Microsoft: – Ikke bruk SMS-basert totrinns-verifisering

[AfterGlow]

Microsoft: – Ikke bruk SMS-basert totrinns-verifisering

[0laf]

Jeg hadde nok heller stolt på telefonnettet, enn en app fra Microsoft, som generelt lager programvare fulle av sikkerhetsfeil.

[Dubious]

Bruker BankID, Smartpass eller Google

[<generisk_navn>]

BankID er ikke nødvendigvis sikkert, dvs. om du bruker BankID mobil så er vel det basert på meldinger mellom mobilenheten og Nets som går over linjesvitsjet telenett. Andre med mer detaljkunnskap enn meg får gjerne korrigere meg, men meldingene som utveksles mellom mobilen og Nets ved autentisering på BankID Mobil er sms-baserte.

Med en IP-basert bærer av disse meldingene kunne man antagelig ha bedret denne sikkerheten betraktelig.

[kjetilkl]

13 minutes ago, 3L5Y3RE8 said:

BankID er ikke nødvendigvis sikkert, dvs. om du bruker BankID mobil så er vel det basert på meldinger mellom mobilenheten og Nets som går over linjesvitsjet telenett. Andre med mer detaljkunnskap enn meg får gjerne korrigere meg, men meldingene som utveksles mellom mobilen og Nets ved autentisering på BankID Mobil er sms-baserte.

Med en IP-basert bærer av disse meldingene kunne man antagelig ha bedret denne sikkerheten betraktelig.

Nå er det jo slik at de har lansert BankID-appen istedet, for å gjøre dette sikrere. (Men ikke alle banker som støtter denne ennå)

[Ivar Nesje]

3L5Y3RE8 skrev (38 minutter siden):

BankID er ikke nødvendigvis sikkert, dvs. om du bruker BankID mobil så er vel det basert på meldinger mellom mobilenheten og Nets som går over linjesvitsjet telenett. Andre med mer detaljkunnskap enn meg får gjerne korrigere meg, men meldingene som utveksles mellom mobilen og Nets ved autentisering på BankID Mobil er sms-baserte.

Med en IP-basert bærer av disse meldingene kunne man antagelig ha bedret denne sikkerheten betraktelig.

Så vidt jeg forstår vil det ved oppretting av BankID på mobil genereres en krypteringsnøkkel som blir lagret i SIM kortet, og meldinger vil bli verifisert med denne (både hos bankene og på telefonen). Dermed kan kommunikasjonen over nettet være så usikker den vil uten at det blir mulig sende korrekte meldinger fra en svindler som avlytter og endrer meldingene over nettet. Svakheten er selvsagt at telefonen kan "lånes" eller du kan bli lurt til å trykke OK på en verifisering som kommer fra en annen side enn den du er på, og som verifiserer en annen transaksjon enn du tror.

Jeg er ivrig i å kritisere BankID for dårlige sikkerhetsvurderinger, spesielt i forhold til phishing og svindel i nære relasjoner. Kryptografien virker det som de har meget god kontroll på. Dessverre sliter de med å forstå at det er mennesker og ikke kryptografiske nøkler som er brukerene av systemet.

Endret 16. november 2020 av Ivar Nesje

[qualbeen]

Dubious skrev (4 timer siden):

Bruker BankID, Smartpass eller Google

BankId (på mobil) er effektivt og sikkert nok det – men: det fungerer kun for brukere med norsk telefonnummer, og som allerede har inngått avtale med en bank. 

Dette er ofte langt fra godt nok. Ønsker man mulighet for ikke-norske kunder, kan man ikke satse på BankId. Det er ei heller særlig hensiktsmessig å prøve å implementere alle ulike lands egne ekvivalenter av BankId. 😉 

Det trengs generelle løsninger, og der har SMS stort sett fungert veldig greit. I den forstand av at (omtrent) alle potensielle kunder har en mobiltelefon som er kapabel til å ta imot en tekstmelding. Andre godt utprøvde løsninger er engangskoder eller 'magiske url-er' tilsendt pr e-post.

Sikkerhetsmessig er det mye bedre med Google Authenticator og andre autentiserings-apper over epost eller sms. Dessverre ser jeg at brukere flest sliter med å forstå og å bruke slike auth-apper. I tillegg er det MYE heft når man bytter mobil. Har selv opplevd flere aktører som ikke tilbyr løsning for å nullstille auth-koblingen, slik at jeg må fiske frem en gammel telefon for å logge på og slette/nullstille koblingen.

Så samtidig som jeg er enig i at SMS og E-post ikke er særlig trygt, sliter jeg med å se brukervennlige alternativer som selv min mor kunne ha tatt i bruk!

[digimator]

Eg har inntrykk av at i slike diskusjonar er lett å glømma at SMS basert 2FA er uendelig mye betre enn ingen 2FA.

[Dubious]

Svært sjeldent jeg bruker BankID på mobil
Har Telenor og de skal ha betalt..

[asshole]

Dårlig kamuflert reklame for en app. Hovedproblemet er vel heller at 99% av all autentisering ikke bruker 2FA og da ville SMS være uendelig mer sikkert, enklere og billigere. Minner meg om når Microsoft\Bill Gates foreslo en ny epostprotokoll der det kostet penger å sende epost. Her ligger nok hunden begravet: SMS er for billig.

[Bjarne Nilsson]

Detve-pist forslaget var for å begrense spam iirc, tanken var at det skulle bli for durt for spammere og bare pumpe ut millioner mail i få om å få respons på 0,01% ( hmm har vert misstenkelig stille fra div afrikanske prinser i det siste)

[kjetil_kilhavn]

At epost burde koste penger har jeg også ment i mange, mange år, helt uavhengig av Bill Gates. Og grunnen er som Bjarne Nilsson skriver at kostnaden kunne vært så lav at for alle vanlige mennesjer ville kostnaden vært umerkelig (selskaper som tilbyr tilgang til internett til privatpersoner kunne også f.eks. inkludert en kvote på 10000 meldinger per måned).

For spammere derimot (og her inkluderer jeg både de som vil gi meg 100 millioner fordi jeg har vunnet Facebook-lotteriet, og Norsk Tipping som skal reklamere for sine spill) ville kostnaden vært reell.

I dag tenker jeg at det sannsynligvis ikke ville løst noen problemer, men heller ført til en økning i antall kapringer av private PC-er for å misbruke dem til å sende ut spam.

[Sandormen]

kjetil_kilhavn skrev (1 time siden):

At epost burde koste penger har jeg også ment i mange, mange år, helt uavhengig av Bill Gates. Og grunnen er som Bjarne Nilsson skriver at kostnaden kunne vært så lav at for alle vanlige mennesjer ville kostnaden vært umerkelig (selskaper som tilbyr tilgang til internett til privatpersoner kunne også f.eks. inkludert en kvote på 10000 meldinger per måned).

For spammere derimot (og her inkluderer jeg både de som vil gi meg 100 millioner fordi jeg har vunnet Facebook-lotteriet, og Norsk Tipping som skal reklamere for sine spill) ville kostnaden vært reell.

I dag tenker jeg at det sannsynligvis ikke ville løst noen problemer, men heller ført til en økning i antall kapringer av private PC-er for å misbruke dem til å sende ut spam.

Er du heilt på styr?

Epost burde koste penger??!

Du sier jo sjøl lengre ned i teksta di at det vil ikke være en løsning.

-Så hvorfor fremdeles mene at epiost bør koste penger? Det er bare ikke gjennomførbart. I løpet av fryktelig kort tid ville jeg kunne sette opp en egen epost-server med falsk adresse, spamme en milion nigeria-brev, og ingen ville finbe ut hvor de kom fra. Hvem skal betale for dem? Mottager? Avsenderen, en tilfeldig adresse i Russland? Lykke til. Eneste som vil skje er et eller annet sted i cybersystemet sitter en eller annen entitet og påstår at verden skylder x-antall milioner i ubetalte epost-avgifter. Poengløst og idiotisk.