Harald Brombach (digi.no) Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Trolig også koder fra autentiseringsapper.Sikkerhetsselskap: To-faktor autentisering med engangskoder kan relativt enkelt omgås av angripere Lenke til kommentar
Ivar Nesje Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 I følge Finansklagenemda i Norge er dette med å ha en falsk innloggingsside og direkte gjenbruke 2faktor koden til et annet formål er en alment kjent svindelmetode i forbindelse med BankID. Se fx https://publisering.finkn.no/statement/2018-530. Jeg har ringt banken min og spurt om hjelp til hvordan jeg kjenner igjen falske BankID brukersteder (spesiellt nå som GDPR gjør at hundrevis av nye bedrifter krever dette på ulike domener og apper) og ble noe skremt da jeg fikk beskjed om å se etter https:// og bankens logo. 6 Lenke til kommentar
nicho_meg Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Hvorfor kan man ikke sende ut kode med referanse? Når jeg logger meg inn med BankID så er den eneste bekreftelsen jeg får på at banken er den ekte at jeg får navnet mitt i retur, men dette kan jo alle som vet personnummeret mitt klare. Om jeg i stedet hadde fått en flersifret kode som enten må tastes inn på kodebrikken for å generere en kode, eller fått denne koden som en del av koden som viser på min kodebrikke så ville jeg vært mye sikrere. Da blir det mye vanskligere for en angriper å lure meg inn på en falsk side. De kan klare å stjele brukernavn og passord, men siden jeg nå ikke kommer inn på tjenesten jeg trodde jeg logget meg inn på så kan jeg gå til den reelle tjenesten og bytte passord umiddelbart. Eksempel på innlogging: Brukernavn --- Passord *** Får referanse i retur: ABC Bruker kodebrikken/sms: kode-ABC Da "vet" jeg at den som gir meg koden er den jeg tror det er. 2 Lenke til kommentar
Andhar90 Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Referanse som nevnes her er et godt tiltak. Et annet som kan brukes pr dags dato er en passordhåndterer. De gode av denne sorten gir ikke input forslag om siden du er på er en phishing side. Lenke til kommentar
NPV Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Hvorfor kan man ikke sende ut kode med referanse? Når jeg logger meg inn med BankID så er den eneste bekreftelsen jeg får på at banken er den ekte at jeg får navnet mitt i retur, men dette kan jo alle som vet personnummeret mitt klare. Om jeg i stedet hadde fått en flersifret kode som enten må tastes inn på kodebrikken for å generere en kode, eller fått denne koden som en del av koden som viser på min kodebrikke så ville jeg vært mye sikrere. Da blir det mye vanskligere for en angriper å lure meg inn på en falsk side. De kan klare å stjele brukernavn og passord, men siden jeg nå ikke kommer inn på tjenesten jeg trodde jeg logget meg inn på så kan jeg gå til den reelle tjenesten og bytte passord umiddelbart. Eksempel på innlogging: Brukernavn --- Passord *** Får referanse i retur: ABC Bruker kodebrikken/sms: kode-ABC Da "vet" jeg at den som gir meg koden er den jeg tror det er. Nei. Hele konseptet er jo at systemet som stjeler koden sitter mellom deg og banken. Overfor deg later det som den er banken, overfor banken later det som det er deg, får ABC fra banken og videresender til deg. Det eneste du kanskje kunne merke er at det tar et par millisekunder mer enn vanlig. Du sitter sannsynligvis med skjegget akkurat like langt ned i postkassa. 3 Lenke til kommentar
nicho_meg Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Nei. Hele konseptet er jo at systemet som stjeler koden sitter mellom deg og banken. Overfor deg later det som den er banken, overfor banken later det som det er deg, får ABC fra banken og videresender til deg. Det eneste du kanskje kunne merke er at det tar et par millisekunder mer enn vanlig. Du sitter sannsynligvis med skjegget akkurat like langt ned i postkassa. Du må jo uansett ha kryptering i tillegg. F.eks. at referansekoden er den private nøkkelen i krypteringen eller noe tilsvarende. En mellommann ville jo ellers alltid kunne fange opp all informasjon som blir sendt. Lenke til kommentar
Frobe Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Du må jo uansett ha kryptering i tillegg. F.eks. at referansekoden er den private nøkkelen i krypteringen eller noe tilsvarende. En mellommann ville jo ellers alltid kunne fange opp all informasjon som blir sendt. Ja, mellommannen vil fange opp all kommunikasjon mellom dere siden du er på deres nettside, ikke leverandøren din sin nettside. 2 Lenke til kommentar
0laf Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 (endret) - Endret 14. desember 2018 av adeneo Lenke til kommentar
0laf Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Du må jo uansett ha kryptering i tillegg. Problemet er jo at du taster inn disse kodene på en nettside, det er ikke noe måte å kryptere det på, angriper taster akkurat det samme inn på nettsiden til banken, sender den til deg, du plotter den inn på en brikke, sender autentifikasjon tilbake til angriperen osv. Dersom du er inne på en falsk nettside, så er det umulig å sikre et slikt system med kryptering, ettersom angriperen vil se alt uansett. 1 Lenke til kommentar
nicho_meg Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 (endret) Ja, mellommannen vil fange opp all kommunikasjon mellom dere siden du er på deres nettside, ikke leverandøren din sin nettside. Men mellommannen vil ikke ha koden som genereres av f.eks. BankID før du sender den. Det er ikke umulig å lage sikkerhet som stopper phishing, dog hadde mye vært gjort om folk alltid sørget for at de var på rett side. https://en.wikipedia.org/wiki/Public-key_cryptography Endret 14. desember 2018 av nicho_meg Lenke til kommentar
Frobe Skrevet 14. desember 2018 Del Skrevet 14. desember 2018 Men mellommannen vil ikke ha koden som genereres av f.eks. BankID før du sender den. Det er ikke umulig å lage sikkerhet som stopper phishing, dog hadde mye vært gjort om folk alltid sørget for at de var på rett side. https://en.wikipedia.org/wiki/Public-key_cryptography De vil få koden din noen millisekunder etter du sender den til deres falske nettside, deretter vil de sende koden videre til deres pålogging på den ekte nettsiden. Det artikkelen sier er at alle koder som baserer seg på at øynene skal lese og tastene skal trykkes er mulig å lure med en dyktig utforming av falsk nettsider. Hvis kommunikasjonen ikke skal være lesbar med øynene så kan den krypteres slik at en dongle i din maskin kan svare kryptert og bekrefte at det er rette mottaker uten mellommann. 2 Lenke til kommentar
1P4XZQB7 Skrevet 15. desember 2018 Del Skrevet 15. desember 2018 (endret) Jeg har ringt banken min og spurt om hjelp til hvordan jeg kjenner igjen falske BankID brukersteder (spesiellt nå som GDPR gjør at hundrevis av nye bedrifter krever dette på ulike domener og apper) og ble noe skremt da jeg fikk beskjed om å se etter https:// og bankens logo. Det sitter lenger inne som så. Da BankID kom, klaget jeg faktisk til Forbrukerrådet over det faktum at jeg ble påtvunget et system som kryptografisk er Broken-by-Design. Fikk til svar at jeg skulle holde kjeft å gjøre som jeg fikk beskjed om… Sukk. Innloggingen til selve nettbanken en nå en sak, men ethvert system der netthandelsportalen tillates 'videreformidle' meg til min nettbank (i.e. BankID) er per definisjon feilet. Der er lite som hindrer aktøren selv, eller de som for anledningen har overtatt aktørens servere (for det skjer jo aldri... HA!) lage / presentere en BankID overlay. Altså et klassisk Man-in-the-Middle attack. Eneste grunn til at dette ikke allerede er utført i stor skala er at der ikke er mer som godt under fem millioner brukere av systemet. Det verste er at BankID er blitt en vesentlig større og vanskeligere løsning som den åpenbare, der netthandelaktøren via sin egen bankforbindelse rapporterer inn hva for kredittkort-ID som skal krediteres. Hvoretter kunden/korteier logger seg inn i sin egen nettbank, fortrinnsvis fra en helt annen enhet og nettleser, og i sin nettbank godkjenner dette kravet. På linje med hvordan vi godkjenner e-Faktura. Men nei, det var for enkelt og sikkert. Endret 15. desember 2018 av 1P4XZQB7 2 Lenke til kommentar
Ivar Nesje Skrevet 18. desember 2018 Del Skrevet 18. desember 2018 Det verste er at BankID er blitt en vesentlig større og vanskeligere løsning som den åpenbare, der netthandelaktøren via sin egen bankforbindelse rapporterer inn hva for kredittkort-ID som skal krediteres. Hvoretter kunden/korteier logger seg inn i sin egen nettbank, fortrinnsvis fra en helt annen enhet og nettleser, og i sin nettbank godkjenner dette kravet. På linje med hvordan vi godkjenner e-Faktura. Men nei, det var for enkelt og sikkert. Det verste med BankID er at det er et system som alle nordmenn i praksis tvinges til å ha, der ansvaret for å bestemme sikkerhetsnivå og det økonomiske ansvaret ved svindel ikke bæres av samme person/organisasjon. Det hadde vært greit om bankene bestemte at dagens sikkerhetsnivå var greit, og banken tok det økonomiske ansvaret når det gikk galt (Slik jeg inntil nylig trodde de gjorde, og som mange på kundeservice fremdeles tror når jeg spør). Det hadde også vært akseptabelt om brukerene fikk veiledning og selv kunne velge fornuftig sikkerhetsnivå, gitt sin situasjon. Bare pass på at du ikke bare må ta hensyn til hvor mye penger folk kan stjele fra deg, men også hvor mye lån det er mulig å få i ditt navn. 1 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå