Bank-id = oekt sikkerhetsrisiko + redusert brukervennlighet

[Alf P. Steinbach]

I Dagbladet i dag sl�s det opp en patentstrid om bank-id l�sningen.

Det ser ikke ut til at noen av dem som kommenterer der har f�tt med seg at
bank-id er en *�kt sikkerhetsrisiko* for brukeren, samtidig som det sterkt
reduserer brukervennligheten.

F�r bank-id, i Postbanken:

Skrive inn personnummer (fast)
Skrive inn varierende engangskode (formodentlig!) fra dingsboms

Etter bank-id, i Postbanken:

Sl� p� Java
Skrive inn personnnummer (fast)
Skrive inn et ekstremt langt bank-id passord (fast)
Skrive inn varierende engangskode (formodentlig!) fra dingsboms

Det faste bank-id passordet �ker ikke sikkerheten, siden det er fast.

� sl� p� Java og � ha en Java applet kj�rende, derimot, UTVIDER ANGREPSFLATEN
for en hacker.

Den utvidede angrepsflaten utvider risikoen ved bruk av nettbank ganske betydelig.

Med andre ord, bank-id slik det er implementert av Postbanken reduserer
sikkerheten ved bruk av nettbank betydelig, og gj�r bruk av nettbank mer
brukerfiendtlig.

- Alf

ObFrust: p� Dagbladet koster det kr. 5 per m�ned � kommentere for eksempel

http://www.dagbladet.no/2010/02/01/nyheter/innenriks/bank/nettbanker/10192786/

Dermed er det kun folk som ikke klarer � finne sin egen bak om de s� ble gitt
detaljerte instruksjoner for det, som kommenterer der.

[Lars-Erik �sterud]

> F�r bank-id, i Postbanken:
>
> Skrive inn personnummer (fast)
> Skrive inn varierende engangskode (formodentlig!) fra dingsboms
>
> Etter bank-id, i Postbanken:
>
> Sl� p� Java
> Skrive inn personnnummer (fast)
> Skrive inn et ekstremt langt bank-id passord (fast)
> Skrive inn varierende engangskode (formodentlig!) fra dingsboms

Samme i Skandiabanken. Bare ENDA mer arbeid og ting � huske.
Ser ikke fordelen i det hele tatt (s� jeg valgte � ikke bruke det)
--
Lars-Erik �sterud : http://www.osterud.name

[Jo Stein]

Man bruker en og den samme bank-id i disse bankene. Man velger selv
passordet og velger da selvsagt et som er lett � huske og lett � taste.
--
jo
"When you measure what you are speaking about and express
it in numbers, you know something about it, but when you
cannot express it in numbers your knowledge about is of
a meagre and unsatisfactory kind."
--William Thomson (Lord Kelvin).

[Jo Stein]

Den 01.02.2010 17:33, skrev Alf P. Steinbach:
...

> Den utvidede angrepsflaten utvider risikoen ved bruk av nettbank ganske
> betydelig.
>
> Med andre ord, bank-id slik det er implementert av Postbanken reduserer
> sikkerheten ved bruk av nettbank betydelig, og gj�r bruk av nettbank mer
> brukerfiendtlig.
>

Jeg tror ikke at dette er noen sikkerhetsrisiko.
Har du tall som viser noe annet?

Pinkoder derimot - det er skumle greier.
Lurer p� hvor mye penger som blir stj�let
med stj�lne bankkort og pinkoder.
Her m� man finne en bedre l�sning.
--
jo
"We should never so entirely avoid danger as to appear
irresolute and cowardly. But, at the same time, we should
avoid unnecessarily exposing ourselves to danger, than
which nothing can be more foolish. [Cicero]"

[Alf P. Steinbach]

* Jo Stein:

> Den 01.02.2010 17:33, skrev Alf P. Steinbach:
> ...
>> Den utvidede angrepsflaten utvider risikoen ved bruk av nettbank ganske
>> betydelig.
>>
>> Med andre ord, bank-id slik det er implementert av Postbanken reduserer
>> sikkerheten ved bruk av nettbank betydelig, og gj�r bruk av nettbank mer
>> brukerfiendtlig.
>>
> Jeg tror ikke at dette er noen sikkerhetsrisiko.

He he. :-)

> Har du tall som viser noe annet?

Det finnes s� vidt jeg vet ikke tall p� det, av to gode grunner. For det f�rste,
banker er sv�rt tilbakeholdne med � innr�mme "innbrudd" (jeg kan tenke meg at
det har sammenheng med at det i en totalvurdering er billigere � bare tie om det
enn � lage sikrere systemer og kreve mer av kundene; det siste ekstreme
eksemplet var City Bank i unaiten, der tyvene for av med millioner av $). For
det andre, n�r en som bruker nettbank sl�r p� Java generelt, i stedet for kun
for bankens sider, s� surfer inn p� en "fly by malware" side med Java p�sl�tt og
f�r rootkit installert, og deretter f�r hacket nettbanken sin, hvordan kan man
sl� fast �rsakssammenhengen? Det kan man ikke. Det eneste som duger her er enkel
logikk ut fra det som /er/ kjent: at Java utgj�r en ekstra vektor for angrep.

> Pinkoder derimot - det er skumle greier.
> Lurer p� hvor mye penger som blir stj�let
> med stj�lne bankkort og pinkoder.
> Her m� man finne en bedre l�sning.

Sorry, vet ikke om noen *god* l�sning der.

Just i g�r kveld var det en utenlandsk-utseende middelaldrende dame som var
sv�rt interessert da jeg skulle taste inn pinkode i butikken; jeg m�tte skyve
henne vekk med baken/hoften mens jeg lente meg sidelengs for � taste.

Jeg heller til at den praktiske l�sningen m� v�re � f� en mer "avlyttingssikker"
overf�ring av en form for *kort*-passord fra menneske til betalingsterminal. Det
er jo ikke mye informasjon som skal overf�res: rundt 10 bits (en vanlig pinkode
har fire desimale sifre, og 2^10 = 1024). Med et alfabet best�ende av A...Z og
sifrene 0...9 har man mer enn s� mange muligheter med kun *to* symboler. Da blir
det praktisk med for eksempel interaktivt valg fra liste som man kan scrolle med
et scrollerhjul (gjerne et med auto-akselerasjon, slik Alle Gude Muser har), der
displayet starter med et tilfeldig symbol hver gang. Hvis displayet har sv�rt
smal visningsvinkel skal da en sniker v�re sv�rt p�g�ende for � f� med seg
koden: snikeren ser ikke displayet, og bevegelsene og timingen er forskjellige
hver gang. Jeg kan tenke meg at det ogs� kan v�re hurtigere enn tasting av
pinkode! Men, koster mer, kan muligens v�re lite bra for utend�rs bruk, og kan
muligens v�re for komplisert for mennesker med nedsatt koordinasjon og/eller
nedsatt oppmerksomhet. P� den andre siden, en 4-siffers numerisk kode kan enkelt
oversettes til en 2-symbols alfanumerisk kode, s� det er bakoverkompatibelt.

Cheers,

- Alf

[Alf P. Steinbach]

* Alf P. Steinbach:

Hm. Hark. Poste til news tidlig p� morningen...

Fire desimale sifre = 10000 kombinasjoner.

Som betyr at man ville trenge et 100-symbols alfabet for � f� det ned i to
symboler, og det tror jeg er for mye.

Derimot, tre symboler.

Med tre symboler gir det alfanumeriske alfabetet 46656 kombinasjoner.
Alternativt, for � f� ned tiden, to alfanumeriske symboler og ett siffer, som
gir 12960 kombinasjoner. Burde ikke ta mer tid enn inntasting av fire sifre, og
ogs� lettere � huske?

Cheers,

- Alf

[Kong Vinter]

Jo Stein wrote:

> Pinkoder derimot - det er skumle greier.
> Lurer p� hvor mye penger som blir stj�let
> med stj�lne bankkort og pinkoder.
> Her m� man finne en bedre l�sning.

Fingeravtrykk og irisscanner p� hver minibank.

[Jo Stein]

Den 02.02.2010 06:09, skrev Alf P. Steinbach:
...

> Just i g�r kveld var det en utenlandsk-utseende middelaldrende dame som
> var sv�rt interessert da jeg skulle taste inn pinkode i butikken; jeg
> m�tte skyve henne vekk med baken/hoften mens jeg lente meg sidelengs for
> � taste.
>

Jeg er blitt ranet og har etter hvert l�rt at man m� ta en titt bak
skulderen F�R man taster pinkoden. Her om dagen titet jeg bak skulderen
ETTER at jeg hadde tastet pinkoden og da stod der en fyr og var veldig
interessert i hva jeg gjorde. Han fikk det da travelt med � bestille
billett p� naboterminalen. Dette er elitesvindlere med god trening, og
vi har ingen mulighet til � f� stoppet de med et politikorps som best�r
av tilbakest�ende latsabber som ikke gidder � jobbe.
--
jo
Mestere blir ikke til i treningsrommet.
Mestere er laga av noe de har djupt inni
seg - en drivkraft, en dr�m, en visjon.
De m� ha utholdenhet til siste minutt,
de m� v�re hakket raskere, de m� ha
b�de ferdighet og vilje. Men viljen m�
v�re sterkere enn ferdigheten.
-- Muhammad Ali

[Christer Solskogen]

On 2010-02-02, Kong Vinter <ko...@vinter.no> wrote:
> Jo Stein wrote:
>
>> Pinkoder derimot - det er skumle greier.

>> Lurer pￜ hvor mye penger som blir stjￜlet
>> med stjï¿œlne bankkort og pinkoder.
>> Her mￜ man finne en bedre lￜsning.
>
> Fingeravtrykk og irisscanner pￜ hver minibank.

Ja, for all del. Fjern risikoen fra bankene og over pￜ kundene istedenfor.

--
chs, for fellesskapets beste.

[Jo Stein]

Den 02.02.2010 08:31, skrev Christer Solskogen:
> On 2010-02-02, Kong Vinter<ko...@vinter.no> wrote:
>> Jo Stein wrote:
>>
>>> Pinkoder derimot - det er skumle greier.

>>> Lurer p� hvor mye penger som blir stj�let
>>> med stj�lne bankkort og pinkoder.
>>> Her m� man finne en bedre l�sning.
>>

>> Fingeravtrykk og irisscanner p� hver minibank.
>
> Ja, for all del. Fjern risikoen fra bankene og over p� kundene istedenfor.
>
Med de d�rlige l�sningen som vi har idag har allerede kundene mye av
risikoen.
Jeg fikk krav om � erstatte tapet da pinkodetyver stjal kortet og t�mte
det for 9000 kr i l�pet av f� minutter. Jeg slapp � betale da jeg skrev
at jeg kjente en journalist som �nsket flere opplysninger for � skrive
om saken. Bankene pr�ver seg og vi b�r ikke finne oss i disse elendige
l�sningen. Da pinkoden ble notert av noen nye tyver som deretter fulgte
etter meg fikk, jeg sperret to kort. Deretter fikk jeg nye kort med
samme gamle pinkode. Begge kort har samme pinkode og jeg har deretter
funnet meg en annen bank.
--
jo
Vienna City Marathon, 18. April 2010
http://www.vienna-marathon.com/

[Einar Ryeng]

Kong Vinter <ko...@vinter.no> writes:
> Jo Stein wrote:
>
>> Pinkoder derimot - det er skumle greier.

>> Lurer på hvor mye penger som blir stjålet
>> med stjålne bankkort og pinkoder.
>> Her må man finne en bedre løsning.
>
> Fingeravtrykk og irisscanner på hver minibank.

Ikke verdens beste idé. Det fjerner kanskje 99% av ranerne, mens den
siste prosenten (som tidligere truet og evt. gav deg juling med
balltre til du oppga koden) går over til å skjære av deg fingrene
siden det er eneste måten å få ut pengene.

(FUT satt)

--
Einar Ryeng