KOMMENTAR: Det er en sikkerhets­svakhet i BankID

[Redaksjonen.]

KOMMENTAR: Det er en sikkerhets­svakhet i BankID

[BjartmarO]

Banken ber deg vel gjerne om å taste inn koden en gang til, før eventuell betaling gjennomføres. Fortrinnsvis med en ny kode, vil jeg tro, forskjellig fra den som evt. ble phishet eller hacket.

 

Hvis det implementeres på alle betalings- og overføringsoperasjoner så bør det vel fortsatt være rimelig sikkert, eller?

[Kristian5]

Banken ber deg vel gjerne om å taste inn koden en gang til, før eventuell betaling gjennomføres. Fortrinnsvis med en ny kode, vil jeg tro, forskjellig fra den som evt. ble phishet eller hacket.

 

Hvis det implementeres på alle betalings- og overføringsoperasjoner så bør det vel fortsatt være rimelig sikkert, eller?

 

Vet ikke med din bank. Men min bank sparebanken vest har fjernet den ekstra beskyttelsen ved ny kode ved betaling. Tidligere måtte jeg taste inn ny kode for å gjenomføre en betaling. Men det ble da fjernet for flere år siden

[gruffern]

 

Banken ber deg vel gjerne om å taste inn koden en gang til, før eventuell betaling gjennomføres. Fortrinnsvis med en ny kode, vil jeg tro, forskjellig fra den som evt. ble phishet eller hacket.

 

Hvis det implementeres på alle betalings- og overføringsoperasjoner så bør det vel fortsatt være rimelig sikkert, eller?

 

Vet ikke med din bank. Men min bank sparebanken vest har fjernet den ekstra beskyttelsen ved ny kode ved betaling. Tidligere måtte jeg taste inn ny kode for å gjenomføre en betaling. Men det ble da fjernet for flere år siden

Men da er det din bank som ikke har implementert det godt nok.

 

Ja du kan kjøre en MiTM i en normalt sikret bank kan angriperen kun overføre penger til mine egne kontoer uten å bli bedt om ny kode.

De kunne jo opprettet en ny betaling og håpet jeg ikke merket dette når jeg kommer og legger inn mine egne regninger, og dermed godkjenner angriperens "regning" i samme slengen....

 

Men sjansene er rimelig små... stoler på bankid enda.

[Ivar Nesje]

Men sjansene er rimelig små... stoler på bankid enda.

 

BankID beskytter ikke bare dine egne kontoer som du ser hver gang du er i nettbanken. BankID kan brukes til alt mulig rart, det mest kritiske er kanskje låneopptak i andre banker, som du aldri har ønsket et kundeforhold i (eg mono bank og instabank). Da får du potensielt ingen beskjed før svindleren har stukket av med pengene, og du sitter med et lån som du må betale tilbake.

 

Finansklagenemda har behandlet mange saker der BankID brukere har blitt utsatt for phishing, og i grove trekk har de i de fleste tilfellene kommet frem til at brukeren har vært grovt uaktsom, som har latt seg lure. For å være litt stygg frister det å hinte om at årsaken til at Vipps / BankID ikke ser på Phishing som en sikkerhettrussel, er at brukerene blir sittende med ansvaret og regningen når noe går galt.

[Ivar Nesje]

Banken ber deg vel gjerne om å taste inn koden en gang til, før eventuell betaling gjennomføres. Fortrinnsvis med en ny kode, vil jeg tro, forskjellig fra den som evt. ble phishet eller hacket.

 

Hvis det implementeres på alle betalings- og overføringsoperasjoner så bør det vel fortsatt være rimelig sikkert, eller?

Det kommer an på hva du gjør når phishing siden forteller deg at det dessverre skjedde en feil ved innloggingen. Vent 1 minutt og prøv igjen med en ny kode.

 

Venter du da lenge nok til at du er sikker på at innloggingen fra den første koden har timet ut før du gir angriperen en ny kode. Finnes det dokumentert noe sted hvor lenge du i såfall bør vente?

 

Uansett er det nok av andre steder bare en BankID kode kan benyttes til å lage trøbbel.

[Per Buer]

Jeg tar av meg hatten for at noen gidder å ta seg bryet med å hjelpe oss å sikre sentral infrastruktur. Bra jobba, vi trenger å få disse tingene opp på agendaen.

[Gjest Slettet-JC3FPBwS]

Imponerende stykke arbeid og ikke minst den pedagogiske tilnærming med fremleggelsen av utfordringene ?

[T5TQBQ4D]

Det er uproblematisk å overtale brukere til å taste flere koder på kort tid. Jeg sitter selv ofte sent på kvelden eller tidlig på morgenen og treffer tilsynelatende "vedlikeholdsvinduer" eller annen nedetid på banktjenester. I mitt tilfelle har jeg ikke blitt svindlet enda, men jeg ser hvor lett "social engineering"-biten av dette angrepet er.

"Det har oppstått en feil - Feilkode 1356. Prøv igjen om noen minutter eller kontakt utsteder om problemet består." Dersom du er MITM i dette bildet så trenger du ofte bare å holde liv i en åpen sesjon (som du fikk tak i med første kode) i noen sekunder eller minutter til brukeren prøver igjen. Da ligger utbetalingene/lånesøknadene/annet klar til godkjenning og ny kode godkjenner dette.

Jeg er over gjennomsnittet paranoid for sikkerhet på nett, men blir stadig tvunget til usikker oppførsel på nett av aktører som er fornøyd med at svakheten ikke ligger i "deres løsning".

[blablaukeblad]

De burde høre mer på folk som han her, men altfo ofte blir vi alle ignorert.

Kan bekrefte dette og dette er alvorlig, har vært her lenge og BankId oppfører seg totalt uansvarlig for noen som pusher et så viktig produkt når de nekter å fikse det.  Ring eller send mail til DIFI og FORLANG at de krever bedring av BankID, man kan ikke ha tillitt til noen som gjør slike brølere, særlig og om de nekter fikse.

NORGES DIGITALE SIKKERHET ER I EFFEKT BLINDE SOM LEDER ANDRE BLINDE. Dette hullet kunne vært oppdaget med en browser plugin som er gratis tilgjengelig ved første bruk, før innlogging er fullført, noe trådstarter sikkert kan bekrefte.

Endret 6. april 2019 av blablaukeblad