Gå til innhold

Endelig blir du kvitt Java på BankID


Anbefalte innlegg

Og http://www.digi.no/501003/det-er-ikke-bankid-som-er-hacket

 

 

All informasjon som undertegnede har funnet tilgjengelig på Internett indikerer at professor Hole har benyttet phishing-teknikker til å forsøke å bevise at nettbanker kan svindles. Ingen informasjon tyder på at Hole på noe vis har brutt inn i BankIDs systemer, fått tak i sentralt lagrede personlige nøkler, greid å knekke de matematiske formler som ligger til grunn for signering eller kryptering (beskyttelse av informasjonen) eller på annen måte «hacket» BankID-løsningen.
Endret av Shruggie
  • Liker 1
Lenke til kommentar
Videoannonse
Annonse

Phishing er jo en helt annen side av saken!

 

Det handler om å lure ut informasjon. For å få dette til må man få tak i:

 

-personnummer

-personlig kode

-engangskoder fra kodebrikken

 

En helt annen sak er å knekke krypteringen og autentiseringen som ligger bak BankID.

Endret av Abigor
Lenke til kommentar
Gjest Slettet-jS6upa

Bank ID 2.0 blir veldig bra! Men som det er nevnt finnes det jo i de fleste banker flere måter å logge inn på. f.eks DNB, kodebrikke og personligkode (kontofonkoden), bankid og bankid mobil. Så lenge du lager en personligkode som du greier å huske og bruker bankid mobil, så vil du jo ikke ha noe problemer med å bruke nettbanken. Eneste du kanskje vil få problemer med er offentlige etater, men er man lur nok til å lage minID, så er problemet løst der også.

Det at bankene får skylden for alt problemet med BankID synes jeg også er litt uretferdig. Er jo alltid Java som skaper trøbbel, og selve tjenesten er det jo BankID Norge som leverer. Bankene kjøper jo bare tjenesten.

Men har en foreleser som sitter i BankID Norge styret, og han har snakket om BankID 2.0 ganske lenge, har mye tro på at dette blir steinbra!

Lenke til kommentar
Gjest Slettet-jS6upa

Bankid mobil er vel begrenset til et knippe operatører, så det er jo ikke aktuelt for mange av oss?

 

Tenker du på av mobiloperatører, så skal alle operatørene ha fått tilgang til tjenesten nå.

Netcom og de som bruker network norway var jo sist ut, men disse kom på banen til slutt de også.

Lenke til kommentar

Bankid mobil er vel begrenset til et knippe operatører, så det er jo ikke aktuelt for mange av oss?

Og jeg vil ihvertfall ikke betale for å få tilgang til nettbanken min, som Telenor legger opp til, ettersom de tar seg betalt for bank-id på mobil.

Lenke til kommentar

 

Kan ikke si jeg er videre overbevist over argumentasjonen din. Poenget ditt angående injisering antar jo at nettleseren eller websiden allerede er tatt over, da spiller det ingen rolle hvilken teknologi som er i bruk. I tillegg, så er jo javascript aktivert hos så å si alle, så at java er aktivt i nettleseren legger jo bare til en ekstra ting som kan angripes. Skjønner heller ikke hvorfor du nevner SSL/TLS spesifikt for ren html (uten javascript), SSL/TLS vil jo bli brukt i alle tre løsningene (hvis ikke de som har laget java-appletten har funnet på noe nytt da).

Hvis du har tre implementasjoner av samme sikkerhetsprodukt, som benytter teknologi A, B og C på følgende måte:

1) Bruker kun A

2) Bruker A og B

3) Bruker A, B og C

Hvor B og C ikke bidrar til å øke sikkerheten, men bare tilfører flere ledd hvor det kan skje feil er det åpenbart at 1) er det sikreste valget.

 

Den som har følgt med i timen vet at JavaScript allerede er en verkebyll av feil og inkonsistente implementasjoner. Injisering av kode og cross-site scripting er fremdeles et stort problem. Ethvert forsøk på å implementere sikkerhetsmekanismene i JavaScript vil være en tikkende bombe, og et yndet mål for den som vil manipulere systemet.

 

Det beste på sikt hadde vært en standardisert form for innsending av skjema direkte i nettleseren uten bruk av DOM, slik at JavaScript aldri får fatt i informasjonen. Ett annet steg på veien hadde vært om alle nettlesere kjørte hver fane i en egen "sandkasse".

 

Som jeg nevnte over, så øker det ikke sikkerheten å bruke kun html i stedet for html/javascript, når web-browseren støtter begge deler automatisk. I en tenkt verden hvor browsere kun støtter html, så har du såklart et poeng.

 

Så lenge platformen som benyttes for å bruke nettbanken er en nettleser, så spiller det ikke noen rolle om man bruker kun html eller html/javascript. Hvis browseren først er kompromitert, så kan evt angrep bruke javascript, selv om det ikke ble brukt av nettbanken i utgangspunktet.

 

At de dropper java i denne sammenhengen er en god ide, ettersom java ikke er aktivert som default (ihvertfall ikke nå lenger) i nettleseren.

 

Btw, jeg mener ikke at de skal bruke javascript for økt sikkerhet i denne sammeheng, men som et verktøy for å gjøre innloggingen mer brukervennlig. Full-page-submits er noe som er heldigvis på vei ut, noe jeg er veldig glad for.

Lenke til kommentar

jeg loget meg inn i nettbanke uten at JAVA maste en gang .

neste gang jeg skulle betale kom java opp .

Denne gangen ble jeg nødt til å goda en oppdatering for å komme meg videre

 

hvis man skal bruke bank ID gjennom en telefon med Telenor abonnement så vil man jo alltid få en regning å betale.

Lenke til kommentar
×
×
  • Opprett ny...