Säkerhetshål Bank-ID

Nej precis, bankid på fil är mindre säkert än mobilt bankid.

Wow, vad i helvete om detta stämmer? Då kan man ju sitta och spamma inloggningen om man tagit reda på när ett offer vanligtvis betalar sina räkningar. Nån gång kanske man får tajmingen rätt och så vips är man inne. Vissa tjänster kräver ytterligare en legitimering men ändå.

Det finns en del skydd mot detta som t.ex. att inloggningen avbryts om två sessioner påbörjas samtidigt men jag har inga detaljer om hur detta säkerhetshål ser ut.

Det finns inget som tyder på att användaren har gett bort sina koder under ett telefonsamtal med bedragaren.

Det verkar mer vara att programmerarna som gjort Bank-ID saknar basala kunskaper.

Programmerarna verkar inte veta att man måste hålla reda på vilken session som gjorde inloggningen och därefter autentisera kommunikationen mellan servern och klienten med en nyckel så att servern kan skicka rätt informationen till rätt klient och utestänga alla andra. Skiter man i detta så räcker det med att en användare loggar in på "mina sidor" för att den ska vara öppen för alla andra klienter som går in på samma sida som användaren under dennes session.

Så bedragaren behöver bara be användaren att logga in för att bedragaren ska kunna gå in på samma sida under tiden användaren är inloggad, inga koder behöver uppges. Alternativt kan bedragaren sitta och testa lite då och då om användaren är inloggad och gå in på sidan.

Det är ofattbart dåliga programmerare som gjort dessa appar, trodde fan inte det var möjligt att någon kan få anställning med så låga kunskaper.

Kan programmerarna inte mer än såhär så garanterar jag att Bank-ID har massvis med andra säkerhetshål.

Jag gissar att det t.o.m är ännu värre:
Programmerarna både kan och förstår bättre, men anställningen kräver ett "non disclosure"...

Eftersom bolaget "sålt in" tjänsten på en alltför "användarvänlig" nivå!

http://www.di.se/artiklar/2016/5/23/...sionspengarna/


Konsumentkraft gjorde samma sak mot kunderna, detta är skrivet 24 maj 2016. Så detta har media tagit upp förr utan att Bank-ID mupparna gjort något åt problemet.

Det jag inte förstår är en sak.

Det är olagligt att kapa någons id, men ett bank id som är en slags ID är ok att kapa? Bara i Sverige.

Systemet blir inte mindre användarvänligt bara för att man skapar en autentisering. Tror mer det har att göra med okunskap, de vet helt enkelt inte vad håller på med.

Hur kom du fram till den slutsatsen?




Det är snarare du som inte förstår hur mobilt bankid fungerar och är tänkt att fungera.


Hur tänker du dig det?

Det är snarare lätt att ha synpunkter och tro att de som har implementerat det är okunniga när man själv inte förstår hela konceptet.

Med det bevisar du att du saknar programmeringskunskaper. Hade du haft några kunskaper i det här skulle du veta att det inte är användaren som gör autentiseringen utan programmet. Användaren loggar in på sitt vanliga sätt och märker inte vad som sker i bakgrunden när autentiseringen görs. I fallet med Bank-ID görs ingen autentisering när användaren loggar in utan servern skickar ut informationen till vem det än är som vill komma åt sidan oavsett vem det är.


Varför svarar du när du inte vet något om hur en autentisering och tokens fungerar?

Så när jag frågar dig hur du tänkte dig en bättre lösning så visar det att jag saknar programmeringskunskaper resonerar du. Med detta visar du att du saknar förmågan att dra logiska slutsatser.


Nu råkar du prata med en utvecklare som har jobbat med bankid men du saknar helt tydligt förståelse för hur mobilt bankid fungerar.

Du skrev: "Hur tänker du dig det?" När jag skrev att systemet inte blir mindre användarvänligt om man använder autentisering. Hade du kunnat nåt om programmering hade du vetat det fortfarande bara är login:et som användaren behöver göra oavsett autentisering eller ej.


Haha visst, Dra den om tomten också. Men om du nu arbetat med Bank-ID så har du ju i tråden med dina "kunskaper" visat varför säkerhetshålet finns.....