Hur fungerar egentligen bankdosor/bank id

Den har som tidigare förklarat i tråden ingen kontakt med din telefon.
Intressant att man byggt in detta som funktion dock.

Bra att en bankdosetråd kommit igång här, tänkte göra en förut men glömde. Det var på TV om att hackers kan passa på att flytta pengar från en bankkunds konto så det ser ut som om kunden gjort det själv samtidigt som kunden är inloggad och Swedbank har länge haft en text om att det kan flyttas max 150 tusen på grund av trojaner.

Nu undrar jag, hur kan detta vara möjligt när det egentligen är omöjligt med Swedbanks dosa som måste ge godkännandekod till sådana transaktioner? Skulle hackersen sitta och köra sin trojan så kunden hypnotiseras till att knappa in dosan för att få godkännandekod till en så konstig väntande transaktion eller maskeras transaktionen så kunden tror den godkänner en annan normal transaktion?

Det är nog en blandning av webinject och att vänta på godkänd transaktion. Betalar du 50kr till Pelle så finns det kod bakom det kunden ser som ändrar betalningen(mottagare och summa).

sperrmannen: Nej dosan kan inte veta om kortet är spärrat.

Men i chippet finns en krypteringnyckel, som är omöjlig att extrahera ur kortet. Utifrån den nyckeln kan man generera koder. Varje kort har en unik krypteringsnyckel, så varje kort kommer generera unika koder.

Du kan prova själv, prova att skriva in samma "challenge" + PIN-kod medans du har olika VISA-kort insatt i läsaren så kommer du se att du får olika svarskoder, även om det är du som äger alla kort.

Säg att du har 3 VISA-kort varav du spärrar ett som är borttappat.

Bankens verifieringsfunktion kan då typ se ut såhär (Fx är en funktion som givet challenge och hemlig nyckel, räknar ut svaret - samma funktion finns i chippet på ditt kort. Kx är en hemlig nyckel, denna finns också både i chippet och hos banken):

Kod som visas på skärmen: "123 456"

F1("123456", K1) = "84218392" (Kort 1)
F2("123456", K2) = "83725472" (Kort 2)
F3("123456", K3) = "03368443" (Kort 3)

Du spärrar kort 2.

Bankens server kommer nu bara acceptera svaret "84218392" och "03368443" som svar på challenge "123 456" när ditt personnummer anges. Om svar 83725472 anges så kommer banken säga att kortet är spärrat för den ser att svaret 83725472 är uträknat med nyckeln som tillhör det spärrade kortet.

Men den kortlösa dosan från Swedbank måste få en inkod som bankens datacentral alstrat baserat på exakt den specifika transaktion som ska godkännas. Det där "50kr till Pelle" har ju sin egen inkod till dosan som måste vara helt annorlunda än någon bakomliggande maskerad 150 tusen till trojanskötaren.

Idiotsäkert ska ändå vara att efteråt, innan man loggar ut, kolla igenom alla tre typlistor för transaktionshändelser och om kontonas saldon stämmer. Sen logga ut och vara helsäker på att samma siffror sitter där nästa gång man loggar in. Kontofiffel, det är något som bara drabbar slarviga som har bråttom.......???

ja exakt. Det finns 2 varianter.
Swedbank kör varianten att inkoden är kontonumret när du lägger upp kontot som godkänt, och inkoden är beloppet när du slutför transaktionen.

Alla de med kort+TODOS-dosa (Nordea, Ica, Handelsbanken) har istället något som kallas för dynamisk riskvärdering, vilket innebär att challenge-koden innehåller en bitmask som säger om transaktionen är av högre risk, och då frågar dosan dig om belopp, kontonummer och sådant, och detta förändrar då svarskoden.
http://www.slideshare.net/peter_gull...urity-solution

Länsförsäkringar bank och jag tror SEB kör också med sådant system, är att allt du angett i transaktionen HMACas ner till ett challenge-värde, varav detta måste stämma. Har man ändrat i hidden-formuläret som innehåller transaktionen så är det ett annat challenge-värde som gäller och då gäller en annan svarskod, därför säger den fel svarskod i så fall.

Chris Paget har ett defconsnack om det här.

I varje kort finns 2/3 CVC-koder där de första är det synliga resp magnetremsa. Dessa ändras inte. Sedan har du en CVC kod på chipper som ändras. Typ som en räknare. Så länge som dina koder motsvarar ett svar längre fram i serien så är det ok. Tar du ett längre bak ifrån så spärras kortet (finns säkert olika policys här).

Så varje gång kortets chip blir avläst så ändras nyckeln, i regel med ett hopp. Internetbanken håller sedan koll på senaste inloggningen.

Dosorna bör jobba på samma sätt.

Kan man ha Bank ID på fler än en tex Iphone och Ipad, Iphone och Sony Xperia Z1 osv?

Beror nog på banken. Skandiabanken har en gräns på max 3 st Bank-ID enligt deras information.

Jag har en svart Bankdosa med åtta siffrors kod och en sexåring kan lista ut algoritmen. Nuförtiden vill de att man ska skaffa e-legitimation och då behöver du bara knappa in din privata kod som du hittat på själv (vfsh). Allt sköts sen automatiskt via din mobil eller ett datorprogram etc.

Intressant läsning. Jag reagerade själv just på att svarskoderna tycks väldigt förutsägbara ibland.