Det hjelper lite med to-faktor autentisering dersom du lar deg narre av phishing

[Harald Brombach (digi.no)]

For da kan angripere enkelt overta nettleserøkten din.

Det hjelper lite med to-faktor autentisering dersom du lar deg narre av phishing

[LMH1]

Snakk om dårlig sikring, greit nok https://www.Llnkedin.com/ burde folk forstå ikke er https://www.linkedin.com/

 

Men det som er rart man kan gå inn i console i chome og bruke tooken cookies for å logge inn uten brukernavn + passord.

Finnes sikkert flere feil også. F.eks sikkerhetsfeil der man kan logge på mobil uten problemer fordi siden ikke er godt nok kryptert. Hvorfor brukes ikke tidbasert kryptering i så fall må man logge inn og endre koden ofte?

 

BankID er vel sikriere? Eller man man gjøre det på samme måte? Hvis det er slik så har bankene stort problem. Hvis de trenger kun personnummer + tolken så kan de logge inn.

Endret 15. mai 2018 av LMH1

[Lostfields]

Snakk om dårlig sikring, greit nok https://www.Llnkedin.com/ burde folk forstå ikke er https://www.linkedin.com/

 

Men det som er rart man kan gå inn i console i chome og bruke tooken cookies for å logge inn uten brukernavn + passord.

Finnes sikkert flere feil også. F.eks sikkerhetsfeil der man kan logge på mobil uten problemer fordi siden ikke er godt nok kryptert. Hvorfor brukes ikke tidbasert kryptering i så fall må man logge inn og endre koden ofte?

 

BankID er vel sikriere? Eller man man gjøre det på samme måte? Hvis det er slik så har bankene stort problem. Hvis de trenger kun personnummer + tolken så kan de logge inn.

 

OAuth fungerer slik at man får en token/kode som man kan benytte for å få tilgang. Denne har som regel en gyldighet denne også (og det er flere ulike tokens også, refreshtoken og accesstoken).

 

Det er den samme token/kode som dine app'er på telefonen benytter for der blir heller ikke brukernavn og passord lagret som regel, men det fører til at du må logge inn i ny og ned, men gjerne med måneders mellomrom og andre ganger aldri.

 

BankID er det samme som tofaktor. Men de fleste banker krever tofaktor for hver kritiske handling. Hadde alle nettsteder gjort det ved for eksempel passordbytte og andre sikkerhetsinnstillinger så ville ikke en angriper klart å hijacke en konto selv med en innloggingstoken - men de kunne gjort masse annet tull og gjort livet surt for deg.

[Bytex]

Folk foretrekker bekvemmelighet foran sikkerhet. Er jo bare en irritasjon når 2-faktor autoriseringa kommer opp, på en nettside du er inne på hele tiden, ikke sant? Jeg vedder pungen min på at hvis nettbank godtok en lagret cookie for auto innlogging hadde 99% brukt det.

 

"ÅÅÅÅH må jeg frem med mobilen igjen for å logge inn med denne nye PC'n fra jobb!!! åååååååååååååååå". Så da vil vi heller ha en cookie som bare logger oss inn automatisk hver gang.  Endelig fått dette overstått, da kan jeg logge inn på forumet uten passord på denne PC'n også. Der har du hvermannsen.

Endret 15. mai 2018 av Bytex

[henrikwl]

Folk foretrekker bekvemmelighet foran sikkerhet. Er jo bare en irritasjon når 2-faktor autoriseringa kommer opp, på en nettside du er inne på hele tiden, ikke sant? Jeg vedder pungen min på at hvis nettbank godtok en lagret cookie for auto innlogging hadde 99% brukt det.

 

"ÅÅÅÅH må jeg frem med mobilen igjen for å logge inn med denne nye PC'n fra jobb!!! åååååååååååååååå". Så da vil vi heller ha en cookie som bare logger oss inn automatisk hver gang.  Endelig fått dette overstått, da kan jeg logge inn på forumet uten passord på denne PC'n også. Der har du hvermannsen.

 

 

Dette. Sikkerhet og brukervennlighet er diametrale motsetninger. Avveiningen blir alltid "sikkert nok" kontra "brukervennlig nok" – og brukerne favoriserer sistnevnte.

[LMH1]

Hva å bruke fingerleser\simkort eller annen sikkerhet? Eller er det ikke så sikkert det heller?

 

Mobil bankapper er vel dårlig sikret tror jeg, særlig hvis mobilen er rootet.

 

Er vel ofte risikoer med php\html5 og andre programmerings språk.

Diskusjon.no er sikkerhetrisiko i seg selv, sikkert ikke vanskelig å hacke.

Endret 15. mai 2018 av LMH1

[Lostfields]

Hva å bruke fingerleser\simkort eller annen sikkerhet? Eller er det ikke så sikkert det heller?

 

Mobil bankapper er vel dårlig sikret tror jeg, særlig hvis mobilen er rootet.

 

Er vel ofte risikoer med php\html5 og andre programmerings språk.

Diskusjon.no er sikkerhetrisiko i seg selv, sikkert ikke vanskelig å hacke.

 

Fingerleser, som også er en form for tofaktor, hjelper ikke så lenge du skriver inn brukernavn og passord kun en gang (mao nettstedet husker deg). Hvis du derimot må bruker fingerleseren ved viktige operasjoner hver gang så vil ikke man kunne utnytte å stjele en slik session-cookie som inneholder en token.

 

Mindre viktige operasjoner som ikke trenger tofaktor på et senere tidspunkt har angriperen full tilgang til, inntil denne session-cookien/oauth token utløper.

 

Hvis du føler at du er blitt phising utsatt, så har som regel nettstedet en side over alle dine autoriserte innlogginger (typisk steder som støtter OAuth2). Her kan du fjerne tilgangene slik at du evt. må logge inn på nytt fra mobilen din.

[Ivar Nesje]

All epost fra Gjensidige har en lenke til innlogginssiden i templaten. Jeg har prøvd å spørre support om når det er trygt å trykke på en lenke i epost og oppgi BankID info, men de sier bare jeg må vurdere på egenhånd, men hvis eposten kommer fra gjensidige er det trygt.

 

Når jeg viser til at deres egen "personvern og sikkerhet" side som sier at lenker i Epost aldri går til innlogginssiden, påstår de at lenken merket "Logg inn" går til en infoside om å logge inn, der jeg kan vurdere om jeg har kommet til rett side (fri for XSS fra lenken) og så kan trykke meg videre til den 100% sikre innlogginssiden.

[adale]

Den nye Firefox nettleseren ser ut til å løse problemet? https://hacks.mozilla.org/2018/01/using-hardware-token-based-2fa-with-the-webauthn-api/

[Bytex]

Men jeg liker bare Chrome.

[RattleBattle]

All epost fra Gjensidige har en lenke til innlogginssiden i templaten. Jeg har prøvd å spørre support om når det er trygt å trykke på en lenke i epost og oppgi BankID info, men de sier bare jeg må vurdere på egenhånd, men hvis eposten kommer fra gjensidige er det trygt.

 

Når jeg viser til at deres egen "personvern og sikkerhet" side som sier at lenker i Epost aldri går til innlogginssiden, påstår de at lenken merket "Logg inn" går til en infoside om å logge inn, der jeg kan vurdere om jeg har kommet til rett side (fri for XSS fra lenken) og så kan trykke meg videre til den 100% sikre innlogginssiden.

Jeg synes det er veldig merkelig praksis at man lenker til innlogging, det har jeg også sett at for eksempel PayPal gjør. Selv logger jeg meg aldri inn ved å klikke på en lenke i e-posten, men skriver inn nettsideadressen manuelt. Det hadde vært enklere å forholde seg til for folk flest, hvis aktørene aldri gir lenker til innlogging i e-post, men heller henviser til å logge seg inn via deres nettsider. 

Endret 15. mai 2018 av RattleBattle

[Tommy Lind]

Det kan være både fordeler og ulemper.

Det skal ikke være noe problem å få sms bekreftelseskoden samtidig blokkere eiers nr med en tele apparat. få kjøpt hos ebay.

kodebrikke er forsatt mest sikker forhold til digitalt(mail/tlf/app).

[Sandormen]

 

Folk foretrekker bekvemmelighet foran sikkerhet. Er jo bare en irritasjon når 2-faktor autoriseringa kommer opp, på en nettside du er inne på hele tiden, ikke sant? Jeg vedder pungen min på at hvis nettbank godtok en lagret cookie for auto innlogging hadde 99% brukt det.

 

"ÅÅÅÅH må jeg frem med mobilen igjen for å logge inn med denne nye PC'n fra jobb!!! åååååååååååååååå". Så da vil vi heller ha en cookie som bare logger oss inn automatisk hver gang.  Endelig fått dette overstått, da kan jeg logge inn på forumet uten passord på denne PC'n også. Der har du hvermannsen.

 

 

Dette. Sikkerhet og brukervennlighet er diametrale motsetninger. Avveiningen blir alltid "sikkert nok" kontra "brukervennlig nok" – og brukerne favoriserer sistnevnte.

Artikkelen påpeker nettopp det jeg personlig har vært litt bekymra for.

Sjøl om man forsøker å være forsiktig, er det strengt tatt kun en liten feil man gjør, så sitter man i saksa. Stort sett alle mennesker er kresne rutine-dyr. Kanskje har man en drøss forskjellige kontoer, men sjeldent mer enn en email og et telefonnummer. Begge gjerne brukt på en og samme googlekonto.

Og på denne googlekonto får man alle notifikasjoner fra andre innloggingskontoer. Mister man kontrollen over sin google, er løpet kjørt.

Blir svett på panna om det skjer meg.

[henrikwl]

Artikkelen påpeker nettopp det jeg personlig har vært litt bekymra for.

Sjøl om man forsøker å være forsiktig, er det strengt tatt kun en liten feil man gjør, så sitter man i saksa. Stort sett alle mennesker er kresne rutine-dyr. Kanskje har man en drøss forskjellige kontoer, men sjeldent mer enn en email og et telefonnummer. Begge gjerne brukt på en og samme googlekonto.

Og på denne googlekonto får man alle notifikasjoner fra andre innloggingskontoer. Mister man kontrollen over sin google, er løpet kjørt.

Blir svett på panna om det skjer meg.

 

 

 

Jepp. Eposten din er, nest etter banken, den aller viktigste angrepsflaten din, så hvis du skal velge ett sted å sette inn alle kluter så er det der. Jeg vet om folk som har ett standardpassord de bruker på "bullshit-sites" som forum, apper og ting de egentlig driter i, ett "passord-mønster" som de bruker for å "bygge" passord for litt viktigere sites, men på emailen kjører de full pakke unikt passord, to-faktor autentisering og hele sulamitten. Fordi hvis noen får tak i eposten din så får de basically tak i alle sites du har konto på.