Redaksjonen. Skrevet 25. august 2020 Del Skrevet 25. august 2020 DEBATT: – Jo, BankID kan være farlig 1 1 Lenke til kommentar
Populært innlegg Haakon77 Skrevet 25. august 2020 Populært innlegg Del Skrevet 25. august 2020 (endret) Unnskyld meg, men sikkerheten er jo ENDA dårligere enn det kommer fram i denne artikkelen. Det er overhodet INGEN beskyttelse for man-in-middle angrep for BankID Norge. BankID tillatter at skjema for BankID kjører på webservere hos de som ønsker løsningen, så bruker er ikke vant til at man må taste inn dette på domenet bankid.no. Alle kan legge sitt eget UI på toppen på sine egne domener. Hvem som helst kan altså lage en fake in logging side (phishing akkurat som med brukernavn/passord) hvor en ber brukerene taste inn sine data med BankID i den tro de gjør det mot BankID, men i virkeligheten gis det direkte til man-in-middle som så bruker det på den ekte BankID siden. Dette fungerer BÅDE med personnr/kode fra brikke OG på mobil hvor de to ordene feks "SULTEN SNEGLE" etc returneres til bruker og sendes til mobil slik: - Den ekte brukeren går til en phishing side og taster inn sitt mobil-nr og fødselsdato. - Dette blir sendt til phishing siden og IKKE til BankID - Det er Man-in-middle siden som da sender det samme mobil-nr og fødselsnr til BankID og får tilbake feks "SULTEN SNEGLE" i sitt UI. - Dette "SULTEN SNEGLE" returneres så til den ekte brukeren på den falske siden (med en delay på bare 1-2 sekunder mens de kjører en "spinner" på det falske BankID UIet som INGEN normal bruker reagerer på) - Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for. På normal fødelsenr/kodebrikke er det ENDA enklere... Så det er NULL mer sikkert med BankID enn brukernavn/passord.... Endret 25. august 2020 av Phisher 7 3 Lenke til kommentar
roynu Skrevet 25. august 2020 Del Skrevet 25. august 2020 Her var det mange gode tanker. Forbrukere er uansett ikke i posisjon til hverken å forstå risikoen eller endre vilkårene. Dersom vi i all hovedsak legger ansvaret på banken, kan denne vurdere risiko og bestemme når det er nødvendig med ekstra sikringstiltak. Eksempelvis personlig oppmøte eller varsling og forsinket utbetaling. Samme prinsipp kan benyttes for de andre utfordringene, legg ansvaret der ting best kan vurderes og løses. Det er sjelden hos sluttbruker. 1 Lenke til kommentar
Ivar Nesje Skrevet 25. august 2020 Del Skrevet 25. august 2020 Med BankID på mobil kommer det opp på telefonen hvilken tjeneste Man-in-middle angriperen logger seg inn på, så hvis du reagerer med å ikke godkjenne hvis det står BankNorwegian på den, når du logger på en annen side, så slipper du ansvar for forbrukslån. Ellers er du helt korrekt. 1 Lenke til kommentar
Arne5 Skrevet 26. august 2020 Del Skrevet 26. august 2020 (endret) >Så det er NULL mer sikkert med BankID enn brukernavn/passord.... Det er mulig å MITM BankId, men å si at det gir null ekstra sikkerhet kontra kun brukernavn/passord er en overdrivelse. Det er ikke bare MITM som da er en trussel, og BankID hindrer mange andre typer angrep som kan overvinne kun brukernavn/passord. > Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for. Om brukeren ikke følger med i det hele tatt på hva man godkjenner, for det står i mobil-dialogen hvor man faktisk logger seg inn og hva man faktisk godkjenner. Vet at mange brukere er ubevisste, men da blir sikkerhet vanskelig. Forøvrig interessant å observere at artikkelforfatteren ser ut til å kun snakke om BankID som noe som krever at man har med seg kodebrikke. For meg er det litt det samme som at betaling krever at man har med seg sjekkhefte. Trodde dette i praksis var erstattet av mobil for de fleste for lenge siden. Forsåvidt bare en digresjon. Endret 26. august 2020 av Arne5 2 1 Lenke til kommentar
Rudde Skrevet 26. august 2020 Del Skrevet 26. august 2020 Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? Lenke til kommentar
digimator Skrevet 26. august 2020 Del Skrevet 26. august 2020 7 minutes ago, Rudde said: Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? Dersom du har lagt fleire betalingar i kø, så vil alle bli godkjent med ein kode. Du kan ikkje utføra forskjellige operasjonar med same kode. 1 Lenke til kommentar
Haakon77 Skrevet 26. august 2020 Del Skrevet 26. august 2020 Hele poenget med man-in-middle phishing er jo at brukeren tror at det er den ekte siden (som dukker opp i mobil dialogen) de er på. Så når bruker på sin mobil ser kodeord «SULTEN SNEGLE» og brukersted feks «KLP Bank» når man tror man er på feks den ekte KLP siden så forsterker det jo bare inntrykket av at man ikke er utsatt for phishing! Jeg vil dermed argumentere for at dette er ENDA lettere å bli lurt av enn normal phishing, siden du får mobil flyten som faktisk jobber MOT brukerene (bekrefter at de er på en ekte side, når de IKKE er det) og jobber FOR man-in-middle. Helt utrolig at noe så enkelt å phishe er godkjent løsning i Norge som nivå 4 og at man kan komme i finansiell-ruin ved å bli utsatt for noe så enkelt, eller få alle sine helse data på avveie. Lenke til kommentar
Arne5 Skrevet 26. august 2020 Del Skrevet 26. august 2020 (endret) > Når brukeren så får SULTEN SNEGLE opp på sin mobil og godkjenner innlogging er det man-in-middle som det blir åpnet for. Det er hva phisheren prøver å bruke innloggingen/pengene dine til som dukker opp i mobildialogen. Selv om de klarer å logge seg inn på banken din så kreves ny BankID for å flytte penger, og da ser du hvor de går, før du godkjenner. Endret 26. august 2020 av Arne5 Lenke til kommentar
Rudde Skrevet 26. august 2020 Del Skrevet 26. august 2020 digimator skrev (1 time siden): Dersom du har lagt fleire betalingar i kø, så vil alle bli godkjent med ein kode. Du kan ikkje utføra forskjellige operasjonar med same kode. Det var ikke det spørsmålet var og ikke en gang et sammenlignbart scenario. Lenke til kommentar
pergh Skrevet 26. august 2020 Del Skrevet 26. august 2020 Rudde skrev (1 time siden): Vent nå litt. Går det faktisk an å bruke den samme bankID koden på 2 forskjellige transkasjoner bare de gjøres på samme tidspunkt? Nei, det går ikke. 1 kode - 1 transaksjon. Typen transaksjon er derimot ikke begrenset. Dvs, hvis du har logget inn på banken din og tror du godkjenner en regning med en kode, så vil en angriper som har klart å ta kontroll på maskina di kunne erstatte betaling av regningen med en forespørsel om lån isteden for. Eller noe annet som man får gjort i banken og signert ved bruk av en kode. Mvh Per gunnar Hansø Lenke til kommentar
Arne5 Skrevet 26. august 2020 Del Skrevet 26. august 2020 39 minutes ago, pergh said: Nei, det går ikke. 1 kode - 1 transaksjon. Typen transaksjon er derimot ikke begrenset. Dvs, hvis du har logget inn på banken din og tror du godkjenner en regning med en kode, så vil en angriper som har klart å ta kontroll på maskina di kunne erstatte betaling av regningen med en forespørsel om lån isteden for. Eller noe annet som man får gjort i banken og signert ved bruk av en kode. Som er et godt argument for å fase ut de gammeldagse kodebrikkene for kun BankID på mobil, hvor du ser hva du faktisk godkjenner. Lenke til kommentar
pergh Skrevet 26. august 2020 Del Skrevet 26. august 2020 Arne5 skrev (2 timer siden): Det er mulig å MITM BankId, men å si at det gir null ekstra sikkerhet kontra kun brukernavn/passord er en overdrivelse. Det er ikke bare MITM som da er en trussel, og BankID hindrer mange andre typer angrep som kan overvinne kun brukernavn/passord. Yep, enig i denne. Arne5 skrev (2 timer siden): Forøvrig interessant å observere at artikkelforfatteren ser ut til å kun snakke om BankID som noe som krever at man har med seg kodebrikke. For meg er det litt det samme som at betaling krever at man har med seg sjekkhefte. Trodde dette i praksis var erstattet av mobil for de fleste for lenge siden. Forsåvidt bare en digresjon. Det er et valg jeg har tatt, ja, å ikke ha hele sikkerhetskjeden liggende på enheter som er på nett for det meste og der binærkoden kan byttes ut. Litt mindre praktisk enn å ha den tilgjengelig hele tiden, men så blir det litt enklere å huske når og i hvilken setting den brukes. I overkant konservativt kanskje, men liker å kunne resonere rundt ting. Mvh Per Gunnar "stein-og-stål-kan-tenne-bål" Hansø Lenke til kommentar
pergh Skrevet 26. august 2020 Del Skrevet 26. august 2020 Arne5 skrev (9 minutter siden): Som er et godt argument for å fase ut de gammeldagse kodebrikkene for kun BankID på mobil, hvor du ser hva du faktisk godkjenner. Yep, det er et fremskritt. Så får en avveie om en stoler så mye på mobilen sin at man legger det egget i samme kurven som de andre ? Mvh Per Gunnar Hansø Lenke til kommentar
Arne5 Skrevet 26. august 2020 Del Skrevet 26. august 2020 1 hour ago, pergh said: Yep, det er et fremskritt. Så får en avveie om en stoler så mye på mobilen sin at man legger det egget i samme kurven som de andre ? Det er et fair poeng angående mobil, men i denne sammenheng blir det uansett nok en faktor som også må kompromitteres, på en annen måte, individuelt hos deg, for å kunne lykkes med resten av BankID MITM forsøket. Sikkerhet handler mye om å håndtere og balansere risiko-nivå. For egen del vil jeg i praksis sette langt større verdi på det å kunne se hvilke transaksjoner jeg faktisk godkjenner, selv når de går gjennom et MITM forsøk, enn evt. økt annen risiko ved mobil vs brikke. Lenke til kommentar
Rudde Skrevet 26. august 2020 Del Skrevet 26. august 2020 pergh skrev (1 time siden): Mvh Per Gunnar "stein-og-stål-kan-tenne-bål" Hansø Når vi har deg her, så har jeg en gang hørt et rykte om at dere kjører toupper på passordene, slik at BankID ikke differensierer store og små bokstaver i passordene våre? Stemmer dette? Lenke til kommentar
pergh Skrevet 26. august 2020 Del Skrevet 26. august 2020 Rudde skrev (51 minutter siden): Når vi har deg her, så har jeg en gang hørt et rykte om at dere kjører toupper på passordene, slik at BankID ikke differensierer store og små bokstaver i passordene våre? Stemmer dette? Har vært med på å rydde systemer for klartekst-passord, ja, men aldri et system som brukte BankID på noen måte. Mvh Per Gunnar Hansø Lenke til kommentar
Rudde Skrevet 26. august 2020 Del Skrevet 26. august 2020 pergh skrev (22 minutter siden): Mvh Per Gunnar Hansø Åh, trodde du hadde jobbet i BankID sidene 1996, men at du idag jobber i bilbransjen... Lenke til kommentar
-Night- Skrevet 26. august 2020 Del Skrevet 26. august 2020 Mangel DNSSEC er en ting, at dersom man logger inn på en bankid side så logger man automatisk inn på andre. mangel på biometri eller noe annet enn pin eller mulighet og stenge kodebrikker slik at kun bankid på mobil er mulig er andre ting Lenke til kommentar
oppat Skrevet 26. august 2020 Del Skrevet 26. august 2020 Intressant hvordan det ikke er mulig å gjennomføre kredittkortbetalinger uten koding av typen vare som kjøpes. Også umulig er overføring av større beløp ut av landet uten koding av typen betaling som skjer. Hvis det hadde vært ett øre skatt involvert i bruken av BankID så ville koding av hva man signerer og de økonomiske konsekvensene av det vært obligatorisk å oppgi. Det å gi innbyggerne kontroll over hvem som får signere for dem for hvilke koder og med hvilke økonomiske konsekvenser er imidlertid umulig å få til. Det er tydelig hvem som ble prioritert under utviklingen av BankId. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå