Internett-bank og sikkerhet?

[DrDoogie]

Hei!

 

Driver og vurderer å skifte bank, og lurer i den forbindelse på hvilke banker som tilbyr en sikker internett-tjeneste.

 

For å sikre kommunikasjonen A - B (hvor du er 'A', banken er 'B' og forbindelsen er '-'), velger jo mange banker å gi deg ett sertifikat, som sikrer '-'.

Noen banker gir deg ett kodekort, som delvis sikrer 'A'.

Og så er det dem få bankene som sikrer 'A' fullt ut ved å gi kunden en kode-kalkulator.

 

Eller det var ihvertfall det før.

Er det noen igjen av dem nå, eller noe lignende?

[tundra]

Man får vel en slik kalkulatordings fra Postbanken, hvis jeg ikke tar helt feil...

[HAG]

"Kodekalkulatoren" er vel på samme nivå som "kodekort", det blir brukt ei rutine for å lage kodene, kalkisen får et tall som legges inn så blir en ny kode laget som mottaker vet skal komme, kodekortene har 50 koder som mottaker vet skal komme, en blir bedt om kode nr. xx når en logger inn - ny kode for hver innlogging. Bruker bank med kort og en med sertifikat på min PC - Scandiabanken. Sistnevnte pga. over 4 % rente på lønnskonto og null gebyrer bortsett fra 250,- året for Visa kortet.

[Mips]

Forruten forskjellige metoder for å komme inn er sikkerheten ellers akkurat den samme. Enten om du har kalkis eller kodekort etc. Alt kjøres over SSL osv. En kursholder i sikkerhet holdt roadshow om hvordan knekke alt dette. Alt ble ikke vist, men det ble vist nok om at det faktisk gikk. Poenget var å finne et bitstreng på vei inn til servern som var lik en som kom tilbake til klienten. Tipper det var en nøkkel som da ble dekryptert som han kunne bruke etter å ha tatt over sesjonen (eller noe sånt)

 

Uansett så er det største problemet å tappe penger. Du kan jo ikke akkurat sende de til din egen konto. Da ser du blålys før du klarer å si n00b.

[fredster]

Jeg føler meg trygg med Storebrand Bank sin løsning. Jeg har etter å ha jobbet med IT i 10 år, blitt relativt "paranoid" med tanke på sikkerhet.

[kickass7]

Sertifikatene soerger for at kommuniserende parter (client-server) godkjenner hverandre (authentication) og at de er sikre paa at de kommuniserer med rette vedkommende. Selve transaksjonene er sikret gjennom SSL krypteringer, og det er styrken i disse krypterings algoritmene og stoerrelsen paa noeklene som avgjoer sikkerheten.

[Rob3rt]

På Skandiabanken er laster du ned et "elektronisk sertifikat", og når det er lastet ned, trenger jeg bare å taste inn mitt personnummer og en 4 sifret fast pin kode som jeg fikk tilsendt av dem.

 

Hva gjør dette sertifikatet egentlig? Og hvem som helst kan jo laste ned dette så lenge de vet mitt personnummer. Og da er det bare å vite den 4 sifret pin koden så har man full tilgang på alle kontoene mine.. Men jeg får tilsendt mail hver gang et sertifikat for mitt personnummer blir lastet ned..

[Thlom]

SSL kunne knekkes, men karen som beviste det måtte jo ha en uhorvelig mengde forsøk for å få det til, så jeg tror ikke det er noe å frykte.

[zuhr]

sparebanken nor funker perfekt.

En vanlig kode for å komme også en pin på 4 sifre som er ulik hele tiden. Nå du har brukt bort "pin korte" så får du et nytt..

[HAG]

På Skandiabanken er laster du ned et "elektronisk sertifikat", og når det er lastet ned, trenger jeg bare å taste inn mitt personnummer og en 4 sifret fast pin kode som jeg fikk tilsendt av dem.

 

Hva gjør dette sertifikatet egentlig? Og hvem som helst kan jo laste ned dette så lenge de vet mitt personnummer. Og da er det bare å vite den 4 sifret pin koden så har man full tilgang på alle kontoene mine.. Men jeg får tilsendt mail hver gang et sertifikat for mitt personnummer blir lastet ned..

 

Den 4 sifra pinkoden kan du endre slik du selv vil, for å laste ned sertifikatet trenger en personnummer og pinkode. Skandiabanken sender melding hver gang sertifikatet blir hentet fra dem, dersom ukjente har hentet ditt sertifikat, kan du endre pinkoden. Sertifikatet holder maks 12 mnd. etter det må et nytt hentes. OK - "skumle" ting kan skje før en får endret... om noen ukjente skulle klare å hente sertifikatet.

[enden]

SSL kunne knekkes, men karen som beviste det måtte jo ha en uhorvelig mengde forsøk for å få det til, så jeg tror ikke det er noe å frykte.

Husk at det forsøket var basert på e-poster som ble sendt fram og tilbake gudene vet hvor mange ganger. Der er litt anderledes over http. Han har ikke klart å knekke noe der, selv om forsøket hans viste at det er teoretisk mulig

[tigerdip]

Hvis sikkerhetesrutinene ikke har vært gode nok er det banken som må ta ansvaret. Kunden skal ikke kunne tape noe på det, men får en del bry før det blir fikset. La bankene styre med valg av sikkerhet og så kan du bare velge den banken som har best tilbud (som utvilsomt har vært skandiabanken de siste årene).

[Mr_Dillon]

Siden www.skandiabanken.no er en ren nettbank bør du ha en annen bank i tillegg. Selv har jeg valgt en liten sparebank fra hjemstedet mitt, og så bruker jeg skandiabanken i tillegg. Sikkerheten som det sies er noenlunde lik hos alle bankene iom det faktum at det er stort sett et firma (EDB Fellesdata) som drifter nesten alle nettbankene her til lands.

 

Andy

[pgdx]

Siden www.skandiabanken.no er en ren nettbank bør du ha en annen bank i tillegg.

Hvorfor?

Jeg har kun Skandiabanken, og jeg har aldri hatt noen problemer med det. Alt foregår via minibanker, betalingsterminaler og nett. Ikke noe stress det. Ingen gebyrer er det ved betaling/uttak heller...

[tigerdip]

Har du aldri hatt behov for å sette inn kontanter ? Hvordan har du i så fall gjort det ?

 

Det er jo uansett bare snakk om å ha en inaktiv konto i en annen bank slik at du kan hevde å ha et kundeforhold, noe som gir deg lavere gebyrer hvis du må gjøre noe fysisk i en bank.

[fullifaencom]

Forruten forskjellige metoder for å komme inn er sikkerheten ellers akkurat den samme. Enten om du har kalkis eller kodekort etc. Alt kjøres over SSL osv. En kursholder i sikkerhet holdt roadshow om hvordan knekke alt dette. Alt ble ikke vist, men det ble vist nok om at det faktisk gikk. Poenget var å finne et bitstreng på vei inn til servern som var lik en som kom tilbake til klienten. Tipper det var en nøkkel som da ble dekryptert som han kunne bruke etter å ha tatt over sesjonen (eller noe sånt)

 

Uansett så er det største problemet å tappe penger. Du kan jo ikke akkurat sende de til din egen konto. Da ser du blålys før du klarer å si n00b.

 

Du klarer ikke å knekke en SSL forbindelse til banken.... SSL kan knekkes, men det krever at samme passord blir benyttet flere ganger, noe du ikke gjør på nettbanker :-)

 

Syntes å ha lest på bugtraq at du måtte sniffe over 100 autentiseringer for å mulighet for å knekke det. Bruker du fellesdata sin nettbank (og sikkert alle andre også) er de verisign aproved....

[Mr_Dillon]

Siden www.skandiabanken.no er en ren nettbank bør du ha en annen bank i tillegg.

Hvorfor?

Jeg har kun Skandiabanken, og jeg har aldri hatt noen problemer med det. Alt foregår via minibanker, betalingsterminaler og nett. Ikke noe stress det. Ingen gebyrer er det ved betaling/uttak heller...

 

For eksempel kan det være greit å ha kundeforhold til en mindre bank når du skal ha boliglån. Selvsagt kan du få boliglån i skandiabanken også, men de har et forenklet og mere "firkantet" regelverk på hvor mye lån du kan få etc. Dersom du ønsker mer enn 80% finansiering er ikke skandiabanken et alternativ.

 

Andy

[DrDoogie]

Hører det er mange som nevner skandiabanken, men det er nettopp p.g.a. denne banken sitt hjernedøde sikkerhetsopplegg at jeg er blitt skeptisk på sikkerhet.

 

Jeg logger meg nemlig inn via public terminals, og hvis noen "eier" boksen da, kan jeg risikere at:

[*] Det blir bestilt ting og tang over internett / konto blir tappa

[*] Personnummeret mitt blir kjent - min personlige sikkerhet blir underminert

 

Hvis det derimot ble brukt ett "challenge-response" opplegg med å sende meg en kode som jeg taster inn på en dings jeg har (vet-har-er sikkerhet) sammen med en kode jeg vet, da er det vel ingen fare ved å sitte på offentlige terminaler?

 

Når det med "bankens ansvar" blir nevnt av noen, kan dem ta seg ett kurs i ansvarsfraskrivelse for nybegynnere slik at dem får en minimal forståelse for hvordan verden funker.

[tigerdip]

Hører det er mange som nevner skandiabanken, men det er nettopp p.g.a. denne banken sitt hjernedøde sikkerhetsopplegg at jeg er blitt skeptisk på sikkerhet.

 

Jeg logger meg nemlig inn via public terminals, og hvis noen "eier" boksen da, kan jeg risikere at:

[*] Det blir bestilt ting og tang over internett / konto blir tappa

[*] Personnummeret mitt blir kjent - min personlige sikkerhet blir underminert

 

Hvis det derimot ble brukt ett "challenge-response" opplegg med å sende meg en kode som jeg taster inn på en dings jeg har (vet-har-er sikkerhet) sammen med en kode jeg vet, da er det vel ingen fare ved å sitte på offentlige terminaler?

 

Når det med "bankens ansvar" blir nevnt av noen, kan dem ta seg ett kurs i ansvarsfraskrivelse for nybegynnere slik at dem får en minimal forståelse for hvordan verden funker.

 

Oi så sinna :wink:

 

Når det gjelder personnummeret ditt så er det veldig enkelt å få tak i hvis noen skulle ønske det. Den informasjonen er ikke engang taushetsbelagt etter hva jeg kan huske.

 

Ansvarsfraskrivelse? Det er derfor vi har råd,nemnder og i siste instans fri rettshjelp/advokater.

 

btw: Var det ikke en nettbank som opererte med et system basert på floppydisk ?

[bjorngb]

btw: Var det ikke en nettbank som opererte med et system basert på floppydisk ?

 

for en stund siden brukte jeg DnB sin nettbank, der kunne du ta ut et sertifikat på diskett. dette kunne brukes på andre pc'er og måtte tas vare på hvis du reformaterte.