_Xorcist Skrevet 29. april 2011 Del Skrevet 29. april 2011 Sikkerhet og brukervennlighet er stort sett alltid gjensidig utelukkende, så det blir ofte et kompromiss. Jeg bruker selv Skandiabanken, noen ganger med kode på SMS andre ganger med BankID på mobil. Det kunne ikke falle meg inn å benytte en bank som krever at jeg flyr rundt med en ekstra brikke hver gang jeg skulle logge på nettbanken eller bare betale noe med et kredittkort i en nettbutikk. Lenke til kommentar
w00pla Skrevet 29. april 2011 Del Skrevet 29. april 2011 Om man mister en kodebrikke, og denne utsettes for 3 feil pininntastinger låser den seg. Om man får stjålet tlf (eller har virus på tlf) vil tilsendt passord kunne avleses. Kodebrikke er sikrest. BankID (BBS) og MinID (Norsk Tipping) er mye likt, men bankID har fått kritikk for javaklienten der det påstås at noen kan avlytte kommunikasjonen (man in the middle). I min bank må jeg derfor bekrefte alle betalinger med ny kode for å hindre dette. Mobilbank-løsningen er jeg skeptisk til. Den autentiserer bare vha mitt sim-kort (tlfnr) og en kort pinkode... Kan ikke si at jeg kjenner til noen tekniske begrensninger som gjør at javaklienten er mindre sikker enn https. Java har null problemer med å kryptere dataoverføringene. Grunnen til at man har et andre autentiseringspunkt (når du skal betale) er for å minske faren for at du skal bli phishet. I et slikt tilfelle er bakmennene nødt til å skaffe til veies to engangskoder fra deg, ikke bare en. Man hindrer også, om du skulle gå fra en PC innlogget i nettbanken, at andre kan overføre penger fra din konto. Jeg er glad for at vi slipper for mye bruk av teknikken som baserer seg på noe du "er". Selv om det ville gjort ting mer brukervennlig. Så er jeg glad for at jeg skal slippe å få avkuttet finger, utrevet øye eller liknende i en gisselsituasjon, hvor pengene på bankkontoen min er gisselet, og "jeg er kodebrikken". Løsningen her er jo så enkel som å ikke ha så mye penger på kontoen. Da minsker du jo sjansen ganske greit 1 Lenke til kommentar
G Skrevet 29. april 2011 Del Skrevet 29. april 2011 Jo litt. Men når det gjelder risiko om å bli lemlestet, så vil jeg helst eliminere problemet fullstendig. En vet jo aldri hva en gal person kan finne på. En har jo ikke garantier for vold likevel. Men, det kan gjerne være greit å ta visse forholdsregler. Dessuten er det stor forskjell på hva en nordmann ser på som mye penger på konto, og hva ett individ fra ett land med en dårligere velferdstilstand i sitt hjemland måtte synes om størrelser på pengesummer. Slik jeg ser det tar du kun høyde for kriminelle individer fra industrialiserte land med bra jevnhet på inntektsfordeling (typisk Norge). Lenke til kommentar
Inge Rognmo Skrevet 29. april 2011 Del Skrevet 29. april 2011 (endret) ...avkuttet finger, utrevet øye eller liknende i en gisselsituasjon, hvor pengene på bankkontoen min er gisselet, og "jeg er kodebrikken". Løsningen her er jo så enkel som å ikke ha så mye penger på kontoen. Da minsker du jo sjansen ganske greit Forutsatt at raneren har kjennskap til saldoen, ja.. Å miste en finger for bare småpenger blir jo nærmest enda verre.. Edit: forøvrig, når det gjelder iris-scanning funker det neppe på løse øyne, og det finnes vel også fingeravtrykkslesere som kjenner om det er "liv" i fingeren. Men det er det jo ikke sikkert overgrepsmannen kjenner til/tenker på... Endret 29. april 2011 av Inge Rognmo Lenke til kommentar
G Skrevet 29. april 2011 Del Skrevet 29. april 2011 Skal en først være paranoid i forhold til lemlestingsrisiko, så må en jo strengt tatt dra strikken til den ryker. :!: Lenke til kommentar
mistercartman Skrevet 29. april 2011 Del Skrevet 29. april 2011 ...avkuttet finger, utrevet øye eller liknende i en gisselsituasjon, hvor pengene på bankkontoen min er gisselet, og "jeg er kodebrikken". Løsningen her er jo så enkel som å ikke ha så mye penger på kontoen. Da minsker du jo sjansen ganske greit Forutsatt at raneren har kjennskap til saldoen, ja.. Å miste en finger for bare småpenger blir jo nærmest enda verre.. Edit: forøvrig, når det gjelder iris-scanning funker det neppe på løse øyne, og det finnes vel også fingeravtrykkslesere som kjenner om det er "liv" i fingeren. Men det er det jo ikke sikkert overgrepsmannen kjenner til/tenker på... Hehe. Gidder ikke gå i detalj, men jeg har testet en del moderne sikkerhetsløsninger for minibank som ikke har kommet til Norge. Deriblant en sensor som sjekker om det ligger bein i massen som fingeravrtykket registreres fra, en sensor du legger hånden din på som sjekker puls på den som avgir fingeravrtykk og diverse andre løsninger som gir litt makabre tanker når du forstår årsaken til at de er funnet opp..... Har også testet sikkerhetsløsninger for nettbank som foreløpig er på prototypstadiet. Det finnes mange kloke hoder i Norge, men som nevnt tidligere i tråden er det som oftest et spørsmål om brukervennlighet og pris. Og med de lave tapene vi har i Norge på svindel av nettbanker kan jeg si med en gang: dagens løsninger for massemarkedet er mer enn bra nok! De videreutvikles kontinuerlig, men man kan føle seg sikker Lenke til kommentar
w00pla Skrevet 29. april 2011 Del Skrevet 29. april 2011 Jo litt. Men når det gjelder risiko om å bli lemlestet, så vil jeg helst eliminere problemet fullstendig. En vet jo aldri hva en gal person kan finne på. En har jo ikke garantier for vold likevel. Men, det kan gjerne være greit å ta visse forholdsregler. Dessuten er det stor forskjell på hva en nordmann ser på som mye penger på konto, og hva ett individ fra ett land med en dårligere velferdstilstand i sitt hjemland måtte synes om størrelser på pengesummer. Slik jeg ser det tar du kun høyde for kriminelle individer fra industrialiserte land med bra jevnhet på inntektsfordeling (typisk Norge). For å gå rett til bunns så var ikke midt svar ment som annet enn et humoristisk innslag. På den andre siden tror jeg du heller burde være mye mer bekymret over andre ting her i livet enn om rumenske banditter skulle finne på å bryte seg inn i huset ditt og kutte av deg kroppsdeler for å få tilgang til nettbanken din. Om det i det hele tatt skulle bli en trend så er risikoen fortsatt mye høyere for at du kommer til å bli drept eller lemlestet i en trafikkulykke (osv.). Dermed foreslår jeg at du heller bekymrer deg for ting som er litt mer realistiske og sannsynlige Lenke til kommentar
lockdog Skrevet 30. april 2011 Del Skrevet 30. april 2011 ...avkuttet finger, utrevet øye eller liknende i en gisselsituasjon, hvor pengene på bankkontoen min er gisselet, og "jeg er kodebrikken". Løsningen her er jo så enkel som å ikke ha så mye penger på kontoen. Da minsker du jo sjansen ganske greit Forutsatt at raneren har kjennskap til saldoen, ja.. Å miste en finger for bare småpenger blir jo nærmest enda verre.. Edit: forøvrig, når det gjelder iris-scanning funker det neppe på løse øyne, og det finnes vel også fingeravtrykkslesere som kjenner om det er "liv" i fingeren. Men det er det jo ikke sikkert overgrepsmannen kjenner til/tenker på... Hehe. Gidder ikke gå i detalj, men jeg har testet en del moderne sikkerhetsløsninger for minibank som ikke har kommet til Norge. Deriblant en sensor som sjekker om det ligger bein i massen som fingeravrtykket registreres fra, en sensor du legger hånden din på som sjekker puls på den som avgir fingeravrtykk og diverse andre løsninger som gir litt makabre tanker når du forstår årsaken til at de er funnet opp..... Har også testet sikkerhetsløsninger for nettbank som foreløpig er på prototypstadiet. Det finnes mange kloke hoder i Norge, men som nevnt tidligere i tråden er det som oftest et spørsmål om brukervennlighet og pris. Og med de lave tapene vi har i Norge på svindel av nettbanker kan jeg si med en gang: dagens løsninger for massemarkedet er mer enn bra nok! De videreutvikles kontinuerlig, men man kan føle seg sikker Testet ikke Mythbusters en av disse fingeravtrykklåsene som sjekket både puls, vev og linkende? De klarte å åpne den med en enkel avstøpning av fingeravtrykket. Lenke til kommentar
w00pla Skrevet 30. april 2011 Del Skrevet 30. april 2011 Testet ikke Mythbusters en av disse fingeravtrykklåsene som sjekket både puls, vev og linkende? De klarte å åpne den med en enkel avstøpning av fingeravtrykket. Tror ikke det Mythbusters testet var så avansert, det er tross alt en god stund siden de testet. Den skulle vel detektere om det var en finger eller noe sånt, men det virker som det gikk på konduktivitet og temperatur, ikke noe annet. Lenke til kommentar
DarkSlayer Skrevet 30. april 2011 Del Skrevet 30. april 2011 (endret) Bare for å ta dette helt enkelt. Den beste autentiseringen er den som benytter "noe du har" og "noe du vet". Bankkortet og minibank er jo et greit eksempel der med fysisk kort + pin du har husket. Minibankkalkulator og RSA nøkkelbrikker er gode alternativer til "noe du har". Verden er forøvrig ikke perfekt. Jeg jobbet med en case engang der man diskuterte hvordan man kunne lage en innloggingsløsninger for en lege på et sykehus. Bare for å oppdage at leger gjorde hva som helst for å motarbeide dette. Leger ser nemlig på sykepleiere som sine sekretærer og legene skrev opp passord på gule lapper, og la ved siden av maskinen kort/brikke som sykepleieren kunne bruke. De er notoriske på dette. Vi var opptatt av at LEGEN skulle gjøre bestemte handlinger, mens legen så på sine sekretærer som en forlengelse av legen. Samtigid så var det slik at sykepleieren IKKE skulle gjøre bestemte handlinger, så vi kunne ikke gi adgang, eller sperre adgang. En annen ting er jo om det egentlig er så smart å lage "verdens beste" autentiseringsløsning når kriminelle bare kapper av deg armer og hode. Ja det er kjipt å bli svindlet for millioner, men det trenger ikke gå på helsa løs. Kalkulator VS mobil. Her kan man kun vurdere sikkerheten ut fra hvordan kalkulator distribueres, og mobil registreres. Det beste er jo personlig oppmøte i bank som inkluderer de værste identitetssjekker. Men om du skulle ha klart å lure systemet med å registrere feil mobil, eller du har fått tak i kalkulatoren uberettiget - så er det jo elementet "noe du vet" som skal forhindre at kriminelle kan gå videre. Til syvende og sist så havner alt i kategorien - godt nok. Endret 30. april 2011 av DarkSlayer Lenke til kommentar
w00pla Skrevet 30. april 2011 Del Skrevet 30. april 2011 Synes eksempelet med legene og innlogging var prima, og det viser jo hva som er problemet overalt i samfunnet - brukerne. Løsningene er nødt til å ta høyde for at brukerne klusser det til - i alle fall innen visse grenser. Er også enig i at biometriske løsninger neppe er det riktige å satse på for å oppnå sikkerhet. Fingeravtrykk er ofte enkle å kopiere og forfalske, og tross alt - vi etterlater de overalt. Tror nok verden er bedre tjent med at vi har koden inne i hodet fremfor på kroppen Lenke til kommentar
sinnaelgen Skrevet 30. april 2011 Del Skrevet 30. april 2011 (endret) Synes eksempelet med legene og innlogging var prima, og det viser jo hva som er problemet overalt i samfunnet - brukerne. Løsningene er nødt til å ta høyde for at brukerne klusser det til - i alle fall innen visse grenser. Er også enig i at biometriske løsninger neppe er det riktige å satse på for å oppnå sikkerhet. Fingeravtrykk er ofte enkle å kopiere og forfalske, og tross alt - vi etterlater de overalt. Tror nok verden er bedre tjent med at vi har koden inne i hodet fremfor på kroppen hva med dem som har dårlig hukommelse ? Det er tros alt en del koder man skal huske i dagens moderne samfunn Endret 30. april 2011 av den andre elgen Lenke til kommentar
joshido Skrevet 30. april 2011 Del Skrevet 30. april 2011 Med andre banker, som Storebrand og DNB så trenger du ikke den siste pinkoden du nevner der. Men ved SB1 så trenger du pin-kode. Jeg har DNB og bruker selv såkalt kodekalkulator, altså brikke med pinkode som må tastes først. Men jeg vet at andre som har DNB har brikker uten pinkode. Mulig de opererer med to forskjellige system. Jeg har også en kodekalkulator. Jeg mener å huske at alle nye hos DNB får den du ikke trenger å taste inn pinkode. Jeg husker ikke nøyaktig når de byttet til den nye. Lenke til kommentar
sinnaelgen Skrevet 30. april 2011 Del Skrevet 30. april 2011 Det er sikkert samme system som postbanken har benyttet seg av. Jeg spurte postbanken hvor lenge man kunne regne med at kodekalkulatoren med personlig kode ville virke. De viste det ikke siden det kommer an på hvor mye den brukes. Lenke til kommentar
G Skrevet 1. mai 2011 Del Skrevet 1. mai 2011 (endret) Jo litt. Men når det gjelder risiko om å bli lemlestet, så vil jeg helst eliminere problemet fullstendig. En vet jo aldri hva en gal person kan finne på. En har jo ikke garantier for vold likevel. Men, det kan gjerne være greit å ta visse forholdsregler. Dessuten er det stor forskjell på hva en nordmann ser på som mye penger på konto, og hva ett individ fra ett land med en dårligere velferdstilstand i sitt hjemland måtte synes om størrelser på pengesummer. Slik jeg ser det tar du kun høyde for kriminelle individer fra industrialiserte land med bra jevnhet på inntektsfordeling (typisk Norge). For å gå rett til bunns så var ikke midt svar ment som annet enn et humoristisk innslag. På den andre siden tror jeg du heller burde være mye mer bekymret over andre ting her i livet enn om rumenske banditter skulle finne på å bryte seg inn i huset ditt og kutte av deg kroppsdeler for å få tilgang til nettbanken din. Om det i det hele tatt skulle bli en trend så er risikoen fortsatt mye høyere for at du kommer til å bli drept eller lemlestet i en trafikkulykke (osv.). Dermed foreslår jeg at du heller bekymrer deg for ting som er litt mer realistiske og sannsynlige Så fikk vi ihvertfall belyst muligheter og svakheter. Også fikk vi en dose humor og paranoia på kjøpet. Her forleden leste jeg om en gammel dame som ble dultet over ende og frastjålet håndvesken sin. Poenget mitt er tilgjengelighet. Nå er det heldigvis sjelden at folk med rullator blir slått over ende utenfor den lokale dagligvarebutikken. Men, det skjer. Traumatisk for henne, og stor risiko for skader som benbrudd.. Så kanskje også med "chip under huden", elns. </paranoia> :!: Endret 1. mai 2011 av G Lenke til kommentar
w00pla Skrevet 1. mai 2011 Del Skrevet 1. mai 2011 hva med dem som har dårlig hukommelse ? Det er tros alt en del koder man skal huske i dagens moderne samfunn Du kan jo tatovere den på litjkaren Men det store problemet i dagens samfunn er passord-gjenbruk. Man bruker det samme passordet på flere tjenester. Det finnes noen måter som kan gjøre det lett/lettere å huske passord. Den ene er at man benytter passfraser som man greier å koble til tjenesten. F.eks. kan du jo logge inn på nettbanken med "elgen rauter høyt når han drar VISA-kortet fordi kontoen viste seg å være tom" (den ble kanskje litt lang, men poenget er at du knytter frasen opp mot tjenesten). Slike passfraser er forøvrig uhorvelig vanskelige å brute-force. En annen variant er å ha et grunnpassord. F.eks 3bOpyXs og så lager du en hash for hver enkelt tjeneste/side du benytter. En slik hash kan generes matematiskt, eller man kan lage seg en huskeregel ala "første to konsonanter og siste to vokaler i domenenavnet". Gmail.com blir da gmio og det totale passordet ditt for gmail blir 3bOpyXsgmio. Her kan man jo også hive på hvilket nummer en bokstav er i alfabetet osv. Den matematiske hashen skal være mye vanskeligere å knekke da man må ha tilgang til et større subset av passord for å kunne rekonstruere den, det kan de jo selvsagt gjøre om de knekker e-posten din, men så lenge en tjeneste utleverer passordet ditt på forespørsel så er de jo lite trygge. Visste dere forresten at Google Chrome lagrer passordene deres ukryptert? Mao. hvis dere låner vekk maskinen med passord lagret i Chrome kan hvem som helst klikke seg inn og få se passordene dere har lagret (og motsatt). 1 Lenke til kommentar
Inge Rognmo Skrevet 1. mai 2011 Del Skrevet 1. mai 2011 En annen ting er jo om det egentlig er så smart å lage "verdens beste" autentiseringsløsning når kriminelle bare kapper av deg armer og hode. Ja det er kjipt å bli svindlet for millioner, men det trenger ikke gå på helsa løs. I tilfellet minibank/nettbank, hvor det "bare" er offerets egne penger som står på spill, så er det selvsagt lite lurt. Som adgangskontroll til f.eks. militære anlegg, hvor høyere hensyn (rikets sikkerhet) rangeres viktigere enn den enkelte adgangsberettigedes eget liv og helse, så kan det ha noe for seg. Det samme med folk som i kraft av sin posisjon (høyt opp i viktige selskap) har tilgang til masse penger, men som ikke er deres egne, hvor eieren av pengene mener denne personen i verste fall kan "ofres". Men i et slikt tilfelle må jo nesten systemet også ha innebygd hindringer som stopper alle forsøk med avkappede kroppsdeler, og om det er/blir tilstrekkelig kjent, så vil jo sannsynligheten for slike forsøk synke. Lenke til kommentar
G Skrevet 1. mai 2011 Del Skrevet 1. mai 2011 Kudos for å nevne at nettleserbruk kan gi dårligere sikkerhet, slik som eksempelet med Google Chrome. Lenke til kommentar
sinnaelgen Skrevet 1. mai 2011 Del Skrevet 1. mai 2011 (endret) hva med dem som har dårlig hukommelse ? Det er tros alt en del koder man skal huske i dagens moderne samfunn Du kan jo tatovere den på litjkaren Men det store problemet i dagens samfunn er passord-gjenbruk. Man bruker det samme passordet på flere tjenester. Det finnes noen måter som kan gjøre det lett/lettere å huske passord. Den ene er at man benytter passfraser som man greier å koble til tjenesten. F.eks. kan du jo logge inn på nettbanken med "elgen rauter høyt når han drar VISA-kortet fordi kontoen viste seg å være tom" (den ble kanskje litt lang, men poenget er at du knytter frasen opp mot tjenesten). Slike passfraser er forøvrig uhorvelig vanskelige å brute-force. En annen variant er å ha et grunnpassord. F.eks 3bOpyXs og så lager du en hash for hver enkelt tjeneste/side du benytter. En slik hash kan generes matematiskt, eller man kan lage seg en huskeregel ala "første to konsonanter og siste to vokaler i domenenavnet". Gmail.com blir da gmio og det totale passordet ditt for gmail blir 3bOpyXsgmio. Her kan man jo også hive på hvilket nummer en bokstav er i alfabetet osv. Den matematiske hashen skal være mye vanskeligere å knekke da man må ha tilgang til et større subset av passord for å kunne rekonstruere den, det kan de jo selvsagt gjøre om de knekker e-posten din, men så lenge en tjeneste utleverer passordet ditt på forespørsel så er de jo lite trygge. Visste dere forresten at Google Chrome lagrer passordene deres ukryptert? Mao. hvis dere låner vekk maskinen med passord lagret i Chrome kan hvem som helst klikke seg inn og få se passordene dere har lagret (og motsatt). jeg går ut fra at det er passord-fraser du mener. nå er det heller ikke helt uproblematisk å huske hele frasen 100 %. hvis den blir feil så blir også passorden litt feil Det samme gjelder reglene man har bestemt seg for å følge for å gi passordene forskjell. Endret 2. mai 2011 av den andre elgen Lenke til kommentar
nebrewfoz Skrevet 2. mai 2011 Del Skrevet 2. mai 2011 Du kan jo tatovere den på litjkaren "Password rejected: Too short." 1 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå