-speak passwords er sikre. Men da så mange bruger dem har de fleste password crackere naturligvis muligheder for også lige at tjekke disse mens man kører en normal dictionary attack.
På WSU fanger de det f.eks. allerede når en tåbelig bruger forsøger at oprette sådan et password.
http://wiki.wsu.edu/ctowiki/Password
Personligt kender jeg en som bare ikke kunne forstå hvorfor hans WoW konto blev hacket 3 gange selvom han havde "et supergodt password". Det viste sig at han hver gang havde brugt et l33t-speak password.
Så hvor du vil hen med det der "meget svært at cracke" fatter jeg ikke.
5u54nn3J0h4n53n. Det er let at huske, og meget svært at cracke.
NOT!
Det er et kendt problem at mange tror at l33t-speak passwords er sikre. Men da så mange bruger dem har de fleste password crackere naturligvis muligheder for også lige at tjekke disse mens man kører en normal dictionary attack.
På WSU fanger de det f.eks. allerede når en tåbelig bruger forsøger at oprette sådan et password.
http://wiki.wsu.edu/ctowiki/Password
Personligt kender jeg en som bare ikke kunne forstå hvorfor hans WoW konto blev hacket 3 gange selvom han havde "et supergodt password". Det viste sig at han hver gang havde brugt et l33t-speak password.
Så hvor du vil hen med det der "meget svært at cracke" fatter jeg ikke.
16 skrev:#14 Ja du har ret. Det er naturligvis altid et spørgsmål om sikkert nok. Men nej, der SKAL alle 3 ting til en netbank.
Det gør ikke diskutionen nemmere, at vi det ikke er de samme 3 ting vi snakker om.
Du snakker om de tre ting der typisk benyttes til en fornuftig netbank login. Men vi snakker jo ikke om en typisk netbank login, men sikkerhed generelt i forhold til Danke Bank specielle login-system.
16 skrev:De 3 ting som #12 nævnte hedder rigtigt:
1. Hvem du er: Normalt et brugernavn.
2. Noget du ved: Normalt et password.
3. Noget du har: Ofte en nøglefil på din harddisk.
Nej det er noget andet.
Det jeg snakker om kaldes fx. "Human authentication factors" - se Wikipedia.
16 skrev:Man kan erstatte nøglefilen med engangskoder. Dem vil man normalt printe ud, lige som det sker her. Det er der ingen sikkerhedsrisiko ved, og dette system bruges mange steder.
Det er jeg nu ikke stødt på. Jeg har altid modtaget mine "noget jeg har" (engangskoder på papir, key fob eller whatever) med posten eller fået det udleveret personligt. Hvis man selv printer ud er der risiko for at andre printer det ud.
(På den anden side er der også risiko for at nogen bryder ind i postkassen. Intet er 100% sikkert.)
#19 Jeps, som jeg skrev har du også ret.
Danske Bank har fejlet både på den måde du beskriver, og som jeg skriver er deres system laaangt fra den generelle regel for hvad der skal til for at bevise hvem man er.
Engangskoder må du have have stødt på da bla. artiklen handler om dem?
De bruges også i enkelte andre banker, da man så undgår de sikkerhedsproblemer som er forbundet med de normale nøglefiler. (F.eks. er der ikke nogen nøglefil at hacke sig frem til.) og brugeren slipper for at bruge den samme PC hver gang/flytte nøglen rundt.
#20 Jeps. #7's password er fint.
Danske Bank har fejlet både på den måde du beskriver, og som jeg skriver er deres system laaangt fra den generelle regel for hvad der skal til for at bevise hvem man er.
Engangskoder må du have have stødt på da bla. artiklen handler om dem?
De bruges også i enkelte andre banker, da man så undgår de sikkerhedsproblemer som er forbundet med de normale nøglefiler. (F.eks. er der ikke nogen nøglefil at hacke sig frem til.) og brugeren slipper for at bruge den samme PC hver gang/flytte nøglen rundt.
#20 Jeps. #7's password er fint.
#22 He he, nåå sådan.
Ja, det er jeg nu også vandt til. Men et eller andet har jo printet dem ud på det papir vi modtager ;-)
Det var egentlig bare det jeg mente tilbage i det indlæg, da jeg skrev at de normalt printes ud.
Ja, det er jeg nu også vandt til. Men et eller andet har jo printet dem ud på det papir vi modtager ;-)
Det var egentlig bare det jeg mente tilbage i det indlæg, da jeg skrev at de normalt printes ud.
Hvad angår nye passwords, så plejer jeg at generere en go sjat (10-20 stykker) med en... *trommehvirvel*... passwordgenerator.
Så kigger jeg dem igennem, finder en jeg kan lide, og ændrer den lidt - mest for at fordele koden over tastaturet, så den er svær at spotte, hvis nogen vil kigge efter.
Derefter skriver jeg koden 50-100 gange, og så kan jeg huske koden i fingrene. Jeg aner ikke hvad koden er, men jeg taster den bare ind.
Så kigger jeg dem igennem, finder en jeg kan lide, og ændrer den lidt - mest for at fordele koden over tastaturet, så den er svær at spotte, hvis nogen vil kigge efter.
Derefter skriver jeg koden 50-100 gange, og så kan jeg huske koden i fingrene. Jeg aner ikke hvad koden er, men jeg taster den bare ind.
#2:
Nu er det lige at jeg glemmer at andre mennesker ikke benytter sikre koder. Jeg har selv en 4 - 7 stykker som alle lyder noget i stil med kdaAWdlaw eller al9182alwa1a, og ingen af disse har jeg svært ved at huske. Men det kan også bare være mig, der er underlig.
Det undrer mig derfor meget, når folk laver koder som fx blot er deres fornavn, efternavn, telefonnummer, adresse eller lign. - det er jo ikke særlig smart. (Direkte idiotisk - hvis jeg skal være streng)
Nu er det lige at jeg glemmer at andre mennesker ikke benytter sikre koder. Jeg har selv en 4 - 7 stykker som alle lyder noget i stil med kdaAWdlaw eller al9182alwa1a, og ingen af disse har jeg svært ved at huske. Men det kan også bare være mig, der er underlig.
Det undrer mig derfor meget, når folk laver koder som fx blot er deres fornavn, efternavn, telefonnummer, adresse eller lign. - det er jo ikke særlig smart. (Direkte idiotisk - hvis jeg skal være streng)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund