mboost-dp1
PBS A/S
eliassorensen (36) skrev:Mit kodeord er da case-sensitive. Har både store og små bogstaver + tegn og tal (i alt fylder den 22 tegn).
Kan ikke logge ind hvis jeg kun skriver koden i lowercase, så må gå ud fra at de er case-sensitive?
sÅ HAR DU SKREVET FORKERT. jEG HAR LIGE PRØVET AT LOGGE PÅ MED cAPSlOCK SLÅET TIL OG DET GIK FINT! :)
HerrMansen (50) skrev:Et glimrende argument - indtil at nogen gør dig opmærksom på at NemID != Netbank. Det bruges f.eks. også til Borger.dk og stort set alle offentlige hjemmesider i dag.
Så med andre ord - vil du på det offentlige fra telefonen? There isn't an app for that. (yet?)
Nope, "NemID" bruges udelukkende til netbank, som en gammel pap-kort løsning hertil.
Alt kommunikation til det offentlige foregår med min digitale signatur, hvor jeg selv besider den private nøgle.
At en del offentlige services så ikke har brugt den smule tid der skal til på at implementere dette overhovedet er så en anden sag (de bruger DanID applett'en, og verificerer herefter igennem en KMD løsning).
Enkelte offentlige hjemmesider har dog fundet ud af at verificere udenom dette, oven i købet på den private nøgle jeg har liggende i min browser :-O
#32: Det er fint at du (og jeg) vælger den digitale signatur, men det gør gennemsnitsdanskeren ikke (og det er derfor vi har fået NemID smidt i nakken i sådan en grad - Digitale Signaturer har jo eksisteret et stykke tid)
Og Digital Signatur kan stadigvæk ikke bruges hos det offentlige på mobiltelefoner, da de bruger samme type applet (eller rettere - jég er ikke stødt på en telefon der kan det endnu)
Same thing, different name.
Og Digital Signatur kan stadigvæk ikke bruges hos det offentlige på mobiltelefoner, da de bruger samme type applet (eller rettere - jég er ikke stødt på en telefon der kan det endnu)
Same thing, different name.
zoree (26) skrev:så må banken tilbyde mig en anden løsning så jeg kan komme på netbank igang, fx. den gamle løsning med en ID fil?
Det tror jeg ikke du skal regne med. De tilbyder dig netbank, hvor du skal bruge NemID for at logge ind. Hvis du ikke overholder de regler som du har skrevet under på, så smider de dig af, og er egentlig ligeglade med, om du mener, at de skal tilbyde en anden løsning. De har tilbudt dig en løsning - du bryder aftalen. Fremover vil de koste dig 25 kr. pr. girokort der skal betales. Tillykke.
eliassorensen (36) skrev:Mit kodeord er da case-sensitive. Har både store og små bogstaver + tegn og tal (i alt fylder den 22 tegn).
Kan ikke logge ind hvis jeg kun skriver koden i lowercase, så må gå ud fra at de er case-sensitive?
Som sagt før: Så gør du noget forkert. Jeg kan skifte helt tilfældigt mellem store og små bogstaver - jeg logger ind uanset hvad. Det samme gælder når jeg skal bekræfte overførsler og andet på netbanken.
Jeg henvendte mig til DanID for at bede om at de indførte case-sensitiv passwords. Svaret?
DanID skrev:
Tak for din henvendelse. Dit ønske til ændring af password systemet er videregivet.
Du er også altid velkommen til at ringe til vores Servicedesk på telefon 80 30 70 50 alle hverdage mellem 08.30-20, og weekend 10-16.
Hjælp os med at forbedre vores support. Dette gøres nemt ved at du svarer på et spørgsmål på følgende link
._.
Som tidligere nævnt kan mange telefoner bare smides i USB porten, og vupti.kriss3d (57) skrev:Elektronisk papkort = HAPS.. Hov.. du skal så lige forbi den pinkode mange forhåbentligt har på deres telefon for at åbne den..
Fuld adgang til filerne, inklusiv billedet af pap kortet.
kriss3d (57) skrev:Lad os nu se..
Papkort i pungen = HAPS.. kortet er væk og kan i princippet bruges..
Elektronisk papkort = HAPS.. Hov.. du skal så lige forbi den pinkode mange forhåbentligt har på deres telefon for at åbne den..
NETS.. Hvordan synes i selv det går ??
Der er bare den væsentlige forskel at du ret hurtigt opdager at papkortet i din pung er kompromitteret, når den mangler. Ved du præcist hvem der har kontrollen over din mobiltelefon _at all times_?
albatros (45) skrev:Hmm lad mig se, hvordan angriber man nemid nemmest....nå ja man-in-the-middle attack.
Ulempen ved man in the middle, er at det er svært at udføre i praksis og nemt at spore. Det er bedre at stjæle alt der skal bruges til login, og selv bestemme hvor og hvornår resten af angrebet finder sted.
Nicolai (42) skrev:
Til diskussionen om NemID er sikker:
Jeg vil tro at ca 80% af alle indbrud i netbanker foregår via MitB.
De foregår ved at en trojan stjæler din private key. Det kunne man ved mange af de gamle netbank løsninger, men ikke med Nemid.
Nicolai (42) skrev:Sikre NemID mod et MitB angreb? Nej! Kan en 'NemID-på-mobil'-løsning sikre mod MitB? Ja!
Nej, at flytte sikkerheden fra nøglekortet over på mobiltelefonen ændrer ikke på sikkerheden. Eneste forskel ligger i om man skal indtaste en nøgle fra et kort eller en telefon. Begge løsninger er sårbare overfor man in the browser angreb.
Ligesom så mange andre tager jeg også et billede af mit papkort og bruger det i stedet.
Jeg synes ikke NemID er særlig smart eller virker gennemtænkt, så jeg må jo finde på mine egne 'smarte' tiltag for at gøre NemID nemt (for mig). Alene det faktum at jeg (og andre) gør sådan udhuler hele deres argumentation om den manglende sikkerhed ved at tilbyde en løsning via en mobil applikation.
Der er ingen der vinder her - hverken mig som bruger eller NemID som udbyder.
Jeg synes ikke NemID er særlig smart eller virker gennemtænkt, så jeg må jo finde på mine egne 'smarte' tiltag for at gøre NemID nemt (for mig). Alene det faktum at jeg (og andre) gør sådan udhuler hele deres argumentation om den manglende sikkerhed ved at tilbyde en løsning via en mobil applikation.
Der er ingen der vinder her - hverken mig som bruger eller NemID som udbyder.
eliassorensen (36) skrev:Mit kodeord er da case-sensitive. Har både store og små bogstaver + tegn og tal (i alt fylder den 22 tegn).
Kan ikke logge ind hvis jeg kun skriver koden i lowercase, så må gå ud fra at de er case-sensitive?
Virkelig? Jeg skrev min kode ind med store og små bogstaver og hvis jeg bare skriver koden ud i ét i lowercase så kan jeg stadigvæk logge ind. Jeg har desuden ikke tegn i min kode, kun store og små bogstaver og et tal. I det du har et tegn i din kode skal du jo huske at skrive det med shift, ellers er det jo en helt anden kode du skriver.
edit*
kan se andre har været mig i forkøbet :D
Tror folk er sure over at DanID (eller hvad fa'en de hedder) ikke ved særligt meget om sikkerhed (case INsensitive - hallo? er jeg havnet i 1990?). Når de ikke ved noget om sikkerhed, så skal de fandme ikke belære os andre om forkerte ting (det giver ihvertfald sure 'kunder' :S ).moulder666 (47) skrev:Hvor mange personer herinde har forstået, at det ikke drejer sig om, at det bliver umuligt at gå på netbanken via mobil+nemid, men blot at man ikke kan modtage nemid-koderne via mobilen?
Det lyder i hvert fald som om det er verdens undergang, at man skal have et separat papkort (eller token generator, når den kommer) for at logge på netbanken via mobilen med Nemid...
Ja? Der er ingen der skal røre min mobil. Ligger du pungen fra dig, så kan man (nemt?) tage både hæve og papkort og lade pungen liggende (det ville du vel ikke opdage?), men tager man mobilen så bliver det opdaget asap. Hvis der var et NemID app, så kunne man jo også bare kryptere papkortet == problem solved.mwl (59) skrev:kriss3d (57) skrev:Lad os nu se..
Papkort i pungen = HAPS.. kortet er væk og kan i princippet bruges..
Elektronisk papkort = HAPS.. Hov.. du skal så lige forbi den pinkode mange forhåbentligt har på deres telefon for at åbne den..
NETS.. Hvordan synes i selv det går ??
Der er bare den væsentlige forskel at du ret hurtigt opdager at papkortet i din pung er kompromitteret, når den mangler. Ved du præcist hvem der har kontrollen over din mobiltelefon _at all times_?
Siden hvornår er MitM blevet svært at udføre? Ned på den lokale starbucks og så har du massere af ofre.Killa (60) skrev:Ulempen ved man in the middle, er at det er svært at udføre i praksis og nemt at spore. Det er bedre at stjæle alt der skal bruges til login, og selv bestemme hvor og hvornår resten af angrebet finder sted.
Ja der kommer en "Warning cert is wrong, bla bla", men hvor mange tror du ved hvad det betyder? "Næste" "Ja, jeg er sikker" og volá så er den besked væk, og den (dumme) bruger kan fortsætte med at logge ind og tjekke sin netbank.
Jeg quoter mig selv: Jeg vil tro at ca 80% af alle indbrud i netbanker foregår via MitB.Killa (60) skrev:Nicolai (42) skrev:
Til diskussionen om NemID er sikker:
Jeg vil tro at ca 80% af alle indbrud i netbanker foregår via MitB.
De foregår ved at en trojan stjæler din private key. Det kunne man ved mange af de gamle netbank løsninger, men ikke med Nemid.
See the capitalized "B"? MitM != MitB
Nej? Mobilen giver en ekstra skærm dette kan man udnytte (e.g. "Du er igang med at overføre X kr til Y, hvis du vil fortsætte er aktiveringskoden Z") - dette kan man ikke på et papkort, dvs:Killa (60) skrev:Nicolai (42) skrev:Sikre NemID mod et MitB angreb? Nej! Kan en 'NemID-på-mobil'-løsning sikre mod MitB? Ja!
Nej, at flytte sikkerheden fra nøglekortet over på mobiltelefonen ændrer ikke på sikkerheden. Eneste forskel ligger i om man skal indtaste en nøgle fra et kort eller en telefon. Begge løsninger er sårbare overfor man in the browser angreb.
Papkort + malware på computeren = sårbar overfor MitB
Mobil + malware på computeren = IKKE sårbar overfor MitB
Og ja, der er folk som ikke sætter mobilen til computeren + der skal en del mere til at lave malware der virker på de fleste mobiler (kontra bare malware til computeren).
woodydrn (13) skrev:zoree (7) skrev:Jeg har et billed af mit nemID kort liggende på telefonen, så jeg bruger da min telefon som nemid kort holder ;)
Hva pokker skal folk egentlig også med det billed, hvis de ikke også har mit brugernavn og selvvalgte kode.
Det er bare ikke lovligt at gøre det? Jeg mener de skriver at man ikke må kopiere det teknologiske pap-kort.
Så kunne man jo fx 'kryptere' sin billedefil ved at lave et mønster i hvordan man lige photoshoppede om på #-tallene i forhold til nøgle-tallene... fx kunne man sige at #-tallene i kolonne 3 blev til #-tallene i kolonne 4 og kolonne 4 kunne så være kolonne 1 osv. :-)
Ja? Der er ingen der skal røre min mobil. Ligger du pungen fra dig, så kan man (nemt?) tage både hæve og papkort og lade pungen liggende (det ville du vel ikke opdage?), men tager man mobilen så bliver det opdaget asap. Hvis der var et NemID app, så kunne man jo også bare kryptere papkortet == problem solved.Nicolai (64) skrev:
Der er bare den væsentlige forskel at du ret hurtigt opdager at papkortet i din pung er kompromitteret, når den mangler. Ved du præcist hvem der har kontrollen over din mobiltelefon _at all times_?
[/quote]
Jeg behøver ikke fysisk adgang til din mobil for at se det data der er på den. Og det er kun den ene side af problemet. Har den en token creator så er der en tilgængelig algoritme at anvende. JEg behøver bare den så kan din telefon sådan set være hamrende ligegyldig.
Kian (65) skrev:woodydrn (13) skrev:zoree (7) skrev:Jeg har et billed af mit nemID kort liggende på telefonen, så jeg bruger da min telefon som nemid kort holder ;)
Hva pokker skal folk egentlig også med det billed, hvis de ikke også har mit brugernavn og selvvalgte kode.
Det er bare ikke lovligt at gøre det? Jeg mener de skriver at man ikke må kopiere det teknologiske pap-kort.
Så kunne man jo fx 'kryptere' sin billedefil ved at lave et mønster i hvordan man lige photoshoppede om på #-tallene i forhold til nøgle-tallene... fx kunne man sige at #-tallene i kolonne 3 blev til #-tallene i kolonne 4 og kolonne 4 kunne så være kolonne 1 osv. :-)
Den slags kryptering blev allerede brudt i første halvdel af sidste århundrede, men du skal da være velkommen:)
Hvem siger at mobilen skal have et unikt "seed" ?Coney (66) skrev:Jeg behøver ikke fysisk adgang til din mobil for at se det data der er på den. Og det er kun den ene side af problemet. Har den en token creator så er der en tilgængelig algoritme at anvende. JEg behøver bare den så kan din telefon sådan set være hamrende ligegyldig.
Ved mit løsningsforslag ville der ikke være et unikt seed aka intet man kan "stjæle" éen gang og så bruge det senere.
Nej, du skal installere malware, men du behøver heller ikke fysisk adgang for at "hacke" en NemID bruger.Coney (66) skrev:Jeg behøver ikke fysisk adgang til din mobil for at se det data der er på den.
Hvad er sikrest:
A) Nuværende NemID: For at lave et MitB angreb skal man installere malware på brugerens computer
B) Mit løsningsforslag: For at lave et MitB angreb skal man installere malware på BÅDE brugerens computer OG brugerens mobil
?
Nicolai (64) skrev:Tror folk er sure over at DanID (eller hvad fa'en de hedder) ikke ved særligt meget om sikkerhed (case INsensitive - hallo?
Det er simpelt hen for dumt det der. Skal jeg gentage argumentationen fra alle de andre tråde om NemID, eller vil du selv prøve at tænke dig lidt om først?
Nicolai (64) skrev:men tager man mobilen så bliver det opdaget asap
Som en anden har nævnt kan man stjæle data fra din telefon uden at stjæle telefonen.
Da man havde nøglefiler til netbanker som det gav mening at stjæle, så blev de da også stjålet via malware, ikke ved at stjæle selve PC'erne.
Nicolai (64) skrev:Hvis der var et NemID app, så kunne man jo også bare kryptere papkortet == problem solved.
Aha. Kan du bruge det til noget som helst ved uden at "åbne" for krypteringen af og til? Nej. Og kan malware sidde i baggrunden og vente på det? Ja. Det er ret begrænset hvor meget sikkerhed får ud af bare at kryptere.
Det er helt fint ikke at have styr på grundlæggende IT-sikkerhed, det er faktisk ganske normalt. Men det er altså ret dumt at udstille det så tydeligt, og SAMTIDIG påstå at eksperterne ikke har forstand på hvad de laver.
Nicolai (64) skrev:Mobilen giver en ekstra skærm dette kan man udnytte (e.g. "Du er igang med at overføre X kr til Y, hvis du vil fortsætte er aktiveringskoden Z")
Set fra den vinkel er ideen god nok. Umiddelbart vil jeg mene at den bedste måde at implementere dette, er via SMS. Det vil uden problemer virke på praktisk talt alle mobiltelefoner. Så er spørgsmålet vel først og fremmest hvorvidt det er en god ide at dit simkort er din token.
Hvis du gør det med en app løber du sådan set ind i ca. de samme problemer som med en app der genererer engangsnøgler. Stærk forenklet (og ikke helt korrekt) bliver din token at en app påstår at din telefon har en eller anden device id. Det er ca. lige så sikkert som at bevise hvem man er ved at sige sit CPR-nummer.
Men uanset hvordan du klarer detaljerne, er der stadig et væsentligt problem tilbage: Du kan ikke bruge telefonen som både token og klient. Dvs. hvis du bruger telefonen som token, kan du fx. vinke farvel til din mobilbank.
Det kan være helt okay for nogle. Men jeg vil tro at dem som er mest interesseret i at erstatte nøglekortet med en smartphone app, nok i høj grad også er dem som gerne vil bruge fx. mobilbank.
Nicolai (64) skrev:
Siden hvornår er MitM blevet svært at udføre? Ned på den lokale starbucks og så har du massere af ofre.
Ja der kommer en "Warning cert is wrong, bla bla", men hvor mange tror du ved hvad det betyder? "Næste" "Ja, jeg er sikker" og volá så er den besked væk, og den (dumme) bruger kan fortsætte med at logge ind og tjekke sin netbank.
Hvis man tager på Starbucks for at lave man in the middle, er man jo ret udsat. Hvis bare én person fatter mistanke, er der ret stor risko for at blive fanget. Selv hvis man smutter inden politiet kommer, er der sikkert noget videoovervågning. Desuden er antallet af potentielle ofre ret lavt.
Kriminelle vil meget hellere sidde derhjemme og kode en trojan der kan spredes til millioner af maskiner. Her er det "kun" risikabelt når pengene skal overføres.
Nicolai (64) skrev:
Jeg quoter mig selv: Jeg vil tro at ca 80% af alle indbrud i netbanker foregår via MitB.
See the capitalized "B"? MitM != MitB
Det så jeg godt, men du tager fejl. De fleste indbrud sker ved brug trojans og keyloggere, ikke man in the browser (eller middle)
Nicolai (64) skrev:
Nej? Mobilen giver en ekstra skærm dette kan man udnytte (e.g. "Du er igang med at overføre X kr til Y, hvis du vil fortsætte er aktiveringskoden Z") - dette kan man ikke på et papkort, dvs:
Papkort + malware på computeren = sårbar overfor MitB
Mobil + malware på computeren = IKKE sårbar overfor MitB
Ja, det kunne man godt. Men det der er blevet aflyst er en nøglegenerator. Den udvidelse du foreslår vil helt sikkert forbedre sikkerheden*, men det ville de planlagte apps ikke.
Edit: *så længe man ikke logger på med telefonen.
Nicolai (64) skrev:Tror folk er sure over at DanID (eller hvad fa'en de hedder) ikke ved særligt meget om sikkerhed (case INsensitive - hallo? er jeg havnet i 1990?). Når de ikke ved noget om sikkerhed, så skal de fandme ikke belære os andre om forkerte ting (det giver ihvertfald sure 'kunder' :S ).
Det er netop lige der du er havnet... umiddelbart er det ikke DanID der selv har sat begrænsningen vedr. case sensitive passwords; det er bankerne.
Bankerne kører stadig deres systemer på gamle mainframes som ikke kan håndtere case - derfor bliver det heller ikke implementeret, fordi bankerne netop har en ret så stor finger med i spillet for, hvordan NemID blev til.
On topic:
Som andre også har nævnt, så er hele idéen med "papkortet" netop 2 faktor login og hvis man både kan bruge sin telefon til at generere nøgler og lave betalinger fra, så er det jo ikke "rigtig" to faktor login mere, da man kun skal kompromitere én ting for at få adgang til det hele.
Hvis jeg skulle vælge imellem at kunne bruge min mobil til at generere nøgler eller kunne gå på mobilbank, ville jeg nu vælge mobilbank - til enhver tid.
Og nej din pinkode (på 4 tal) eller gesture er ikke så svært at omgå.
Eksempelvis på Android (puha sviner lige lidt min egen yndlingsplatform til :P) kan lock screens omgås, hvis "debugging" er slået til og du slutter telefonen til en computer. Et par shell kommandoer og et par updates i sqlite db'en i Android og vupti du har slået alt sikkerhed fra...
dphreak (71) skrev:Altid rart med en upper bound når man skal igang med brute force...
Og du kan ikke bruteforce NemID... med mindre du kan ramme rigtigt inden for 15 forsøg. 15 forsøg fordi efter 5 forsøg bliver man spærret i 8 timer. 5 forsøg mere og du bliver spærret i yderligere 8 timer. 5 forsøg mere og din NemID bliver spærret og bliver ikke låst op automatisk mere...
So good luck with that ;)
Du må meget gerne gentage dem.. jeg har ihvertfald ikke hørt nogle gode argumenter endnu :-)myplacedk (69) skrev:Det er simpelt hen for dumt det der. Skal jeg gentage argumentationen fra alle de andre tråde om NemID, eller vil du selv prøve at tænke dig lidt om først?
Ja men der er jo KÆMPE forskel på at stjæle en nøglefil på brugerens computer og så brugerens mobil!?myplacedk (69) skrev:Nicolai (64) skrev:men tager man mobilen så bliver det opdaget asap
Som en anden har nævnt kan man stjæle data fra din telefon uden at stjæle telefonen.
Da man havde nøglefiler til netbanker som det gav mening at stjæle, så blev de da også stjålet via malware, ikke ved at stjæle selve PC'erne.
Du kan overhovedet ikke sammenligne det på den måde!
Læs nu hvad jeg skriver... Det er en løsning til hvorfor det er mere sikkert at have NemID kortet på mobilen (krypteret) kontra at have den på et papkort (ukrypteret).myplacedk (69) skrev:Nicolai (64) skrev:Hvis der var et NemID app, så kunne man jo også bare kryptere papkortet == problem solved.
Aha. Kan du bruge det til noget som helst ved uden at "åbne" for krypteringen af og til? Nej. Og kan malware sidde i baggrunden og vente på det? Ja. Det er ret begrænset hvor meget sikkerhed får ud af bare at kryptere.
Hvordan vil du stjæle en mobil, installere malware, og aflevere den tilbage uden at ejeren opdager det? Og er det nemmere end at stjæle et papkort? (*whistle*)
Hmm, indtilvidere har du sagt at der findes argumenter for at case insensitive er bedre(?) end case sensitive - du har dog ikke kommet med nogle af disse (indtil videre påstået) argumenter.myplacedk (69) skrev:Det er helt fint ikke at have styr på grundlæggende IT-sikkerhed, det er faktisk ganske normalt. Men det er altså ret dumt at udstille det så tydeligt, og SAMTIDIG påstå at eksperterne ikke har forstand på hvad de laver.
Så er du kommet med et sindssygt dårligt eksempel og (med vilje?) misforstået mig / taget et forslag ud af en kontekst og puttet den ind i en anden.
Hvordan syntes du selv det går? Internet tough guys har vi altså nok af!
host host: http://lolpics.se/18447-the-internet-is-back
Ja? Det er dét jeg hele tiden har sagt -.-'myplacedk (69) skrev:Nicolai (64) skrev:Mobilen giver en ekstra skærm dette kan man udnytte (e.g. "Du er igang med at overføre X kr til Y, hvis du vil fortsætte er aktiveringskoden Z")
Set fra den vinkel er ideen god nok. Umiddelbart vil jeg mene at den bedste måde at implementere dette, er via SMS. Det vil uden problemer virke på praktisk talt alle mobiltelefoner. Så er spørgsmålet vel først og fremmest hvorvidt det er en god ide at dit simkort er din token.
Det er nemt at implementere (da det virker out-of-the-box på _ALLE_ mobiler). Føler man ikke at telefonkortet er "sikkert" nok, så kan man kombinere det med en app (så ryger kombiliteten (staves?) - men man har nu 2 seeds hvilket er rigeligt).
Nej? Hvorfor er en kode fra et NemID papkort mere sikker end en kode genereret af en app? I DENNE sAMMENHÆNG - jeg gider ikke at høre om koder i andre sammenhæng ;)myplacedk (69) skrev:Hvis du gør det med en app løber du sådan set ind i ca. de samme problemer som med en app der genererer engangsnøgler. Stærk forenklet (og ikke helt korrekt) bliver din token at en app påstår at din telefon har en eller anden device id. Det er ca. lige så sikkert som at bevise hvem man er ved at sige sit CPR-nummer.
Hvad med dem der vil have en nemmere og mere sikker NemID løsning? (dvs os med en mobil men ikke bruger webbank etc på mobilen)?myplacedk (69) skrev:Men uanset hvordan du klarer detaljerne, er der stadig et væsentligt problem tilbage: Du kan ikke bruge telefonen som både token og klient. Dvs. hvis du bruger telefonen som token, kan du fx. vinke farvel til din mobilbank.
Det kan være helt okay for nogle. Men jeg vil tro at dem som er mest interesseret i at erstatte nøglekortet med en smartphone app, nok i høj grad også er dem som gerne vil bruge fx. mobilbank.
Og man er ikke udsat når man spreder malware til millioner af maskiner? Hvis din computer er krypteret så tager det max 5 sekunder og så kan INGEN komme ind i den igen.. Så hvis nogle fatter mistanke så er det bare at trykke på sine hotkeys ;)Killa (70) skrev:Hvis man tager på Starbucks for at lave man in the middle, er man jo ret udsat. Hvis bare én person fatter mistanke, er der ret stor risko for at blive fanget. Selv hvis man smutter inden politiet kommer, er der sikkert noget videoovervågning. Desuden er antallet af potentielle ofre ret lavt.Nicolai (64) skrev:Siden hvornår er MitM blevet svært at udføre? Ned på den lokale starbucks og så har du massere af ofre.
Ja der kommer en "Warning cert is wrong, bla bla", men hvor mange tror du ved hvad det betyder? "Næste" "Ja, jeg er sikker" og volá så er den besked væk, og den (dumme) bruger kan fortsætte med at logge ind og tjekke sin netbank.
Kriminelle vil meget hellere sidde derhjemme og kode en trojan der kan spredes til millioner af maskiner. Her er det "kun" risikabelt når pengene skal overføres.
Desuden var det ikke en opskrift til hvordan man hacker, men mere undren over at et MitM skulle være blevet svært at udføre (selvom der hele tiden kommer nye værktøjer der gør det nemmere).
Jeg quoter mig selv: Jeg vil tro at ca 80% af alle indbrud i netbanker foregår via MitB.Killa (70) skrev:Nicolai (64) skrev:Jeg quoter mig selv: Jeg vil tro at ca 80% af alle indbrud i netbanker foregår via MitB.
See the capitalized "B"? MitM != MitB
Det så jeg godt, men du tager fejl. De fleste indbrud sker ved brug trojans og keyloggere, ikke man in the browser (eller middle)
See the capitalized "B"? MitM != MitB
HINT: Find ud af hvad et MitB angreb er.....
Killa (70) skrev:Ja, det kunne man godt. Men det der er blevet aflyst er en nøglegenerator. Den udvidelse du foreslår vil helt sikkert forbedre sikkerheden*, men det ville de planlagte apps ikke.Nicolai (64) skrev:Nej? Mobilen giver en ekstra skærm dette kan man udnytte (e.g. "Du er igang med at overføre X kr til Y, hvis du vil fortsætte er aktiveringskoden Z") - dette kan man ikke på et papkort, dvs:
Papkort + malware på computeren = sårbar overfor MitB
Mobil + malware på computeren = IKKE sårbar overfor MitB
Edit: *så længe man ikke logger på med telefonen.
Darwind: TAK! Jeg vidste ikke at det var bankerne der satte begrænsningerne (hvor skulle jeg vide det fra? :b ) - men anyway, så skal vi jo bare hate på bankerne? Svære er det ikke :)
Dog kunne jeg godt tænke mig at høre myplacedk's argumenter for at "DeTtE" ikke er mere sikker end "dette".
briped (29) skrev:Pointen er at du bemærker hvis din pung er væk. Noget som kræver folk er fysisk i nærheden af dig.
Du bemærker ikke hvis din telefon blev hacket og billedet kopieret. Noget som kan gøres remote. Billedet ligger ukrypteret på kameradelen af sådanne telefoner, som faktisk endda er bevist at man kan tilgå uden kode, blot ved at tilslutte telefonen til en computer og browse indholdet som ved ethvert andet kamera.
Smid det i din Dropbox? Også bevist usikker.
Han skal naturligvis lægge det på sin hjemme side ;)
Darwind (73) skrev:Og du kan ikke bruteforce NemID... med mindre du kan ramme rigtigt inden for 15 forsøg. 15 forsøg fordi efter 5 forsøg bliver man spærret i 8 timer. 5 forsøg mere og du bliver spærret i yderligere 8 timer. 5 forsøg mere og din NemID bliver spærret og bliver ikke låst op automatisk mere...
So good luck with that ;)
Ekstra credits for totalt at misse pointen... Læs: Info om dit kodeords længde og sammensætning skal ikke offentliggøres.
Darwind (72) skrev:Det er netop lige der du er havnet... umiddelbart er det ikke DanID der selv har sat begrænsningen vedr. case sensitive passwords; det er bankerne.
Bankerne kører stadig deres systemer på gamle mainframes som ikke kan håndtere case - derfor bliver det heller ikke implementeret, fordi bankerne netop har en ret så stor finger med i spillet for, hvordan NemID blev til.
Okay... så mainframes kan ikke håndtere case. Aha... Du må meget gerne dokumentere den påstand, fordi det er sgu noget nonsens.
HerrMansen (50) skrev:Et glimrende argument - indtil at nogen gør dig opmærksom på at NemID != Netbank. Det bruges f.eks. også til Borger.dk og stort set alle offentlige hjemmesider i dag.
Så med andre ord - vil du på det offentlige fra telefonen? There isn't an app for that. (yet?)
Øh? Det gør da kun mit argument endnu mere validt at der er endnu flere steder du kan bruge nemid fra telefonen? Det jeg kommenterede var, at nemid er bygget op omkring et to faktor system, hvor du bruger nemid ét sted, men henter authentication fra et andet sted også. Hvis du logger på nemid fra telefonen kan din key generator derfor heller ikke ligge på din telefon.
Btw, kom også lige selv i tvivl. Nyheden handler ikke om hvorvidt man kan logge på løsninger der kræver nemid fra telefonen, det er der for så vidt ikke noget i vejen for, men at papkortet ikke kan erstattes af en app.
Nicolai (74) skrev:Nej? Hvorfor er en kode fra et NemID papkort mere sikker end en kode genereret af en app? I DENNE sAMMENHÆNG - jeg gider ikke at høre om koder i andre sammenhæng ;)myplacedk (69) skrev:Hvis du gør det med en app løber du sådan set ind i ca. de samme problemer som med en app der genererer engangsnøgler. Stærk forenklet (og ikke helt korrekt) bliver din token at en app påstår at din telefon har en eller anden device id. Det er ca. lige så sikkert som at bevise hvem man er ved at sige sit CPR-nummer.
'Pap'-engangskoderne er genereret ud fra en nøgle som er beskyttet af en HSM. En engangskode på en mobil skal genereres ud fra en nøgle, der ligger på mobilen. Den ene nøgle er opbevaret sikkert, den anden er ikke - gæt selv hvilken.
Nicolai (74) skrev:Du må meget gerne gentage dem.. jeg har ihvertfald ikke hørt nogle gode argumenter endnu :-)
Så tager vi den igen.
Pointen med et langt og kompliceret kodeord er at have mange muligheder, så det er svært at gætte koden.
Fx. en pinkode har 10 muligheder pr. tegn og 4 tegn. Det gievr 10^4 = 10.000 muligheder. Altså skal der max 10.000 forsøg til at gætte det. Det hedder "entropi".
Så kan vi lave denne beregning:
Pinkode mellem 0000 og 9999: 10.000
a-z og 0-9, 5 tegn: 36^5 = 60.466.176
A-Z, a-z og 0-9, 5 tegn: 62^5 = 916.132.832
a-z og 0-9, 6 tegn: 36^6 = 2.176.782.336
A-Z, a-z og 0-9, 6 tegn: 62^5 = 57.716.368.416
Det vi kan se her er at et case insensitive kodeord på 6 tegn er dobbelt så godt som et case sensitive kodeord på 5 tegn.
Eller sagt på en anden måde: Ét tegn fra eller til betyder meget mere, end case sensitivity.
Så hvad gør DanID? Først bliver de enige om hvor gode kodeord skal være (hvilken entropi de ønsker). Så bliver de beslutter de at kodeord skal være case insensitive pga. brugervenligheden. Og så sætter de minimumlængden efter de betingelser.
Eller den korte udgave: Du kan ikke brute force alligevel, så kan det ikke være ligegyldigt hvor mange milliarder forsøg der skal til?
Nicolai (74) skrev:Ja men der er jo KÆMPE forskel på at stjæle en nøglefil på brugerens computer og så brugerens mobil!?
Øhm... Næh. Egentlig ikke. En smartphone ER en computer. Detaljerne er anderledes, men fra 3 skridts afstand er det sikkerhedsmæssigt nogenlunde tilsvarende. Især vil du tager med i betragtningerne at dette system gerne skulle køre i nogle år, ingen ved hvad der sker af tekniske detaljer på mobilmarkedet i den tid, og at det grundlag man tager beslutningerne på nu gerne skulle være holdbart til den tid alligevel.
Nicolai (74) skrev:Hvordan vil du stjæle en mobil, installere malware, og aflevere den tilbage uden at ejeren opdager det? Og er det nemmere end at stjæle et papkort? (*whistle*)
Hvorfor i alverden skulle jeg stjæle mobiltelefonen for at installere malware på den? Har det nogensinde fungeret sådan på desktop-computere?
Nu og her kommer den slags nemmest ind vi app markederne. Ja, både på Android og iOS. Og for den sags skyld Symbian og Windows Phone 7. Det er lidt forskelligt hvad de gør for at undgå det og hvor grundige de er, men det er muligt.
Nicolai (74) skrev:Hmm, indtilvidere har du sagt at der findes argumenter for at case insensitive er bedre(?) end case sensitive - du har dog ikke kommet med nogle af disse (indtil videre påstået) argumenter.
Nej det var ikke det jeg sagde. Jeg sagde at det er for dumt at konkludere at DanID ikke har forstand på sikkerhed, fordi deres system ikke har case sensitive passwords.
Nicolai (74) skrev:Så er du kommet med et sindssygt dårligt eksempel og (med vilje?) misforstået mig / taget et forslag ud af en kontekst og puttet den ind i en anden.
Jeg aner ikke hvad du snakker om her.
Nicolai (74) skrev:Nej? Hvorfor er en kode fra et NemID papkort mere sikker end en kode genereret af en app? I DENNE sAMMENHÆNG - jeg gider ikke at høre om koder i andre sammenhæng ;)
Fordi det på din telefon kan kopieres digitalt. Med det nuværende system skal du angribes BÅDE digitalt (keylogger for kodeord) OG fysisk (stjæle/kopiere dit nøglekort). Det er temmeligt svært, og det er de færreste som har mod på begge dele.
Metfan (78) skrev:
Okay... så mainframes kan ikke håndtere case. Aha... Du må meget gerne dokumentere den påstand, fordi det er sgu noget nonsens.
Ja ved det godt - den bliver svær at dokumentere direkte for bankerne - for de vil sandsynligvis ikke indrømme det, hvis du spørger dem som udenforstående. (Dog har jeg påstanden fra pålidelige kilder...)
Dog er Cobol i mange tilfælde case insensitive i hvert i de gamle versioner og det er det de fleste bank systemer bygger på. (søg selv på google - det gider jeg altså ikke gøre for dig ;))
Systemerne er ca. 25 år gamle - altså dem der håndterer transaktioner osv - ikke dem der viser dig det pæne login billede og hjemmesiden med din netbank.
De bygger på gammel teknologi som virker - og hvorfor skulle man også ændre noget, som har kørt i 25 år, når det nu virker ;)
Og hvorfor fanden blev mit forrige indlæg rated som irrelevant? Jeg bidrog med indspark til diskussionen om nyheden - der er nogen der skal have deres skolepenge tilbage, hvis de ikke kan kende forskel på irrelevant og relevant...
#82 Dit indlæg blev ratet irrelevant fordi jeg lige nu sidder ved en mainframe i en bank. Og den kan GODT kende forskel på store og små bogstaver.
Det har de altid kunnet også selvom programmer er meget ældre en de små 25 år du snakker om. Mainframes i dag er en videreudvikling af IBM System/360 som har kørt med tegnsættet EBCDIC siden 1963. Og det tegnsæt har både store og små bogstaver.
Deraf kan vi kun konkludere at du lige nu er i færd med at lukke en helvedes masse mundlort ud om ting du ikke aner en kæft om, og samtidig påstå at du har "pålidelige kilder".
Derfor IRRELEVANT!
Det har de altid kunnet også selvom programmer er meget ældre en de små 25 år du snakker om. Mainframes i dag er en videreudvikling af IBM System/360 som har kørt med tegnsættet EBCDIC siden 1963. Og det tegnsæt har både store og små bogstaver.
Deraf kan vi kun konkludere at du lige nu er i færd med at lukke en helvedes masse mundlort ud om ting du ikke aner en kæft om, og samtidig påstå at du har "pålidelige kilder".
Derfor IRRELEVANT!
Darwind (82) skrev:Og hvorfor fanden blev mit forrige indlæg rated som irrelevant?
Selv om det er on topic, så mener jeg nu alligevel at sådan en omgang vrøvl er irrelevant.
Jeg sidder selv og arbejder med et 40 år gammel COBOL-system som kører på mainframe, som adskillige banker benytter sig af. Det håndterer fint store og små bogstaver.
Og det kan i øvrigt være fuldstændigt ligegyldigt, eftersom bankerne slet ikke har noget som helst med NemID-kodeordene at gøre. Det er kun DanID der har det.
Derfor kunne man nu godt snakke ordenligt til folk.
#82 - det er muligt den kan, men det er ikke alle de danske banksystemer der kan (der hvor jeg arbejder kan de ikke og vi står immervæk for en god slat af de danske kunder).
COBOL har håndteret cases på den måde, at den bare lavede alt om til upper case i nogle udgaver af COBOL
#84 - igen - at tale ordenligt til folk ville være at foretrække. Læs ovenstående.
#82 - det er muligt den kan, men det er ikke alle de danske banksystemer der kan (der hvor jeg arbejder kan de ikke og vi står immervæk for en god slat af de danske kunder).
COBOL har håndteret cases på den måde, at den bare lavede alt om til upper case i nogle udgaver af COBOL
#84 - igen - at tale ordenligt til folk ville være at foretrække. Læs ovenstående.
Darwind (86) skrev:der hvor jeg arbejder kan de ikke
Hvor er det?
Darwind (86) skrev:COBOL har håndteret cases på den måde, at den bare lavede alt om til upper case i nogle udgaver af COBOL
Der er mange steder om ikke har cases. Nogle protokoller som benyttes i finanssektoren er specificeret til at være sådan. Nogle steder har man bare ikke indført det.
Men jeg har svært ved at forestille mig en bank bruge et system i dag, som ikke kan håndtere case der hvor det er nødvendigt.
Ups, kan se jeg misforstod artiklen... troede det handlede om at checke netbank på mobilen, men det er nøglekortet der snakkes om... hehe
sorry for min Flamebait i #2
sorry for min Flamebait i #2
Darwind (86) skrev:#82 - det er muligt den kan, men det er ikke alle de danske banksystemer der kan
HERP DERP
myplacedk (85) skrev:Og det kan i øvrigt være fuldstændigt ligegyldigt, eftersom bankerne slet ikke har noget som helst med NemID-kodeordene at gøre. Det er kun DanID der har det.
Hvorfor koger folk stadig suppe på det her?
Bankerne != DanID
myplacedk (87) skrev:Hvor er det?
Det er ret irrelevant, hvor jeg arbejder...
myplacedk (87) skrev:
Men jeg har svært ved at forestille mig en bank bruge et system i dag, som ikke kan håndtere case der hvor det er nødvendigt.
Du har lige selv påvist, at case ikke gør den store forskel for sikkerheden, så hvorfor bruge det? Det sted hvor jeg arbejder og i den bank jeg har personligt (Jyske bank) har man aldrig håndteret cases - dvs. vi snakker om en rimelig stor del af den danske bankverden - jeg kan så kun gisne om, hvorvidt andre banker bruger cases eller ej.
Selvfølgelig kan systemerne håndtere cases - ellers ville alle beskeder i bankoverførsler for så vidt stå med småt :O Men i password tilfældet håndterer man det bare ikke... the end.
Desuden jeres "proklameringer" om hvad COBOL kan og ikke kan er jo ikke mere gyldige end mine - jeg har kun set Jer føre beviser lignende mine: "Ja jeg arbejder et sted, hvor de godt kan håndtere cases...". Find mig et sted, der står, at ALLE versioner af COBOL kan håndtere cases og ikke kan slås fra, så køber jeg den ;)
Men jeg trækker mig bare fra diskussionen - jeg kan se, at jeg nok lige meget hvad taber. Om jeg har ret eller ej ;)
#89 - og ja det er rigtigt, DanID er ikke det samme firma som bankerne. Korrekt, men det er ikke det der pointen. Bankerne har haft medbestemmelse over NemID og har fået lov til at bestemme nogle forskellige ting i forbindelse med indførelse af det.
Darwind (90) skrev:Desuden jeres "proklameringer" om hvad COBOL kan og ikke kan er jo ikke mere gyldige end mine - jeg har kun set Jer føre beviser lignende mine
Hvabehar?
Darwind (82) skrev:Dog har jeg påstanden fra pålidelige kilder...
myplacedk (85) skrev:Jeg sidder selv og arbejder med et 40 år gammel COBOL-system som kører på mainframe, som adskillige banker benytter sig af. Det håndterer fint store og små bogstaver.
Jeg vil vove den påstand, at der er en væsentlig forskel på jeres udtalelser.
Darwind (90) skrev:Bankerne har haft medbestemmelse over NemID og har fået lov til at bestemme nogle forskellige ting i forbindelse med indførelse af det.
Hvorfor skulle bankerne have NOGET som helst at sige, hvad angår password's case sensitive vs insensitive?
#90 Det er da godt nok sjovt at Jyske Bank ifølge dig aldrig håndterer cases, men alligevel har de så valgt at lave en demo af deres netbank hvor alt står nydeligt med store og små bogstaver.
Også f.eks. meddelelserne på posteringsoversigten som er selve bankforretningen.
Men du kan naturligvis have overset det når du selv har været logget ind ...
Også f.eks. meddelelserne på posteringsoversigten som er selve bankforretningen.
Men du kan naturligvis have overset det når du selv har været logget ind ...
TrolleRolle (92) skrev:#90 Det er da godt nok sjovt at Jyske Bank ifølge dig aldrig håndterer cases, men alligevel har de så valgt at lave en demo af deres netbank hvor alt står nydeligt med store og små bogstaver.
Også f.eks. meddelelserne på posteringsoversigten som er selve bankforretningen.
Men du kan naturligvis have overset det når du selv har været logget ind ...
Ved du hvad brugervenlighed betyder? Det handler om læsbarhed for den bruger, der ser "demoen". Der er intet i NemID der er case insensitive. Prøv med hvilken som helst kombination af cases, så vil du selv se det.
Hvis du rent faktisk havde gidet at læse mit indlæg i #90 havde du jo netop set, at jeg rent faktisk skrev, at i nogle tilfælde bliver case håndteret.
#93 - det har fandtes fra start af NemID - smut ind på www.nemid.nu/selvbetjening og lav et selvvalgt bruger id :P
Darwind (72) skrev:Bankerne kører stadig deres systemer på gamle mainframes som ikke kan håndtere case
...og så...
Darwind (90) skrev:Selvfølgelig kan systemerne håndtere cases
Jamen så fik vi da det på plads.
Så er der vist ingen grund til at bruge mere tid på det vrøvl.
Darwind (94) skrev:Ved du hvad brugervenlighed betyder? Det handler om læsbarhed for den bruger, der ser "demoen".
Nu er jeg ved at være ret sikker på at det er trolleri. Det kan ikke passe at du seriøst først mener at mainframen ikke kan håndtere case, så er det en selvfølge at den godt kan, så kan de ikke i posteringerne OG de lyver.
Nicolai (74) skrev:
Og man er ikke udsat når man spreder malware til millioner af maskiner?
Ikke rigtigt. Sådan noget spredes jo som spam gennem botnet, og er ret svært at spore. Men det efterlader altid spor når man flytter rundt på penge, uanset hvordan selve angrebet er udført.
Nicolai (74) skrev:
Hvis din computer er krypteret så tager det max 5 sekunder og så kan INGEN komme ind i den igen.. Så hvis nogle fatter mistanke så er det bare at trykke på sine hotkeys ;)
What? At kryptere maskinen hjælper ikke med at sløre et man in the middle angreb. Hvis først politiet har fat på dig fysisk, er du på spanden.
Nicolai (74) skrev:
Desuden var det ikke en opskrift til hvordan man hacker, men mere undren over at et MitM skulle være blevet svært at udføre (selvom der hele tiden kommer nye værktøjer der gør det nemmere).
Selve udførslen behøver heller ikke at være specielt svær, det svære er at ikke at blive opdaget.
Nicolai (74) skrev:
Jeg quoter mig selv: Jeg vil tro at ca 80% af alle indbrud i netbanker foregår via MitB.
See the capitalized "B"? MitM != MitB
HINT: Find ud af hvad et MitB angreb er.....
Jeg tror selv du skal finde ud af hvad det er. Angrebene har ikke ændret på browserens opførsel og er derfor ikke Man in the Browser (MitB).
Tja, men tilgengæld kan man rent faktisk beskytte sig et MitB angreb. Personlig tror jeg at det vil være værd at "ofre" denne ekstra "sikkerhed" for at blive beskyttet mod et MitB angreb.Pally (80) skrev:'Pap'-engangskoderne er genereret ud fra en nøgle som er beskyttet af en HSM. En engangskode på en mobil skal genereres ud fra en nøgle, der ligger på mobilen. Den ene nøgle er opbevaret sikkert, den anden er ikke - gæt selv hvilken.Nicolai (74) skrev:Nej? Hvorfor er en kode fra et NemID papkort mere sikker end en kode genereret af en app? I DENNE sAMMENHNG - jeg gider ikke at høre om koder i andre sammenhæng ;)
Det er jo ikke uden grund jeg foreslår at man gør det anderledes :-)
Der kommer en ny "attack vector" men tilgengæld fjerner man også end anden. Jeg mener at kunne huske en bank/NemID-mand der talte lidt om det, og han sagde noget i stil med at det scenarie man ville beskytte sig imod med NemID var at mange desværre har malware på deres computere. Det nuværende malware kan ikke stjæle fra din konto (pga NemID), men det eneste man skal gøre er at opdatere malwaren (MitB modulet) og så kan man igen stjæle fra danske banker.
Hvorfor ikke eliminere dette totalt? (Ja, der kommer en ny attack vector, men man fjerner tilgengæld også en meget brugt en).
Lol?myplacedk (81) skrev:S tager vi den igen.
Pointen med et langt og kompliceret kodeord er at have mange muligheder, s det er svrt at gtte koden.
Fx. en pinkode har 10 muligheder pr. tegn og 4 tegn. Det gievr 10^4 = 10.000 muligheder. Alts skal der max 10.000 forsg til at gtte det. Det hedder "entropi".
S kan vi lave denne beregning:Pinkode mellem 0000 og 9999: 10.000
a-z og 0-9, 5 tegn: 36^5 = 60.466.176
A-Z, a-z og 0-9, 5 tegn: 62^5 = 916.132.832
a-z og 0-9, 6 tegn: 36^6 = 2.176.782.336
A-Z, a-z og 0-9, 6 tegn: 62^5 = 57.716.368.416
Det vi kan se her er at et case insensitive kodeord p 6 tegn er dobbelt s godt som et case sensitive kodeord p 5 tegn.
Eller sagt p en anden mde: t tegn fra eller til betyder meget mere, end case sensitivity.
S hvad gr DanID? Frst bliver de enige om hvor gode kodeord skal vre (hvilken entropi de nsker). S bliver de beslutter de at kodeord skal vre case insensitive pga. brugervenligheden. Og s stter de minimumlngden efter de betingelser.
Et case insensitive password i længden 6 er 2 gange bedre end et case sensitive password i længden 5. Men et case sensitive password i længden 6 er 93937 gange bedre end et case insensitive password i længden 5. (Ja, har leget lidt med den fede skrift :>)
93937 > 2 (*whistle*).
Og siden hvornår er det blevet brugervenligt at have en lang minimums længde på passwordet?
PLUS: det er vel falsk sikkerhed hvis folk tror deres sUpeRSikRe PasSwOrD er enormt sikkert, når det ikke er mere sikker end "supersikre password"...
Du kan ikke sige at fordi et 'langt' lowercase password er mere sikkert end et 'kort' mixed password, s er det god sikkerheds skik at lave lowercase only....
Vil du ikke se pointen?myplacedk (81) skrev:Nicolai (74) skrev:Ja men der er jo KMPE forskel p at stjle en nglefil p brugerens computer og s brugerens mobil!?
hm... Nh. Egentlig ikke. En smartphone ER en computer. Detaljerne er anderledes, men fra 3 skridts afstand er det sikkerhedsmssigt nogenlunde tilsvarende. Isr vil du tager med i betragtningerne at dette system gerne skulle kre i nogle r, ingen ved hvad der sker af tekniske detaljer p mobilmarkedet i den tid, og at det grundlag man tager beslutningerne p nu gerne skulle vre holdbart til den tid alligevel.
For at exploite "min" løsning skal du have adgang til BÅDE computer OG mobil. Ved NemID løsningen og et MitB angreb behøver man kun adgang til computeren. Plus man behøver ikke en smartphone for at det virker.. man kan sagtens f det til at virke på en nokia 3210.
Hvem tror du IT kriminelle vil gå efter;
* Dem hvor der skal malware på computeren og så kan man stjæle fra netbanken
* Dem hvor der skal malware på computeren og så skal man lave et custom firmware / app til deres mobil som hijacker og modificere sms'erne.
Jeg ved godt hvad jeg ville gå efter :rolleyes:
Læs nu den oprindelige sammenhæng....myplacedk (81) skrev:Nicolai (74) skrev:Hvordan vil du stjle en mobil, installere malware, og aflevere den tilbage uden at ejeren opdager det? Og er det nemmere end at stjle et papkort? (*whistle*)
Hvorfor i alverden skulle jeg stjle mobiltelefonen for at installere malware p den? Har det nogensinde fungeret sdan p desktop-computere?
Men det er jo en banal sikkerhedsbrøler. Ja, self er det ikke idioter der er ansat hos NemID, men only lowercase == dumt.myplacedk (81) skrev:Nej det var ikke det jeg sagde. Jeg sagde at det er for dumt at konkludere at DanID ikke har forstand p sikkerhed, fordi deres system ikke har case sensitive passwords.Nicolai (74) skrev:Hmm, indtilvidere har du sagt at der findes argumenter for at case insensitive er bedre(?) end case sensitive - du har dog ikke kommet med nogle af disse (indtil videre pstet) argumenter.
Nej det er klart når du ikke læser sammenhængen...myplacedk (81) skrev:Nicolai (74) skrev:S er du kommet med et sindssygt drligt eksempel og (med vilje?) misforstet mig / taget et forslag ud af en kontekst og puttet den ind i en anden.
Jeg aner ikke hvad du snakker om her.
Nej man skal ej..myplacedk (81) skrev:Fordi det p din telefon kan kopieres digitalt. Med det nuvrende system skal du angribes BDE digitalt (keylogger for kodeord) OG fysisk (stjle/kopiere dit nglekort). Det er temmeligt svrt, og det er de frreste som har mod p begge dele.Nicolai (74) skrev:Nej? Hvorfor er en kode fra et NemID papkort mere sikker end en kode genereret af en app? I DENNE SAMMENHNG - jeg gider ikke at hre om koder i andre sammenhng ;)
Det der dét du misforstår. Man kan, ved brug af MitB (søg på ’MitB’ hvis du ikke ved hvad det er), stjæle penge fra NemID-papkort brugeren digitalt (uden at rejse sig fra stolen).
Hvis du ikke vil indse dette problem, så kan vi ikke komme videre.
Tjo, jeg har aldrig sagt at MitM var en god idé ;)Killa (96) skrev:Ikke rigtigt. Sdan noget spredes jo som spam gennem botnet, og er ret svrt at spore. Men det efterlader altid spor nr man flytter rundt p penge, uanset hvordan selve angrebet er udfrt.Nicolai (74) skrev:Og man er ikke udsat nr man spreder malware til millioner af maskiner?
Jeg undrede mig bare over hvorfor det skulle være blevet SVÆRE at lave et MitM (fordi det er det ikke blevet).
Nej? Man er uskyldig indtil det modsatte er bevist. Hvis alle spor er krypteret s kan de jo ikke gøre noget.Killa (96) skrev:What? At kryptere maskinen hjlper ikke med at slre et man in the middle angreb. Hvis frst politiet har fat p dig fysisk, er du p spanden.Nicolai (74) skrev:Hvis din computer er krypteret s tager det max 5 sekunder og s kan INGEN komme ind i den igen.. S hvis nogle fatter mistanke s er det bare at trykke p sine hotkeys ;)
Men det var slet ikke dét det handlede om. Jeg undrede mig bare over hvorfor (ka' ikke huske hvem) skrev at et MitM lige pludselig var blevet SVÆRRE.
Helt enigKilla (96) skrev:Selve udfrslen behver heller ikke at vre specielt svr, det svre er at ikke at blive opdaget.Nicolai (74) skrev:Desuden var det ikke en opskrift til hvordan man hacker, men mere undren over at et MitM skulle vre blevet svrt at udfre (selvom der hele tiden kommer nye vrktjer der gr det nemmere).
Øhh jo? Kig på alle de store crimeware botnets. Fx ZeuS og SpyEye har et virkeligt IT kriminel-venligt MitB modul, tror det ville tage mig en times tid at lave en konfigurations fil der kan "ramme" NemID brugere... Skræmmende? Ja, desværre.Killa (96) skrev:Jeg tror selv du skal finde ud af hvad det er. Angrebene har ikke ndret p browserens opfrsel og er derfor ikke Man in the Browser (MitB).Nicolai (74) skrev:
Jeg quoter mig selv: Jeg vil tro at ca 80% af alle indbrud i netbanker foregr via MitB.
See the capitalized "B"? MitM != MitB
HINT: Find ud af hvad et MitB angreb er.....
------
Damn, mistede alle ÆØÅ'er... har sat de vigtigste ind igen :-)
#97
Den sidste best practice beskrivelse jeg læste talte om at man skulle sætte minimumskravet til 9 tegn i stedet for 8.
Jeg er selv ingen lunde imponeret af nemid men jeg ser mange andre problemer end lige at passwordet ikke er case sensitiv. Det er jo en relativ simpel beregning der skal laves for at underbygge den påstand. myplacedk har jo allerede lavet den så jeg forstår ikke hvorfor man gider blive ved med at brokke sig over et non issue..?
Den sidste best practice beskrivelse jeg læste talte om at man skulle sætte minimumskravet til 9 tegn i stedet for 8.
Jeg er selv ingen lunde imponeret af nemid men jeg ser mange andre problemer end lige at passwordet ikke er case sensitiv. Det er jo en relativ simpel beregning der skal laves for at underbygge den påstand. myplacedk har jo allerede lavet den så jeg forstår ikke hvorfor man gider blive ved med at brokke sig over et non issue..?
Nicolai (97) skrev:Lol?
Hvis du har lyst, værsgo'.
Nicolai (97) skrev:Og siden hvornår er det blevet brugervenligt at have en lang minimums længde på passwordet?
Det er mere brugervenligt med 6 tegn du godt kan finde ud af at skrive, end 5 tegn du ikke kan finde ud af at skrive. Og det har enda bedre entropi.
Jeg ved godt at ca. alle her på newz godt kan finde ud af det, men der er altså mange som har svært ved at forstå at "a" og "A" ikke er det samme.
Nicolai (97) skrev:PLUS: det er vel falsk sikkerhed hvis folk tror deres sUpeRSikRe PasSwOrD er enormt sikkert, når det ikke er mere sikker end "supersikre password"...
Det er ligegyldigt om du kan brute forces med 185659646372829639831095083008 eller 5680834076991919540067179553357824 forsøg, når der er under 100 forsøg at tage af.
(Så kan vi diskutere formlen jeg brugte til at beregne de to tal med. Men uanset hvordan du beregner det får du to tal som er rigtigt meget større end 100.)
Nicolai (97) skrev:Du kan ikke sige at fordi et 'langt' lowercase password er mere sikkert end et 'kort' mixed password, s er det god sikkerheds skik at lave lowercase only....
Det siger jeg skam heller ikke. Jeg siger at der skal være tilstrækkeligt entropi, og at der er det. Når man inden for de ramme (og de andre ting der nu skal til for at have passwords som er sikre nok) kan øge brugervenligheden, så gør man da det. Især med den målgruppe.
Nicolai (97) skrev:Vil du ikke se pointen?
Jo, jeg kan skam godt se pointen i at NemID kontakter dig via et andet medie for at bekræfte. Det er ikke det jeg argumenterer imod.
Nicolai (97) skrev:Men det er jo en banal sikkerhedsbrøler. Ja, self er det ikke idioter der er ansat hos NemID, men only lowercase == dumt.
Så slutter jeg her, vi når ingen vegne.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund