Säkerhetshål Bank-ID

Det skulle vi kunna diskutera om du hade haft någon som helst förmåga till logiskt tänkande eller tekniska kunskaper men min fråga gällde hur du tänkte dig denna bättre lösning som inte skulle försämra användarvänligheten och detta har du inte svarat på. Istället snöar du in på helt andra saker som jag inte ens har berört.


Nej jag känner inte till detaljerna i det här fallet och kan därför inte redogöra för hur det påstådda säkerhetshålet ser ut. Däremot har jag redogjort för hur hur man kan ta sig in genom att lura en användare att utföra identifiering med bankid. Läs mer om det i mitt första inlägg i tråden om du vill lära dig något istället för att bara vräka ur dig okunskap.

Det finns inget säkerhets håll rent tekniskt.

Hela nyhetten handlar om att en bedragare loggar in på din bank eller nån myndighet med din person nummer och ringa och be dig att knappa koden på din bank id.

De hoppas att du ska knappa koden utan att titta på meddelandet som säger "Swedbank" eller sånt.

Super alvarligt, men folk är medvetet om den sedan dag ett.

Det är samma problem om nån ringer dig och fråga vad är din lösenord, hur ska du förhindra den utan att gör det svårt för en ärlig användare att logga in på tjänster?

Nej du har missuppfattat nyheten.

Det handlar om en bedragare som ringer och ber dig att logga in själv på ditt bankkonto. Du går till din banks hemsida och fyller i ditt personnummer, och trycker på "nästa".
Du får sedan BankID-popup på mobilen och autensiterar dig.

Medans du gör detta så har bedragaren också gått till din banks hemsida och fyllt i ditt personnummer. Och här handlar det då om vem som trycker på "Nästa" först. Om bedragaren hinner före så innebär det att du loggar in bedragaren på ditt konto och inte dig själv.


Och det är en rätt så allvarlig brist, vilket hade kunnat löst med en "skärmkod", QR-kod eller liknande som måste slås/scannas in i BankID-appen.

Så summa sumarum är att det rent tekniskt inte finns något säkerhetshål i själva appen/programmet (i befintlig version av BankID) -folk som blivit av m pengar har istället blivit lurade av duperande scammare som ringt upp? Om så, varför detta mantra om att det skall släppas ny version/uppdatering av tjänsten om säkerhetsrisken inte ligger i själva tekniken? En PR manöver för att visa att "man tar ansvar" när det hela har uppmärksamats av media, och man vil därmed lugna kunderna?

Skulle vara bekvämt att slipp uppdatera, men om säkerhetsrisken sitter i den befintliga teknologin (snarare än den lättlurade användaren) blir det ju nödvändigt?

Ungefär så har jag uppfattat det också även om detaljinformationen lyser med sin frånvaro. Men om man försöker med två webb-sessioner på det sättet med påbörjar bankid-inloggning så ska den bryta. Förmodligen har inte användaren fattat trots detta och istället lurats att försöka igen och logga in bedragaren.

Förmodligen rätt stor klantighet från användarens sida men därmed inte sagt att det inte finns fog för att göra förbättringar.

Jag vet inte hur du kommit till denna slutsats. Det är ju ett gigantiskt säkerhetshål i hur BankID fungerar!

När du t ex får besked i mobilt bankid att du ska knappa in din kod för att logga in på din bank, så får du bara besked om namnet på banken. Du utgår från att det handlar om din egen inloggning som godkänns via koden. Men det kan alltså vara någon helt annan person som får logga in, någonstans, på en annan dator!

Exakt hur detta går till med den senaste exploiten har jag dock inte tittat på. Det har varit liknande exploits nyligen där man ska ha täppt luckan. Sedan länge har man haft metoder för att undvika att det sker två samtidiga inloggningar, men de metoderna har uppenbart inte varit heltäckande.

Det krävs fortfarande 2st inslag av koden igen för att överföra pengar till ett ej ännu inlagt konto.

Bankdosan var faktiskt ännu osäkrare innan de bytte till engångskod på inloggningen.

Tidigare då det var enbart challenge/response och hackarna lätt kunde styra om adressen i kundens egen router krävdes egentligen bara 3 st "inloggningsförsök" innnan pengarna var borta.
1. Hackáren loggar in
2. Lägger till sitt konto
3. Verifierar överföringen

Tyvärr borde fler få insikt i hur enkelt man kan bli lurad om man inte kollar vad som står på skärmen i BankID eller dosan. Men jag tror knappt 8/10 skulle reagera om hela sessionen gick över HTTP istället för https.

Det är du som saknar tekniska och logiska kunskaper. Du behöver först lära dig hur man gör en inloggning, efter det kan vi snacka

Här är en start:
http://blog.udinic.com/2013/04/24/wr...authenticator/


Jasååå? Låter det så nu? Nyss var ju du mr.expert på Bank-ID.


Men ditt nöt. Hade autentiseringstoken använts hade det inte spelat någon roll om någon annan surfar in på samma sida som den inloggade användaren, den hade inte släppts in

Varför ger du dig själv inte sparken från ditt jobb?

Vilket massa jidder du kör med men du har ännu inte beskrivit hur du skulle kunna göra det säkrare utan att gör det krångligare för användaren, är du bara en tom tunna som skramlar eller ska du redogöra för ditt förslag?

Du verkar inte ens förstå att identifieringen sker över en annan kanal än web-sessionen, har du ingen koll alls borde du dämpa ner dig lite.

Nej, bedragaren behöver bara surfa in på sidan samtidigt som användaren är inloggad. Banken gör ingen autentisering för att säkerställa att rätt användare får tillgång till informationen.

Men snälla lilla du, sluta skriv en massa skit när du inte har någon som helst koll på det här.

Kan mycket väl vara just så, att man gör något för att förtroendet ska upprätthållas och inte av tekniska orsaker. Men det kan också vara någon marginell förbättring som har med hur bankid bryter identifieringen när den detekterar två samtidiga webb-sessioner, eller hur lång tid det krävs innan ett nytt försök får göras efter det. Alternativt tydligare meddelanden till användaren via bankid-appen. Det är några tänkbara förbättringar som kan göras med kort varsel.