Discussion:
BankID
(too old to reply)
Harald Hanche-Olsen
2010-03-19 21:02:24 UTC
Permalink
Ja, BankID, nok en gang.

BankID pusher på for at flere nettsteder skal bruke dem:

https://www.bankid.no/BankID-for-ditt-nettsted/Bruksmuligheter-for-din-bransje/

Og det finnes allerede en god del nettsteder der du kan benytte BankID:

https://www.bankid.no/Dette-er-BankID/Her-kan-du-benytte-BankID/

Det som bekymrer meg, er hvordan kan jeg vite sikkert at disse appletene
som dukker opp i nettleseren, og der jeg kan skrive inn alskens koder og
passord for å identifisere meg, virkelig kommer fra BankID? Det kan da
umulig være vanskelig å skrive noe som ser ser ganske så likt ut.

Det later til å være det samme gamle problemet. Autentisering skal og må
gå begge veier, slik at ikke bare banken vet at det er meg den snakker
med (eller i det minste noen som har tilgang på mine passord og nøkler),
men også at jeg vet at jeg snakker med banken og ikke noen andre.

Så lenge jeg bruker BankID bare til å snakke til banken min så har jeg i
hvert fall en viss sjanse til å holde kontrollen, men hvordan kan jeg
vite at jeg kan stole på https://www.norskpensjon.no/ for eksempel?
Nåvel, følger jeg lenken til «Min pensjon», blir jeg sparket til en side
på id.signicat.com - jeg synes ikke det virker betryggende, og har da
heller ikke i sinne å risikere å gi disse folka data som kan gi dem
tilgang til alle sparepengene mine.

Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
antydning en gang av mottiltak. Er det bare jeg som er paranoid?
--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- It is undesirable to believe a proposition
when there is no ground whatsoever for supposing it is true.
-- Bertrand Russell
Harald Hanche-Olsen
2010-03-19 21:08:15 UTC
Permalink
Det virker forresten verre enn jeg trodde ved første øyekast.

https://www.bankid.no/BankID-for-ditt-nettsted/Kom-i-gang-med-BankID-/

Gjør det selv

Å komme i gang med BankID er enklere enn mange tror. Har din
organisasjon satt opp nettstedet deres selv, vil de også kunne
implementere BankID server.

Og hvis de har dårlig sikkerhet og blir hacket, og inntrengerne
installerer en BankID lookalike, så har vi det gående.

Jeg tror jeg skal strengt begrense min egen bruk av BankID til mine egne
banker.
--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- It is undesirable to believe a proposition
when there is no ground whatsoever for supposing it is true.
-- Bertrand Russell
Dag Fjellby
2010-03-22 07:51:07 UTC
Permalink
On Fri, 19 Mar 2010 17:08:15 -0400, Harald Hanche-Olsen

[ ]
Post by Harald Hanche-Olsen
Og hvis de har dårlig sikkerhet og blir hacket, og inntrengerne
installerer en BankID lookalike, så har vi det gående.
Jeg tror jeg skal strengt begrense min egen bruk av BankID til mine egne
banker.
Dette er litt på siden av subject og tema, men likevel synes jeg det
er viktig.

Jeg har hverken forsket eller lest mer enn jeg strengt tatt bør om
dette. Men - jeg har vært skeptisk til BankID fra dag nummer en.

Spesielt etter at ikke bare min faste bank begynte å bruke dette, men
også et annet selvskap hvor jeg har et par kredittkort, som stort sett
blir brukt til netthandel. Før behøvde man ikke bruke BankID for å
logge seg inn hos sistnevnte, men nå må jeg bruke samme måte hos dem
som hos banken min. Fødselsnummer, kode fra kodegenerator og så
passord. Dette er det samme passordet som jeg bruker i min hovedbank.

Mine mistanker ble bekreftet litt tidligere i år. Jeg var inne i
nettbanken min for å betale noen regninger. Blant disse var et beløp
på ca. 900,- NOK som skulle til Telenor.
Alt så ut til å gå helt fint, og ingen feilmelding kom frem og jeg
gjorde meg ferdig. Da jeg logget inn igjen i nettbanken dagen etter,
så jeg at de 900,- kronene hadde gått til Star Tour og ikke til
Telenor.
Jeg ringer banken min, og de kan ikke forklare hva som har gått galt.
De tar kontakt videre og ringer meg opp igjen senere. I mellomtiden
har jeg kontaktet Star Tour, som bekrefter at de har fått inn beløpet
det er snakk om. Til min store overraskelse bekrefter også Telenor
dette. Beløpet er betalt og alt er ok sier de.

Jeg kontakter banken min igjen og får råd. 6-7 dager etterpå, etter en
ny samtale med Star Tour får jeg tilbakebetalt de 900,- kronene inn på
kontoen min. Så langt alt vel. Men - Telenor påstår fremdeles at det
har fått sin betaling, noe som mine kontoutskrifter viser at de ikke
har fått. Telenor velger å lage en "sak" på det, slik at jeg trolig
hører fra dem siden.

Hvordan er dette mulig? Jeg er 100 % sikker på at jeg gjorde riktig.
Det var 3 regninger den dagen, og jeg er vant med konto og kid nummer.
Hvis konto og kid ikke stemmer overens, da skal jo for pokker
nettbanken min reagere på det? Et eller annet har gått helt galt, og
det hører med til historien at jeg i ettertid har hørt om to stykker
til som har opplevd det samme, i omtrent samme periode som det skjedde
med meg.
--
Dag Fjellby
Dag-Erling Smørgrav
2010-03-22 11:28:18 UTC
Permalink
Post by Dag Fjellby
Mine mistanker ble bekreftet litt tidligere i år. Jeg var inne i
nettbanken min for å betale noen regninger. Blant disse var et beløp
på ca. 900,- NOK som skulle til Telenor.
Alt så ut til å gå helt fint, og ingen feilmelding kom frem og jeg
gjorde meg ferdig. Da jeg logget inn igjen i nettbanken dagen etter,
så jeg at de 900,- kronene hadde gått til Star Tour og ikke til
Telenor.
Feilen som du beskriver her kan umulig ha noe som helst med BankId å
gjøre.
Post by Dag Fjellby
Hvordan er dette mulig? Jeg er 100 % sikker på at jeg gjorde riktig.
Det var 3 regninger den dagen, og jeg er vant med konto og kid nummer.
Hvis konto og kid ikke stemmer overens, da skal jo for pokker
nettbanken min reagere på det?
KID-nummeret er ikke knyttet til en bankkonto. Den som utsteder
fakturaen står fritt til å velge KID-nummer. I mange tilfeller er det
snakk om kundenummer / fakturanummer + kontrollsiffer, eller kundenummer
+ forfallsdato + kontrollsiffer. KID-nummeret for innbetaling av
årsavgift for bil (forfaller i dag!) er bilens registreringsnummer (ti
sifre) + fire sifre som angir hvilket år man betaler for + eiers
fødselsdato (seks sifre) + ett kontrollsiffer.

DES
--
Dag-Erling Smørgrav - ***@des.no
Dag Fjellby
2010-03-22 11:46:11 UTC
Permalink
Post by Dag-Erling Smørgrav
Post by Dag Fjellby
Mine mistanker ble bekreftet litt tidligere i år. Jeg var inne i
Da jeg logget inn igjen i nettbanken dagen etter,
så jeg at de 900,- kronene hadde gått til Star Tour og ikke til
Telenor.
Feilen som du beskriver her kan umulig ha noe som helst med BankId å
gjøre.
Det er jeg enig i. Derfor skrev jeg at dette var litt på siden av
subject, topic. Jeg burde heller ha postet dette som en ny tråd.
Post by Dag-Erling Smørgrav
Post by Dag Fjellby
Hvordan er dette mulig? Jeg er 100 % sikker på at jeg gjorde riktig.
Det var 3 regninger den dagen, og jeg er vant med konto og kid nummer.
Hvis konto og kid ikke stemmer overens, da skal jo for pokker
nettbanken min reagere på det?
KID-nummeret er ikke knyttet til en bankkonto. Den som utsteder
fakturaen står fritt til å velge KID-nummer. I mange tilfeller er det
snakk om kundenummer / fakturanummer + kontrollsiffer, eller kundenummer
+ forfallsdato + kontrollsiffer. KID-nummeret for innbetaling av
årsavgift for bil (forfaller i dag!) er bilens registreringsnummer (ti
sifre) + fire sifre som angir hvilket år man betaler for + eiers
fødselsdato (seks sifre) + ett kontrollsiffer.
Ok. Takk for info. Jeg skal merke meg dette. Men kan du forstå, at
både Star Tour og Telenor (fremdeles etter 5-6 uker) påstår at de har
mottatt beløpet? Som jeg skrev - det tok meg 2 telefoner til Star
Tour, så fikk jeg beløpet refundert. Men, Telenor står fremdeles på
sitt, og sier at de også har fått pengene. Ut i fra mine
kontoutskrifter, har beløpet kun gått ut en gang, den aktuelle dagen -
og de pengene gikk til Star Tour.
--
Dag Fjellby
Harald Hanche-Olsen
2010-03-22 14:05:14 UTC
Permalink
Jeg har hørt om penger som yngler, men jeg ante ikke at det skjedde i så
konkret betydning. Og så fort, da gitt. Skulle ønske det skjedde med
mine penger.
--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- It is undesirable to believe a proposition
when there is no ground whatsoever for supposing it is true.
-- Bertrand Russell
Torfinn Ingolfsen
2010-03-20 08:29:45 UTC
Permalink
Post by Harald Hanche-Olsen
Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
antydning en gang av mottiltak. Er det bare jeg som er paranoid?
For ikke å snakke om hvor attraktivt det vil være å "knekke" BankID
dersom de kriminelle vet at "folk flest" bruker det som eneste ID der de
bruker penger og kjøper tjenester.
Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
tredjepart...
--
Torfinn Ingolfsen
Alf P. Steinbach
2010-03-20 08:46:55 UTC
Permalink
Post by Torfinn Ingolfsen
Post by Harald Hanche-Olsen
Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
antydning en gang av mottiltak. Er det bare jeg som er paranoid?
For ikke å snakke om hvor attraktivt det vil være å "knekke" BankID
dersom de kriminelle vet at "folk flest" bruker det som eneste ID der de
bruker penger og kjøper tjenester.
Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
tredjepart...
Jeg synes Harald hadde to gode poenger når det gjaldt phishing og sikkerhet for
"Gjør det selv" implementasjoner.

Min tidligere argh! om bank-id gjaldt bank-id som en /supplerende id/, slik den
brukes i blant annet Postbanken, der den:

1) ikke øker sikkerheten (siden det er et fast passord og intet mer),

2) legger til en ekstra angrepsflate (Java applet), som reduserer
sikkerheten, og

3) gir brukeren en lei uvane med å ha Java påslått, som også reduserer
sikkerheten,

som i sum, selv med kun disse tre punktene betraktet, betyr at den reduserer
sikkerheten og introduserer mye bry for kunden for å få redusert sikkerheten; og
kostnadene for dette skal jo også hentes inn fra et eller annet sted.

Med andre ord, slik jeg ser det, bank-id = en eller annen slags politisk ting.


- Alf
Kristian Gjøsteen
2010-03-21 17:59:33 UTC
Permalink
Post by Torfinn Ingolfsen
Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
tredjepart...
Ryktene sier at en rekke tredjeparter har sett på sikkerheten i BankID.
Men bankene gidder ikke engang offentliggjøre sammendrag av disse
studiene. Ikke spør meg hvorfor.
--
Kristian Gjøsteen
Harald Hanche-Olsen
2010-03-21 20:48:54 UTC
Permalink
Post by Kristian Gjøsteen
Post by Torfinn Ingolfsen
Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
tredjepart...
Ryktene sier at en rekke tredjeparter har sett på sikkerheten i BankID.
Men bankene gidder ikke engang offentliggjøre sammendrag av disse
studiene. Ikke spør meg hvorfor.
Og ingen av tredjepartne har publisert noe på egen hånd?
Det finnes så vidt jeg vet en del riktig smarte tredjeparter i
Cambridge. Sier ryktene noe om de har sett på vårt hjemlige BankID?
Det later til å være midt i deres gate ...
--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- It is undesirable to believe a proposition
when there is no ground whatsoever for supposing it is true.
-- Bertrand Russell
Kristian Gjøsteen
2010-03-21 21:37:06 UTC
Permalink
Post by Torfinn Ingolfsen
Sikkerheten i BankID er fortsatt ikke verifisert av en uavhengig
tredjepart...
Ryktene sier at en rekke tredjeparter har sett på sikkerheten i BankID.
Men bankene gidder ikke engang offentliggjÞre sammendrag av disse
studiene. Ikke spÞr meg hvorfor.
Og ingen av tredjepartne har publisert noe på egen hånd?
Bare tredjeparter uten tilgang til systemdokumentasjon, og de har ikke
akkurat verifisert sikkerheten.

http://www.nowires.org/BankSecurity/index.html
http://www.math.ntnu.no/~kristiag/pki/

De tredjepartene ryktene snakker om har hatt tilgang til dokumentasjon.
--
Kristian Gjøsteen
Harald Hanche-Olsen
2010-03-21 23:04:55 UTC
Permalink
Post by Kristian Gjøsteen
Bare tredjeparter uten tilgang til systemdokumentasjon, og de har ikke
akkurat verifisert sikkerheten.
http://www.nowires.org/BankSecurity/index.html
http://www.math.ntnu.no/~kristiag/pki/
Takk, jeg skal lese dem med interesse.
Må bare finne noe passende drikke å styrke meg på først.
Post by Kristian Gjøsteen
De tredjepartene ryktene snakker om har hatt tilgang til dokumentasjon.
Og derfor har de helt sikkert skrevet under på en NDA,
og har vel ikke lov å si at de har sett på det en gang.
Jeg skjønner hvor du snakker om rykter.
--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- It is undesirable to believe a proposition
when there is no ground whatsoever for supposing it is true.
-- Bertrand Russell
Kristian Gjøsteen
2010-03-21 17:52:05 UTC
Permalink
Post by Harald Hanche-Olsen
Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
antydning en gang av mottiltak. Er det bare jeg som er paranoid?
Nei.

Bankene er fullstendig klar over hvor alvorlig dette er, men de har etter
sigende brukt en milliard på BankID. Når vi ikke ser angrep mot dette,
bare en enorm risiko, og e-signature-lovgivningen bortimot fritar bankene
for ansvar, vil jeg tro bankdirektørene er lite interessert i å bruke
mer penger.

Og det er ingen som tvinger dem til det.

Kredittilsynet har såvidt jeg vet forsøkt å sende noen signaler, ved å
antyde at bankene ikke bør bruke samme BankID-system for finansnettsteder
(som Kredittilsynet har ansvaret for) og andre nettsteder. Jeg ser på
det som et temmelig sterkt signal.

Post- og teletilsynet leker derimot heiagjeng. Direktøren æreskjelte
Kjell Jørgen Hole og undertegnede da vi påpekte en del opplagte
designsvakheter i BankID. De er også fullstendig klar over hvor dårlig
BankID er, men av en eller annen grunn foretrekker de rollen som heiagjeng
fremfor tilsyn.
--
Kristian Gjøsteen
Kristian Gjøsteen
2010-03-21 17:57:15 UTC
Permalink
Post by Harald Hanche-Olsen
Det aner meg at phishingpotensialet er enormt, og jeg ser ingen
antydning en gang av mottiltak. Er det bare jeg som er paranoid?
Her er forresten "mottiltaket":

https://www.bankid.no/Dette-er-BankID/Trygg-bruk-av-BankID/Kontroll-av-brukersted-og-programvare1/

"Ved bruk av banklagret BankID vil du alltid få en melding om
at du er i ferd med å laste ned programvare. Meldingen som heter
¿Sikkerhetsadvarsel¿, viser om programvaren er ekte. Ekte programvare
vil være signert og komme fra Bankenes Betalingssentral AS. I meldingen
svarer du ¿ja¿ for at BankID skal kunne brukes på din datamaskin."
--
Kristian Gjøsteen
Harald Hanche-Olsen
2010-03-21 20:51:55 UTC
Permalink
[...]
Øøøh ... betryggende ... liksom ...
--
* Harald Hanche-Olsen <URL:http://www.math.ntnu.no/~hanche/>
- It is undesirable to believe a proposition
when there is no ground whatsoever for supposing it is true.
-- Bertrand Russell
Loading...