mboost-dp1
PBS A/S
Måske en lidt diktatorisk metode, men glæder mig da til at kunne udskifte min "én unik nøgle per maskine som tager 2 uger at udskifte hver gang at banken går i stykker og påstår min nøgle er uhyldig" løsning som jeg har i Spar Nord.
Håber dog at NemID får lavet et mere sikkert system end det nuværende. En simpel keylogger + en FTP overførsel og voila - du er nu Herr Hansen.
Håber dog at NemID får lavet et mere sikkert system end det nuværende. En simpel keylogger + en FTP overførsel og voila - du er nu Herr Hansen.
Som jeg har forstået det betyder den centraliserede løsning at den centrale myndighed kan bruge din signatur til at skrive under på ting såfremt du ikke har valgt et password der er for langt til brute force - er det rigtigt forstået?
Hvis folks signatur nemt kan eftergøres af staten, synes jeg pointen går lidt af det med en signatur.
Hvis folks signatur nemt kan eftergøres af staten, synes jeg pointen går lidt af det med en signatur.
Vil det sige at man som bruger af ActivCard, skal skifte til NemID?
ActivCard (en lille elektronisk nøglegenerator fra Danske Bank) bruges hvis man ikke har lyst til digital signatur, bruger Mac, eller vil kunne tilgå sin netbank over hele jorden, da det ikke kræver installation.
Hvis de stopper det, ser det sort ud for netbankerne, synes jeg.
#4:
Et stykke papir? Hvilken bank bruger det??
ActivCard (en lille elektronisk nøglegenerator fra Danske Bank) bruges hvis man ikke har lyst til digital signatur, bruger Mac, eller vil kunne tilgå sin netbank over hele jorden, da det ikke kræver installation.
Hvis de stopper det, ser det sort ud for netbankerne, synes jeg.
#4:
Et stykke papir? Hvilken bank bruger det??
#5
Ja, på et tidspunkt.
Men papirløsningen er et papirbaseret active card.
Ved active card indtaster du en kode banken giver dig, active cardet slår så op i en tabel hvilken svarkode du skal give banken.
Papirkortet gør præcist det samme :)
Ja, på et tidspunkt.
Men papirløsningen er et papirbaseret active card.
Ved active card indtaster du en kode banken giver dig, active cardet slår så op i en tabel hvilken svarkode du skal give banken.
Papirkortet gør præcist det samme :)
#5 skrev:#4:
Et stykke papir? Hvilken bank bruger det??
Det ved jeg ikke om nogen banker bruger, men det er løsningen danid har valgt.
#3
Lad mig lige tilføje, der bliver en slags password( noget du selv skal huske- der ikke står på papirlappen).
Men i forhold til om det kan beskytte imod at DANID bruger din signatur selv er det nytteløst.
Det er ikke et symmetrisk krypteringsalgoritme password til at dekryptere din private rsa nøgle.
#9
Inden den nye løsning var hele din sikkerhed baseret på at bankens servere verificerede din identitet, og så gav dig adgang til din netbank.
I den nye løsning er er hele din sikkerhed baseret på at Danids server( der er ejet af bankerne og det offentlige) validerer din identititet. og så giver dig adgang til din netbank.
Det største sikkerhedsproblem er at nu er alle appelsiner lagt i en turban- men det er prisen for at centralisere din authentication.
(Nu har du ikke flere seperate logins der skal kompromisernes, men et centralt)
Inden den nye løsning var hele din sikkerhed baseret på at bankens servere verificerede din identitet, og så gav dig adgang til din netbank.
I den nye løsning er er hele din sikkerhed baseret på at Danids server( der er ejet af bankerne og det offentlige) validerer din identititet. og så giver dig adgang til din netbank.
Det største sikkerhedsproblem er at nu er alle appelsiner lagt i en turban- men det er prisen for at centralisere din authentication.
(Nu har du ikke flere seperate logins der skal kompromisernes, men et centralt)
Håber fanme at det ikke bliver case-insensitive ligesom bankers login i dag er (Nordea), har hørt at Danske Bank også gør det...
Hvad er et ActiveCard?..
Troede det var et plastkort med chip, som du skal have en læser til ... Så var der nogen der sagde at den kunne generere koder ved tryk (Token)... Og nu er jeg i tvivl..
For ActiveCard øger da ikke mobiliteten...
Hvad er et ActiveCard?..
Troede det var et plastkort med chip, som du skal have en læser til ... Så var der nogen der sagde at den kunne generere koder ved tryk (Token)... Og nu er jeg i tvivl..
For ActiveCard øger da ikke mobiliteten...
Begge løsninger er en implementaion af "Two-factor authentication" ( http://en.wikipedia.org/wiki/Two-factor_authentica... )
De vil opnå at for at de tør stole på hvem du er skal du oplyse en ting du kan huske, og en ting du har på dig.
Ved digital signatur er den ting du har din RSA Private key (http://da.wikipedia.org/wiki/RSA ), og den ting du skal huske er en AES nøgle til at dekryptere din private nøgle.
Problemet med den løsning er at din private nøgle er en fil der ligger samme sted som du indtaster din AES nøgle, og logger på din netbank.
Så hvis at computeren bliver hacked har hackeren adgang til alt.
Med et active card er en af faktorerne for at autentificere dig flyttet ud fra computeren, så selv hvis computeren bliver hacked skal hackeren også have dit active card for kunne autentificere sig overfor din bank.
Det samme er gældende med Nemid papir lappen.
Men en dygtig hacker vil altid kunne lave et slags MITM angreb hvis han har kontrol over pcen.
Men ikke hvis han blot er MITM.
De vil opnå at for at de tør stole på hvem du er skal du oplyse en ting du kan huske, og en ting du har på dig.
Ved digital signatur er den ting du har din RSA Private key (http://da.wikipedia.org/wiki/RSA ), og den ting du skal huske er en AES nøgle til at dekryptere din private nøgle.
Problemet med den løsning er at din private nøgle er en fil der ligger samme sted som du indtaster din AES nøgle, og logger på din netbank.
Så hvis at computeren bliver hacked har hackeren adgang til alt.
Med et active card er en af faktorerne for at autentificere dig flyttet ud fra computeren, så selv hvis computeren bliver hacked skal hackeren også have dit active card for kunne autentificere sig overfor din bank.
Det samme er gældende med Nemid papir lappen.
Men en dygtig hacker vil altid kunne lave et slags MITM angreb hvis han har kontrol over pcen.
Men ikke hvis han blot er MITM.
#12, nej, jeg tror du har 2 år til at adaptere dig til nemid.
Men så vidt jeg har forstået bliver der altså også mulighed for at selv bevare sin private nøgle.
Men jeg ved ikke om de faktisk har den mulighed klar endnu.
Jeg tvivler.
Men så vidt jeg har forstået bliver der altså også mulighed for at selv bevare sin private nøgle.
Men jeg ved ikke om de faktisk har den mulighed klar endnu.
Jeg tvivler.
#13
Principielt er jeg enig med dig.
Men i forhold til hvor ringe til it sikkerhed hr. og fru. jensen er, er det måske optimalt for flertallet.
Så længe vi kan vælge selv at opbevare vores private nøgle er jeg tilfreds.
Principielt er jeg enig med dig.
Men i forhold til hvor ringe til it sikkerhed hr. og fru. jensen er, er det måske optimalt for flertallet.
Så længe vi kan vælge selv at opbevare vores private nøgle er jeg tilfreds.
#1 Er planen ikke, at man får et kodeark?
http://newz.dk/telmore-fraraader-brug-af-nemid
Er det ikke Telmores kritik af systemet at man netop skal have et kodeark?
http://newz.dk/telmore-fraraader-brug-af-nemid
Er det ikke Telmores kritik af systemet at man netop skal have et kodeark?
#13 Centralisering er en god ting, i følge sikkerhedseksperter er et argument for at have mainframe frem for kloster/virtualisering at der kun er én maskine som skal beskyttes, opdateres osv.
Det har de ihvertfald udtalt på dr2 i en eller anden udsendelse om mainframes... Mener at det var da DTU fik deres nye.
Det har de ihvertfald udtalt på dr2 i en eller anden udsendelse om mainframes... Mener at det var da DTU fik deres nye.
#20
Du kan ikke sammenligne de to ting. Når der er mange partnere der skal beskytte deres egen værdi(De private RSA nøgler) kan det være bedst at dele det ud.
Det gælder om at opveje risikoen for at ALT er tabt på en gang, i forhold til at dele det ud så alt ikke kan kompromiteres på en gang.
Du kan ikke sammenligne de to ting. Når der er mange partnere der skal beskytte deres egen værdi(De private RSA nøgler) kan det være bedst at dele det ud.
Det gælder om at opveje risikoen for at ALT er tabt på en gang, i forhold til at dele det ud så alt ikke kan kompromiteres på en gang.
Så må vi håbe de husker os kære linux-brugere denne gang...
Hvis jeg kender bankerne ret, så er løsningen sikkert mere henvendt for at gøre det bedre for dem end for os forbrugere, men bliver da spændende, jo heller ikke ligefrem fordi den nuværende løsning er perfekt...
#12 jo.. hvis du har en bank, der tillader dig at henvende dig i banken hver gang..
#0 ja man kunne jo tænke sig med data-skandalerne fra england, at nogen tænke 'hov, kunne det her gøre at vi kommer til at gennemgå skandaler a la disse når en eller anden danid medarbejder tager backup med hjem og glemmer i toget'..
Hvis jeg kender bankerne ret, så er løsningen sikkert mere henvendt for at gøre det bedre for dem end for os forbrugere, men bliver da spændende, jo heller ikke ligefrem fordi den nuværende løsning er perfekt...
#12 jo.. hvis du har en bank, der tillader dig at henvende dig i banken hver gang..
#0 ja man kunne jo tænke sig med data-skandalerne fra england, at nogen tænke 'hov, kunne det her gøre at vi kommer til at gennemgå skandaler a la disse når en eller anden danid medarbejder tager backup med hjem og glemmer i toget'..
#24
Jeg har stærkt på fornemmelsen at de private nøgler vil blive gemt i noget lignende et IBM 4758 PCI Cryptographic unit cluster.
Så der er ikke nogen fil du kan trække ud der indeholder følsomme oplysninger.
Du kan læse mere om det her http://en.wikipedia.org/wiki/Hardware_security_mod...
Og jeg tror også godt du kan regne med at master keyen er baseret på at mere end 2 personer skal indtaste hver deres nøgle for at unlocke master keyen.
Så en enkelt medarbejder kan ikke fucke op, der skal nok være tre, og de skal konspirere for at trække de private nøgler ud af kryptokortet.
#26
Som sagt før, kan du køre java applets kan du logge ind!
Jeg har stærkt på fornemmelsen at de private nøgler vil blive gemt i noget lignende et IBM 4758 PCI Cryptographic unit cluster.
Så der er ikke nogen fil du kan trække ud der indeholder følsomme oplysninger.
Du kan læse mere om det her http://en.wikipedia.org/wiki/Hardware_security_mod...
Og jeg tror også godt du kan regne med at master keyen er baseret på at mere end 2 personer skal indtaste hver deres nøgle for at unlocke master keyen.
Så en enkelt medarbejder kan ikke fucke op, der skal nok være tre, og de skal konspirere for at trække de private nøgler ud af kryptokortet.
#26
Som sagt før, kan du køre java applets kan du logge ind!
okay, jeg kan se at newz.dk har slettet nogle posts, og numrene så efterfølgende er faldet, så mange af mine reply # passer slet ikke længere. ( Nej, jeg havde denne diskussion åben i to tabs, og så talte den ikke korrekt i den ene- hvis det ikke giver mening hvilket nummer jeg replyer til skal der ligges 2 til)
#29
Bankerne kan så henvise dem til danid med centralt support istedet for support til hvert seperat system spredt ud over alle banker.
Bankerne kan så henvise dem til danid med centralt support istedet for support til hvert seperat system spredt ud over alle banker.
/Me vinker farvel til netbank indtil de laver en løsning hvis jeg er i besiddelse af mindst den ene af halvdelene af min egen nøgle.
Så må jeg jo bare stå nede i nordea en gang om måneden og bede om kontoudtog og bede dem om at flytte pengene mellem de forskellige konti hvis de syntes det er bedre.
XxX
Så må jeg jo bare stå nede i nordea en gang om måneden og bede om kontoudtog og bede dem om at flytte pengene mellem de forskellige konti hvis de syntes det er bedre.
XxX
#31
Nu ved jeg godt at dette system er et brud på den asymmetriske filosofi, men hvad er det egenligt du frygter?
Hvilket scenarie kan du forestille dig der lettere kan ske med denne løsning end en hvor du besidder din private rsa nøgle.
Nu ved jeg godt at dette system er et brud på den asymmetriske filosofi, men hvad er det egenligt du frygter?
Hvilket scenarie kan du forestille dig der lettere kan ske med denne løsning end en hvor du besidder din private rsa nøgle.
Eh. Jeg begynder at tvivle lidt på DanID's integritet. Det virker da total uprofessionelt at blande folks dybt private bankforretning og offentlige identitet sammen på denne måde? Da jeg valgte bank skrev jeg da ikke under på at jeg gerne vil tvinges til at give dem mulighed for f.eks. at gå ind og tjekke mine skatteoplysninger på skat.dk?
Denne lemfældighed overfor folks interesser er ikke noget jeg forbinder med sikkerhed.
Denne lemfældighed overfor folks interesser er ikke noget jeg forbinder med sikkerhed.
#33
Du rammer sømmet på hovedet!
Det er også mit største kritikpunkt.
Men så længe vi selv kan opbevare vores private nøgler hvis vi vil er det ok for mig.
Du rammer sømmet på hovedet!
Det er også mit største kritikpunkt.
Men så længe vi selv kan opbevare vores private nøgler hvis vi vil er det ok for mig.
moveax1ret (34) skrev:Men så længe vi selv kan opbevare vores private nøgler hvis vi vil er det ok for mig.
Ja. Så kan du bare glemme at bruge netbank det næste års tid:
Nyheden skrev:Alle banker er en del af PBS, og de ejer NemID, så de vil fra den 1. juli og frem til oktober sørge for, at alle deres kunder skifter til NemID. ... Står man fast på ikke at benytte den centrale løsning, så vil DanID i løbet af 2011 tilbyde en smartcard-løsning, så man har sin nøgle lokalt.
*facepalm*
#32
Alene det faktum at alt jeg har kunnet læse om nemID i forhold til at man skal have en del af nøglen til sin digitale signatur er overtrådt og at der er kompetente folk der har gjort de ansvarlige politikere opmærksomme på det men at de har undladt at gøre noget gør at jeg bliver bange for hvad det er det her kan/skal bruges til.
Derudover bliver jeg lidt nervøs når jeg nu åbenbart skal overlade det til PBS / NemID at verificere hvem jeg er overfor både told og skat og sygehuset.
Gad vide hvor længe der går før banken checker om jeg skylder told og skat penge eller om jeg har en alvorlig sygdom inden de beslutter om de vil låne mig penge.....Med nemID/PBS er det jo ikke det store forkromede problem for dem for de har jo retten til at autentificere mig overfor alle de andre.
Jeg kan så forstå at danske bank har en RSA baseret løsning, hvis de overlever så tror jeg at jeg er den der er skredet over til dem..
XxX
Alene det faktum at alt jeg har kunnet læse om nemID i forhold til at man skal have en del af nøglen til sin digitale signatur er overtrådt og at der er kompetente folk der har gjort de ansvarlige politikere opmærksomme på det men at de har undladt at gøre noget gør at jeg bliver bange for hvad det er det her kan/skal bruges til.
Derudover bliver jeg lidt nervøs når jeg nu åbenbart skal overlade det til PBS / NemID at verificere hvem jeg er overfor både told og skat og sygehuset.
Gad vide hvor længe der går før banken checker om jeg skylder told og skat penge eller om jeg har en alvorlig sygdom inden de beslutter om de vil låne mig penge.....Med nemID/PBS er det jo ikke det store forkromede problem for dem for de har jo retten til at autentificere mig overfor alle de andre.
Jeg kan så forstå at danske bank har en RSA baseret løsning, hvis de overlever så tror jeg at jeg er den der er skredet over til dem..
XxX
#36
Okay, så er jeg også enig med dig, det er forfærdeligt er at vi principielt giver dem adgang til disse ting. Men i forhold til sikkerheden overfor alle andre er det et skridt frem.
Okay, så er jeg også enig med dig, det er forfærdeligt er at vi principielt giver dem adgang til disse ting. Men i forhold til sikkerheden overfor alle andre er det et skridt frem.
LordMike (11) skrev:Håber fanme at det ikke bliver case-insensitive ligesom bankers login i dag er (Nordea), har hørt at Danske Bank også gør det...
Hvad er et ActiveCard?..
Troede det var et plastkort med chip, som du skal have en læser til ... Så var der nogen der sagde at den kunne generere koder ved tryk (Token)... Og nu er jeg i tvivl..
For ActiveCard øger da ikke mobiliteten...
Med Activ(IDentity)Card har man et brugernavn på 6 tegne der >skal< bestå af både tal og tegn. Så har man et bruger-ID, man kan ændre så ofte man ønsker.
Når disse to ting er indtastet på Danske Bank log-ind-siden, får man smidt et 6-cifret tal i hovedet der skal indtastes i ActicCard, der så generere et nyt 6-cifret tal man indtaster - og SÅ er man logget ind.
Hvis man vel at mærke har indtastet den fire-cifrede PIN-kode på ActicCard korrekt. Denne kan OGSÅ ændres så tit man ønsker.
Og jo, det kan gøres fra ALLE PC-ere der er i stand til at tilgå Danske Banks hjemmeside.
En meget sikker løsning i mine øjne.
#38
Hvilket er præcist samme sikkerhedsprincip som papkortet.
Der er noget du husker, og der er noget du har på dig.
At du så skal indtaste 3 ting du skal huske, og en ting du får fra dit active card er hvad bruce schneier vil kalde "security theater"
http://en.wikipedia.org/wiki/Security_theater
Hvilket er præcist samme sikkerhedsprincip som papkortet.
Der er noget du husker, og der er noget du har på dig.
At du så skal indtaste 3 ting du skal huske, og en ting du får fra dit active card er hvad bruce schneier vil kalde "security theater"
http://en.wikipedia.org/wiki/Security_theater
#41 Min pointe er at sikkerheden er lige høj på de to løsninger.
Er det mig der har misforstået princippet bag NemID, eller er det ikke det samme sikkerhedssystem, som Jyske Netbank har kørt med i årevis?
I så fald glæder jeg mig. Jyske Banks løsning er så lav praktisk og fungerer så godt, at det efterhånden er den eneste grund til at jeg stadig er kunde hos dem.
I så fald glæder jeg mig. Jyske Banks løsning er så lav praktisk og fungerer så godt, at det efterhånden er den eneste grund til at jeg stadig er kunde hos dem.
Så må vi jo håbe at den virker bedre end hidtil.
Jeg kan bruge den på ca halvdelen af de steder jeg prøver, resten fatter ikke at jeg ikke kører IE / Windows.
Jeg kan heller ikke logge ind på NemIDs hjemmeside og jeg kan se at nøglen ligger i min "hovednøglering", kan være jeg skal prøve at bestille en ny.
Jeg kan bruge den på ca halvdelen af de steder jeg prøver, resten fatter ikke at jeg ikke kører IE / Windows.
Jeg kan heller ikke logge ind på NemIDs hjemmeside og jeg kan se at nøglen ligger i min "hovednøglering", kan være jeg skal prøve at bestille en ny.
Korrekt. NemID har taget udgangspunkt i Jyske Banks model.SoerenS (43) skrev:Er det mig der har misforstået princippet bag NemID, eller er det ikke det samme sikkerhedssystem, som Jyske Netbank har kørt med i årevis?
I så fald glæder jeg mig. Jyske Banks løsning er så lav praktisk og fungerer så godt, at det efterhånden er den eneste grund til at jeg stadig er kunde hos dem.
Så vi får faktisk et kendt og gennemtestet system.. for første gang nogen sinde.
Jeg tror det bliver godt, og glæder mig.
Er det ikke netop ting som dét her MS er blevet dømt for som monopol misbrug? PBS er, så vidt jeg ved, det eneste automatiserede betalingssystem i DK. Det vil sige, de har monopol på præcis dette område. PBS ejer NemID. PBS tvinger danske banker til at benytte NemID for at benytte PBS - lidt ligesom brugere af Windows blev "tvunget" til at bruge IE.
Der må da være både præcedens og rigeligt af bevis for at føre denne logik igennem hos retten.
Der må da være både præcedens og rigeligt af bevis for at føre denne logik igennem hos retten.
Håber seriøst ikke det ender med at vi skal til at rende rundt med papkort allesammen. Har set nogle banker anvende den løsning og der gik ikke længe før jeg tænkte "Det er jo håbløst det her - det papkort er jo lavet til at blive væk eller også at det bare et andet sted når man lige står og skal bruge det"
Jeg bruger min netbank dagligt.... men det får nu nok en ende hvis jeg hver gang skal fedte rundt med en lap papir for at anvende det ;-)
Jeg forstår ideen i løsningen og forstår også bankernes grundlag for at ville skifte en eksisterende model som tilsyneladende har været grund til at bankerne flere gange har måtte punge ud fordi nogen har fået snuppet en nøgle-fil eller lignende fra deres computer. Men et papkort?? ... eller for den sags skyld at skulle rende rundt med en anden dims.. det er ikke lige min kop te, og det vil komme til at ærgre mig meget. Så hellere noget to-faktor hvor man inddrager mobilen - den har jeg da med mig ;-)
Jeg bruger min netbank dagligt.... men det får nu nok en ende hvis jeg hver gang skal fedte rundt med en lap papir for at anvende det ;-)
Jeg forstår ideen i løsningen og forstår også bankernes grundlag for at ville skifte en eksisterende model som tilsyneladende har været grund til at bankerne flere gange har måtte punge ud fordi nogen har fået snuppet en nøgle-fil eller lignende fra deres computer. Men et papkort?? ... eller for den sags skyld at skulle rende rundt med en anden dims.. det er ikke lige min kop te, og det vil komme til at ærgre mig meget. Så hellere noget to-faktor hvor man inddrager mobilen - den har jeg da med mig ;-)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund