Gå til innhold

Er virkelig MinID så sikkert?

r2d290

Av r2d290
i Datamaskiner

Anbefalte innlegg

r2d290

r2d290

Skrevet
Skrevet

Leste en artikkel der det blant annet ble påstått at MinID er vesentlig sikrere enn vanlig mail. Men er det egentlig det? Jeg mener at så lenge man har fødselsnummeret til en person, samt passordet til mailen hans, og i tillegg har "lånt" mobiltelefonen til den aktuelle personen, har du full tilgang til innholdet som man normalt skulle trenge MinID-ting til. Og dette er jo noe som ethvert menneske kan få til. Og MinID-kortet er fortsatt låst inne i verdens tryggeste safe... Man trenger heller ikke vite passordet man har på MinID-kortet.

 

Jeg gjør følgende for å logge inn:

Går inn på laanekassen.no, trykker på "Logg inn", og får beskjed om å skrive Fødselsnummer og passord.

Klikker i stede på "Har du glemt passordet"?

Skriver inn personnummeret -> får en sms

Skriver inn koden som jeg fikk på sms

Får tilsendt en mail med kode (som er gyldig i 10 min)

Skriver inn koden MinID, samt oppgir mitt ønskede nye passord.

 

Klikker på "Logg inn". Og er nå fullstendig innlogget.

Sikkerheten i et system er ikke bedre enn det svakeste punkt. Og det svakeste punkt bør ikke være en alternativ inngang. Bare jeg som er litt skeptisk til dette?

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
r2d290

r2d290

Skrevet
  • Forfatter
Skrevet (endret)

At nytt brev må bestilles, og sendes som rekomandert post? Gjerne også av typen PUM der du må vise legitimasjon på posten for å få det utlevert... Er mye som sendes ut på den måten.

 

Enten det, eller andre veien: oppheve hele MinID-greia. Det er jo en fantasert sikkerhet, ettersom man i virkeligheten ikke trenger annet enn en dobbel-verifikasjon mellom mail og mobil.

Systemet hadde jo vært like sikkert som nåværende løsning, dersom man ved innlogging klikker på "Få tilsendt passordene jeg trenger for å logge inn"-knappen, og da får et passord på mobilen, og samtidig et passord på mailen, og begge disse må skrives inn innen 10 min...

 

edit: brukeropplevelse/brukervennlighet...

Jeg er ganske sikker på at de fleste heller ønsker å vente 2 dager på å få brevet, fremfor en veldig mye mindre sikker løsning, en løsning som er mindre sikker enn den opprinnelige.

Endret av r2d290
Lenke til kommentar
b-real

b-real

Skrevet
Skrevet

At nytt brev må bestilles, og sendes som rekomandert post? Gjerne også av typen PUM der du må vise legitimasjon på posten for å få det utlevert... Er mye som sendes ut på den måten.

Det kan du jaggu meg tru posten.no kommer til å bli glade for. Hoho.
Lenke til kommentar
Lumpness

Lumpness

Skrevet
Skrevet

Det beste hadde vært om alle hadde begynt og bruke buypass kort og kortleser. da må man ha en dedikert kortleser og kort med kode. jeg bruker å logge meg inn med buypass på altinn osv . Står oppført som den sikreste metoden pr dags dato.

 

Sånn som det er idag så er det for mange alternativer . Kodebrev, minid, buypass, bankid osv

Lenke til kommentar
aklla

aklla

Skrevet
Skrevet

MinID er sikkert nok, ikke 100% sikkert, men det er da ikke rekomandert post heller.

Har man tilgang til mobilen, mailen og person-nummeret til vedkommende, hvorfor skal man ikke da også enkelt kunne skaffe tilgang til kode-kortet man får i posten?

 

Jeg vil ikke påstå at personlig oppmøte er noe som kan øke sikkerheten litt.

Lenke til kommentar
Leifen18

Leifen18

Skrevet
Skrevet

Kodekort?

Jeg må slå inn en firesifret PIN-kode, så dukker en tilfeldig generert kode opp som er gyldig i 20 sekund :-P

Høres ut som om det er LANGT lettere å bare skaffe seg kodekortet ditt, enn å finne ut av passord på mail og skaffe mobilen din :-P

 

For at jeg skal kunne logge inn (På normal måte), må jeg slenge inn personnummer, PIN på kodebrikke, koden ifra kodebrikken og mitt egne superpassord som ifølge en eller annen side vil ta flere millioner år å knekke :-P

På den andre siden, sa samme passordsjekker at aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa ville ta flere trillioner år :-P Jeg vedder på at den var supervitenskaplig xD

Lenke til kommentar
aklla

aklla

Skrevet
Skrevet

For at jeg skal kunne logge inn (På normal måte), må jeg slenge inn personnummer, PIN på kodebrikke, koden ifra kodebrikken og mitt egne superpassord som ifølge en eller annen side vil ta flere millioner år å knekke :-P

På den andre siden, sa samme passordsjekker at aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa ville ta flere trillioner år :-P Jeg vedder på at den var supervitenskaplig xD

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa er ett vanskelig passord å knekke.

Jeg regner med at den sjekken går ut ifra brute-force, altså den starter på "a", jobber seg til "å", før den starter på "aa" og jobber seg til "aå", så "ba" til "bå" osv...

Og dette er uten tall og spesialtegn.

En liten formel for dette er antall forskjellige tegn^antall tegn=antall muligheter.

Så, i ditt tilfelle 29^59=MYE, om man ser bort ifra spesialtegn og tall.

Lenke til kommentar
GnuNix

GnuNix

Skrevet
Skrevet (endret)

Jeg synes MinID er så sikker som det trenger å være for de brukere som skal benytte systemet, men når det er sagt kan det alltid forbedres. Sikkerhet er vanskelig for tjenester som skal brukes av mange millioner mennesker som ikke nødvendigvis har flere PC kompetanser enn 'Point and click'. Dermed er slike systemer ikke like sikker som de burde ha vært!

 

Hvis man ønsker et system med betraktelig bedre sikkerhet kan man starte med å fjerne Glemt Passord knappen, men det er umulig å gjøre når systemet benyttes av flere millioner PC brukere.

 

Lastpass er et eksempel av en tjeneste som ikke har muligheten til å oppgi passordet ditt om du tilfeldigvis glemmer det. Men de måtte implementere en engangsnøkkel på systemet ditt om du glemmer passordet ditt på grunn av så mange 'glemsomme' brukere som hadde glemte passordet sitt.

 

Realiteten er at daglige PC brukere ikke bryr seg om sikkerhet før det er for sent.

 

Jeg støtter et brev tilsendt i posten for et glemt passord, men det koster både tid og penger for både bukeren og MinID. Slike kostnader vil de (MinID) unngå med digitale løsninger. Å gi brukeren et valg mellom de to løsninger (tilsendt brev eller Epost/mobil) kunne ha vært en bra idea, kanskje??

 

**De kommer helt sikker til å benytte seg av Digipost forresten...

Endret av jackbrennan2008
Lenke til kommentar
r2d290

r2d290

Skrevet
  • Forfatter
Skrevet

Bruk PIN-kodebrev datert 08.12.2008.

Så, er ikke SÅ gammelt.

 

Høres ut som om det er LANGT lettere å bare skaffe seg kodekortet ditt, enn å finne ut av passord på mail og skaffe mobilen din :-P

 

 

Det kommer jo helt an på situasjonen da... Kortet mitt er innelåst, det er hverken mobilen eller mailen min =)

Lenke til kommentar
r2d290

r2d290

Skrevet
  • Forfatter
Skrevet

Poenget her er at jeg regner med at "Glemt passord"-knappen bare skal hjelpe deg med nettopp-Glemt passord.

 

Men når man klikker på "Glemt passord" blir BÅDE passordet og kodekortet/brikken/hva enn man har, overflødig. Hadde vært greit om nytt passord ble sendt på mail, men at man likevel må taste inn koden fra kodebrikken/kortet. Men sånn er det altså ikke, og det er det jeg mener er litt svakt...

Lenke til kommentar
nahojp

nahojp

Skrevet
Skrevet

Leste en artikkel der det blant annet ble påstått at MinID er vesentlig sikrere enn vanlig mail. Men er det egentlig det?

 

Ja. MinID er ikke bombesikkert, men det er vesentlig sikrere enn vanlig mail.

 

Jeg mener at så lenge man har fødselsnummeret til en person, samt passordet til mailen hans, og i tillegg har "lånt" mobiltelefonen til den aktuelle personen, har du full tilgang til innholdet som man normalt skulle trenge MinID-ting til. Og dette er jo noe som ethvert menneske kan få til.

 

Jada. Men disse tre tingene (fødselsnummer, mobiltelefon, og passordet til mailen) er minst to ting mer enn kun mailtilgang. Et system basert på vanlig mail krever ikke en gang selve mailpassordet for å være usikkert, det kan i gitte tilfeller holde å få tak i arkiv-filen til epostklienten, eller å være intelligent nok til å endre avsenderadressen i sin egen mailklient.

Lenke til kommentar
Leifen18

Leifen18

Skrevet
Skrevet

Nope, fordi så lenge valget er der, er det jo poengløst, det er jo hele poenget her :-)

Dersom du har muligheten til å velge en mindre sikker måte, er det jo nettopp det man vil bruke, så valgfrihet er totalt poengløst i dette tilfellet :-)

 

Men jeg skjønner ikke hvorfor man mener det er usikkert i utgangspunktet.

Man må strengt tatt både ha telefonen og passordet på mailen, samt selvfølgelig mailadressa og fødselsnummeret.

 

Hvis noen skal få tak i alt dette, så er ikke akkurat posten heller spesielt sikker. Da er det noen som virkelig går inn for det. Og siden vi antar at de klarer stjele all denne informasjonen, samt en mobil, så har du jo strengt tatt også forutsetningene til at de kan hente din kjære ID-brikke eller Kodekort. Min versjon er vel den sikreste av de som er nevnt her, men det er nok mulig å knekke denne også.

Lenke til kommentar
Leifen18

Leifen18

Skrevet
Skrevet

Poenget her er at jeg regner med at "Glemt passord"-knappen bare skal hjelpe deg med nettopp-Glemt passord.

 

Men når man klikker på "Glemt passord" blir BÅDE passordet og kodekortet/brikken/hva enn man har, overflødig. Hadde vært greit om nytt passord ble sendt på mail, men at man likevel må taste inn koden fra kodebrikken/kortet. Men sånn er det altså ikke, og det er det jeg mener er litt svakt...

 

Det er forsåvidt et veldig godt poeng :-)

Lenke til kommentar
GnuNix

GnuNix

Skrevet
Skrevet (endret)

Poenget her er at jeg regner med at "Glemt passord"-knappen bare skal hjelpe deg med nettopp-Glemt passord.

 

Men når man klikker på "Glemt passord" blir BÅDE passordet og kodekortet/brikken/hva enn man har, overflødig. Hadde vært greit om nytt passord ble sendt på mail, men at man likevel må taste inn koden fra kodebrikken/kortet. Men sånn er det altså ikke, og det er det jeg mener er litt svakt...

 

Merkelig at det er sånn. Det har jeg aldri tenkt over før, men samtidig har jeg aldri glemte passordet mitt :). Nei det er ikke bra i det hele tatt. Om banken min hadde et slik system ville de fått et vanlig snail mail brev fra meg, det holder ikke!

 

Nope, fordi så lenge valget er der, er det jo poengløst, det er jo hele poenget her :-)

Dersom du har muligheten til å velge en mindre sikker måte, er det jo nettopp det man vil bruke, så valgfrihet er totalt poengløst i dette tilfellet :-)

 

Jeg ser poenget ditt, men samtidig må man huske på hvem som bruker systemet (med tanke på tidsfrister osv). Greit nok at totalt sikkerheten er ikke bulletproof, men da får man en mulighet til å øke sin egen sikerhet. Om man da velger en mindre sikker løsning og blir kompromittert så er det bare bad luck altså!

Endret av jackbrennan2008
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...