[Notanda eytt] fyrir 17 árum, 2 mánuðum Fjöldi lestra: 968

Ófá orð um Auðkennislykilinn, hlutverk hans og gæði þjónustu Auðkennis hf.

Auðkennislykillinn

Grein sem ég skrifaði fyrir nokkru um auðkennislykilinn vakti vægast sagt hörð viðbrögð.

Nú kíkti ég á netið í smá stund og athugaði hvernig netbankaþjónusta væri veitt annarstaðar í heiminum og hvort ég mundi finna eitthvað um netbankarán á Íslandi.

Það sem ég komst að:

Það er mun algengara að netbankar á Íslandi séu rændir en mig grunaði, þó er það alltaf fólk sem á peninga (ég mundi s.s. sleppa).
Á mbl.is fann ég :

21.5.2004 | 05:30| Ekkert innbrot í Heimabanka sparisjóðanna…
Þar var fjallað um hvernig brasilískir tölvuþrjótar hökkuðu sig inná síðu heimabanka.is sem hýst var hjá þriðja aðila. Engar persónuupplýsingar voru á þeim server, enda ekki server bankans.

7.11.2006 | 05:30 | Rændu 200 þúsundum í gegnum heimabanka…
„BROTIST var inn í heimabanka og peningar millifærðir milli íslenskra banka og að lokum til banka í Úkraínu. Talið er að Íslendingur hafi verið blekktur til að millifæra peningana úr landi. Atvikið átti sér stað í síðustu viku.“

„Guðjón Rúnarsson, framkvæmdastjóri Samtaka banka og verðbréfafyrirtækja, segir að viðskiptavinir frá öllum bönkum hafi lent í því að óprúttnir aðilar komist inn á heimabanka og reyni að millifæra fé, þótt tilvik sem þessi séu ekki algeng. Bankar og sparisjóðir meti hvert tilvik fyrir sig en í þeim tilvikum þar sem notandi heimabanka sé grunlaust fórnarlamb tölvuþrjóta hafi bankar og sparisjóðir tekið á sig ábyrgðina.“
(Brjánn Jónasson, mbl.is)

Það sem er athyglisvert í þessari frétt eru ummæli Guðjóns Rúnarssonar um notendur heimabanka og banka og sparisjóði takandi á sig ábyrgð.
Bankarnir eiga náttúrulega að taka á sig ábyrgð nema um vítavert kæruleysi sé að ræða af hendi notenda.

7.12.2005 | 09:44 | Komst yfir lykilorð og millifærði um 1,5 - 2 milljónir yfir á sinn reikning…

Stupid is what stupid does… sinn reikning. Þessi gæti komist í Jay Leno.

7.12.2005 | 07:17 | Í gæsluvarðhald fyrir að brjótast inn í heimabanka…

Sama mál og hér á undan enda bara 2 klst á milli fréttanna.

20.7.2006 | 08:47 | Milljónum stolið af heimabönkum…

Hérna kemur fyrsta alvöru málið (enda var ég erlendis þegar þetta gerðist - O.C. rules)
„Lögreglan í Reykjavík rannsakar nú fjögur umfangsmikil fjársvikamál þar sem rúmlega 20 milljónum króna hefur verið stolið rafrænt með millifærslum af reikningum fólks í gegnum heimabanka. Þjófarnir hafa bæði notast við tölvur erlendis frá og einnig hefur þetta verið stundað í íslenskum tölvum og peningarnir síðan sendir til eins af Eystrasaltslandanna.
Í fyrsta málinu sem kom upp í október í fyrra voru fjárhæðirnar færðar yfir á tvo innlenda bankareikninga og síðan sendar erlendis með Western Uninon peningaflutningafyrirtækinu“
(mbl.is)

Þetta hljómar nokkuð ótrúlega og ekki hefði ég trúað þessu ef ég hefði ekki lesið þetta sjálfur.
En það er greinilega verið að stela af fólki sem á peninga, ég á enga þannig að ég slepp.

En OK ég skal viðurkenna að heimabankarána businessinn á Íslandi er stærri en ég hélt (í krónum talið) en fjöldi rána er óverulegur og takmarkast nær eingöngu við þá sem eiga milljónir inná reikningum sínum.

En ég googlaði meira.

Ég fann áhugavert Word skjal á

http://sja.is/skjol/fjarmalavefir_v.1.2.doc

Þar koma fram áherslur banka og fjármálastofnana við uppsetningu á heimasíðum.
Hvernig heimasíður banka eru metnar:

Hversu vel stendur síðan sig í að uppfylla kröfur þessara fjögurra flokka:

Virkni (40%): Hvað geta notendur gert á síðunni
Dæmi: Er hægt að kaupa verðbréf eftir auglýstan opnunartíma

Skilningur (35%): Hversu auðvelt er að nota vefinn?
Dæmi: Geta notendur séð hversu hár fjárhæðir eru lausar til afnota í
sparireikningum?

Persónuvernd og öryggi (15%): Hversu vel ver síðan persónu upplýsingar?
Dæmi: Eru reikningsnúmer falin?

Gæði og framboð (10%): Mætir síðan kröfum um innihald og gæði umsókna? Hversu vel stendur síðan sig gagnvart notendum með sérþarfir?
Dæmi: Er alltaf sími þjónustuversins á öllum síðum vefjarins

https://webexcellence.keynote.com/login.aspx

Ef bankar leggja 15% áherslu á sitt öryggi þá er ekki furða að eitthvað svona vesen lendi á neytendum (mætti halda)

En ég fann líka að þetta öryggi sem Auðkennislykillinn á að skapa myndast sökum „two factor authentication“ sem er í raun að bankinn biður notandann um eitthvað í viðbót (einhver spurning) sem bankinn veit svarið við fyrirfram. Best er náttúrulega að svarið sé breytanlegt líkt og auðkennislykillinn gerir. Einnig er hægt að nota eitthvað sem er einkennandi fyrir einstaklinginn, t.d. rödd (notað erlendis), fingrafar (óalgengt) eða jafnvel webcam notað til að meta andlitsfall (í þróun)
(unnið að mestu úr upplýsingum af) http://www.out-law.com/page-5467 )

Á síðunni:

http://www.out-law.com/default.aspx?page=6234

Kemur einnig fram að auðkennisnúmer er gilt í heimabanka í 30 sek (í þeirra dæmi) og ef ekki er beðið um auðkennisnúmer við framkvæmd ferslna þá sé öryggið ekki tryggara. Það segir sig nokkuð sjálft ef það þarf bara að nota lykilinn til að komast inní heimabankann en ekki fyrir færslunar. Tölvuþrjótar gætu notað sama númerið (ef þeir ná að hlera það innan 30sek)

Í þessari grein er einnig fjallað um hversu falskt öryggi þessir lyklar eru og hvernig tölvuþrjótar eru farnir að komast framhjá slíkum auðkennis-öryggiskerfum.

Erlendis hefur einnig verið varpað fram siðferðisspurningum á borð við, „hvað um blinda? Eiga þeir rétt til aukins öryggis?“

Á síðunni:

http://www.out-law.com/default.aspx?page=6234

Er fjallað um hvernig Lloyds bankinn prófar þessa auðkennislykla. 30.000 fyrirtæki (ekki einstaklingar) fengu svona lykla. (reyndar er minnst á lykla með hátölurum fyrir blinda)
Einnig er í greininni fjallað um hvernig það gæti hjálpað ef notendur gæru „strauað kortin sín heima“, en við komu seinna að því hvernig sú tækni virkar og er aðgengileg og ætti að vera hérna á skrifborðinu hjá mér í staðin fyrir Auðkennislykilinn minn.

Til að forða notendum sínum frá tölvuþrjótum sem nota forritið“keylogger“ sem fylgist með hvað slegið er inn á lyklaborðinu á hafa bankar margar aðrar lausnir.

Ég las um banka sem gera líkt og Glitnir, láta viðskiptavinina nota mús til að klikka á töluborð á skjánnum.

Það sem sérfræðingar mæltu með var þó að láta notendanafn og lykilorð vera fastan fjölda stafa og svo fyrir hvern staf var fellivallisti (drop down list) með öllum tölu og bókstöfum fyrir kúnan að velja til að skrifa (staf fyrir staf)notendanafnið sitt og lykilorð. Þetta er víst erfiðara fyrir tölvuþrjóta.

En svo fann ég það sem mér fannst sniðugast

http://www.gi-de.com/portal/page?_pageid=42,54854&_dad=portal&_schema=PORTAL

Bankarnir hafa tilkynnt að skipt verði úr segulrandakortum yfir í SMART-kort á næstu misserum. Þessi tækni byggir á SMART-kortum og því ætti ekkert að vera því til fyrirstöðu að innleiða hana hér á landi.

Hið opinbera ætti í raun að taka þátt þar sem þessir USB-lykla debet/kredit/auðkenni geta þjónað sem ökuskírteini, vegabréf o.s.f. jafnvel er hægt að sjá fyrir sér að ef maður geti ekki plöggað USB ökuskírteini í bílinn, þá starti hann sér ekki.

Mig grunar ( svona til að finna samsærið í þessu öllusaman) að bankarnir viti hvert stefnir en vilji venja landann á að borga fyrir þessa auðkennisþjónustu til jafns við debetkortin, þá geta þeir rukkað meira fyrir það þegar nýja tæknin kemur. Svo hafa þeir örugglega fundið auðkennislykla á afslætti einhverstaðar þar sem þeir eru að verða úreltir.

Á síðunni (neðarlega):

http://news.bbc.co.uk/1/hi/business/4778977.stm

Hér er stuttlega útskýrt í hverju „man in the middle“ aðferðin sem tölvuþrjótar nota til að komast í gegnum auðkennislykla-kerfi gengur út á

Nú varpa ég fram spurningum til ykkar sem náðuð að klára lesturinn.

Fyrst bankarnir eru að þessu á annað borð, afhverju gera þeir þetta þá ekki almennilega?

Þeir ætla hvort eð er að innleiða SMART-kortin, afhverju ekki að nota þau einnig sem USB (sjá link inní grein) sem auðkennislykil?

Ég er svo innilega ekki sáttur við þessi vinnubrögð bankanna, þetta er falskt öryggi og auglýsingabrella til að fá fólk til að borga pening fyrir drasl. (afsakið orðbragðið svona í lokin)

BessiB fyrir 17 árum, 2 mánuðum

Hér þurfum við að hafa eitt á hreinu. Til að tölvuþrjótur geti sett upp “Keylogger” á tölvu þá þarf hann að geta keyrt kóða sem Administrator á tölvunni. Hins vegar er það svo að geti hann það þá er hann kominn með fullan aðgang að tölvunni og getur sett upp hvernig forrit sem, þar með talin forrit sem fylgjast með músarsmellum eða svona drop-down menu. Það er því bara verið að færa til vandamálið með svona “lausnum”.

Ég sé heldur ekki að auðveldara eða ódýrara sé að pína fólk til að eiga webcam, mic, eða eitthvað annað því líku. Það verður kannski hægt í framtíðinni en við erum ekki komin á það stig í dag.

Jafnframt verð ég að vera ósammála þér um að í auðkennislyklunum felist falskt öryggi. Þeir koma í veg fyrir að hægt sé að beita þeirri aðferð sem hingað til hefur verið notuð til að brjótast inn í heimabanka. Það er markmið þeirra og það tekst þeim. Þetta er því mjög svo raunverulegt öryggi.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Phishing sem í dag er algengasta leiðin til að komast inní heimabanka annarra en enþá besta leiðin til að komast í gegnum Auðkennislyklakerfið.

Nema nú er tíminn sem tölvuþrjótarnir hafa orðinn minni (30sek frá því Auðkennisnúmerið er kallað fram)

Þar sem hægt er að koma í veg fyrir þennan möguleika tölvuþrjóta með öðrum aðferðum, væri þá ekki sniðugra að nota þær?

Að því leiti veitir Lykillinn falskt öryggi, að tölvuþrjótar geta enþá notað sömu aðferðir, þeir verða bara að vera sneggri og betri leiðir eru til sem munerfiðara er komast framhjá…

Fyrra álit

BessiB fyrir 17 árum, 2 mánuðum

Þau innbrot sem orðið hafa í íslenska heimabanka hafa skilst mér orðið vegna keylogger á tölvum fórnarlamba ekki vegna phising. Það vandamál er því leyst.

Það að phisha sig inn í heimabanka er heldur ekki eins auðvelt og þú lýsir. Það er ekki nóg að hafa bara leyniorðið inn á heimabankann heldur þarftu líka leyninúmer reikninganna. Því dugar ekki að birta bara eftirhermaða innskráningarsíðu heldur þarftu að herma allan heimabankann. Það er vissulega hægt en það er háð því að einstaklingurinn þurfi að millifæra þá ertu kominn með ólíklega atburðarrás ef þú setur hlutina í samhengi. Málið er nefninlega svo að upphafið af svona phising ferli er tölvupóstur þar sem þú færð link á innskráningarsíðu og sagt að nú þurfir þú að skrá þig inn vegna t.d. “uppfærslu”. Hér er því enginn beðinn um að millifæra og ólíklegt að sá einstaklingur sem fær póstinn fari í þannig aðgerðir.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Ég ætla ekki að þykjast vita allt um phishing eða hvað þarf til að komast inná heimabanka annarra.

Málið er að Tölvurjótar hafa þróað aðferð til að komast hjá auðkennislyklum, svo eiga þeir eftir að þróa auðveldari aðferð (it´s just the way the cookie crumbles)

Afhverju að dreifa dóti um allt land til almennra notenda, NOTA BENE án þess að spyrja þá um álit fyrst eða athuga vilja þeirra.

Sésrtaklega þegar búið er að þróa leið til að fara framhjá því.

Eins og þú sagðir er svona algengast með keylogger, sem skv. mörgum sem hafa svarað mér hér getur trackað músabendilinn líka (þá þetta lykilorð sem þú minntist á, á reikningnum) það ætti ekki að vera erfitt að taka einhvern einn “ríkan” fyrri og reyna ýmsar kúnstir í bland til að ræna hann.

Mér líst betur á þessa auðkennis USB hugmynd …

Fyrra álit

BessiB fyrir 17 árum, 2 mánuðum

Það er bara ekki rétt að það er búið að þróa leið fram hjá þessu. Það er vissulega hægt að komast frjá þessu með phising en eins og ég lýsti hér að ofan er það ægilega erfitt.

Ég sé heldur ekki að þægilegra sé að ganga með usb lykil heldur en auðkennislykil.

Það er alveg rétt hjá þér að þetta er slæm lausn á umræddu vandamáli. Hins vegar er það ekki rétt að þetta sé ekki lausn og heldur ekki að til sé ógrynni af öðrum betri lausnum. Vissulega munu koma betri lausnir með breyttri tækni en við erum bara ekki komin þangað og vandamálið þurfti að leysa strax.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Ég er ekki að segja að USB komi í staðinn fyrir Auðkennislykilinn eingöngu, heldur líka Debet/kredit-kortin, ökuskíteinið o.s.f.

Að halda sig við eina tækni er þægilegra

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Tja það er nú ekki búið að rukka mig um neitt fyrir þessa auðkennis lykla.

En þetta er fín grein hjá þér margt til í þessu.

En nátturulega er gert nýja tækni til þess að gera þetta öruggara og síðan gera þrjótarnir nýja tækni til þess að gera þetta öruggara og so on. Þannig er þróunin sem hröðust.

Fyrra álit

phi fyrir 17 árum, 2 mánuðum

Enn og aftur, ég hef ekkert borgað fyrir þess þjónustu og efast um að ég geri það nokkurn tímann. Auðkennislykillinn dregur vissulega úr því að einhver komist inn á minn bankareikning. Svo vil ég bæta við að þessi lykill ver mig ekki aðeins fyrir þjófnaði fjár heldur varðveitir hann persónuupplýsingar, svo sem launagreiðslur, upplýsingar um hvar ég versla o.s.frv. Ég er ekki sannfærður.

Science. It works, bitches.! ^_^

Fyrra álit

Myndarlegur fyrir 17 árum, 2 mánuðum

Myndi nenna að lesa þetta ef þú kynnir að búa til tilvitnun

Texti

Fyrra álit

thom fyrir 17 árum, 2 mánuðum

Það er heldur pínlegt að lesa þessa grein. Ekki einungis vegna þess að hún er illa sett upp heldur líka vegna þess að hún gengur meir og minna út á órökstuddan hræðsluáróður. Skoðum nokkur atriði:

Rapport
En OK ég skal viðurkenna að heimabankarána businessinn á Íslandi er stærri en ég hélt (í krónum talið) en fjöldi rána er óverulegur og takmarkast nær eingöngu við þá sem eiga milljónir inná reikningum sínum.

Þannig að það tekur því ekki að ræna fólk nema það eigi milljónir inni á reikningum sínum? Dettur þér jafnvel í hug að það sé bara ekki fjallað um hin atvikin í fjölmiðlum, ég get t.d. ekki ímyndað mér að bankarnir séu æstir í að upplýsa almenning um það hversu auðvelt er að ræna peningum þeirra.

Rapport
Kemur einnig fram að auðkennisnúmer er gilt í heimabanka í 30 sek (í þeirra dæmi)

Hvað með það? 30 sekúndna reglan á ekki við hjá íslensku bönkunum. Það geturðu prófað sjálfur (það gerði ég og fékk upp villu sem tilkynnti mér að aðgang mínum yrði lokað eftir 3 tilraunir).

Rapport
Það sem sérfræðingar mæltu með var þó að láta notendanafn og lykilorð vera fastan fjölda stafa og svo fyrir hvern staf var fellivallisti (drop down list) með öllum tölu og bókstöfum fyrir kúnan að velja til að skrifa (staf fyrir staf)notendanafnið sitt og lykilorð. Þetta er víst erfiðara fyrir tölvuþrjóta.

Erfiðara en hvað? Erfiðara en að láta fólk bara slá inn lykilorðið beint. Kannski, en ekkert mál engu að síður. Fjármálastofnanir geta því miður ekki reitt sig á það að glæpamönnum finnist “erfitt” að ræna peningum af viðskiptavinum sínum og bara vonað að þeir nenni því ekki.

Rapport
Einnig er hægt að nota eitthvað sem er einkennandi fyrir einstaklinginn, t.d. rödd (notað erlendis), fingrafar (óalgengt) eða jafnvel webcam notað til að meta andlitsfall (í þróun)

Þér finnst semsagt óþægilegt að nota auðkennislykilinn og finnst þægilegra að nota fingrafaragreiningu, raddgreiningu eða andlitsfallsgreiningu? Af hverju ekki bara að fara alla leið og láta tölvuna taka DNA sýni úr notendunum svo að þeir geti loggað sig inn á heimabankann? Einnig vil ég vita hvar erlendis raddgreining er notuð, kannski bara almennt í útlandinu?

Hvað sem öllu þessu líður þá vantar einn haldgóðan punkt í greinina hjá þér. Það er nákvæm útskýring á því hvernig sé hægt að komast fram hjá auðkennislyklakerfinu. Ég er ekki að halda því fram að það sé ómögulegt en hinsvegar vantar algjörlega að þú útskýrir hvernig hægt sé að komast framhjá kerfinu. Einnig hefur þú ekki útskýrt hvernig bankarnir eru að rukka fyrir lyklana.

Persónulega finnst mér (eins og vafalaust flestum öðrum) óþægilegra að nota heimabankann nú en áður en auðkennislyklarnir komu til sögunnar. En maður byrgir víst ekki brunninn eftirá og mér þætti verra ef fjármunum yrði stolið af bankareikningi mínum - og ég veit að það er enginn sem á það lítinn pening að það taki því ekki að ræna hann.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Eins pínleg og greinin er er svar þitt Thom enn pínlegra.

Greininni er gert að leiða í ljós hvernig hræðsluáróður bankanna hefur blindað fólk og fengið það til að taka á móti Auðkennislyklum efasemdalasut um „öryggi“ þeirra.

Þú segir mig ekki rökstyðja mál mitt nægjanlega.

Ég segi þvert á móti, að mitt mál sé byggt á rökum og heimildum þegar við á og ef um mitt persónulega álit er um að ræða, þá tek ég það fram.

Að halda einhverju öðrum fram er ekki röksemdafærsla:

Dæmi:

Þannig að það tekur því ekki að ræna fólk nema það eigi milljónir inni á reikningum sínum? Dettur þér jafnvel í hug að það sé bara ekki fjallað um hin atvikin í fjölmiðlum, ég get t.d. ekki ímyndað mér að bankarnir séu æstir í að upplýsa almenning um það hversu auðvelt er að ræna peningum þeirra.

Sú röksemdafærsla að „mér hljóti að geta dottið eitthvað annað í hug“ er ekki góð eða gild.
Ég rökstyð mál mitt um heimabankarán með heimildum af mbl.is, en þú rökstyður þitt mál um að þau séu fleiri á þessa leið:

ég get t.d. ekki ímyndað mér að bankarnir séu æstir í að upplýsa almenning um það hversu auðvelt er að ræna peningum þeirra.

Eins og ég tók áður fram, þá eru ímyndanir ekki góðar til rökstuðnings.

Hvað með það? 30 sekúndna reglan á ekki við hjá íslensku bönkunum. Það geturðu prófað sjálfur (það gerði ég og fékk upp villu sem tilkynnti mér að aðgang mínum yrði lokað eftir 3 tilraunir).

30sek reglan á víst við hjá íslensku bönkunum, annað væri fáránlegt þar sem fólk er mislengi að stimlpa inn númer og tæknin er mis góð eftir landshlutum.

Farðu í heimabankann þinn, loggaðu þig inn (notandaheiti og lykilorð) þá kemur melding um Auðkennisnúmer, þrýstu á lykilinn… þú getur notað númerið sem bitist í 30 sek, ekki lengur.

Mig dauðlangar að heyra hvernig þú framkvæmdir þína tilraun, þú veist að ég sagði 30sek ekki 30min.

Erfiðara en hvað? Erfiðara en að láta fólk bara slá inn lykilorðið beint. Kannski, en ekkert mál engu að síður. Fjármálastofnanir geta því miður ekki reitt sig á það að glæpamönnum finnist “erfitt” að ræna peningum af viðskiptavinum sínum og bara vonað að þeir nenni því ekki.

Þessu er ég fyllilega sammála hjá þér. Þar sem Auðkennislykillinn er úreltur að þessu leiti finnst mér að leita hefði átt að betri lausn. Ég líkti Auðkennislyklinum við þessa lausn því bæði er c.a. jafn öruggt.

Þér finnst semsagt óþægilegt að nota auðkennislykilinn og finnst þægilegra að nota fingrafaragreiningu, raddgreiningu eða andlitsfallsgreiningu? Af hverju ekki bara að fara alla leið og láta tölvuna taka DNA sýni úr notendunum svo að þeir geti loggað sig inn á heimabankann? Einnig vil ég vita hvar erlendis raddgreining er notuð, kannski bara almennt í útlandinu

Dutch bank ABN Amro has taken the battle against fraudsters a step further by introducing biometric voice verification in phone banking.

Af :

http://news.bbc.co.uk/1/hi/business/4778977.stm

Linkur sem tekinn er fram í greininni. Þú ættir að kíkja á efnið sem greinin er unnin úr áður en þú ferð að gagnrýna mig.

nákvæm útskýring á því hvernig sé hægt að komast fram hjá auðkennislyklakerfinu.

„man in the middle aðferðin“ gengur út á að tölvuþrjóturinn „afritar“ heimasíðu bankans og setur hana upp á t.d. Gitnir.is (mjög líkt).
Sendir svo fórnarlambinu t.d. E-mail um að það hafi unnið eitthvað, það klikkar á linkinn í e-mailinu og fer inná gitnir.is.

Gamla aðferðirn við slíkt „phishing“ var að tölva þrjótsins safnaði saman lykilorðum og notendanöfnum sem voru svo notuð í eina stóra árás á bankann.

Nýja aðferðin gengur út á að gera þetta strax s.s. „man in the middle“ þýðir að það er einhver sem tekur upplýsingarnar frá notandanum og notar þær strax til árásar á bankareikningana hans.

Eru þessar úrskýringar nægjanlegar?

Fyrra álit

thom fyrir 17 árum, 2 mánuðum

Nei þessar útskýringar eru ekki nægjanlegar. Hérna eru nokkrar skemmtilegar lyklaæfingar:

Prófaðu að ýta á takkann á lyklinum þínum. Þú færð númer. Haltu honum svo inni í nokkrar sek. Númerið hverfur. Ýttu aftur á hann. Þú færð nýtt númer. Þessu getur þú haldið áfram og fengið u.þ.b. 10 númer á 30 sekúndna tímabili. Niðurstaða: Það eru fleiri en eitt númer fyrir hvert 30 sekúndna tímabil.

Prófaðu líka að búa til tvö númer á lyklinum þínum (skrifaðu þau niður). Farðu inn á heimabankann með númerinu sem þú fékkst í seinna skiptið og loggaðu þig síðan út. Loggaðu þig aftur inn með fyrra númerinu (innan 30 sek … eða hvenær sem er). Það virkar ekki.

Prófaðu að nú að fá ca. 20 númer. Notaðu 20. númerið til að logga þig inn á bankann. Ef mér skjátlast ekki þarftu að “synca” lykilinn við bankann upp á nýtt með því að slá inn tvö ný samliggjandi númer úr lyklinum.

Prófaðu loksins að fá númer. Bíddu í hálftíma og ekki logga þig inn á bankann á meðan. Sláðu nú inn númerið. Þú ættir að komast inn.

Því sýnist mér þetta kerfi ekki vera tímatengt heldur byggt á númerarunum eingöngu en ég get bara rökstutt það með ofangreindum tilraunum. Ég get ekki fullyrt það.

Rapport
tæknin er mis góð eftir landshlutum

Ég hef ekki gert neinar tilraunir á því en mér finnst óhætt að álykta sem svo að hálfleiðaratæknin virki svipað í Reykjavík og á Vestfjörðum.

Rapport
„man in the middle aðferðin“ gengur út á að tölvuþrjóturinn „afritar“ heimasíðu bankans og setur hana upp á t.d. Gitnir.is (mjög líkt). Sendir svo fórnarlambinu t.d. E-mail um að það hafi unnið eitthvað, það klikkar á linkinn í e-mailinu og fer inná gitnir.is.

Man in the middle byggir conceptlega séð á því að árásaraðilinn gerir sjálfan sig að millilið í samskiptum þínum við það sem þú telur vera treystan aðila. Þetta er hægt að gera með ýmsum leiðum, t.d. með því að spoofa DNS færslur (algengast), með phishing (eins og þú nefndir) en líka er hægt að komast á milli netsamskiptana, t.d. með því að þykjast vera treystur wireless router.

Þetta er það sem kallast phishing, sjá betur hér og hefur orðið hættulegra eftir að IDN var tekið í notkun. Þessi aðferð gæti líka flokkast undir MITM. Ég vil líka taka það fram að það er ekkert “nýtt” við MITM, slíkar árásir hafa lengi verið notaðar í ýmsum tilgangi.

Vandamálið við allar þessar aðferðir (nema phishing) er hinsvegar public/private lykla samskiptin á milli clients (þ.e. notandans) og CA um lögmæti síðu. Browser notandans kannar þannig hvort að SSL auðkennið hjá bankanum sé í lagi með því að fletta því upp hjá CA. Þetta er ekki hægt að spoofa. Reyni árásaraðilinn að nota DNS spoofing og falsa SSL skírteinið (t.d. með því að nota self-signed skírteini) kemur upp aðvörun í vafra. Það er svo undir notandanum komið hvort hann takið slíkar aðvaranir alvarlega.

Rapport
Ég líkti Auðkennislyklinum við þessa lausn (innskot: að nota drop-down box) því bæði er c.a. jafn öruggt.

Þetta er rangt hjá þér, lykillinn veitir meira öryggi. Þú verður að skoða þetta í víðara samhengi. Önnur aðferðin (drop-down box/leyninúmer/músarsmellir) gengur út á að notandi slær sömu runu inn í heimabanka í hvert skipti sem hann fer inn. Það hvort að runan komi af lyklaborðinu, músinni eða jafnvel af snertiskjá skiptir engu. Hin aðferðin gengur út á að notandinn slær inn nýtt slembinúmer sem enginn vissi áður (annar en bankinn). Hvorki notandinn (né vondi kallinn) veit því fyrirfram hvaða númer kemur næst.

Árásin sem þú bendir á með gitnir.is er vissulega möguleg, en það er illmögulegt að koma í veg fyrir hana. Til dæmis þá sé ég ekki hvernig raddgreiningartækni, fingrafar eða jafnvel DNA sýni ef því er að skipta, komi í veg fyrir slíkt svindl. Reyndar tel ég að fingrafarið sé verr til þess fallið en lyklarnir, enda breytist fingrafar einstaklings ekki hverju sinni sem hann skráir sig inn. Því gæti árásaraðili “tekið upp” fingrafarið og einfaldlega “spilað það aftur” þegar hann vildi komast inn á bankann. Sama vandamálið sé ég með raddgreiningartæknina, en það getur verið að þetta vandamál sé leyst þar með því að láta fólk segja nýtt orð hverju sinni sem það loggar sig inn. Þetta vitum við ekki, enda gefur þú engar frekar skýringar á téðri raddgreiningu nema eina setningu um það á fréttavef BBC að þýskur banki noti þetta. Ég hef áður séð rangfærslur hjá BBC, sérstaklega í tæknifréttum og þess vegna vildi ég gjarnan fá nánari upplýsingar um hvernig þessi þýski banki gerir þetta.

Lyklarnir veita þó vissa vörn gegn phishing því að strax og fólk skráir sig inn í hinn raunverulega heimbanka verða allar gamlar númerarunur ógildar. Við megum jú ekki gleyma því að fólki er frjálst að gefa upp lykilorð, auðkennisnúmer og aðrar persónuupplýsingar eins og því sýnist, ef þú vilt sjálfviljugur gefa upp heimabankalykilorðið þitt og lyklarunur á síðu sem heitir “bankhackers.com” þá getur enginn stoppað þig af. Hið sama á við um gitnir.is - það getur því miður fátt sem getur verndað notendur frá slíku dómgreindarleysi. Að vísu hafa nýjustu vafrarnir og póstforrit innbyggða vörn gegn þessu, sem byggir að vísu á blacklistum, en engu að síður töluvert skárra en ekki neitt.

Hvað “ímyndanir mínar” varðar þá er ég einfaldlega að benda á það að sú rannsóknarvinna að googla fréttir af mbl.is sem tengjast heimabankasvikum gefur einungis neðri mörk á tíðni þeirra. Það getur velverið að þetta sé raunverulegur fjöldi innbrota en þú hefur enga vissu fyrir því. Ekki ég heldur fyrir hinu gagnstæða (þar af leiðir orðalagið).

Svar þitt núna var vissulega hnitmiðaðara en upphaflega greinin þín. En það sem mig vantar ennþá frá þér er lýsing á aðferð þar sem aðrar aðferðir en lykillinn koma í veg fyrir innbrot en lykillinn ekki. Það er jú tilefni greinarinnar. Lýstu aðferðinni, skref fyrir skref og auðmerktu vel það skref þar sem aðrar aðferðir veita vörn en lykillinn ekki.

Að lokum vil ég ítreka að ég er ekki þeirrar skoðunnar að lykillinn veiti “hið fullkomna öryggi” og notendur geti því hagað sér eins og kjánar á internetinu. Það væri eins og að hvetja fólk til þess að skilja hurðir og glugga eftir opna þegar það fer í sumarfrí ef það á þjófarvarnarkerfi hvort eð er. Það verða alltaf til leiðir til að svindla á fólki, hvort sem er á internetinu eða annars staðar. Ég er hinsvegar þeirrar skoðunar að auðkennislykillinn sé sú vörn sem skynsamlegast sé að nota eins og málin standa í dag og að hann veiti allt að því nægilega vörn til að verja fólki gegn heimabankaþjófnaði. Hinsvegar gætu bankarnir nýtt þá betur, t.d. með því að láta fólk slá inn nýja númerarunu í hvert sinn sem það ætlar að millifæra pening á annað fólk en sjálft sig. Það kæmi mér ekki á óvart að slík yrði raunin þegar fram líða stundir.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

HA HA… ég gat notað númer meira en korteri eftir að hafa fengið það á lykilinn… (kemur á óvart, ég hef gert einhver mistök þegar ég prófaði þetta fyrst SORRY…

En hvernig er þetta betra? Nú get ég klikkað á Auðkennislykil í vinnunni áður en ég fer heim, farið á kaffihús og tæmt reikninga fyrirtækisins og farið svo heim. Ef ég geng nógu vel frá peningunum ætti enginn að komast að því aðég stofnaði þennan reikning á Cayman… ( við göngum náttúrulega út frá því að Auðkennislykill fyrirtækisins sé geymdur á borði bókarans)

Þegar ég talaði um tæknina milli landshluta þá átti ég við að ADSL sem drífur takmarkað eftir símalínum (t.d. til bóndabæja), þar er notað 56Kb modem (bara dæmi) og ferlið gæti tekið lengri tíma (að skila tölunum alla leið til tölvunnar í RVK)

Þessi „man in the middle“ aðferð sem ég benti á að hægt væri að nota er eina leiðin sem ég veit um þar sem hægt er að „spoofa“ viðksiptavini (eða hvað þú kallaðir það).

Af síðunni sem þú bentir á :

A Universal Man-in-the-middle Phishing Kit, discovered by RSA Security, provides a simple to use interface that allows a phisher to convincingly reproduce any website and capture any log in details entered at the fake site.[31]

Á:

Frétt um “man in the middle” phishing kit

Er nánari útskýrt hvernig þetta „universal“ netinnbrota-kit hefur verið selt á netinu.

En ég er ekki skrifa greinina til að gagnrýna aðferðir tölvuþrjóta, ég er að gagnrýna bankana fyrir að koma með lausn sem er engin lausn, það er enþá hægt að stela peningunum. Tölvuþrjótar setja það líklega ekki fyrir sig að þurfa að skipta um aðferð, þeir geta notað sömu tölvurnar…

Líklega er það rétt hjá þér að drop-down listar séu ekki jafn öruggir og lykillinn, en það þyrfti advanced keylogger forrit (mundi maður halda). Nema eitthvað sem tæki video af skjánum.

Varðandi þýska bankann, þá reyndist það rétt hjá þér að BBC fór frjálslega með sannleikann, þar sem raddgreiningin var fyrir símabanka en ekki netbanka.
Misskilningur BBC

Uppá að finna aðferð sem virkaði betur en Auðkennislykillinn:

Betra en Auðkennislykillinn

Ef þetta er svo borið saman við Auðkennislykla (frá sama fyrirtæki) er munurinn augljós.
Auðkennislykill

Einnig er ágætt að líta inná heimasíðu þeirra sem framleiða Auðkennislykilinn:

AUÐKENNISLYKILLINN HEIMASÍÐA

Þá kemur bersýnilega í ljós að SMART-card útgáfan frá sama fyrirtæki er betri (en stenst ekki samanburð við USB SMART-card systemið…)

SMART frá Todos

USB – lykillinn sem ég benti á er bara handhægari, sniðugri fyrir utan að vera öruggari en Auðkennislykillinn..

En það sem mig vantar ennþá frá þér er lýsing á aðferð þar sem aðrar aðferðir en lykillinn koma í veg fyrir innbrot en lykillinn ekki. Það er jú tilefni greinarinnar. Lýstu aðferðinni, skref fyrir skref og auðmerktu vel það skref þar sem aðrar aðferðir veita vörn en lykillinn ekki.

Það hljómar eins og þú haldir að tilefni greinarinnar hafi verið að lýsa aðferð sem eitthvað annað en lykillin ver okkur gegn.

Það var reyndar ekki tilefni greinarinnar.

Tilefni greinarinnar var hræðsluáróður bankanna og einróma samráð þeirra til að þvinga alla til að nota þetta apparat, sem ég hef sýnt fram á að á sér litla sem enga framtíð því tölvuþrjótar eru núþegar farnir að selja aðferðir á netinu til að komast hjá þessu kerfi.

Auk þessa hef ég bent á þróaðri lausnir sem ættu að vera betri fjárfesting og öruggari kostur fyrir okkur neytendur.

Hræsni bankana að vilja “öryggi” en ekki borga fyrir það nýjasta (sem þeir reyndar ætla að gera hvort eð er með innleiðingu SMART-korta) er einnig tilefni skrifanna.

Ásamt öllum þeim pirring sem þetta veldur mér (já já, ég dey ungur úr kransæðastíflu og stressi)

Ég er bara að læra þessa dagana í skólanum um sniðugar uppgötvanir, innleiðingu tækni hjá fyrirtækjum o.s.f. og þetta case smellpassar inní svona “sunk cost” dæmi þar sem ekki var hugsað til framtíðar.

Fyrra álit

thom fyrir 17 árum, 2 mánuðum

Þú getur líka stolið veskinu af gjaldkeranum en þú gerir það ekki (vona ég). Hann treystir þér til að stela ekki. Lykillinn er aðeins ætlaður til notkunar fyrir eiganda lykilsins. Ef gjaldkerinn telur sig geta treyst vinnufélögum sínum þá skilur hann kannski lykilinn eftir á skrifborði sínu. Ef að vinnufélagar þínir geta ekki treyst þér þá held ég að þú eigir stærra vandamál fyrir höndum en hvort að heimabankar séu öruggir.

Þú bentir á áðan að þú værir reiður yfir því að vera að borga fyrir auðkennislyklana en samt bendir þú á dýrari lausn og segir að hún sé betri. Hvað veistu nema að hún verði úrelt eftir 2 ár? Fyrir 1 ári taldi fólk að það væri nóg að hafa lykilorð inn á heimabankann.

Það eina sem ég er að segja er að þú ert að lýsa því yfir að lykillinn sé ekki nógu öruggur og að það séu til aðrar öruggari lausnir sem væri hagkvæmara að innleiða. Í öllu þessu skulum við ekki gleyma að allur kostnaður bankanna vegna heimabanka og annars hlýtur að endingu að falla á viðskiptavini - í einu formi eða öðru. Öruggasta lausnin er vafalaust að í hvert skipti sem maður vill logga sig inn á heimabanka þá er sendur talsmaður bankans sem aðgætir að þú sért örugglega þú og leyfir þér að halda áfram. Þetta er líklega mjög örugg lausn en aftur á móti gríðarlega dýr og óþægileg og þar af leiðandi ekkert sérstaklega fýsileg. Þess vegna er þetta ákvörðun sem byggir á að vega og meta hvern kost - það dýrasta er ekki endilega best.

Þess vegna vil ég að þú lýsir því nákvæmlega, skref fyrir skref hvar lykillinn klikkar og smart kort ekki. Það er vafalaust til aðferð þar sem þetta á við - spurningin er bara hvort að hún sé nógu raunveruleg í framkvæmd til að verðmunurinn borgi sig. Eins og ég segi, það er tradeoff. Ég sé t.d. ekki að MITM phishing myndi virka á smart kortin en ekki lyklana.

Hættu nú að linka í frétta- og fyrirtækjavefi hingað og þangað (ég held að það kunni allir á google) og útskýrðu þetta bara með eigin orðum. Ef þú getur gert það og sannanlega sýnt að þú hafir rétt fyrir þér er aldrei að vita nema einhver starfsmaður bankanna lesi þetta og láti sannfærast …

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Í öllu þessu skulum við ekki gleyma að allur kostnaður bankanna vegna heimabanka og annars hlýtur að endingu að falla á viðskiptavini - í einu formi eða öðru.

Við skulum ekki gleyma að innleiðing SMART-korta á Íslandi hefu verið fyrirhuguð í langan tíma.

Allur aukakostnaður hlítur því að falla til við innleiðingu auðkennislyklana, ekki SMART-kortanna, þar sem þau koma hvort sem er.

Þess vegna vil ég að þú lýsir því nákvæmlega, skref fyrir skref hvar lykillinn klikkar og smart kort ekki.

Það sem auðkennislykillinn gerir ekki er að dulkóða skilaboðin frá tölvunni til bankans. Með þeim hætti getur einvher gripið inní skilaboðin og notað auðkennisnúmerið, SMART-korta USB-lykillinn dulkóðar númerið þannig að þar er strax komin aukin vörn, sérstaklega ef númerið er time-based en ekki sequence based eins og auðkennislykillinn.

Ef ég á að oma þessu til skila skref fyrir skref (með minni takmörkuðu tölvukunnáttu) þá mun það vera einhvernvegin svona (bear with me)

Smá samanburður :

Með Aðkennislykli þá ferðu inná www.netbanki.is (t.d.) og slærð inn notendanafn, leyninúmer og auðkenni + seinna meir er notað leyninúmer fyrir hvern reikning (ætti að vera auðkenni)

Með SMART-USB setur þú hann inn og hann setur upp WEB-server með sínu eigin IP númeri og heimasíðan sem þú átt að logga þig inná birtist (aukin vörn númer 1 = spes IP númer) og (aukin vörn 2 = engar upplýsingar eru skildar eftir á tölvunni sjálfri) þar sem ainungis hugbúnaður á lyklinum er notaður. Þú loggar þig inn með notendanafni og lykilorði – USB lykillinn auðkennir sig (aukin vörn númer 3 =þetta er gert á dulkóðaðan hátt og því ekki á færi tölvuþrjóta að nota skilaboðin nema afkóða þau innan 30sek) svo aftur hægt að hafa leyninúmer fyrir hvern reikning og/eða auðkenni.

Aukið notagildi USB-SMART-kortsins væri t.d. að hægt er að forrita lykilinn á nýjan hátt ef aðstæður breytast.

Ef þú getur gert það og sannanlega sýnt að þú hafir rétt fyrir þér er aldrei að vita nema einhver starfsmaður bankanna lesi þetta og láti sannfærast …

Hef ég loksins sýnt þér á sannanlegan hátt að bankarnir hefðu getað tekið betur á þessum málum?

Getur þú sannanlega sagt að Auðkennislyklar eigi sér einhverja framtíð eftir að tölvuþrjótum tókst að finna leið framhjá því kerfi?

Sú leið sem ég sting uppá er betri að því leiti að:
1. Ekki er búið að finna leið framhjá þessum búnaði
2. Hann bíður uppá sveigjanleika þar sem SMART-korta USB-blandan er forritanleg að hluta.

Hversu slæm er fjárfesting bankanna í Auðkennislyklum þegar hugsað er til þess að innleiðing SMART-korta hefur verið á dagskrá í lengri tíma?

Það eru hér í lokin nokkrar spurningar (þrjú spurningarmerki) sem mig langar að þú svarir eftir bestu getu.

Mér leikur forvitni að vita hversu málefnalega þú getur svarað þessum þrem spurningum.

Humor me…

Kv.
Rapport

Bætt við 18. febrúar 2007 - 20:57
Þá á ég auðvitað við spurningarnar þrjár sem komu á undan:

Hef ég loksins sýnt þér á sannanlegan hátt að bankarnir hefðu getað tekið betur á þessum málum?

Getur þú sannanlega sagt að Auðkennislyklar eigi sér einhverja framtíð eftir að tölvuþrjótum tókst að finna leið framhjá því kerfi?

Hversu slæm er fjárfesting bankanna í Auðkennislyklum þegar hugsað er til þess að innleiðing SMART-korta hefur verið á dagskrá í lengri tíma?

Fyrra álit

Revenant fyrir 17 árum, 2 mánuðum

Hef ég loksins sýnt þér á sannanlegan hátt að bankarnir hefðu getað tekið betur á þessum málum?

Getur þú sannanlega sagt að Auðkennislyklar eigi sér einhverja framtíð eftir að tölvuþrjótum tókst að finna leið framhjá því kerfi?

Hversu slæm er fjárfesting bankanna í Auðkennislyklum þegar hugsað er til þess að innleiðing SMART-korta hefur verið á dagskrá í lengri tíma?

Þetta er allt spurning um kostnað vs. öryggi vs. einfaldleika. Auðkennislyklarnir kosta lítið, eru öruggir (fyrir utan þennan <40sek tíma) og eru imbavænir. Tími fyrir árás er nú innan við 40 sek áður en auðkennisnúmerið verður óvirkt.

Í sambandi við snjallkortin(SMART card) þá hafa þau, eins og þú bentir réttilega á, verið fyrirhuguð í langan tíma og spurning hvort þau vera innleidd (spurning um hvort þörfin sé fyrir þeim). Innleiðing snjallkorta er miklu stærra batterí heldur en að gera heimabankana öruggari.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Svo ég vitni í sjálfan mig:

HA HA… ég gat notað númer meira en korteri eftir að hafa fengið það á lykilinn… (kemur á óvart, ég hef gert einhver mistök þegar ég prófaði þetta fyrst SORRY…

Auðkenislykillinn er sequence based, því er ekkert sem tengir númerið við tíma…

Hann gefur bara fyrirfram ákveðna röð númera af einhverju tagi…

Prófaðu það bara sjálfur.

Klikka og fá númer, skrifa það niður og næst þegar þú loggar þig inná heimabankann á það númer að virka.

Fyrra álit

thom fyrir 17 árum, 2 mánuðum

Rapport
Það sem auðkennislykillinn gerir ekki er að dulkóða skilaboðin frá tölvunni til bankans.

Nei en SSL gerir það.

Rapport
Ef ég á að oma þessu til skila skref fyrir skref (með minni takmörkuðu tölvukunnáttu)

Mér sýnist þessi takmarkaða tölvukunnátta því miður hafa helgað umræðuna einum of. Ef þú ætlar að gagnrýna auðkennislykilinn á þeim forsendum sem þú ert að gera þá verðuru að hafa einhverja tölvukunnáttu.

Rapport
Hef ég loksins sýnt þér á sannanlegan hátt að bankarnir hefðu getað tekið betur á þessum málum?

Það hefur alltaf legið ljóst fyrir að það hefði verið hægt að finna öruggari lausn, en á kostnað hvers? Virkar þetta USB ævintýri þitt í Windows 95/98/2000/XP, MacOS X/gamla, Linux, … ? Ef ekki, hvers eiga þeir þá að gjalda sem kjósa að nota þessi kerfi?

Rapport
Getur þú sannanlega sagt að Auðkennislyklar eigi sér einhverja framtíð eftir að tölvuþrjótum tókst að finna leið framhjá því kerfi?

Það myndi ég aldrei segja, enda eru auðkennislyklarnir bara tækni, sem eins og önnur tækni, úreldist með tímanum. Mér þykir ólíklegt að fólk verði að nota þessa lykla eftir 5 ár enda afskrifa bankanir líklega þessa fjárfestingu á töluvert skemmri tíma. Það sama á við um usb lyklana þína. Grundvallaratriði í þessari umræðu er það að allar lausnir í tölvuöryggi eru tímabundnar. Hinsvegar hafa “þrjótarnir” þínir ekki fundið leið “framhjá kerfinu”, þeir misnota sér bara vankunnáttu þeirra notenda sem hunsa allar öryggisviðvaranir.

Rapport
Hversu slæm er fjárfesting bankanna í Auðkennislyklum þegar hugsað er til þess að innleiðing SMART-korta hefur verið á dagskrá í lengri tíma?

Að öllum staðreyndum skoðuðum þá er þetta líklega nokkuð góð fjárfesting og vel til þess fallin að draga úr heimabankaþjófnaði og auka traust viðskiptavina til þeirra. Þessi smart kort hafa kannski verið á dagskránni til lengri tíma en það á líka við um aðild að ESB - hvorugt hefur orðið ennþá. Hver á að innleiða þessi kort? Bankarnir, ríkið eða einhver annar? Hver á að borga fyrir þau? Afhverju ættu bankarnir að treysta ríkinu fyrir öryggi viðskiptavina sinna - og ef eitthvað fer úrskeiðis hver ber þá ábyrgðina? Hversu lengi eiga bankarnir að bíða eftir næstu tækni og eiga þeir að sætta sig við að ákveðinn hópur viðskiptavina geti ekki notað heimabankann? Hvenær úreldast kortin sem tækni?

Að lokum: Ekki nota tímabil (30 sek, 40 sek, eða hvað sem er) í þessari umræðu. Ég get ekki séð að það eigi við neinsstaðar.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Jæja hvað er komið, round 8…

Hvað sem SSL gerir, þá ætti það að vera nokkuð staðfest okkar á milli að auðkennislyklanúmer er hægt að keylogga, það er ekki hægt með þessu USB Snjallkorti (flott íslenska loksins)

Mín “takmarkaða tölvukunnátta” gengur út á að ég get kannski ekki útskýrt nákvæmlega hvernig hitt og þetta virkar nema fletta því upp á netinu fyrst, en ég slepp einnig við að útskýra mig með skammstöfunum sem enginn skilur - því líklegra að ég nái að gera mig skiljanlegan. (ólíkt sumum)

Virkar þetta USB ævintýri þitt í Windows 95/98/2000/XP, MacOS X/gamla, Linux, … ?

Skiptir ekki máli, allir driverar og nauðsynlegur hugbúnaður er á lyklinum (eins og ég sagði áðan, ekkert sem er inná harða disk tölvunnar er notað og ekkert skilið eftir) Tölvan þarf því aðeins að vera með USB (reyndar USB-2) Það væri fínt ef þú gætir útskýrt hvað USB er og muninn á USB-1 og USB-2 en mig grunar að U-ið standi fyrir eitthvað eins og “universal” og því ætti þetta að virka eins á öllum tölvum sama hvaða stýrirkefi sú tölva notar og því allar tölvur með USB sem ættu að geta notað lykilinn.

Ég vil einnig benda á að þetta er í raun ekki USB lykill heldur lítið kort sem svipar til kortsins sem sett er í gsm-síma. Það kort er svo sett í litla hulsu sem gerir notendanum kleift að stinga því í samband við tölvu.

Símafyrirtækin eru ekki að rukka feitt fyrir þetta, bankarnir ættu ekki að gera það og hulsan er bara 100% plast og líklega mjög ódýr.

Grundvallaratriði í þessari umræðu er það að allar lausnir í tölvuöryggi eru tímabundnar. Hinsvegar hafa “þrjótarnir” þínir ekki fundið leið “framhjá kerfinu”, þeir misnota sér bara vankunnáttu þeirra notenda sem hunsa allar öryggisviðvaranir.

Þar sem það er grundvallaratriði að allar lausnir eru tímabundnar, væri þá ekki sniðugra að reyna velja eitthvað sem ekki er búið að finna leið framhjá, eitthvað sem gæti aðlagast framtíðinni og eitthvað sem veldur fólki minna veseni…

Ég get ekki séð að fólk verði eitthvað minna fífl við að fá Auðkennislykil. Ef helsta ástæða netbankarána er hvað fólk er mikið fífl ætti að draga úr hlutverki fíflanna… Sbr. USB-lykilinn sem er nánast idiot-proof.. plug and play.

Þegar netþrjótar eru farnir að selja hugbúnað á netinu til að brjótast inní heimabanka, hugbúnað sem kemst í gegnum þetta kerfi bankanna er þessi lykill þá ekki orðinn úreltur? Mér finnst það.
“Sjá fyrr í grein link í frétt um RCA-security”
Svona þrjótar hætta ekki sínu, þeir ganga á blóðlyktina og þegar það fréttist að úrelt kerfi sé í full swing hér á Íslandi, hvert fara þá þessir gaurar í leit að aur?

Að öllum staðreyndum skoðuðum þá er þetta líklega nokkuð góð fjárfesting og vel til þess fallin að draga úr heimabankaþjófnaði og auka traust viðskiptavina til þeirra.

Hljómar eins og auglýsingabrella í mínum eyrum.
“Fáið lykil sem lætur ykkur líða betur, enn er þó hægt að ræna peningunum ykkar”

Þessi smart kort hafa kannski verið á dagskránni til lengri tíma en það á líka við um aðild að ESB - hvorugt hefur orðið ennþá. Hver á að innleiða þessi kort? Bankarnir, ríkið eða einhver annar?

Þetta eru kannski fréttir fyrir þig, en bankarnir eru ekki lengur í eigu hins opinbera. Ég er heldur ekki til umræðu um ESB í kjölfar þessarar greinar.

Fyrst símafyrirtækin geta gefið út hliðstæð kort (fyrir alla GSM) þá ættu bankarnir að geta það sjálfir, nema náttúrulega ef hið opinbera ætlaði sér að gefa út svona lykla líka, því þá væri hægt að sameina allar upplýsingar í eitt Snjallkort.

Ekki halda að ég sé á nokkurn hátt meðfylgjandi ríkisafskiptum í þessu máli, þá erum við fyrst farnir að misskilja hvorn annan illilega.

Ég sagði bara að mörg fyrirtæki og stofnanir geta sameinast um einn lykil.

Hversu lengi eiga bankarnir að bíða eftir næstu tækni og eiga þeir að sætta sig við að ákveðinn hópur viðskiptavina geti ekki notað heimabankann? Hvenær úreldast kortin sem tækni?

Allir með USB-2 ættu að geta notað heimabankann.

Það er líklega hægt með USB-1 (allavega hef ég getað notað allt sem er USB-2 á gömlu fartölvuna frá 96)

Kortin geta aðlagast breitingum í tækni þar sem þau eru forritanleg (t.d. er hægt að geyma símanúmer á sambærilegum kortum í gsm-símum)

Slíkur sveigjanleiki lengir líftíma kortanna að þessu leiti.

Ég vil benda aftur á að kortin eru ekki dýr í framleiðslu. Kostnaður við innleiðingu þessara korta liggur aðalega í endurnýjun búnaðar í verslunum.

en svona eitt í lokin sem mig langar í frekari útskýringar á og er nokkuð persónulegt:

Mér sýnist þessi takmarkaða tölvukunnátta því miður hafa helgað umræðuna einum of.

Hvað áttir þú við með þessu?

Mér finnst alltaf eins og ég þurfi að útskýra allt fyrir þér.

Fyrra álit

thom fyrir 17 árum, 2 mánuðum

Rapport
Hvað sem SSL gerir, þá ætti það að vera nokkuð staðfest okkar á milli að auðkennislyklanúmer er hægt að keylogga

Ég nenni ekki að lesa meira né svara meiru. Ef þú veist ekki hvað SSL er þá er gagnslaust að standa í þessari umræðu við þig.

http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss426_art864,00.html

Þessi grein virðist fjalla um usb kubbana þína og virðist ganga út á að þeir séu ekki jafn öruggir og þú vilt halda. Ég nennti þó ekki að lesa hana. Þú hefur farið það oft með rangt mál hingað til að það er engin ástæða til að treysta á neinar fullyrðingar þínar um kubbana, þ.á.m. fullyrðingar um að þeir skaffi sjálfir sína eigin drivera (innihalda þeir þá líka drivera fyrir stýrikerfi sem eru ekki ennþá komin út?)

Ég vona að þú getir hætt að vera svona pirraður út í auðkennislyklana en ef ekki þá verðuru líklega að hætta að nota heimabanka.

Kveðja,
thom.

Fyrra álit

[Notanda eytt] fyrir 17 árum, 2 mánuðum

Ekki svara þessu þá…

En greinin fjallar um USB “tokens” sem notaðir eru til að logga sig inná tölvur og hvort hægt sé að nálgast innihald harðadisksins án þess að vera með “token”

Sem var víst hægt í öllum tilfellum nema einu með því að starta tölvunni í safe mode…

En mér leikur forvitni á að vita hvenær ég hef farið með rangt mál?

Ekkert sem ég skrifaði í upphaflegu greininni hefyr reynst rangt nema að Auðkennilyklanir eru miera drasl en ég hélt þar sem þeir eru byggðir á talnarunum en ekki tíma eins og ég hélt.

Munurinn á okkur tveimur er að ég hef lesið það sem þú hefur vitnað í (þessi tvö skipti) og í bæði skiptin hefur það “backfired”

Fyrst bentir þú á Wikipedia þar sem linkur var á grein um RCA-security (það er fyrirtæki sem fólk ætti að treysta) þar sem lýst var hversu mikið og stækkandi vandamál “man in the middle” aðferðin er.

Svo vitnar þú í þessa grein nú í seinasta svari sem fjallar um eitthvað allt annað en við höfum verið að ræða um. Enda segir þú “virðist fjalla um” en letin í heimildaöflun eða enskukunnáttan hlítur að hafa staðið í vegi þínum.

Þegar ég hugsa út í það, þá hafa einu rökin sem komið hafa frá þér verið voðalega persónulegar skoðanir, engar tilvitnanir eða rökstuðningur umfram þín orð. Þú hefur ekki getað komið með sterkari rök en það…

þ.á.m. fullyrðingar um að þeir skaffi sjálfir sína eigin drivera (innihalda þeir þá líka drivera fyrir stýrikerfi sem eru ekki ennþá komin út?)

Hér eru upplýsingar um USB-lykilinn

t.d.

What’s more, you can use the Internet Smart Card to access the contents of Web portals. The Internet Smart Card controls the login procedure and security is ensured through SSL/TLS technology. The Internet Smart Card acts as a genuine network device and autonomously encrypts the entire data transfer with the service provider. Direct communication with the external server ensures that no sensitive data ends up on the PC.

Communication between the Internet Smart Card and the PC (browser) takes place via the powerful USB protocol. Traditional card readers and card driver software are not required.

Maður þar ekki að vita hvað SSL er til að geta rökrætt um heimsku bankanna í þessu máli.

p.s. ég ætla minna þig á að svara þessu ekki

Fyrra álit

[Notanda eytt] fyrir 17 árum, 1 mánuði

Ég veit að nú er langt um liðið…

En ég bið þig að kíkja inná www.skilriki.is

Þessi USB lausn sem ég minntist á er raunverulegri en ég hélt og mun nær samtímanum en maður bjóst við…

Fólk er byrjað að nota þetta…

Það er meirasegja dæmi um hvernig þetta er notað fyrir heimabanka…

Kv.
Rapport

Fyrra álit

killjoker fyrir 17 árum, 2 mánuðum

Takk fyrir góða grein.

þessi lykill ver mig ekki aðeins fyrir þjófnaði fjár heldur varðveitir hann persónuupplýsingar, svo sem launagreiðslur, upplýsingar um hvar ég versla o.s.frv. Ég er ekki sannfærður.

Ekki ég heldur.

Fyrra álit

Deiglan

Deiglan

Ofurhugar

Hverjir eru inni

Greinar

Ófá orð um Auðkennislykilinn, hlutverk hans og gæði þjónustu Auðkennis hf.

Dýr

Dægurmál

Fræði

Leikir

Lífið

Lífsstíll

Margmiðlun

Menning

Skjár

Sport

Tónlist

Tækni

Vélar

Hugi