Det ser ikke ut til at noen av dem som kommenterer der har f�tt med seg at
bank-id er en *�kt sikkerhetsrisiko* for brukeren, samtidig som det sterkt
reduserer brukervennligheten.
F�r bank-id, i Postbanken:
Skrive inn personnummer (fast)
Skrive inn varierende engangskode (formodentlig!) fra dingsboms
Etter bank-id, i Postbanken:
Sl� p� Java
Skrive inn personnnummer (fast)
Skrive inn et ekstremt langt bank-id passord (fast)
Skrive inn varierende engangskode (formodentlig!) fra dingsboms
Det faste bank-id passordet �ker ikke sikkerheten, siden det er fast.
� sl� p� Java og � ha en Java applet kj�rende, derimot, UTVIDER ANGREPSFLATEN
for en hacker.
Den utvidede angrepsflaten utvider risikoen ved bruk av nettbank ganske betydelig.
Med andre ord, bank-id slik det er implementert av Postbanken reduserer
sikkerheten ved bruk av nettbank betydelig, og gj�r bruk av nettbank mer
brukerfiendtlig.
- Alf
ObFrust: p� Dagbladet koster det kr. 5 per m�ned � kommentere for eksempel
http://www.dagbladet.no/2010/02/01/nyheter/innenriks/bank/nettbanker/10192786/
Dermed er det kun folk som ikke klarer � finne sin egen bak om de s� ble gitt
detaljerte instruksjoner for det, som kommenterer der.
Samme i Skandiabanken. Bare ENDA mer arbeid og ting � huske.
Ser ikke fordelen i det hele tatt (s� jeg valgte � ikke bruke det)
--
Lars-Erik �sterud : http://www.osterud.name
Man bruker en og den samme bank-id i disse bankene. Man velger selv
passordet og velger da selvsagt et som er lett � huske og lett � taste.
--
jo
"When you measure what you are speaking about and express
it in numbers, you know something about it, but when you
cannot express it in numbers your knowledge about is of
a meagre and unsatisfactory kind."
--William Thomson (Lord Kelvin).
Pinkoder derimot - det er skumle greier.
Lurer p� hvor mye penger som blir stj�let
med stj�lne bankkort og pinkoder.
Her m� man finne en bedre l�sning.
--
jo
"We should never so entirely avoid danger as to appear
irresolute and cowardly. But, at the same time, we should
avoid unnecessarily exposing ourselves to danger, than
which nothing can be more foolish. [Cicero]"
He he. :-)
> Har du tall som viser noe annet?
Det finnes s� vidt jeg vet ikke tall p� det, av to gode grunner. For det f�rste,
banker er sv�rt tilbakeholdne med � innr�mme "innbrudd" (jeg kan tenke meg at
det har sammenheng med at det i en totalvurdering er billigere � bare tie om det
enn � lage sikrere systemer og kreve mer av kundene; det siste ekstreme
eksemplet var City Bank i unaiten, der tyvene for av med millioner av $). For
det andre, n�r en som bruker nettbank sl�r p� Java generelt, i stedet for kun
for bankens sider, s� surfer inn p� en "fly by malware" side med Java p�sl�tt og
f�r rootkit installert, og deretter f�r hacket nettbanken sin, hvordan kan man
sl� fast �rsakssammenhengen? Det kan man ikke. Det eneste som duger her er enkel
logikk ut fra det som /er/ kjent: at Java utgj�r en ekstra vektor for angrep.
> Pinkoder derimot - det er skumle greier.
> Lurer p� hvor mye penger som blir stj�let
> med stj�lne bankkort og pinkoder.
> Her m� man finne en bedre l�sning.
Sorry, vet ikke om noen *god* l�sning der.
Just i g�r kveld var det en utenlandsk-utseende middelaldrende dame som var
sv�rt interessert da jeg skulle taste inn pinkode i butikken; jeg m�tte skyve
henne vekk med baken/hoften mens jeg lente meg sidelengs for � taste.
Jeg heller til at den praktiske l�sningen m� v�re � f� en mer "avlyttingssikker"
overf�ring av en form for *kort*-passord fra menneske til betalingsterminal. Det
er jo ikke mye informasjon som skal overf�res: rundt 10 bits (en vanlig pinkode
har fire desimale sifre, og 2^10 = 1024). Med et alfabet best�ende av A...Z og
sifrene 0...9 har man mer enn s� mange muligheter med kun *to* symboler. Da blir
det praktisk med for eksempel interaktivt valg fra liste som man kan scrolle med
et scrollerhjul (gjerne et med auto-akselerasjon, slik Alle Gude Muser har), der
displayet starter med et tilfeldig symbol hver gang. Hvis displayet har sv�rt
smal visningsvinkel skal da en sniker v�re sv�rt p�g�ende for � f� med seg
koden: snikeren ser ikke displayet, og bevegelsene og timingen er forskjellige
hver gang. Jeg kan tenke meg at det ogs� kan v�re hurtigere enn tasting av
pinkode! Men, koster mer, kan muligens v�re lite bra for utend�rs bruk, og kan
muligens v�re for komplisert for mennesker med nedsatt koordinasjon og/eller
nedsatt oppmerksomhet. P� den andre siden, en 4-siffers numerisk kode kan enkelt
oversettes til en 2-symbols alfanumerisk kode, s� det er bakoverkompatibelt.
Cheers,
- Alf
Hm. Hark. Poste til news tidlig p� morningen...
Fire desimale sifre = 10000 kombinasjoner.
Som betyr at man ville trenge et 100-symbols alfabet for � f� det ned i to
symboler, og det tror jeg er for mye.
Derimot, tre symboler.
Med tre symboler gir det alfanumeriske alfabetet 46656 kombinasjoner.
Alternativt, for � f� ned tiden, to alfanumeriske symboler og ett siffer, som
gir 12960 kombinasjoner. Burde ikke ta mer tid enn inntasting av fire sifre, og
ogs� lettere � huske?
Cheers,
- Alf
> Pinkoder derimot - det er skumle greier.
> Lurer p� hvor mye penger som blir stj�let
> med stj�lne bankkort og pinkoder.
> Her m� man finne en bedre l�sning.
Fingeravtrykk og irisscanner p� hver minibank.
Ja, for all del. Fjern risikoen fra bankene og over pᅵ kundene istedenfor.
--
chs, for fellesskapets beste.
Ikke verdens beste idé. Det fjerner kanskje 99% av ranerne, mens den
siste prosenten (som tidligere truet og evt. gav deg juling med
balltre til du oppga koden) går over til å skjære av deg fingrene
siden det er eneste måten å få ut pengene.
(FUT satt)
--
Einar Ryeng