mboost-dp1
No Thumbnail
Første gang brugeren indtaster sine oplysninger returneres en fejl og burgeren guides videre til den rigtige side, hvor det på andet forsøg så vil virke. Dermed opdager mange ikke at de er blevet snydt.
Hvem guider burgerne hvor hen? :)
@topic:
Det kommer vel ikke bag på nogen at de hele tiden skal finde på nye og mere udspekulerede metoder for at narre brugerne... Men det er nu smart fundet på af dem...
Edit: Jeg var så ikke den hurtigste :)
Vi har vel opnået punktet hvor det er brugerens eget ansvar (ja, du skal tage ansvar for din computers sikkerhed *shock*).
Mener dog en af de danske banker havde en løsning omkring dette , med nogle temp. nøgler. Men sålænge brugerne er dumme, er det nok meget besværligt at beskytte mod phishing.
Mener dog en af de danske banker havde en løsning omkring dette , med nogle temp. nøgler. Men sålænge brugerne er dumme, er det nok meget besværligt at beskytte mod phishing.
#5 Jyske Bank har nøglekort til deres netbank. Det er en meget lille kende mere besværligt, men meget mere sikkert.
En svindler skal altså kende 4 koder for at kunne bruge min netbank (i nævnte rækkefølge): CPR-nummer, nøglekortnummer, nøglekode og personlig kode.
Skulle mit CPR-nummer og personlige kode leake, så mangler svindleren stadig 2 koder for at komme til. Skulle svindleren så få fat i mit nøglekortnummer (som virker for 100 unikke nøgler), så har han altså en begrænset periode samt max. 3 forsøg til at gætte den tilfældigt valgte nøgle. Når jeg har brugt alle 100 nøgler, så får jeg et nyt nøglekort med et nyt nøglekortnummer.
I sidste scenario kan svindleren så nappe mit nøglekort og finde mit CPR-nummer. Men så mangler han fortsat min personlige kode. Og jeg kan på få øjeblikke spærre adgangen til min netbank, hvis jeg opdager at jeg mangler mit nøglekort.
Ret genialt, egentlig... Ved ikke om der findes statistikker på, hvor meget svindel der er hos Jyske Bank over netbanken. Men det er nok en forsvindende lille andel i forhold til de andre banker.
En svindler skal altså kende 4 koder for at kunne bruge min netbank (i nævnte rækkefølge): CPR-nummer, nøglekortnummer, nøglekode og personlig kode.
Skulle mit CPR-nummer og personlige kode leake, så mangler svindleren stadig 2 koder for at komme til. Skulle svindleren så få fat i mit nøglekortnummer (som virker for 100 unikke nøgler), så har han altså en begrænset periode samt max. 3 forsøg til at gætte den tilfældigt valgte nøgle. Når jeg har brugt alle 100 nøgler, så får jeg et nyt nøglekort med et nyt nøglekortnummer.
I sidste scenario kan svindleren så nappe mit nøglekort og finde mit CPR-nummer. Men så mangler han fortsat min personlige kode. Og jeg kan på få øjeblikke spærre adgangen til min netbank, hvis jeg opdager at jeg mangler mit nøglekort.
Ret genialt, egentlig... Ved ikke om der findes statistikker på, hvor meget svindel der er hos Jyske Bank over netbanken. Men det er nok en forsvindende lille andel i forhold til de andre banker.
#7:
Løsningen hos portalbank (mange sparekasser og lign bruger portalbank) er noget lignende. Og så ikke alligevel...
Når jeg sidder på en pc hvor jeg har certifikatet installeret, så skal jeg kun bruge min kode for at logge ind, og så en underskriftskode (+at den læser certifikatet - som bliver låst til pc'en hvis man bruger IE, men ikke hvis man bruger mozilla/lign browsere) for at lave overførsler.
Denne løsning er dog ikke så sikker...
Hvis jeg derimod bruger min netbank på andre computere (cafebank) skal jeg logge ind med et selvvalgt brugernavn og en kode der er tilknyttet dette brugernavn. Når jeg så laver overførsler, så skal jeg validere med min underskriftskode, samt en engangkode jeg får tilsendt pr sms.
Den sidste løsning er jeg gladest for, da jeg føler at den er sikrest. For at kunne misbruge den sidste løsning skal man jo både have min bruger, kode og have nakket min mobiltelefon. Hvorimod den første løsning jo reelt kun kræver en trojan og/eller en keylogger, der kan logge brugernavn, kodeord, underskriftskode og så nøglefilen (der ligger ude i roden af C-drevet uden noget form for beskyttelse...)
Løsningen hos portalbank (mange sparekasser og lign bruger portalbank) er noget lignende. Og så ikke alligevel...
Når jeg sidder på en pc hvor jeg har certifikatet installeret, så skal jeg kun bruge min kode for at logge ind, og så en underskriftskode (+at den læser certifikatet - som bliver låst til pc'en hvis man bruger IE, men ikke hvis man bruger mozilla/lign browsere) for at lave overførsler.
Denne løsning er dog ikke så sikker...
Hvis jeg derimod bruger min netbank på andre computere (cafebank) skal jeg logge ind med et selvvalgt brugernavn og en kode der er tilknyttet dette brugernavn. Når jeg så laver overførsler, så skal jeg validere med min underskriftskode, samt en engangkode jeg får tilsendt pr sms.
Den sidste løsning er jeg gladest for, da jeg føler at den er sikrest. For at kunne misbruge den sidste løsning skal man jo både have min bruger, kode og have nakket min mobiltelefon. Hvorimod den første løsning jo reelt kun kræver en trojan og/eller en keylogger, der kan logge brugernavn, kodeord, underskriftskode og så nøglefilen (der ligger ude i roden af C-drevet uden noget form for beskyttelse...)
Det er en meget lille kende mere besværligt, men meget mere sikkert.
Tjah, at bruge 2 minutter ekstra på de 5-20 minutter man bruger i sin netbank en gang dagligt er jo ingen ting for ordenlig sikkerhed :-)
Smart nok at i kan få jeres netbank spærret, jeg tror kun jeg kan spærrere hele min konto hos Danske Bank (dog ikke sikker).
Det er jo vildt smart lavet.. Folk vil jo ik opdage det.. Hvis du forsøger at logge ind på ind side som tv2.dk og taster koden forkert, bliver du jo faktisk sendt videre til en anerledes side.. Hvis den så er falsk.. WOW.. man har jo ikke en chance..
Løsningen ku vel være noget med at hver side med webbank eller andet supervigtigt har en fast ip-adresse.. og så oprette en slags global ban/approve-list.. Hehe.. som i WC3
Løsningen ku vel være noget med at hver side med webbank eller andet supervigtigt har en fast ip-adresse.. og så oprette en slags global ban/approve-list.. Hehe.. som i WC3
#8
Det passer ikke helt at nøglefilen på c-drevet er ubeskyttet. Udbyderen af portalbank, SDC, har lige udsendt en ActiveX-komponent som "låser" nøglefilen til det medie den ligger på. Dvs du kan ikke længere kopiere nøglefilen via stifinderen, man er nødt til at logge på portalbank og bruge den funktion der ligger deri.
Det passer ikke helt at nøglefilen på c-drevet er ubeskyttet. Udbyderen af portalbank, SDC, har lige udsendt en ActiveX-komponent som "låser" nøglefilen til det medie den ligger på. Dvs du kan ikke længere kopiere nøglefilen via stifinderen, man er nødt til at logge på portalbank og bruge den funktion der ligger deri.
#7
Jeg har altid undret mig over at jyske banks løsning betragtes som sikker - den er da ekstremt sårbar overfor phishing eller man in the middle attacks...
Hvis du indtaster dine koder på en phishing site så kan de jo let efterfølgende anvende dem til at foretage uønskede transaktioner på din konto - nøglen bliver jo ikke opbrugt af at være indtastet på en falsk side...
Selv hvis vi overgår til elektroniske kodekort der er tidssynkroniserede eller lign. så er det stadig muligt at lave man in the middle attack hvor du præsenteres for den transaktion du ønsker at lave alt imens det er en anden transaktion der foretages på den rigtige bankside.
Så længe der ikke foregår end to end asymetrisk kryptografisk verifikation så er det praktisk talt umuligt at sikre sig...
Jeg har altid undret mig over at jyske banks løsning betragtes som sikker - den er da ekstremt sårbar overfor phishing eller man in the middle attacks...
Hvis du indtaster dine koder på en phishing site så kan de jo let efterfølgende anvende dem til at foretage uønskede transaktioner på din konto - nøglen bliver jo ikke opbrugt af at være indtastet på en falsk side...
Selv hvis vi overgår til elektroniske kodekort der er tidssynkroniserede eller lign. så er det stadig muligt at lave man in the middle attack hvor du præsenteres for den transaktion du ønsker at lave alt imens det er en anden transaktion der foretages på den rigtige bankside.
Så længe der ikke foregår end to end asymetrisk kryptografisk verifikation så er det praktisk talt umuligt at sikre sig...
Fra #7:
Der findes to metoder fra Danske Bank. (rettelse: Kvalitets Banken).
e-Safekey - en lille fil der gemmes, på harddisken.
ActivCard - en lille "lommeregner" lignende kodegenerator, som generere en ny kode hver gang.
- og ActivCard er klart den sikreste vej af de to.
e-Safekey kræver at man har filen, samt én kode. ActivCard kræver at man kender et brugernavn (kan f.eks. være "32045D"), samt at man har ActivCard'et, som har en PIN kode ligesom en mobiltelefon sjovt nok har når man tænder den. Dette ActivCard generere en ny 8-ciffers kode hver gang, til login på netbanken.
Med e-Safekey, skal du have filen - og hvis din kode så er "kage" - ja, så simpelt er det - så har du adgang til alt. Efter en ændring for et halvt års tid siden, er din netbank nøgle dog låst til den computer den ligger på..
Med ActivCard, skal du have dit ActivCard, og du skal have din pinkode til dit ActivCard, og ligeledes skal du kunne huske dit brugernavn, som f.eks. kan være "32045D".
Dette brugernavn kender jeg selvfølgelig ikke - og er bare et jeg bare skrevet "random"..
Dit ActivCard giver dig omkring 8 millioner forskellige koder, og en ny hver eneste gang. Når du skal lave overførsler, skal du bruge dit ActivCard også - du skal jo godkende betalingen. Der skriver du ind på dit ActivCard, nogle tal som står i overførselsfeltet, og derefter trykker Enter på dit ActivCard, hvor dit ActivCard giver dig en 6-cifferet kode til overførslen, som du skriver ind - og der næst trykker OK.
Altså kort sagt - en 8 cifferet kode til login. Og en 6 cifferet kode får du tilbage når du skal godkende en overførsel.
Men uanset hvor sikkert det er - så er det jo ikke banken der lækker dine oplysninger, eller udgiver din "nøgle fil". Der er en vej til kende, der hedder "antivirus", og en anden som hedder "firewall".. Firewall'en hvis den både giver dig besked om udgående og indgående (ukendt) traffik, så kan du jo selv sige at trojanen ikke må bruge internettet.
#5 Jyske Bank har nøglekort til deres netbank. Det er en meget lille kende mere besværligt, men meget mere sikkert.
En svindler skal altså kende 4 koder for at kunne bruge min netbank (i nævnte rækkefølge): CPR-nummer, nøglekortnummer, nøglekode og personlig kode.
Der findes to metoder fra Danske Bank. (rettelse: Kvalitets Banken).
e-Safekey - en lille fil der gemmes, på harddisken.
ActivCard - en lille "lommeregner" lignende kodegenerator, som generere en ny kode hver gang.
- og ActivCard er klart den sikreste vej af de to.
e-Safekey kræver at man har filen, samt én kode. ActivCard kræver at man kender et brugernavn (kan f.eks. være "32045D"), samt at man har ActivCard'et, som har en PIN kode ligesom en mobiltelefon sjovt nok har når man tænder den. Dette ActivCard generere en ny 8-ciffers kode hver gang, til login på netbanken.
Med e-Safekey, skal du have filen - og hvis din kode så er "kage" - ja, så simpelt er det - så har du adgang til alt. Efter en ændring for et halvt års tid siden, er din netbank nøgle dog låst til den computer den ligger på..
Med ActivCard, skal du have dit ActivCard, og du skal have din pinkode til dit ActivCard, og ligeledes skal du kunne huske dit brugernavn, som f.eks. kan være "32045D".
Dette brugernavn kender jeg selvfølgelig ikke - og er bare et jeg bare skrevet "random"..
Dit ActivCard giver dig omkring 8 millioner forskellige koder, og en ny hver eneste gang. Når du skal lave overførsler, skal du bruge dit ActivCard også - du skal jo godkende betalingen. Der skriver du ind på dit ActivCard, nogle tal som står i overførselsfeltet, og derefter trykker Enter på dit ActivCard, hvor dit ActivCard giver dig en 6-cifferet kode til overførslen, som du skriver ind - og der næst trykker OK.
Altså kort sagt - en 8 cifferet kode til login. Og en 6 cifferet kode får du tilbage når du skal godkende en overførsel.
Men uanset hvor sikkert det er - så er det jo ikke banken der lækker dine oplysninger, eller udgiver din "nøgle fil". Der er en vej til kende, der hedder "antivirus", og en anden som hedder "firewall".. Firewall'en hvis den både giver dig besked om udgående og indgående (ukendt) traffik, så kan du jo selv sige at trojanen ikke må bruge internettet.
#13
ActivCard er såbart overfor man in the middle attack...
Så jeg mener afgjort at e-Safekey er sikrere da det kræver at angriberen rent faktisk har adgang til din computer - hvorimod ActivCard kan angribes bare ved at du går ind på en angribers falske side og denne formidler din trafik vidre til banken bortset fra at den gør hvad angriber har lyst til istedet for hvad du tror du laver
Hvad angår låsningen til en computer af filen så kan det nok omgås - det må være et spørgsmål om at det indsamler nogle nøgleinformationer om din computer som enten testes lokalt eller hos banken, men hvis man er istand til at få fat i filen kan man sikkert også tilegne sig de nødvendige informationer og så forsyne activex objectet med forfalskede oplysninger og dermed køre det på en vilkårlig computer.
Det sagt så har e-Safekey den fordel at hvis din computer ikke er kompromiteret så er det umuligt at tilegne sig adgang til din konto hvorimod både ActivCard og jyske banks engangskoder kan angribes uden unormal adgang.
ActivCard er såbart overfor man in the middle attack...
Så jeg mener afgjort at e-Safekey er sikrere da det kræver at angriberen rent faktisk har adgang til din computer - hvorimod ActivCard kan angribes bare ved at du går ind på en angribers falske side og denne formidler din trafik vidre til banken bortset fra at den gør hvad angriber har lyst til istedet for hvad du tror du laver
Hvad angår låsningen til en computer af filen så kan det nok omgås - det må være et spørgsmål om at det indsamler nogle nøgleinformationer om din computer som enten testes lokalt eller hos banken, men hvis man er istand til at få fat i filen kan man sikkert også tilegne sig de nødvendige informationer og så forsyne activex objectet med forfalskede oplysninger og dermed køre det på en vilkårlig computer.
Det sagt så har e-Safekey den fordel at hvis din computer ikke er kompromiteret så er det umuligt at tilegne sig adgang til din konto hvorimod både ActivCard og jyske banks engangskoder kan angribes uden unormal adgang.
#15
ActivCard er jo afhængig af den kode du får fra hjemmesiden som skal konverteres i ActiveCard og tastes ind igen. Denne er jo unik for den aktuelle transaktion.
Derfor kan sådan en kode ikke bruges til andre transaktioner.
Derfor skal "man in the middle" have godt fat i min computer. Præsentere mig for den transaction jeg ønsker at udføre, men med koden til den transaction han ønsker at udføre.
Samtiddigt skal han sørge for at det hele er 100% magen til min normale netbank og at java godkendelsen kommer fra Danske Bank.
Alt dette er selvfølgeligt muligt. Men jeg har ikke set andre løsninger, der er mere sikre.
Og det hele forudsætter jo så at personen har fået kontrol over min computer uden at jeg opdager det...
ActivCard er jo afhængig af den kode du får fra hjemmesiden som skal konverteres i ActiveCard og tastes ind igen. Denne er jo unik for den aktuelle transaktion.
Derfor kan sådan en kode ikke bruges til andre transaktioner.
Derfor skal "man in the middle" have godt fat i min computer. Præsentere mig for den transaction jeg ønsker at udføre, men med koden til den transaction han ønsker at udføre.
Samtiddigt skal han sørge for at det hele er 100% magen til min normale netbank og at java godkendelsen kommer fra Danske Bank.
Alt dette er selvfølgeligt muligt. Men jeg har ikke set andre løsninger, der er mere sikre.
Og det hele forudsætter jo så at personen har fået kontrol over min computer uden at jeg opdager det...
#17
hvad hindrer personen i at modtage kommunikation fra dig sende det til banken modtage kommunikation fra banken og sende det til dig og så udskifte transaktionsoplysninger fra dig til banken med det han ønsker og så sende dig de oplysninger du tror du tror du skal have - han behøver da på ingen måde have adgang til din computer for at lave det stunt - med mindre både du og banken kan identficere informationer fra hinanden med 100% sikkerhed og det kræver på forhånd kendte public keys fra en asymetrisk krypteringsalgoritme f.eks. RSA
hvad hindrer personen i at modtage kommunikation fra dig sende det til banken modtage kommunikation fra banken og sende det til dig og så udskifte transaktionsoplysninger fra dig til banken med det han ønsker og så sende dig de oplysninger du tror du tror du skal have - han behøver da på ingen måde have adgang til din computer for at lave det stunt - med mindre både du og banken kan identficere informationer fra hinanden med 100% sikkerhed og det kræver på forhånd kendte public keys fra en asymetrisk krypteringsalgoritme f.eks. RSA
#12
Jyske Netbank spørger efter koden, som findes på plads nr. 10NR på nøglekort nr. JI1203. For at phishe mine nøgler, så skal de altså vide mit nøglekortnummer samt hvilke tilfældige 2 bogstaver, der står efter nøglens numeriske placering.
Så det er nu sikkert nok - men klart: er du torskedum og naiv, så kan du snydes. Eksempel:
Bedstefar til barnebarnet: "Da jeg var ung, så var der ærlighed til. Da kunne man snildt lægge en 500-kroners seddel på trappestenen om morgenen, før man tog på arbejde. Og når man kom hjem om aftenen, så var den der stadig."
Barnebarnet: "500-kroners sedlen?"
Bedstefaren: "Nej, trappestenen!"
Hvis du vil give dine penge væk til svindlere, så kan det jo lade sig gøre. Hvis en naiv bruger kommer ind på www.jyskenetbank2.dk og bliver spurgt: Skriv dit nøglekortnummer og alle dine nøgler og nøgleplaceringer her - og vedkommende så parerer ordre... Så vil det virke.
Men selv, hvis svindleren har fået sniffet sig til 1 eller 2 nøgler, så skal han være ualmindeligt heldig for, at det er netop disse nøgler, som banken spørger efter. Banken spørger nemlig ikke om en ny nøgle, bare fordi du trykker "Reload" eller forsøger i en anden browser. Og når der er 3 fejlforsøg før automatisk spærring - og når du som bruger undrer dig over at du gentagne gange ikke kommer ind på din konto, selvom du har tastet alt rigtigt, så tror jeg ærligt talt, at en svindler har meget svært ved at få noget ud af det.
Hvis du indtaster dine koder på en phishing site så kan de jo let efterfølgende anvende dem til at foretage uønskede transaktioner på din konto - nøglen bliver jo ikke opbrugt af at være indtastet på en falsk side...
Jyske Netbank spørger efter koden, som findes på plads nr. 10NR på nøglekort nr. JI1203. For at phishe mine nøgler, så skal de altså vide mit nøglekortnummer samt hvilke tilfældige 2 bogstaver, der står efter nøglens numeriske placering.
Så det er nu sikkert nok - men klart: er du torskedum og naiv, så kan du snydes. Eksempel:
Bedstefar til barnebarnet: "Da jeg var ung, så var der ærlighed til. Da kunne man snildt lægge en 500-kroners seddel på trappestenen om morgenen, før man tog på arbejde. Og når man kom hjem om aftenen, så var den der stadig."
Barnebarnet: "500-kroners sedlen?"
Bedstefaren: "Nej, trappestenen!"
Hvis du vil give dine penge væk til svindlere, så kan det jo lade sig gøre. Hvis en naiv bruger kommer ind på www.jyskenetbank2.dk og bliver spurgt: Skriv dit nøglekortnummer og alle dine nøgler og nøgleplaceringer her - og vedkommende så parerer ordre... Så vil det virke.
Men selv, hvis svindleren har fået sniffet sig til 1 eller 2 nøgler, så skal han være ualmindeligt heldig for, at det er netop disse nøgler, som banken spørger efter. Banken spørger nemlig ikke om en ny nøgle, bare fordi du trykker "Reload" eller forsøger i en anden browser. Og når der er 3 fejlforsøg før automatisk spærring - og når du som bruger undrer dig over at du gentagne gange ikke kommer ind på din konto, selvom du har tastet alt rigtigt, så tror jeg ærligt talt, at en svindler har meget svært ved at få noget ud af det.
[url=#6]#6[/url] mhartvig
Men man er sikkert ikke bedre stillet med så mange andre phishingangreb, hvor oplysningerne bliver sendt til en webserver på en tilfældig kompromiteret maskine. Der bliver de så krypteret og placeret på en webside, som angriberen efterfølgende kan finde gennem en søgemaskine uden nogensinde selv at kontakte den kompromiterede maskine. Intet sport af, hvor oplysningerne ender, og ejeren af den kompromiterede maskine har ingen anelse om, hvad der foregår.
[url=#7]#7[/url] rackbox
Kommunikerer du med en anden server end du burde, så er det trivielt for angriberen at ændrer oplysningerne der bliver overført, således at du godkender en anden transaktion end du troede.
Som bruger er du selv nødt til at sikre dig, at kommunikationen foregår med https, og at du kommunikerer med den rigtige server. Det er forholdsvist nemt at sikre, hvis man anvender et bookmark. Desuden skal man sikrer at maskinen ikke er kompromiteret, for hvis den er kan du ikke stole på at din browser gør hvad den siger, at den gør. Oplysninger om hvilken transaktion du ønsker at udføre kan være ændret allerede inden de forlader din computer.
Uanset hvad banken (og alle andre) siger, så kan man ikke opnå sikkerhed, med en kompromiteret klient. Den ultimative måde at opnå sikkerhed hvis brugerens PC er kompromiteret ville være at flytte tilstrækkeligt meget af klientfunktionaliteten væk fra PCen og over på et ekstern stykke elektronik.
Transaktioner kunne foregå på følgende måde (besværligt, men langt mere sikkert end noget som helst af det man finder nu til dags):
1. Log på netbanken vha. en challenge response som besvares vha. et chipkort beskyttet med en pindkode.
2. Vælg at du vil udføre en transaktion.
3. Indtast transaktionen i en webformular.
4. Webserveren besvarer med en challenge.
5. Indtast denne challenge på chipkortet.
6. Chipkortet kan udfra challenge regne ud, hvilke yderligere oplysninger det skal spørge om.
7. Indtast modtager kontonummer og beløb på chipkort.
8. Chipkort besvarer med en response til challenge.
9. Indtast challenge på webformularen.
En keylogger er nu nice nok til formålet - men så kan det spores hvor den sender oplysninger tilOg hvad gør det så, når det viser sig, at oplysningerne bliver krypteret og efterfølgende postet til alt.test?
Men man er sikkert ikke bedre stillet med så mange andre phishingangreb, hvor oplysningerne bliver sendt til en webserver på en tilfældig kompromiteret maskine. Der bliver de så krypteret og placeret på en webside, som angriberen efterfølgende kan finde gennem en søgemaskine uden nogensinde selv at kontakte den kompromiterede maskine. Intet sport af, hvor oplysningerne ender, og ejeren af den kompromiterede maskine har ingen anelse om, hvad der foregår.
Desuden ved man heller ikke hvilket password der er det man vil ha fat iIntet forhindrer en keylogger i at sende oplysninger om hver enkelt password indtastet i en html form, inklusiv URL.
[url=#7]#7[/url] rackbox
Jyske Bank har nøglekort til deres netbank. Det er en meget lille kende mere besværligt, men meget mere sikkert.Challenge response autentifikation er nok en anelse mere sikker end et simpelt password. Men uanset om denne challenge response er implementeret vha. et stykke elektronik, eller en liste med engangskoder, så kan det aldrig give sikkerhed for brugere, der ikke selv er opmærksomme omkring sikkerheden.
Kommunikerer du med en anden server end du burde, så er det trivielt for angriberen at ændrer oplysningerne der bliver overført, således at du godkender en anden transaktion end du troede.
Som bruger er du selv nødt til at sikre dig, at kommunikationen foregår med https, og at du kommunikerer med den rigtige server. Det er forholdsvist nemt at sikre, hvis man anvender et bookmark. Desuden skal man sikrer at maskinen ikke er kompromiteret, for hvis den er kan du ikke stole på at din browser gør hvad den siger, at den gør. Oplysninger om hvilken transaktion du ønsker at udføre kan være ændret allerede inden de forlader din computer.
Uanset hvad banken (og alle andre) siger, så kan man ikke opnå sikkerhed, med en kompromiteret klient. Den ultimative måde at opnå sikkerhed hvis brugerens PC er kompromiteret ville være at flytte tilstrækkeligt meget af klientfunktionaliteten væk fra PCen og over på et ekstern stykke elektronik.
Transaktioner kunne foregå på følgende måde (besværligt, men langt mere sikkert end noget som helst af det man finder nu til dags):
1. Log på netbanken vha. en challenge response som besvares vha. et chipkort beskyttet med en pindkode.
2. Vælg at du vil udføre en transaktion.
3. Indtast transaktionen i en webformular.
4. Webserveren besvarer med en challenge.
5. Indtast denne challenge på chipkortet.
6. Chipkortet kan udfra challenge regne ud, hvilke yderligere oplysninger det skal spørge om.
7. Indtast modtager kontonummer og beløb på chipkort.
8. Chipkort besvarer med en response til challenge.
9. Indtast challenge på webformularen.
[url=#23]#23[/url] Regus
Men det skader selvfølgelig ikke at være paranoid. Personligt plejer jeg at:
1. Afslutte browseren
2. Installere eventuelle sikkerhedsopdateringer
3. Starte browseren
4. Bruge bookmarket til netbanken (naturligvis https)
5. Åbne sikkerhedsoplysningerne og checker certifikatet
6. Logge ind og gør hvad der nu skal gøres
7. Logge ud
8. Afslutte browseren
Metoden gentages hvis jeg har brug for at tilgå flere forskellige netbanksystemer.
hjælper ikke noget med mindre altså du rent faktisk tjekker certifikatet hver eneste gangDet burde være nok at checke domænenavnet.
Men det skader selvfølgelig ikke at være paranoid. Personligt plejer jeg at:
1. Afslutte browseren
2. Installere eventuelle sikkerhedsopdateringer
3. Starte browseren
4. Bruge bookmarket til netbanken (naturligvis https)
5. Åbne sikkerhedsoplysningerne og checker certifikatet
6. Logge ind og gør hvad der nu skal gøres
7. Logge ud
8. Afslutte browseren
Metoden gentages hvis jeg har brug for at tilgå flere forskellige netbanksystemer.
De sidste par maaneder har vi set en bande der tager ud til folk i deres hjem, holder en pistol til hovedet af dig og befaler at faa dine plastik kort + pinkoder. Alt imens en anden gut tager kortene, koerer i banken og toemmer hvad han kan... Saa kan man sku ha netbank der er saa sikkert som man vil...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund