Hva er egentlig sikrest av BankID og innlogging med mobil?

[bOMS]

Sikkerhetsnivåer

 

Sikkerhetsnivå 4 - Innlogging med smartkort fra Buypass eller virksomhetssertifikat

 

Logger du inn med et Buypass smartkort eller virksomhetssertifikat får du tilgang på det høyeste sikkerhetsnivået i Altinn. Dette sikkerhetsnivået er nødvendig blant annet for å signere gjeldsbrev hos Lånekassen og sende inn bostyrers innberetning.

Jeg har da signert plenty gjeldsbrev hos Lånekassen, og har aldri hatt noe Buypass?

 

Men signerte du digitalt?

 

 

For min del ble all min signering hos lånekassen gjort for hånd når jeg plukket opp sjekket på universitetet. Men det er jo noen år siden.

 

 

[sinnaelgen]

Bank id skal være felles for alle banken . samme id uansett hvilken bank man bruker .

 

Før brukte postbanken en kode kalkulator der man må taste inn en personlig kode før pin-koden genereres.

Jeg bruker den enda

Den siste tiden har de brukt en hvit utgave som generer koden med en gang man slår den på.

 

og så må man skrive inn førselnummer og personlig passord

 

Nå har de slått seg sammen med DNB Nord

 

 

J@9 : hva mener du med at man kan bruke hvilken som helst kode brikke ?

 

Hver kode brikke er tilegnet den banken du bruker og kan derfor ikke byttes om.

Nå er det heller ikke alle banker som har lik kodebrikke.

 

jeg har hørt at hvis du ikke husker koden fra kodebrikken til sparebank1 sin nettbank så kan du få problemer hvis du prøver å få den frem på nytt eller få en nye kode.

 

Hos postbanken slår man bare på kodekalkulatoren en gang til

[iChristian]

Hos SB1 så kan du bruke hvilken som helst annen SB1-kodebrikke som du vil, naboens, damas, din egen, osv osv.

 

Postbanken har da vært eid av DNB i lengre tid...

[sinnaelgen]

Hos SB1 så kan du bruke hvilken som helst annen SB1-kodebrikke som du vil, naboens, damas, din egen, osv osv.

 

Postbanken har da vært eid av DNB i lengre tid...

 

I mange år .

 

Nå i påsken slo de også sammen banktjenestene.

 

Man var da uten nettbank i 3 dager , men bankkortet kunne brukes .

Det pussige skjedde da at flere banker hadde problemer med bankkortene.

Her var det bade betalinger som ikke lot seg gjennomføre og mange kontoer som ble kreditert samme beløp mange ganger

Endret 28. april 2011 av den andre elgen

[bOMS]

Hos SB1 så kan du bruke hvilken som helst annen SB1-kodebrikke som du vil, naboens, damas, din egen, osv osv.

 

Postbanken har da vært eid av DNB i lengre tid...

Er greit å skille mellom de kodegeneratorene som krever ett bankkort og de som ikke krever ett. Har man en sånn man stikker bankkortet inn i så er det den lille brikken på bankkortet som avgjør hvilken kode som kommer ut. Man vil også legge merke til at det første av de seks sifrene er det samme hver gang, dette er det som identifiserer bankkortet, så første kort får en, neste to osv.

 

Ellers så er de kodene man får generert avhengig av kortet, hvis man fornyer koden for mange ganger (tre eller fire ganger tror jeg) uten å taste de inn hos BankID vil man oppleve at koden blir ugyldig. Da må man en liten tur i banken, slik at de kan synkronisere koden kortet lager med det som nettbanken bruker.

 

 

 

[tingo]

Jeg kom over et ganske interesant spørsmål her for ikke så lenge siden. når en logger inn i nettbanken må en bruke en kodebrikke som et sendt fra banken. når en logger inn på MinSide på norge.no får en tilsendt en engangskode til mobiltelefonen og denne koden fungerer tilsvarende som kodebrikken fra banken. spørsmålet er da: hvilken av disse løsningene er sikrest? jeg regner med at begge har den samme krypteringen i bunn. det er jo for eksempel mulig å overvåke mobilnettet men dette blir jo litt verre når en bruker en kodegenerator en sitter med i lankene.

Begge deler er engangspassord (se SecureID på Wikipedia), og er (i teorien ihvertfall) like sikre. Engangspassordene i disse løsningene har også tidsbegrenset varighet, selv om tidsvinduet er ganske bredt.

[Andante79]

Jeg bruker Skandiabanken (fnr, personlig kode, mobilkode) og MinID hvor jeg mottar en kode på . Veldig brukervennlig og adekvat sikkerhet.

 

Jeg har også Nordea med kodebrikke. Det er totalt håpløst og ender med at jeg ikke bruker kontoen der. Man må drasse med seg en ekstra dings, huske koden til den (som jeg ofte glemmer) og det blir det bare ikke noe av. Det blir for tungvindt og brysomt.

 

Man kan ikke sikre seg mot alt, samtidig som man ikke kan ha løsninger som dreper brukervennligheten. Norske banker har høy sikkerhet, og skandiabanken har ikke hatt problemer til tross of kode over mobil. Det er jo genialt om man er ute på en internettkafe og har glemt kodebrikken eller er i utlandet. Man kan ikke glemme kodebrikken siden koden kommer på telefonen og er gylding noen minutter fremover.

 

Skulle man mot formodning få sikkerheten brutt har man forsikring.

[w00pla]

Begge deler er engangspassord (se SecureID på Wikipedia), og er (i teorien ihvertfall) like sikre. Engangspassordene i disse løsningene har også tidsbegrenset varighet, selv om tidsvinduet er ganske bredt.

 

Ble i banken for noen år tilbake fortalt at kodene hadde en gyldighet på to timer. Hvordan disse generes med tidsvindu vites ikke ettersom kortleserne så vidt jeg kan huske fungerer like fint om du tar batteriet inn og ut... Men er selvsagt mulig at jeg husker feil der altså, men 2 timer skal være korrekt.

[zataka]

En merker hvis man har mistet mobilen ganske raskt, det samme kan jeg desværre ikke si om kodebrikken min :/

 

Jeg mener det er ganske viktig å vite om du har mistet bankID/minID. Og derfor er Mobilen et godt alternativ.

 

Sikkert nevnt tidligere, men beste er vel Telenor sin løsning ved å lagre på sim-kort eller liknende?

 

Up and comming http://www.authente.no/ kan kanskje løse våre problemer? =)

 

minID vil forøvrig bli brukt ved et evt. e-valg. (skal brukes i enkelte kommuner i høst)

[RulleRimfrost]

Om man mister en kodebrikke, og denne utsettes for 3 feil pininntastinger låser den seg. Om man får stjålet tlf (eller har virus på tlf) vil tilsendt passord kunne avleses. Kodebrikke er sikrest.

BankID (BBS) og MinID (Norsk Tipping) er mye likt, men bankID har fått kritikk for javaklienten der det påstås at noen kan avlytte kommunikasjonen (man in the middle). I min bank må jeg derfor bekrefte alle betalinger med ny kode for å hindre dette.

 

Mobilbank-løsningen er jeg skeptisk til. Den autentiserer bare vha mitt sim-kort (tlfnr) og en kort pinkode...

[Bolson]

I utgangspunktet er alle disse løsningene to-faktors innloggingsløsninger. Så om man mister mobil, kodebrikke eller for den del Buypasskort/bankkort så skal den som får tak i dette egentlig ikke kunne logge seg inn på noen av tjenestene. Til det trenger man tilgang på den andre faktoren som vanligvis er pinkode eller passord.

 

Slik sett er det liten forskjell i sikkerhetsnivået, faktisk er det passordstyrken i den faktoren som bestemmer mest. Således er det faktisk løsninger som bruker tallbasert pinkode som faktor 2 som teknisk sett er enklest å bryte med bruteforce. Dog er det som RulleRimfrost påpeker svakheter med løsninger som sender passord (pin) til bruker - disse kan avlyttes/snappes opp. Derfor er disse langt fra sikrere enn kodebrikke etc.

 

Men nå ligger det vel også løsninger hos bank/andre aktører som skal motvirke bruteforce - det er vel begrensinger på hvor mange feil forsøk man får gjøre før alarmen går.

 

@RulleRimfrost: Husk at det finnes to typer kodebrikker, en som trenger pin for å vise kode, en som ikke trenger pin. Den siste låser seg ikke etter tre forsøk, men det finnes sikkerhetsystem knyttet til faktor 2, så jeg tror det bare er et visst antall forsøk på innlogging med kode fra kodebrikke og passord før man stenges ute.

[Finholt]

Hos SpareBank1 så må man sette bank kortet inn i kodebrikka, så her kan man bruke hvilken som helst kodebrikke.

Så det man trenger er:

Person nr.

Personlig kode og engangs kode fra kodebrikka via bank kortet.

Så i.o.m. at personnummeret står på bankkortet, så er strengt tatt alt man trenger

- bankkortet

- en hvilken som helst kodegenerator fra SB1

- Personlig kode

Endret 29. april 2011 av Finholt

[iChristian]

Om man mister en kodebrikke, og denne utsettes for 3 feil pininntastinger låser den seg. Om man får stjålet tlf (eller har virus på tlf) vil tilsendt passord kunne avleses. Kodebrikke er sikrest.

BankID (BBS) og MinID (Norsk Tipping) er mye likt, men bankID har fått kritikk for javaklienten der det påstås at noen kan avlytte kommunikasjonen (man in the middle). I min bank må jeg derfor bekrefte alle betalinger med ny kode for å hindre dette.

 

Mobilbank-løsningen er jeg skeptisk til. Den autentiserer bare vha mitt sim-kort (tlfnr) og en kort pinkode...

Norsk tipping benytter seg ikke av MinID.

[GCardinal]

Idiotien er at dersom man deaktiverer Java på maskin, så kan man logge seg inn kun med kode-brikke på Postbanken og DNB Nor sine nettbanker.

 

Også når man betaller med VISA og skal bekrefte kjøpe med VISA Verify - så vises deler av personnumre i feltet over. Riktig nok med noen stjerner: 0000*****00

Men det at de viser siste "kontroll" sifrer er mildt sagt idiotisk - det er nettopp det man trenger for å rask kunne regne seg frem til personnumre.

Og med det åpner man mulighet for å koble stjolet VISA kortnummer til personnummer.

[geil]

Med andre banker, som Storebrand og DNB så trenger du ikke den siste pinkoden du nevner der. Men ved SB1 så trenger du pin-kode.

 

Jeg har DNB og bruker selv såkalt kodekalkulator, altså brikke med pinkode som må tastes først. Men jeg vet at andre som har DNB har brikker uten pinkode. Mulig de opererer med to forskjellige system.

 

DP250-brikken du har ble brukt tidligere, men blir nå fortløpende byttet ut med den nye GO3 der du bare trykker på knappen for å få kode. Skulle du ønske den nye er det bare å slå på tråden, så kan den byttes ut. Greit å vente noen dager til fristen for selvangivelsen og ryddearbeidet etter påsken er gjennomført bare, det er noe trykk på telefonen om dagen

[nebrewfoz]

<klipp>BankID (BBS) og MinID (Norsk Tipping) er mye likt, men <klipp>

Norsk tipping benytter seg ikke av MinID.

Nei, Norsk Tipping benytter BuyPass.

BuyPass og MinID er to alternative elektroniske ID'er for tilgang til ulike tjenester på nettet.

[eXclusive1337]

Den største forskjellen ligger jo i at telefonen er langt mer utsatt og personlig enn kodegeneratoren. Om du finner en kodegenerator har du ikke nubbesjans å finne hvem som eier den, om du finner en mobiltelefon så er det lett å finne eier.

 

Personnummer er vel dog fortsatt noenlunde skjult, så det forutsetter at du kjenner personen likevel.

Hva med lønnsslipp som man pleier å motta en gang i måneden i postkassa? den kan man jo stjele, og finne personnummer.

[nebrewfoz]

Den største forskjellen ligger jo i at telefonen er langt mer utsatt og personlig enn kodegeneratoren. Om du finner en kodegenerator har du ikke nubbesjans å finne hvem som eier den, om du finner en mobiltelefon så er det lett å finne eier.

 

Personnummer er vel dog fortsatt noenlunde skjult, så det forutsetter at du kjenner personen likevel.

Hva med lønnsslipp som man pleier å motta en gang i måneden i postkassa? den kan man jo stjele, og finne personnummer.

Det finnes ingen grunn til at personnummeret skal stå på lønnsslippen. Hvis det gjør det, så ville jeg tatt det opp med bedriftsledelsen med en gang.

 

edit: Eller tenkte du på kontoutskriften? Den skulle vel heller ikke trenge å inneholde personnummer.

Endret 29. april 2011 av nebrewfoz

[Inge Rognmo]

Personnummeret er ikke en del av to-faktor autentiseringen, det forteller bare hvilken konto du skal logge inn på, og behøver egentlig ikke være mer hemmelig enn navnet ditt (hadde det ikke vært for at en rekke andre nettsteder enn nettbanker bruker personnummeret som et passord, noe det ikke er).

 

To-faktor autentisering baserer seg på noe (bare) du har (mobil, kodebrikke, adgangskort), og noe (bare) du kan (passord). Løsninger som baserer seg på noe du "er" (fingeravtrykk, iris-scanning) sammen med en eller begge av de første kategoriene finnes også, men brukes ikke i nettbanksammenheng. Selv om mobilen/kodebrikken skulle bli stjålet, så har fortsatt ikke tyven adgang til passordet, og dermed kontoen -med mindre du er så dum at du har lagret passordet i klartekst på den stjålne/mistede mobilen ett sted...

[G]

 

Personnummeret er ikke en del av to-faktor autentiseringen, det forteller bare hvilken konto du skal logge inn på, og behøver egentlig ikke være mer hemmelig enn navnet ditt (hadde det ikke vært for at en rekke andre nettsteder enn nettbanker bruker personnummeret som et passord, noe det ikke er).

 

To-faktor autentisering baserer seg på noe (bare) du har (mobil, kodebrikke, adgangskort), og noe (bare) du kan (passord).

Løsninger som baserer seg på noe du "er" (fingeravtrykk, iris-scanning) sammen med en eller begge av de første kategoriene finnes også, men brukes ikke i nettbanksammenheng. Selv om mobilen/kodebrikken skulle bli stjålet, så har fortsatt ikke tyven adgang til passordet, og dermed kontoen -med mindre du er så dum at du har lagret passordet i klartekst på den stjålne/mistede mobilen ett sted...

Jeg er glad for at vi slipper for mye bruk av teknikken som baserer seg på noe du "er". Selv om det ville gjort ting mer brukervennlig. Så er jeg glad for at jeg skal slippe å få avkuttet finger, utrevet øye eller liknende i en gisselsituasjon, hvor pengene på bankkontoen min er gisselet, og "jeg er kodebrikken".

Endret 29. april 2011 av G