mboost-dp1
PBS A/S
zooL (1) skrev:Nyhed? Der har været flere beviser rundt om nettet det allerede var gjort få dage efter NemID blev aktiv. Det er jo heller ikke engang svært for den average joe.
Det nye er jo at de har vist specifikt hvilken NemID kode de skulle spørge efter.
Hvis det har været et tidligere kendt problem skal du da være velkommen til at komme med en henvisning :o)
http://newsroom.nordea.com/da/2011/09/28/falske-ma...
Hmm, hvordan kan de lige klare den .oO ?
Adgangen til den falske hjemmeside blev derfor spærret kort tid efter, de falske mails blev opdaget.
Hmm, hvordan kan de lige klare den .oO ?
#6 nemid opdateret til v 1.3:
Man skal nu svare på 3 spørgsmål før man kan logge ind:
1) Hvis du fik en email på engelsk / gebrokken dansk, og de spørger til dine personlige informationer samt nemid, vil du da udlevere data ?
2) Er du sikker ?
3) Er du Helt sikker ?
Så er det altså også svært, selvom vi endnu ikke lige kender de faktiske omstændigheder. Et bud på at de har sat live og fulgt med er nok ikke helt skævt..
Man skal nu svare på 3 spørgsmål før man kan logge ind:
1) Hvis du fik en email på engelsk / gebrokken dansk, og de spørger til dine personlige informationer samt nemid, vil du da udlevere data ?
2) Er du sikker ?
3) Er du Helt sikker ?
Så er det altså også svært, selvom vi endnu ikke lige kender de faktiske omstændigheder. Et bud på at de har sat live og fulgt med er nok ikke helt skævt..
Det er faktisk rigtigt nemt at udfyre sådan et phishing trick, men det kan man vist ikke beskytte sig imod (uddannelse af brugerne?).
Men helt seriøst, come on er newz blevet ekstrabladet? Hvad fanden er det for en overskrift? "NemIDs sikkerhed kompromitteret" - NEJ, et par brugere er blevet lokket til at skrive deres bruger, kode og NemID kode. That's all
Og inden folk siger at det er umuligt at vide hvilken kode man skal spørger efter, så kan angriberen jo bare lave et script som spørger NemID hvilken kode den gerne vil have, og derefter bringer beskeden videre til brugeren (det kræver lidt reverse engineering men er langt fra umuligt)
Men helt seriøst, come on er newz blevet ekstrabladet? Hvad fanden er det for en overskrift? "NemIDs sikkerhed kompromitteret" - NEJ, et par brugere er blevet lokket til at skrive deres bruger, kode og NemID kode. That's all
Og inden folk siger at det er umuligt at vide hvilken kode man skal spørger efter, så kan angriberen jo bare lave et script som spørger NemID hvilken kode den gerne vil have, og derefter bringer beskeden videre til brugeren (det kræver lidt reverse engineering men er langt fra umuligt)
kender ikke noget til sikkerheden bag nemid men kunne de ikke bare lave en falsk java login applet som efterligner den rigtige, hvorefter den vil modtage først vil spørge brugeren om login oplysninger hvorefter den selv vil logge ind mens den beder brugeren om at vente (mens den selv logger ind), hvorefter den kan aflæse hvilken kode der skal bruges og så spørge brugeren om nettop den kode.
men igen kun et gæt, som sagt aner jeg ikke hvordan de blokere dette
edit*
kan se at #8 har skrevet mere eller mindre det samme :P
men igen kun et gæt, som sagt aner jeg ikke hvordan de blokere dette
edit*
kan se at #8 har skrevet mere eller mindre det samme :P
Om kompromiterede bankkonti: Hvad med at gøre den sidste bank i kæden af pengeoverførsler ansvarlig? Hvis en dansk bank udbetaler stjålne penge til en kriminel, så skal den danske bank hæfte. Hvis den danske bank overfører penge til en udenlandsk bank, som udbetaler de stjålne penge, så skal den udenlandske bank hæfte. Hvis den udenlandske bank nægter, så skal den danske bank hæfte istedet. Så må den danske bank i fremtiden nægte at overføre penge til netop den udenlandske bank.
Hvor klog er NemID, altså gentagne forkerte forsøg?
Evt. lokkemad kunne være
Hej vi er NemID
Af sikkerhedsmæssige grunde skal vi bruge dit NemID brugernavn, din kode og 3. kode på dit papkort for verifikation.
Så kommer sandsynlighedsregningen
2000 er dumme nok til at hoppe på den
x antal af den 3. kode er ikke anvendt endnu på papkortet.
Forudsat systemet ikke har advarselsmekanismer, skal der nu kun y antal loginforsøg for at opnå adgang til netbanken.
Evt. lokkemad kunne være
Hej vi er NemID
Af sikkerhedsmæssige grunde skal vi bruge dit NemID brugernavn, din kode og 3. kode på dit papkort for verifikation.
Så kommer sandsynlighedsregningen
2000 er dumme nok til at hoppe på den
x antal af den 3. kode er ikke anvendt endnu på papkortet.
Forudsat systemet ikke har advarselsmekanismer, skal der nu kun y antal loginforsøg for at opnå adgang til netbanken.
#13 Jo okay sådan kan man også gøre. Men det virker bare imo nemmere at lave sit eget applet / modificerer NemID appleten, end at lave et program som "snakker sammen" med NemID Appletten.
Idéen er den samme, tror bare det kunne gøres nemmere og mere 'stabilt' med lidt reverse engineering :)
Idéen er den samme, tror bare det kunne gøres nemmere og mere 'stabilt' med lidt reverse engineering :)
Det måtte jo også ske. Jeg er nu ikke en af de der nemID hadere, jeg syntes sådan set systemet er fint. Det laver dog en klassisk fejl ved kun at bruge deres 2 faktor authentication ved login og ikke ved handlinger. Dette angreb havde været langt sværere hvis man også skulle bruge sit papkort når man laver en overførelse.
webwarp (14) skrev:godt at se, at de trods alt ikke ser ud til at snyde bankerne, som jo selvfølgelig heldigvis også har deres egne interne system checks.
Ja, IT-sikkerhed i bankerne har altid (ca.) fungeret på denne måde: Teknikken er et kompromis af hensyn til sikkerhed, brugerne og pris. Formålet har aldrig været at lave et 100% sikkert system, det er ikke realistisk. Men når teknikken er overvundet er forbryderen langt fra i mål...
Det er vel ikke meget anderledes end fysisk indbrud eller røveri i banken. Det er jo ikke engang svært. (I hvert fald ikke for intelligente mennesker, men de gør jo ikke sådan noget.) Problemet er at undgå at blive fanget og straffet for det.
#16,19: det er bankafhængigt; bankerne kan vælge enten at kræve nøglekode ved logon, eller ved godkendelse af betaling.
i dette tilfælde var svagheden muligvis, at de havde frit spil, når de var kommet igennem første login, til at oprette betalinger kun med koden.
min bank har så en ekstra sikkerhed, ved betalingen at der sendes en sms ved første overførsel til en ny konto, men denne kan selvfølgelig også lokkes ud af en dummerniks
man behøver ikke engang noget avanceret script for at lokke det ud af folk. Stødte på en ældre dame, der var blevet ringet op af "microsoft support" som havde konstateret at hun havde et sikkerhedshul, som han gerne ville hjælpe med over fjernskrivebord. damen var dog i sidste ende klog nok til at afbryde, når han begyndte at ville ind på netbanken, men guderne må vide hvad han fik installeret for godter undervejs.
mennesket er det svageste led i de fleste sikkerhedssystemer
i dette tilfælde var svagheden muligvis, at de havde frit spil, når de var kommet igennem første login, til at oprette betalinger kun med koden.
min bank har så en ekstra sikkerhed, ved betalingen at der sendes en sms ved første overførsel til en ny konto, men denne kan selvfølgelig også lokkes ud af en dummerniks
man behøver ikke engang noget avanceret script for at lokke det ud af folk. Stødte på en ældre dame, der var blevet ringet op af "microsoft support" som havde konstateret at hun havde et sikkerhedshul, som han gerne ville hjælpe med over fjernskrivebord. damen var dog i sidste ende klog nok til at afbryde, når han begyndte at ville ind på netbanken, men guderne må vide hvad han fik installeret for godter undervejs.
mennesket er det svageste led i de fleste sikkerhedssystemer
Kom med et eksempel hvor brugerens dumhed IKKE er til fare for sikkerheden... just one... Danmark er så beskyttet et land at folk er blevet nogle ukritiske lam. Folk må sku tænke lidt selv!
#23 selvfølgelig ikke :-)
Phishing kan lade sig gøre mod alle kanaler.. Sågår RSA har været udsat for det, hvor folk over live messenger har givet deres 30 sekunders RSA kode til en "official representative" der skulle "test systemet"..
Folk er og bliver naive - og ingen sikkerhed (af rimelig tilgængelig slags) kan kompencere for dette..
Det er også set at folk har været villige til at kopiere deres NemID kort - fordi deres "bankrådgiver" spurgte efter det..
Phishing kan lade sig gøre mod alle kanaler.. Sågår RSA har været udsat for det, hvor folk over live messenger har givet deres 30 sekunders RSA kode til en "official representative" der skulle "test systemet"..
Folk er og bliver naive - og ingen sikkerhed (af rimelig tilgængelig slags) kan kompencere for dette..
Det er også set at folk har været villige til at kopiere deres NemID kort - fordi deres "bankrådgiver" spurgte efter det..
Taxwars (23) skrev:Well, hvis de laver 'man in the middle' angreb kan de jo sagtens snuppe passwords og nemid.
NEJ!
Det sørger SSL for at man ikke kan. De overtager klient pcen med en trojan............
#25 nu er jeg ikke sikkerheds expert, men jeg vil da mene at ssl certifikatet kun "kryptere" selve forbindelsen, sådan at trafikken ikke kan sniffes af en 3. person. og der ud over tjekker browseren jo comon name i certifikatet.
men det her er bare et lille tanke spil, høre gerne fra nogle her inde hvis nederstående ikke kunne virke.
man opsætter en man in the middel server, som skal stå for at varetage at forbinde videre til nemid.
herefter kopiere man designet af nemids login box, og opretter en side der hedder noget alle www.nemid.dk.dennesideersletikkefarlige.dk (altså køber et ligegyldig domæne og laver subdomænet dk som har subdomænet nemid.
herefter køber man et wildcard certifikat til ens domæne *.dennesideersletikkefarlige.dk
(så får folk den her lille fine hængelås, og tror alt er godt)
når så man får logget brugeren ind på www.nemid.dk.dennesideersletikkefarlige.dk og de ser login boxen, så indtaster de brugernavn og kode, som man så lige logger, og sammentidig sender beskeden videre til es "attack serveer", herefter læser attack serveren bare på skærmen hvad nummer den skal bruge og sender det videre til den falske java applet, og spørger vores offer.
når han så indtaster hans "engangs kode" så sender den koden videre til vores server, som så logger ind. i mellem tiden viser vores falske side, en eller anden ligegyldig fejlbesked, om at bruger har tastede forkert, og spørger efter en ny engangs kode (den der skal bruges til at overføre selve beløbet) brugeren indtaster igen koden, og vi har nu ligeoverført hvad vi måtte have lyst til. og den falske side, smider en endnu mere llgegyldig side op med at nemid lige er miderligtidligt nede, og at brugeren skal prøve igen i morgen.
jeg vil håbe der er en her på newz, som kan skrive at overstående ikke kan fungere (selvfølgelig gerne med en begrundelse)
men det her er bare et lille tanke spil, høre gerne fra nogle her inde hvis nederstående ikke kunne virke.
man opsætter en man in the middel server, som skal stå for at varetage at forbinde videre til nemid.
herefter kopiere man designet af nemids login box, og opretter en side der hedder noget alle www.nemid.dk.dennesideersletikkefarlige.dk (altså køber et ligegyldig domæne og laver subdomænet dk som har subdomænet nemid.
herefter køber man et wildcard certifikat til ens domæne *.dennesideersletikkefarlige.dk
(så får folk den her lille fine hængelås, og tror alt er godt)
når så man får logget brugeren ind på www.nemid.dk.dennesideersletikkefarlige.dk og de ser login boxen, så indtaster de brugernavn og kode, som man så lige logger, og sammentidig sender beskeden videre til es "attack serveer", herefter læser attack serveren bare på skærmen hvad nummer den skal bruge og sender det videre til den falske java applet, og spørger vores offer.
når han så indtaster hans "engangs kode" så sender den koden videre til vores server, som så logger ind. i mellem tiden viser vores falske side, en eller anden ligegyldig fejlbesked, om at bruger har tastede forkert, og spørger efter en ny engangs kode (den der skal bruges til at overføre selve beløbet) brugeren indtaster igen koden, og vi har nu ligeoverført hvad vi måtte have lyst til. og den falske side, smider en endnu mere llgegyldig side op med at nemid lige er miderligtidligt nede, og at brugeren skal prøve igen i morgen.
jeg vil håbe der er en her på newz, som kan skrive at overstående ikke kan fungere (selvfølgelig gerne med en begrundelse)
Spørgsmål 1
Hvorfor skulle personen gå ind på www.nemid.dk.dennesideersletikkefarlige.dk ?
phisning eller MITM?
Og hvorfor skulle han ikke tænke over at domænenavnet er helt forkert?
Så kommer næste problem, java appletten brugeren bliver præsenteret for er ikke længere signeret af Dan ID.
Det er tekniske stop i ideén men ved dumme brugere kan man snyde dem.
Hvorfor skulle personen gå ind på www.nemid.dk.dennesideersletikkefarlige.dk ?
phisning eller MITM?
Og hvorfor skulle han ikke tænke over at domænenavnet er helt forkert?
Så kommer næste problem, java appletten brugeren bliver præsenteret for er ikke længere signeret af Dan ID.
Det er tekniske stop i ideén men ved dumme brugere kan man snyde dem.
Mamad (moveax1ret) (28) skrev:Hvorfor skulle personen gå ind på
Set fra den dumme brugers side, så er det jo nemid.dk altså en side de stoler på, hvad er faren for at gå derind. Den dumme bruger kan ikke se at domænet faktisk er dennesideersletikkefarlig.dk, så det vil være nemt at få dem derind. Og brugerne er da også ligeglad med om java appletten er signeret af Danid eller ej
#28
ja phisning.
men fx. nu har jeg ringkøbing landbobank
deres webbank url er : https://portal4.landbobanken.dk/wps/bankdata/jsp/h...
hvis man så brugte fake domænet: https://portal4.landbobanken.dk-wps-bankdata-jsp-html-da-PortalFrame.jsp-danid-true.123xml24.dk
jeg vil selv mene at jeg er ret så teknisk mindet, men det tror jeg ikke jeg ville bemærke. og siden vil jo stadig så som https:
ldet med javen appletten syntes jeg ikke helt holder, for alle jeg kender/og har set, svare jo første gange de går på webbank, at de ikke ønsker at se den certifikat meddelelse, så derfor vil jeg jo nærmere tro at folk ville blive utryk hvis den kom op og spurgte, frem for bare at komme frem (jeg er ikke lige så meget inde i browser verden, at jeg ikke kan sige om man kan få lov at køre et usigneret java applet, men hvis man ikke kan det , så er der jo ikke det store besvær i at kopiere deres design i fx. bare billeder, og hermed ville brugeren så ikke få en certifikat fejl)
(så kan det selvfølgelig ses af den tekniske bruger, men 99% af alle folk i danmark, ville i en hastigstund ikke bemærke det og falde lige igennem (vil jeg tro)
ja phisning.
men fx. nu har jeg ringkøbing landbobank
deres webbank url er : https://portal4.landbobanken.dk/wps/bankdata/jsp/h...
hvis man så brugte fake domænet: https://portal4.landbobanken.dk-wps-bankdata-jsp-html-da-PortalFrame.jsp-danid-true.123xml24.dk
jeg vil selv mene at jeg er ret så teknisk mindet, men det tror jeg ikke jeg ville bemærke. og siden vil jo stadig så som https:
ldet med javen appletten syntes jeg ikke helt holder, for alle jeg kender/og har set, svare jo første gange de går på webbank, at de ikke ønsker at se den certifikat meddelelse, så derfor vil jeg jo nærmere tro at folk ville blive utryk hvis den kom op og spurgte, frem for bare at komme frem (jeg er ikke lige så meget inde i browser verden, at jeg ikke kan sige om man kan få lov at køre et usigneret java applet, men hvis man ikke kan det , så er der jo ikke det store besvær i at kopiere deres design i fx. bare billeder, og hermed ville brugeren så ikke få en certifikat fejl)
(så kan det selvfølgelig ses af den tekniske bruger, men 99% af alle folk i danmark, ville i en hastigstund ikke bemærke det og falde lige igennem (vil jeg tro)
blacktiger (16) skrev:Det måtte jo også ske. Jeg er nu ikke en af de der nemID hadere, jeg syntes sådan set systemet er fint. Det laver dog en klassisk fejl ved kun at bruge deres 2 faktor authentication ved login og ikke ved handlinger. Dette angreb havde været langt sværere hvis man også skulle bruge sit papkort når man laver en overførelse.
sådan gjorde Jyske bank før NemId
Jeg syntes lige det er vigtigt at sige de ikke benyttede sig af et java applet. I hvert fald ikke til første del som var ren og skær html oven på et billede. Men hvad de har lavet med informationerne derefter i deres "login.php" er ikke til at vide.
Læs mere hos CSIS: http://www.csis.dk/da/csis/news/3314/
Og til (tror det var nummer #25) - Selvfølgelig kan man lave Man-In-The-Middle attack med SSL. Det er stort set et koncept som er opfundet nettop til det formål. Det man gør er at man præsentere sit target for et fake SSL certifikat som du har udsted ham, og derved snakkes der pludselig ukrypteret med dig mens du snakker videre til det rigtige website med deres rigtige certifikat.
Læs mere hos CSIS: http://www.csis.dk/da/csis/news/3314/
Og til (tror det var nummer #25) - Selvfølgelig kan man lave Man-In-The-Middle attack med SSL. Det er stort set et koncept som er opfundet nettop til det formål. Det man gør er at man præsentere sit target for et fake SSL certifikat som du har udsted ham, og derved snakkes der pludselig ukrypteret med dig mens du snakker videre til det rigtige website med deres rigtige certifikat.
Jeg var en af dem der fik en "scam" e-mail.
Hvis der er noget der gerne vil se det link der bliver linket i mailen så kan i se det her - http://www.mpsuministros.com/templates/rhuk_milkyw...
Hvis man virkelig smider sin info ind i den formular ville jeg mene at man er alt for godtroende!
Jeg har så ikke nordea, så har faktisk først åbnet mailen efter jeg så den her nyhed.
Hvis der er noget der gerne vil se det link der bliver linket i mailen så kan i se det her - http://www.mpsuministros.com/templates/rhuk_milkyw...
Hvis man virkelig smider sin info ind i den formular ville jeg mene at man er alt for godtroende!
Jeg har så ikke nordea, så har faktisk først åbnet mailen efter jeg så den her nyhed.
Det er da bare at sende én mail til 9999 brugere. Eftersom nøglerne på kortet rangerer fra 0001 - 9999, vil det altså give mindst én gyldig kode.
For de brugere der sender koden, og øvrige adgangsoplysninger tilbage, logger man ind med brugernavn + password, kontrollerer om den efterspurgte nøgle matcher den man har phishet. Gør den ikke, så afbryder man og prøver igen.
Så længe brugernavn og adgangskode er korrekte, tæller det ikke som et fejlet login, så længe man ikke indtaster koden fra nøglekortet.
For de brugere der sender koden, og øvrige adgangsoplysninger tilbage, logger man ind med brugernavn + password, kontrollerer om den efterspurgte nøgle matcher den man har phishet. Gør den ikke, så afbryder man og prøver igen.
Så længe brugernavn og adgangskode er korrekte, tæller det ikke som et fejlet login, så længe man ikke indtaster koden fra nøglekortet.
Mamad (moveax1ret) (25) skrev:NEJ!
Det sørger SSL for at man ikke kan. De overtager klient pcen med en trojan............
Ah - det har man nu kunnet længe. Det kom ud på pub.-sider i 2008-2009 hvordan man gjorde, så, is på :) Du kan sågar finde "howto" guides på youtube, så SSL er ingen garanti... Det er så besværligt at "de onde" som regel ikke gider, men det er også den eneste hindring.
Et hack som beskrevet hér kan benyttes:
http://hackaday.com/2009/02/23/sslstrip-hijacking-...
Jow, den kræver at gutten er på dit lokalnetværk, men det er jo bare at inficere én computer på arbejdspladsen, på det offentlige bibliotek, el.lign. med en passende bagdør. Med mindre du da er direkte på nettet med en offentlig IP. Bærbar i bolig-blok med kismet (http://www.kismetwireless.net) og et par scripts og en 12årig kunne gøre det.
Lidt mere proof of concept:
http://www.blackhat.com/presentations/bh-dc-09/Mar...
Så kan man selvfølgelig bruge en brute-force metode, fiske eller hvad man nu vil, som der foreslås, men... Det er bare mere imponerende når det kan gøres helt nede i det skjulte :)
Men, jeg bruger ikke NemID, so what do I care :) Jeg syntes bare at det er underholdende at der gik så kort tid før jeg kunne sige "I told you so"... Kan vi ikke bare få aflivet systemet og gå tilbage til den gamle user/pass/key-in-a-file kombination? Ville være lige så sikkert og langt nemmere at bruge.
[qoute=#0]Ja, det vil kunne ske igen, hvis folk reagerer på phishing-mails. [/quote]
ja det da kunderne/brugernes skyld self er det da det...... så lad da være at proklamere det er så sikkert, falsk sikkerhed ftw, var der blevet brugt samme energi på at forklare brugerne gængse regler for hva info de må give til hvem, som der blevet brugt på at fortælle nemid er sikkert og nemt var det nok ik sket.. mage til lort at lukke ud
ja det da kunderne/brugernes skyld self er det da det...... så lad da være at proklamere det er så sikkert, falsk sikkerhed ftw, var der blevet brugt samme energi på at forklare brugerne gængse regler for hva info de må give til hvem, som der blevet brugt på at fortælle nemid er sikkert og nemt var det nok ik sket.. mage til lort at lukke ud
myplacedk (40) skrev:Det ER sikkert. Hvis du ikke tror det, så du har du formentlig misforstået noget om enten NemID eller sikkerhed.
En sikker/dirkefri lås nytter ikke meget, hvis man selv låser op og lukker tyven ind.
Man kan jo også tilføje at DanID selv skriver på deres hjemmeside af systemet ikke er 100% sikkert...
Hubert (41) skrev:Man kan jo også tilføje at DanID selv skriver på deres hjemmeside af systemet ikke er 100% sikkert...
Det er jo nok godt nok. Sikkerhedsfirmaer som tror de kan lave noget 100% sikkert skal man ikke tage seriøst. Men det plejer nu bare at være PR-afdelingen som mener at løgn sælger bedre, ligesom så mange andre firmaer.
myplacedk (42) skrev:Det er jo nok godt nok. Sikkerhedsfirmaer som tror de kan lave noget 100% sikkert skal man ikke tage seriøst. Men det plejer nu bare at være PR-afdelingen som mener at løgn sælger bedre, ligesom så mange andre firmaer.
Jeg tror du misforstår mig. #39 lader til at have det indtryk at nogle folk/danid har påstået at nemid skulle være 100% sikker.
Jeg skal da ikke kunne afvise at der er nogle der har udtalt at nemid er 100% sikker men det er jo ikke tilfældet. Uanset hvilket system du bygger kan man, som du selv er inde, på bryde sikkerheden.
Zhadow (6) skrev:Man kan sige meget om NemID, men de er ikke skyld i at der findes idioter.
Jo, jo man kan.
DanID har jo netop sagt, at de skulle have nøglerne, og så skulle brugere authenticate op mod dem med et papkort, fordi så var det ikke muligt at andre fik adgang til ens ting.
Så jo, DanID er skyld i det, de har jo talt deres løsning op, som værende helt og aldeles sikker.
Mamad (moveax1ret) (28) skrev:Spørgsmål 1
Hvorfor skulle personen gå ind på www.nemid.dk.dennesideersletikkefarlige.dk ?
phisning eller MITM?
Og hvorfor skulle han ikke tænke over at domænenavnet er helt forkert?
Well, de kunne have skrevet linket i e-mailen som det rigtige, men linket det til det forkerte. Så er det at folk ikke efterkontrollerer adresse-feltet, hvilket det nok er langt fra alle der gør.
Lidt hurlumhej, og en hastig ændring af hosts filen, og det vil se ud som den rigtige side oven i købet her.
hey, de kunne jo ringe til folk, og lege DanID og få folk til at ordne deres hosts-fil for dem. Der er jo folk der ringer i dag og leger MS...
HenrikH (45) skrev:Jo, jo man kan.
Nej man kan ej. Idioter fandtes også før NemID.
HenrikH (45) skrev:DanID har jo netop sagt, at de skulle have nøglerne, og så skulle brugere authenticate op mod dem med et papkort, fordi så var det ikke muligt at andre fik adgang til ens ting.
Hvis folk seriøst tror, at det at opbevare et stykke lamineret pap i lommen giver 100% sikkerhed, er alligevel fortabte. De vil ikke forstå det uanset hvordan man forklarer det.
Hvis du vil, kan du henvise til noget helt konkret DanID har udtalt officielt. Så kan vi tage stilling til om det er ukorrekt, dårligt formuleret, eller om folk bare er idioter.
Men uanset hvad DanID udtaler burde det være tydeligt for enhver, at når man giver sine koder/nøgler/tokens (og hvad der ellers er af adgangsgivende elementer) til fremmede, selv om man er forpligtet til at holde det for sig selv, så hjælper man dem med at bryde sikkerheden.
HenrikH (45) skrev:Jo, jo man kan.
DanID har jo netop sagt, at de skulle have nøglerne, og så skulle brugere authenticate op mod dem med et papkort, fordi så var det ikke muligt at andre fik adgang til ens ting.
Så jo, DanID er skyld i det, de har jo talt deres løsning op, som værende helt og aldeles sikker.
Placeringen af nøglerne har ingen betydning i det her tilfælde.
HenrikH (45) skrev:DanID har jo netop sagt, at de skulle have nøglerne, og så skulle brugere authenticate op mod dem med et papkort, fordi så var det ikke muligt at andre fik adgang til ens ting.
De har samtidigt også sagt at man ikke skal kaste om sig med koderne.
#27: Når man gør det på den måde, så er det bare ikke MiTM mere. At snyde en bruger ind på en 'falsk' side (med et 'ægte' cert) er phishing - ikke MiTM (stor forskel) :)
Man kan altid 'fiske' (no offence, men skal fandme vide lidt om IT hvis man falder for et SÅ dårligt forsøg).
Man kan altid 'fiske' (no offence, men skal fandme vide lidt om IT hvis man falder for et SÅ dårligt forsøg).
Bare for at være flueknipper så hjælper det ikke at ændre i hosts filen. Man kan ikke (uden at ændre i cert/browser indstillinger) spoofe et falsk domæne da man i såfald ikke kan lave et 'ægte' cert :)HenrikH (45) skrev:
Lidt hurlumhej, og en hastig ændring af hosts filen, og det vil se ud som den rigtige side oven i købet her.
hey, de kunne jo ringe til folk, og lege DanID og få folk til at ordne deres hosts-fil for dem. Der er jo folk der ringer i dag og leger MS...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund