- BankID for dårlig sikret

[asbjornu]

Jeg mener bankene skulle benyttet seg av OpenID, slik de har gjort i Estland. Der har alle innbyggere fått sin egen OpenID som de bruker til all elektronisk autentisering. I Norge skal vi selvsagt lage vår egen møkkadårlige, proprietære Java-løsning som ikke fungerer skikkelig over nett og som er åpen for angrep OpenID aldri vil være.

[NevroMance]

asbjornu, hva er de store forskjellene mellom bankID og OpenID? Det at det ofte brukes java-løsninger for loggin er nå ikke bankID sin skyld, men de som lager sidene til bankene som fant ut at de ville bruke denne løsningen.

[roac]

Jeg mener bankene skulle benyttet seg av OpenID, slik de har gjort i Estland. Der har alle innbyggere fått sin egen OpenID som de bruker til all elektronisk autentisering. I Norge skal vi selvsagt lage vår egen møkkadårlige, proprietære Java-løsning som ikke fungerer skikkelig over nett og som er åpen for angrep OpenID aldri vil være.

Jeez. Jeg har aldri sett på OpenID før, men for meg ser det ut som mer tilgjengelig utgave av Microsoft sin LiveID, noe jeg ALDRI hadde stolt på for å logge på en bank. At OpenID benytter DH er vel ikke noen bombe, hvis jeg ikke husker helt feil så er det det som ligger til grunn for både SSL og TLS også, som LiveID bruker.

[asbjornu]

asbjornu, hva er de store forskjellene mellom bankID og OpenID? Det at det ofte brukes java-løsninger for loggin er nå ikke bankID sin skyld, men de som lager sidene til bankene som fant ut at de ville bruke denne løsningen.

OpenID er en åpen standard, basert på utveksling av nøkler over HTTP (helst HTTPS). En OpenID-leverandør kan lages av hvem som helst, inkludert du, om du har et eget domene og har mulighet til å hoste PHP-skript. Et PHP-skript er nemlig alt som skal til; teknologisk er OpenID svært enkelt. Sikkerhetsmessig er OpenID veldig sikkert, fordi det benytter seg av anerkjente krypterings- og utvekslingsrutiner for nøkler.

 

Jeez. Jeg har aldri sett på OpenID før, men for meg ser det ut som mer tilgjengelig utgave av Microsoft sin LiveID, noe jeg ALDRI hadde stolt på for å logge på en bank. At OpenID benytter DH er vel ikke noen bombe, hvis jeg ikke husker helt feil så er det det som ligger til grunn for både SSL og TLS også, som LiveID bruker.

OpenID er en åpen standard, som hvem som helst kan implementere. LiveID er et proprietært, lukket og kostbart system, som er eid og kontrollert av Microsoft. Hvem som helst kan være OpenID-tilbydere, kun Microsoft kan være LiveID-tilbyder. Har du et eget domene, kan du være din egen OpenID-tilbyder, eller du kan overlate ansvaret til en av de mange tusen OpenID-tilbyderne som finnes. Selv benytter jeg meg for tiden av MyOpenID, men jeg har tenkt til å gå over til å hoste min egen OpenID på eget domene etterhvert.

 

Her finner du mer informasjon om OpenID. For å akseptere en OpenID i ditt system, er det så enkelt som å lese spesifikasjonen og implementere den. Da kan du omtale deg som en OpenID-"konsument" og gjør det da mulig for alle brukere av ditt system å identifisere seg (og godkjenne din nettside) med OpenID.

[roac]

Det er jo nettopp her du som så mange andre totalt misforstår sikkerhet. Greit, det er open source, og mange synes at alt som er open source er gull og grønne skoger, så slipper du bomben: Det er tusener som hoster sin egen OpenID løsning. Men, kan jeg som bruker være sikker på at myOpenID har sikret informasjonen godt nok? Sikkerhet er som kjent langt mer enn bare kryptering under overføring av dataene. Stoler jeg nok på myOpenID eller Asbjørn til at jeg gir dem informasjonen som skal til for å logge seg inn på min nettbank? I don't think so. Dette er verken mer eller mindre enn en open source LiveID, og personlig mener jeg at det er så langt fra sikkert nok som det går an å komme.

[styggen]

Problemet er ikke at phishing / MITM er mulig, men at BankID skal brukes til alt mellom himmel og jord. I flere nettbutikker kan man allerede betale med BankID. Så når man finner en ny nettbutikk med flotte produkter til gode priser, og ikonet "Betal med BankID", skal man være temmelig sikker på at det ikke er fake. Det er ikke det minste problem å lage en fake BankID-applet som samler informasjon & sender til slemme menn.

[asbjornu]

Det er jo nettopp her du som så mange andre totalt misforstår sikkerhet. [...] Stoler jeg nok på myOpenID eller Asbjørn til at jeg gir dem informasjonen som skal til for å logge seg inn på min nettbank? I don't think so.

Jeg tror heller det er du som fullstendig misforstår OpenID. Hvem sier at du må hoste OpenID selv? Hvem sier at du må avlevere autentiserings-informasjonen til noen andre enn den som hoster din OpenID? Enkelt fortalt er OpenID en URL. Det er denne URL-en du deler med tredjeparten, si f.eks. en nettbutikk. Når du skal betale, vil nettbutikken videresende deg til din OpenID-leverandør og du må autentisere deg hos denne. Når du er autentisert, vil din OpenID-leverandør utlevere en engangs-token til nettbutikken som bekrefter at du har klart å autentisere deg.

 

I Estland får alle OpenID gjennom en statlig eid og driftet server. Slik kunne det også vært i Norge. Man kan også ha en løsning der man får utstedt OpenID fra banken sin, der de drifter denne fra sin server. Det er også fullstendig mulig for konsumenter å avslå enkelte OpenID-er, basert på ulike kriterier. Betalingsløsninger kan f.eks. nekte folk å bruke en OpenID som ikke finnes på et allerede godkjent domene, er signert med et spesielt sertifikat, serveres over HTTPS med et spesifikt sertifikat, e.l. Jeg foreslår at du faktisk åpner OpenID.net og leser litt om hva det er før du kommer med så bastante uttalelser som du gjør.

 

Ellers helt enig med Styggen i at det ikke er vanskelig å plagiere BankID. Det tar ikke mange timene å snekre sammen en løsning som ser helt lik ut, og som for brukeren oppleves helt lik. Selv om sertifikatet ikke stemmer over ens med BankID sitt er det så godt som ingen som faktisk leser informasjonen om et slikt sertifikat, og vil bare godkjenne det for å få utført oppgaven de ønsker å utføre, uansett.

 

OpenID har ikke dette problemet. Det er klart at en nettbank kan videresende brukeren til et phishing-nettsted, men da må dette faktisk være identisk med nettstedet brukeren har som OpenID-tilbyder, og servere den samme informasjonen. De fleste OpenID-tilbydere serverer i dag ting som umulig kan replikeres slik, som f.eks. et bilde av brukeren som han eller hun har lastet opp. Kommer du til noe som ser ut som OpenID-leverandøren din sitt nettsted, men bildet av deg ikke fremkommer, bør du i det minste se nøyere på URL-en før du autentiserer deg.

 

Fordelen med at OpenID er en åpen standard (som ikke er det samme som åpen kildekode; åpne standarder kan helt fint implementeres i helt lukket og komersiell programvare) er at hvem som helst kan implementere den, og at absolutt alle sikkerhetseksperter i verden har mulighet til å gå spesifikasjonen etter i sømmene for å finne problemer og mulige sikkerhetshull. Lukkede applikasjoner, utviklet bak lukkede dører av noen ytterst få innleide konsulenter for et veldig lite norsk bank-marked er dømt til å bli en sikkerhetskatastrofe og jeg mener professor Holes rapport bare så vidt skraper på toppen av isfjellet til alle problemene og sikkerhetshullene BankID er proppfull av.

[NevroMance]

Og hva her hindrer en person å lage en falsk OpenID side og skaffe seg all informasjon han trenger for å gå inn på nettbanken din og tømme den?

[roac]

Jeg skjønner faktisk ikke at det er så vanskelig å se at OpenID også har sine svakheter. Joda, det er klart at det kan brukes som en statlig autentiseringsløsning, og i det øyeblikket du tvinger folk til å bruke EN bestemt OpenID server, så forsvinner hele fleksibiliteten med løsningen. Hvorvidt en utvikler må bruke OpenID eller en annen løsning for å autentisere, det er meg revnende likegyldig. Jeg vil ha en sikker autentisering, og der er ikke OpenID eneste løsningen. Slik jeg kan se har OpenID to "features", den er open source, som sikkert gjør det noe enklere for i hvert fall noen utviklere (håper for guds skyld du ikke er avhengig av PHP for å bruke det i hvert fall), og du har en fleksibilitet som, hvis den benyttes, går på sikkerheten løs, fordi du ikke nødvendigvis vet om du kan stole på at dataene dine lagres sikkert. Banker vil sannsynligivs føle seg nødt til å knytte seg mot én eller et ytterst lite knippe tjenesteytere, rett og slett fordi de ikke har ressurser til å etterprøve sikkerheten hos de enkelte. Er det virkelig bare meg som ser at de "store fordelene" fordufter her? Jeg kan faktisk ikke se at OpenID er noe revolusjonerende, snarere tvert i mot.

[asbjornu]

Og hva her hindrer en person å lage en falsk OpenID side og skaffe seg all informasjon han trenger for å gå inn på nettbanken din og tømme den?

Hadde du lest innlegget mitt, hadde du fått med deg at jeg skrev følgende:

 

OpenID har ikke dette problemet. Det er klart at en nettbank kan videresende brukeren til et phishing-nettsted, men da må dette faktisk være identisk med nettstedet brukeren har som OpenID-tilbyder, og servere den samme informasjonen. De fleste OpenID-tilbydere serverer i dag ting som umulig kan replikeres slik, som f.eks. et bilde av brukeren som han eller hun har lastet opp. Kommer du til noe som ser ut som OpenID-leverandøren din sitt nettsted, men bildet av deg ikke fremkommer, bør du i det minste se nøyere på URL-en før du autentiserer deg.

Man kan altså beskytte seg mot phishing ved at nettstedet utgir informasjon kun det opprinnelige nettstedet kan vite om.

 

Jeg skjønner faktisk ikke at det er så vanskelig å se at OpenID også har sine svakheter. Joda, det er klart at det kan brukes som en statlig autentiseringsløsning, og i det øyeblikket du tvinger folk til å bruke EN bestemt OpenID server, så forsvinner hele fleksibiliteten med løsningen.

Det blir jo akkurat like fleksibelt som BankID. Forskjellen er at OpenID kan være fleksibel med tanke på tilbydere; BankID er et lukket og proprietært system kun bankene har kontroll over.

 

Slik jeg kan se har OpenID to "features", den er open source, som sikkert gjør det noe enklere for i hvert fall noen utviklere (håper for guds skyld du ikke er avhengig av PHP for å bruke det i hvert fall), og du har en fleksibilitet som, hvis den benyttes, går på sikkerheten løs, fordi du ikke nødvendigvis vet om du kan stole på at dataene dine lagres sikkert.

Jeg har skrevet det før og skriver det igjen: Åpen kildekode (open source) og åpne standarder er helt uavhengige av hverandre. OpenID er en åpen standard (det vil si en spesifikasjon hvem som helst kan lese og implementere) som er implementert i både åpen og lukket (og proprietær) programvare. En gitt implementasjon er ikke avhengig av noe som helst; kun at man kan kommunisere over HTTP og HTTPS, gjøre enkle redirects og utveksle tokens. Man kan gjøre dette i alt fra PHP, ASP.NET, Java, CGI, Python, Ruby on Rails til ASP og VBScript, på servere fra IIS til Apache.

 

Banker vil sannsynligivs føle seg nødt til å knytte seg mot én eller et ytterst lite knippe tjenesteytere, rett og slett fordi de ikke har ressurser til å etterprøve sikkerheten hos de enkelte. Er det virkelig bare meg som ser at de "store fordelene" fordufter her? Jeg kan faktisk ikke se at OpenID er noe revolusjonerende, snarere tvert i mot.

Hvem sier at det er revolusjonerende? Uansett hvor innovativt OpenID er eller ikke er, har det vist seg å være et sterkt behov for en enhetlig og standardisert autentiseringsløsning på nettet, slik at folk ikke trenger en milliard forskjellige brukernavn og passord for å logge seg inn i ulike webløsninger. OpenID løser dette. OpenID kan også løse signerings-problemet BankID prøver å løse ved at man i OpenID-tilbyderen sin godkjenner en enkelt transaksjon med sitt sertifikat. Om denne tilbyderen også kan brukes til å autentisere seg mot andre nettsteder er jo det bare en fordel, da det blir færre brukernavn og passord å forholde seg til.

[NevroMance]

Greit nok med disse bildene osv. Men tror du virkelig bestefaren min reagerer på om det ikke er ett bilde på nettsiden han kommer til? Min bestefar vet null og niks om forskjellige måter å skaffe seg passordene dine osv. Helt i orden at OpenID er bedre enn BankID, men jeg synes ingen av de to løsningene burde brukes for å passe på sparepengene til folk. Bankene trenger ett nytt system hvor det er flere elementer som beviser at du er du.

[bIsk0p]

Greit nok med disse bildene osv. Men tror du virkelig bestefaren min reagerer på om det ikke er ett bilde på nettsiden han kommer til? Min bestefar vet null og niks om forskjellige måter å skaffe seg passordene dine osv. Helt i orden at OpenID er bedre enn BankID, men jeg synes ingen av de to løsningene burde brukes for å passe på sparepengene til folk. Bankene trenger ett nytt system hvor det er flere elementer som beviser at du er du.

 

Det er da ikke uten grunn at bestefaren (eller den gruppen han representerer) ikke bruker nettbank, men går fysisk i banken og får ting gjort....

 

Systeme som finnes nå fyngerer veldig bra så fremt folk ikke er idioter når det gjelder data. Noe som gjelder det meste, evt alt...

[NevroMance]

Vel, min bestefar bruker ihvertfall nettbank, og om du tror ingen som bruker nettbank er idioter tror jeg du bommer ganske kraftig. Nettbank er en lettvint løsning som gjør at du slipper å gå ut av huset for å betale regninger, noe som tiltrekker seg både smarte og dumme. En kan ikke lage ett system som forutsetter at folk som bruker det er smarte og vante med data, spesielt ikke ett system som involverer så mye penger.

[asbjornu]

Det er akkurat like enkelt å forfalske Java-appleten til BankID som det er å forfalske en gitt OpenID-nettside. En uoppmerksom bruker vil være utsatt for angrep uansett hvilken løsning som blir benyttet. OpenID gjør det i hvert fall mulig for flere ID-tilbydere å delta i økosystemet, noe som gjør phishing ganske mye vanskeligere. BankID har én Java-applet hvis utseende og funksjonalitet er ekstremt enkelt å kopiere for noen som har litt erfaring med Java-utvikling.

[NevroMance]

Jeg har da aldri sagt noe imot det? Etter det jeg leser av mine egne poster har jeg aldri påstått at BankID er bedre enn OpenID. Det jeg sier er at jeg ikke synes noen av de virker sikre nok mot f. eks. phising. En enkel metode, som jeg har sagt tidligere (Beklager den evige gjentakelsen), hadde vært å ha to uavhengige autentiseringsnøkler på BankID/OpenID brikka. Altså ikke samme til både innlogging og betaling. Hadde vært sikrere, men selvsagt ikke 100% sikkert. Som sagt asbjornu, jeg har aldri sagt at BankID er bedre enn OpenID, jeg har bare sagt at OpenID ikke virker som nok for å sikre pengene mine.Jeg etterlyser noe nytt, ikke noe av det som er kommet opp her som allerede finnes da det vil bruke samme nøkkel både som innlogging og betaling.

[meitemark]

Gammelt emne å ta opp, men jeg føler at det er relevant, siden det dreier seg om bankid.

 

DNB har implementert det nå, og når man skulle lage et personlig passord bestemte jeg meg for at jeg skulle ha et skikkelig passord som er vanskelig å fange opp, men enkelt for meg å huske, en epostadresse. Epostadresser er lett å huske, men perfekt å bruke som passord. En keylogger vil se at du skriver inn en epostadresse, og siden en epostadresse gjerne er ganske lang, ville det ta et mindre århundre å knekke koden. Så jeg skriver inn en fiktiv epostadresse til et domene som faktisk finnes, men epostadressen finnes ikke (om man sender en epost ditt, vil riktignok eposten komme til et sted, men ikke til den adressen).

 

22 tegn, med 3 spesialtegn, en masse tall og veldig få ordbokvennlige saker.

 

"Passord ikke sikkert nok"

 

WTF?

 

Prøve på nytt igjen. Samme sak. Prøve et passord som er enkelt, lite, og ikke inneholder noen spesialtegn, så er det tydeligvis sikkert nok.

 

BankID er atter en sak for bankene for på prøve å beskytte oss mot at vi skal tro at bankene ikke har total kontroll på sakene.

[qualbeen]

problemet var nok spesial-tegnene (@).

men uansett: hvis et passord er hashet, må det være på godt over 20 tegn (aller helst nærmere 30) for at det ikke skal bli 'dekodet' iløpet av et par sekunder. Grunnen er at det finnes rainbowtables der ute som inneholder alle mulige kombinasjoner av bokstaver og tegn fra ett til noen-og-tyve tegn. Dermed er det bare å slå opp hashen mot tabellen... For hver dag som går utvides såklart disse tabellene med enda flere kombinasjoner

 

Men nå bruker banker o.l. et salt før de hasher - og er det et unikt salt pr bruker, blir det vanskelig(ere) å finne ut av passordet.. Men på andre sider (dette forumet f.eks.) regner jeg med at man må ha et noenogtyve tegn langt passord for å være trygg.

 

Problemet med BankId: Det er alt for lett for hvem som helst å utgi seg som påloggings-greia til banken. Dermed kan man få folk til å selv oppgi kundedata.. Det finnes nemlig ingen måte å verifisere at appleten man benytter faktisk kobler seg opp mot din bank, og ikke min server ...

 

Men såklart: er man inne på dnb-nor.no er det sikkert en orginal/korrekt applet man logger på med. Er du inne på dnb-nor.hw.no derimot kan du se langt etter pengene som en gang var på kontoene.. ALDRI trykk på en lenke i e-post for å komme til nettbank, bruk bokmerker (som du selv har opprettet) eller skriv inn adressen manuelt hver gang.

Endret 22. februar 2008 av Halvis

[Langbein]

Med forbehold om at det er tatt opp tidligere i tråden:

 

Hva er poenget med å bruke en Java-applet i innloggingsvinduet til BankID? Gir det bedre sikkerhet på noen som helst måte, kontra en ren HTML løsning?

 

En av grunnen til at jeg spør, er jo at man dermed risikerer ekskludere mange mobile enhenter og slikt. Og ikke bare det, men fadern ringte meg i høst en gang og klaget over at han ikke kom inn på Nordea nettbanken sin. Forklaring var at de hadde "oppgradert" til BankID og han ikke hadde Java innstallert på PCen sin. Tror dere han greide å legge inn Java selv? :!:

 

Sånn som jeg ser det ligger den virkelige sikkerheten i "kalkulatordingsen" som man alltid har hatt. BankID-konseptet gjør bare innloggingen mer tungvin enn den var før.

[qualbeen]

Sikkerhet i kalkulatordingsen?

Man er fortsatt utsatt for samme type angrep som jeg skisserte ovenfor, hvem som helst kan utgi seg for å være bank-id og brukere taster villig inn passord og engangs-passord. Så gir jeg beskjed tilbake: "Beklager, det oppstod en feil, tast inn engangspassord på nytt". Da har jeg plutselig to slike "hemmelige" passord. Trengs det flere for å tømme kontoen din?