Är Swedbanks nya dosa lika säker?

Tror ni att den är lika säker som förra dosan? Min första tanke var att jag inte behövde skriva in ett nummer som kommer upp på skärmen först utan istället direkt får ett nummer från dosan. Förhoppningsvis så finns det inget mönster som en hacker kan lista ut gällande alla dessa engångsnummer, för ifall det finns ett mönster som kan knäckas för specialister så räcker det med att du har ett backdoor "virus" eller dylikt, som är relativt vanligt. Med helt slumpvis valda nummer på dosan så krävs det att hackern antingen hackar swedbanks kod-databas (inte troligt) eller att de använder "man in the middle" attack mot dig (ovanlig hacking-metod) för att sno dina pengar.

Jag har inte så bra koll på sånthära och det är möjligt att det inte är någon skillnad alls gällande säkerhet mellan dosorna.

Utan att ha minsta aning så känns det ganska spontat att det vore korkat att göra en ny dosa som inte lika säker som den förgående eller ännu säkrare.

Den nya dosan är minst lika säker som de gammla det finns inget mönster i engångskoder och skulle det nu göra det så är det ju fotfarande så att dom behöver ditt personnummer ihop med rätt kod vidrätt tillfälle vilket i princip och teori skulle vara omöjligt. BTW om du gör bankärenden på så osäkra nätverk så dom skulle va lätta offer för man in the middle attack så bör du kanske se över din it-säkerhet


är ju ingen expert på man in the middle testade en gång och så långt som jag kom då så kunnde jag se vad personen gjorde för sökningar på googel och vilka resultat han/hon fick. men jag kunde ju ine direkt ändra något. man in the middle bygger ju på att alla packet går vi din dator en hacker skulle väl som mest kunna se samma sak som du ser på din skärm utan att kunna ändra något eller??

Dock, så är faktiskt det osäkrare utan en "challenge".

Vitsen med en challenge är att låsa requesten till föregående response, så att även om en hacker ligger och lyssnar passivt, för att sedan när dem får ditt personnummer och engångskod, då skicka samma personnummer och engångskod till banken, och hoppas på att hackerns paket anländer innan kundens paket.

Det kräver iofs att requesten är okrypterad, vilket den inte är. I vissa studentnät kör dem dock en central variant av "SSLStrip" för att ta bort SSL mellan klient och skolbrandvägg för att kunna se så studenterna inte bryter mot ToS.


Vitsen med en challenge, är altså, säg att jag sitter på ett trådlöst nät och lyssnar. Jag ser en kund som:

GET / HTTP/1.1
blablabla
personnummer=123456-7890&engangskod=123456

Jag kan då blixtsnabbt, innan denna request är färdig och sluttecken är färdigt, då posta samma request (replay-attack), och hoppas att MIN request blir färdig innan kundens request.

I så fall kommer kunden få felmeddelandet "Engångskod redan använd" medans jag är inne.
Detta kan givetvis kombineras med andra metoder, såsom skicka någon liten störning i mitten av "personnummer" så att paketet får en felaktig CRC och sedan får skickas om.


Om vi däremot har en challenge, så kommer kunden få säg challenge 81234567 och jag kanske får challenge 91351357
Då kommer en svarskod som för kunden som är 123456 inte vara giltig för mig.


Fördelen med en challenge är också att man kan låsa det till tid baserat på challenge, så att challengen är giltig i säg 5 minuter. Det gör då att man slipper problem med tidssynk mellan dosorna.

En challenge, om dosorna inte använder någon klocka - är också säkrare, för annars om dosorna bara kör på rullande koder helt utan klocka, så kan man ta någons dosa, skriva ner ett antal koder, och sedan kunna gå därifrån och använda dem nerskrivna koderna.
Med challenge så måste man veta vilken kod som ska knappas in i dosan för att få rätt "response".



Så kort och gott, challenge är faktiskt säkrare, men mer kompicerat för kunderna.