SarahG Skrevet 27. august 2018 Del Skrevet 27. august 2018 NSM: – SMS og epost bør unngås til tofaktor-autentisering [Ekstra] Lenke til kommentar
Lostfields Skrevet 28. august 2018 Del Skrevet 28. august 2018 Nå får jeg ikke lest denne artikkelen men hva er alternativene? SMS og Epost som 2FA er "vanskeligere" å rute om enn f.eks. MOTP (for eksempel Google Authenticator appen) hvor hemmeligheten er lagret lesbart med brukeren (kan være kryptert). Har man MOTP hemmeligheten så trenger man ikke noen omruting, og MOTP hemmeligheten kan ikke hashes engang, det beste man kan gjøre er å kryptere den. Får man tilgang på en brukerdatabase, så har man helt sikkert fått tilgang på MOTP hemmeligheten også. Hvis det finnes måter å komme inn på en glemt konto med MOTP så sitter man i saksa. Lenke til kommentar
EysteinHS Skrevet 29. august 2018 Del Skrevet 29. august 2018 Muligheten for falske basestasjoner er vel ikke så stort at faren for intercept av engangs passord på SMS er noen kjemperisiko for hvermansen. Greit nok at geeksa takler å ha mange forskjellige apper og lignende for å få MFA autentisering. Olga (85) syns det er avansert nok med SMS. Lenke til kommentar
Emancipate Skrevet 29. august 2018 Del Skrevet 29. august 2018 (endret) Nå får jeg ikke lest denne artikkelen men hva er alternativene?Kodebrikke. Endret 29. august 2018 av Emancipate Lenke til kommentar
Civilix Skrevet 29. august 2018 Del Skrevet 29. august 2018 Kodebrikke har gått ut på dato, alternativet burde være smartkort. Lenke til kommentar
Geir Sandvik Skrevet 30. august 2018 Del Skrevet 30. august 2018 Skulle gjerne sett at det kom en felles standard - og at den ble implementert i alle typer sports- og smartarmbånd. Selv har jeg en Fitbit på armen og den er alltid der jeg er. Ville vært lurt om den kunne fungere som faktor 2. Lenke til kommentar
Penguin Skrevet 30. august 2018 Del Skrevet 30. august 2018 Hvordan er sikkerheten i BankID på mobil? Den bruker SIM Toolkit, men det kan vel ligge mer sikkerhet innebygget her. Noen som har pekere til analyser og oversikt? Kan ondsinnede aktører hos Mobiloperatørene og de som drifter BankID i teorien samarbeide for å angripe enkeltindivider? Lenke til kommentar
RRhoads Skrevet 30. august 2018 Del Skrevet 30. august 2018 Hvordan er sikkerheten i BankID på mobil? Den bruker SIM Toolkit, men det kan vel ligge mer sikkerhet innebygget her. Noen som har pekere til analyser og oversikt? Kan ondsinnede aktører hos Mobiloperatørene og de som drifter BankID i teorien samarbeide for å angripe enkeltindivider? Bankid på mobil benytter kryptering, så det er rimelig sikkert. Lenke til kommentar
Ole3 Skrevet 31. august 2018 Del Skrevet 31. august 2018 Kodebrikke har gått ut på dato, alternativet burde være smartkort. Hvorfor mener du kodebrikker har gått ut på dato, og at smartkort er bedre? /Ole Lenke til kommentar
Civilix Skrevet 31. august 2018 Del Skrevet 31. august 2018 Hvorfor mener du kodebrikker har gått ut på dato, og at smartkort er bedre? /Ole Hovedsakelig brukervennlighet, jeg mener også det er bedre teknisk men brukervennligheten alene er nok til å gjøre det til det beste alternativet. Lenke til kommentar
jawil Skrevet 31. august 2018 Del Skrevet 31. august 2018 En del tjenester tillater passord-reset via SMS. Såvidt jeg skjønner gjør f.eks. Instagram det. Da blir ikke dette utsagnet riktig lengre: "Strand forklarer at selv om SMS og epost er det dårligste alternativet for 2FA, er det fortsatt ikke trivielt å utføre et vellykket angrep mot disse, i og med at angriperen i tillegg må kjenne passordet til brukeren." Passordet er det da i praksis lite vits i.. 1 Lenke til kommentar
djgudleif Skrevet 31. august 2018 Del Skrevet 31. august 2018 Alternativet burde bare være å ha ett passord. 2FA er waste of time. Jeg gir faen i sikkerhet. Lenke til kommentar
Skatteflyktning Skrevet 31. august 2018 Del Skrevet 31. august 2018 SMS og epost bør unngås til end-end encryption. Lenke til kommentar
Civilix Skrevet 31. august 2018 Del Skrevet 31. august 2018 SMS og epost bør unngås til end-end encryption. Med ende til ende kryptering er jo databærer lite relevant... 1 Lenke til kommentar
NgZ Skrevet 2. november 2018 Del Skrevet 2. november 2018 En del tjenester tillater passord-reset via SMS. Såvidt jeg skjønner gjør f.eks. Instagram det. Da blir ikke dette utsagnet riktig lengre: "Strand forklarer at selv om SMS og epost er det dårligste alternativet for 2FA, er det fortsatt ikke trivielt å utføre et vellykket angrep mot disse, i og med at angriperen i tillegg må kjenne passordet til brukeren." Passordet er det da i praksis lite vits i.. Nå får jeg ikke lest artikkelen, men det første slo meg var at det største problemet med epost er at man stort sett kan resette passordet via epost også. Da er det plutselig ikke snakk om tofaktor lenger. Det samme gjør seg jo gjeldende om du kan resette passord per sms. I tillegg er det utrolig nok flere nettsider som har som "løsning" for mistet 2fa-dings å resette passordet (via epost), da skrur man nemlig av 2fa samtidig. @Penguin med BankID på mobil lagres nøkkelen sikkert på simkortet, og simkortet foretar selv signeringen/verifiseringen. Den er derfor i teorien sikrere mot ondsinnet MTM fra presumptivt troverdige aktører. Uten å vite nok, vil jeg imidlertid anta at det kan være tekniske muligheter for mobiloperatøren kan manipulere push-beskjeden/servicemeldingen som vises på telefonen når du skal bruke BankID på mobil. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå