BankID
Harald Hanche-Olsen
BankID pusher på for at flere nettsteder skal bruke dem:
https://www.bankid.no/BankID-for-ditt-nettsted/Bruksmuligheter-for-din-bransje/
Og det finnes allerede en god del nettsteder der du kan benytte BankID:
https://www.bankid.no/Dette-er-BankID/Her-kan-du-benytte-BankID/
Det som bekymrer meg, er hvordan kan jeg vite sikkert at disse appletene
som dukker opp i nettleseren, og der jeg kan skrive inn alskens koder og
passord for å identifisere meg, virkelig kommer fra BankID? Det kan da
umulig være vanskelig å skrive noe som ser ser ganske så likt ut.
Det later til å være det samme gamle problemet. Autentisering skal og må
gå begge veier, slik at ikke bare banken vet at det er meg den snakker
med (eller i det minste noen som har tilgang på mine passord og nøkler),
men også at jeg vet at jeg snakker med banken og ikke noen andre.
Så lenge jeg bruker BankID bare til å snakke til banken min så har jeg i
hvert fall en viss sjanse til å holde kontrollen, men hvordan kan jeg
vite at jeg kan stole på https://www.norskpensjon.no/ for eksempel?
Nåvel, følger jeg lenken til «Min pensjon», blir jeg sparket til en side
på id.signicat.com - jeg synes ikke det virker betryggende, og har da
heller ikke i sinne å risikere å gi disse folka data som kan gi dem
tilgang til alle sparepengene mine.
Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
antydning en gang av mottiltak. Er det bare jeg som er paranoid?
--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- It is undesirable to believe a proposition
when there is no ground whatsoever for supposing it is true.
-- Bertrand Russell
Harald Hanche-Olsen
https://www.bankid.no/BankID-for-ditt-nettsted/Kom-i-gang-med-BankID-/
Gjør det selv
Å komme i gang med BankID er enklere enn mange tror. Har din
organisasjon satt opp nettstedet deres selv, vil de også kunne
implementere BankID server.
Og hvis de har dårlig sikkerhet og blir hacket, og inntrengerne
installerer en BankID lookalike, så har vi det gående.
Jeg tror jeg skal strengt begrense min egen bruk av BankID til mine egne
banker.
Torfinn Ingolfsen
> Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
> antydning en gang av mottiltak. Er det bare jeg som er paranoid?
For ikke å snakke om hvor attraktivt det vil være å "knekke" BankID
dersom de kriminelle vet at "folk flest" bruker det som eneste ID der de
bruker penger og kjøper tjenester.
Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
tredjepart...
--
Torfinn Ingolfsen
Alf P. Steinbach
Jeg synes Harald hadde to gode poenger når det gjaldt phishing og sikkerhet for
"Gjør det selv" implementasjoner.
Min tidligere argh! om bank-id gjaldt bank-id som en /supplerende id/, slik den
brukes i blant annet Postbanken, der den:
1) ikke øker sikkerheten (siden det er et fast passord og intet mer),
2) legger til en ekstra angrepsflate (Java applet), som reduserer
sikkerheten, og
3) gir brukeren en lei uvane med å ha Java påslått, som også reduserer
sikkerheten,
som i sum, selv med kun disse tre punktene betraktet, betyr at den reduserer
sikkerheten og introduserer mye bry for kunden for å få redusert sikkerheten; og
kostnadene for dette skal jo også hentes inn fra et eller annet sted.
Med andre ord, slik jeg ser det, bank-id = en eller annen slags politisk ting.
- Alf
Kristian Gjųsteen
>Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
>antydning en gang av mottiltak. Er det bare jeg som er paranoid?
Nei.
Bankene er fullstendig klar over hvor alvorlig dette er, men de har etter
sigende brukt en milliard på BankID. Når vi ikke ser angrep mot dette,
bare en enorm risiko, og e-signature-lovgivningen bortimot fritar bankene
for ansvar, vil jeg tro bankdirektørene er lite interessert i å bruke
mer penger.
Og det er ingen som tvinger dem til det.
Kredittilsynet har såvidt jeg vet forsøkt å sende noen signaler, ved å
antyde at bankene ikke bør bruke samme BankID-system for finansnettsteder
(som Kredittilsynet har ansvaret for) og andre nettsteder. Jeg ser på
det som et temmelig sterkt signal.
Post- og teletilsynet leker derimot heiagjeng. Direktøren æreskjelte
Kjell Jørgen Hole og undertegnede da vi påpekte en del opplagte
designsvakheter i BankID. De er også fullstendig klar over hvor dårlig
BankID er, men av en eller annen grunn foretrekker de rollen som heiagjeng
fremfor tilsyn.
--
Kristian Gjøsteen
Kristian Gjųsteen
>Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
>antydning en gang av mottiltak. Er det bare jeg som er paranoid?
Her er forresten "mottiltaket":
https://www.bankid.no/Dette-er-BankID/Trygg-bruk-av-BankID/Kontroll-av-brukersted-og-programvare1/
"Ved bruk av banklagret BankID vil du alltid få en melding om
at du er i ferd med å laste ned programvare. Meldingen som heter
¿Sikkerhetsadvarsel¿, viser om programvaren er ekte. Ekte programvare
vil være signert og komme fra Bankenes Betalingssentral AS. I meldingen
svarer du ¿ja¿ for at BankID skal kunne brukes på din datamaskin."
--
Kristian Gjøsteen
Kristian Gjųsteen
>Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
>tredjepart...
Ryktene sier at en rekke tredjeparter har sett på sikkerheten i BankID.
Men bankene gidder ikke engang offentliggjøre sammendrag av disse
studiene. Ikke spør meg hvorfor.
--
Kristian Gjøsteen
Harald Hanche-Olsen
Og ingen av tredjepartne har publisert noe på egen hånd?
Det finnes så vidt jeg vet en del riktig smarte tredjeparter i
Cambridge. Sier ryktene noe om de har sett på vårt hjemlige BankID?
Det later til å være midt i deres gate ...
Harald Hanche-Olsen
> Her er forresten "mottiltaket":
> [...]
Øøøh ... betryggende ... liksom ...
Kristian Gjųsteen
>+ Kristian Gjøsteen <kristi...@math.ntnu.no>:
>
>> Torfinn Ingolfsen <ti...@start.no> wrote:
>>>Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
>>>tredjepart...
>>
>> Ryktene sier at en rekke tredjeparter har sett på sikkerheten i BankID.
>> Men bankene gidder ikke engang offentliggjøre sammendrag av disse
>> studiene. Ikke spør meg hvorfor.
>
>Og ingen av tredjepartne har publisert noe på egen hånd?
Bare tredjeparter uten tilgang til systemdokumentasjon, og de har ikke
akkurat verifisert sikkerheten.
http://www.nowires.org/BankSecurity/index.html
http://www.math.ntnu.no/~kristiag/pki/
De tredjepartene ryktene snakker om har hatt tilgang til dokumentasjon.
--
Kristian Gjøsteen
Harald Hanche-Olsen
> Bare tredjeparter uten tilgang til systemdokumentasjon, og de har ikke
> akkurat verifisert sikkerheten.
>
> http://www.nowires.org/BankSecurity/index.html
> http://www.math.ntnu.no/~kristiag/pki/
Takk, jeg skal lese dem med interesse.
Må bare finne noe passende drikke å styrke meg på først.
> De tredjepartene ryktene snakker om har hatt tilgang til dokumentasjon.
Og derfor har de helt sikkert skrevet under på en NDA,
og har vel ikke lov å si at de har sett på det en gang.
Jeg skjønner hvor du snakker om rykter.
Dag Fjellby
[ ]
>Og hvis de har d�rlig sikkerhet og blir hacket, og inntrengerne
>installerer en BankID lookalike, s� har vi det g�ende.
>
>Jeg tror jeg skal strengt begrense min egen bruk av BankID til mine egne
>banker.
Dette er litt p� siden av subject og tema, men likevel synes jeg det
er viktig.
Jeg har hverken forsket eller lest mer enn jeg strengt tatt b�r om
dette. Men - jeg har v�rt skeptisk til BankID fra dag nummer en.
Spesielt etter at ikke bare min faste bank begynte � bruke dette, men
ogs� et annet selvskap hvor jeg har et par kredittkort, som stort sett
blir brukt til netthandel. F�r beh�vde man ikke bruke BankID for �
logge seg inn hos sistnevnte, men n� m� jeg bruke samme m�te hos dem
som hos banken min. F�dselsnummer, kode fra kodegenerator og s�
passord. Dette er det samme passordet som jeg bruker i min hovedbank.
Mine mistanker ble bekreftet litt tidligere i �r. Jeg var inne i
nettbanken min for � betale noen regninger. Blant disse var et bel�p
p� ca. 900,- NOK som skulle til Telenor.
Alt s� ut til � g� helt fint, og ingen feilmelding kom frem og jeg
gjorde meg ferdig. Da jeg logget inn igjen i nettbanken dagen etter,
s� jeg at de 900,- kronene hadde g�tt til Star Tour og ikke til
Telenor.
Jeg ringer banken min, og de kan ikke forklare hva som har g�tt galt.
De tar kontakt videre og ringer meg opp igjen senere. I mellomtiden
har jeg kontaktet Star Tour, som bekrefter at de har f�tt inn bel�pet
det er snakk om. Til min store overraskelse bekrefter ogs� Telenor
dette. Bel�pet er betalt og alt er ok sier de.
Jeg kontakter banken min igjen og f�r r�d. 6-7 dager etterp�, etter en
ny samtale med Star Tour f�r jeg tilbakebetalt de 900,- kronene inn p�
kontoen min. S� langt alt vel. Men - Telenor p�st�r fremdeles at det
har f�tt sin betaling, noe som mine kontoutskrifter viser at de ikke
har f�tt. Telenor velger � lage en "sak" p� det, slik at jeg trolig
h�rer fra dem siden.
Hvordan er dette mulig? Jeg er 100 % sikker p� at jeg gjorde riktig.
Det var 3 regninger den dagen, og jeg er vant med konto og kid nummer.
Hvis konto og kid ikke stemmer overens, da skal jo for pokker
nettbanken min reagere p� det? Et eller annet har g�tt helt galt, og
det h�rer med til historien at jeg i ettertid har h�rt om to stykker
til som har opplevd det samme, i omtrent samme periode som det skjedde
med meg.
--
Dag Fjellby
Dag-Erling Smørgrav
> Mine mistanker ble bekreftet litt tidligere i år. Jeg var inne i
> nettbanken min for å betale noen regninger. Blant disse var et beløp
> på ca. 900,- NOK som skulle til Telenor.
> Alt så ut til å gå helt fint, og ingen feilmelding kom frem og jeg
> gjorde meg ferdig. Da jeg logget inn igjen i nettbanken dagen etter,
> Telenor.
Feilen som du beskriver her kan umulig ha noe som helst med BankId å
gjøre.
> Hvordan er dette mulig? Jeg er 100 % sikker på at jeg gjorde riktig.
> Det var 3 regninger den dagen, og jeg er vant med konto og kid nummer.
> Hvis konto og kid ikke stemmer overens, da skal jo for pokker
> nettbanken min reagere på det?
KID-nummeret er ikke knyttet til en bankkonto. Den som utsteder
fakturaen står fritt til å velge KID-nummer. I mange tilfeller er det
snakk om kundenummer / fakturanummer + kontrollsiffer, eller kundenummer
+ forfallsdato + kontrollsiffer. KID-nummeret for innbetaling av
årsavgift for bil (forfaller i dag!) er bilens registreringsnummer (ti
sifre) + fire sifre som angir hvilket år man betaler for + eiers
fødselsdato (seks sifre) + ett kontrollsiffer.
DES
--
Dag-Erling Smørgrav - d...@des.no
Dag Fjellby
wrote:
>Dag Fjellby <dagfj...@gmail.com> writes:
>> Mine mistanker ble bekreftet litt tidligere i år. Jeg var inne i
>> Da jeg logget inn igjen i nettbanken dagen etter,
>> så jeg at de 900,- kronene hadde gått til Star Tour og ikke til
>> Telenor.
>
>Feilen som du beskriver her kan umulig ha noe som helst med BankId å
>gjøre.
Det er jeg enig i. Derfor skrev jeg at dette var litt på siden av
subject, topic. Jeg burde heller ha postet dette som en ny tråd.
>> Hvordan er dette mulig? Jeg er 100 % sikker på at jeg gjorde riktig.
>> Det var 3 regninger den dagen, og jeg er vant med konto og kid nummer.
>> Hvis konto og kid ikke stemmer overens, da skal jo for pokker
>> nettbanken min reagere på det?
>
>KID-nummeret er ikke knyttet til en bankkonto. Den som utsteder
>fakturaen står fritt til å velge KID-nummer. I mange tilfeller er det
>snakk om kundenummer / fakturanummer + kontrollsiffer, eller kundenummer
>+ forfallsdato + kontrollsiffer. KID-nummeret for innbetaling av
>årsavgift for bil (forfaller i dag!) er bilens registreringsnummer (ti
>sifre) + fire sifre som angir hvilket år man betaler for + eiers
>fødselsdato (seks sifre) + ett kontrollsiffer.
Ok. Takk for info. Jeg skal merke meg dette. Men kan du forstå, at
både Star Tour og Telenor (fremdeles etter 5-6 uker) påstår at de har
mottatt beløpet? Som jeg skrev - det tok meg 2 telefoner til Star
Tour, så fikk jeg beløpet refundert. Men, Telenor står fremdeles på
sitt, og sier at de også har fått pengene. Ut i fra mine
kontoutskrifter, har beløpet kun gått ut en gang, den aktuelle dagen -
og de pengene gikk til Star Tour.
--
Dag Fjellby
Harald Hanche-Olsen
konkret betydning. Og så fort, da gitt. Skulle ønske det skjedde med
mine penger.