Säkerhetshål Bank-ID

När allt detta nu började och bank-id sa att man skulle uppdatera så försökte jag detta. Kunde dock inte hitta någonting med uppdatering i mobilen under bank-id. På mina banksidor fanns ingen info alls om att det skulle vara problem heller. Men sen efter någon dag kom det uppdatering av bank-id automatiskt. Min undran nu är om detta är den uppdateringen av säkerhetshål eller någon annan typ av uppdatering?

Är du trög? Läste du inte SVD länken?

http://www.svd.se/pensionsfifflare-u...ingsliv:debatt

Så här har det gått till: telefonförsäljaren ringer och vill tala om premiepensionen, ber pensions*spararen starta sitt mobila e-leg för att titta på innehavet. Innan samtalet har säljaren startat en inloggning hos Pensionsmyndigheten genom att ange pensions*spararens personnummer. När spararen sedan startar sitt *mobila e-leg ligger säljarens inloggning först på kö. Spararen loggar då ovetandes in försäljaren, som kan byta alla fonderna mot andra fonder


Tror du bedragaren har användarens bank-ID när han kan logga in utan?


Sidaccessen hanteras efter inloggning med nycklarna/tokens för att förhindra att någon annan får till gång till sidorna. Bank-ID använder inga nycklar, det är det som gör att alla andra kan gå in på samma sida som användaren när han är inloggad.

Journalisterna på Computersweden är inga programmerare, de är journalister och inget annat. De har kallat det för kanaler för att lekmän som du ska förstå vad de pratar om. Det finns inget som heter "kanaler" i detta sammanhang. Tycker du ska maila de som skrev artikeln och fråga vad de menar med "kanaler".

Ja, för utan nyckel kan alla andra som vill logga in på den sida du själv loggat in på göra det också.


2-factor authentication brukar vanligtvis handla om att sända ett SMS till användaren, efter detta skapas en nyckel så att klienten och servern kan kommunicera utan att någon annan kan surfa in på samma sida.


Alla appar kommunicerar via HTTP. Nästan alla appar använder SSL kryptering. Det har allt att göra med sessionhantering om du surfar tex via webb. Sessionnycklar i en dator är samma typ av nycklar som skapas i en android app. Nycklar är ett bra samlingsnamn för dessa saker.


2-factor authentication brukar vanligtvis handla om att sända ett SMS till användaren, efter detta skapas en nyckel så att klienten och servern kan kommunicera utan att någon annan kan surfa in på samma sida.


Bank-ID använder inga nycklar för att då hade ingen bedragare kunnat komma åt användarens sida utan att vara inloggad.

Det du pratar om multi-factor authentication brukar vanligtvis handla om att sända ett SMS till användaren, efter detta skapas en nyckel så att klienten och servern kan kommunicera utan att någon annan kan surfa in på samma sida.

Kan man inte identifera en användaren till den session som gjorde inloggningen ska ej inloggning kunna genomföras. Allt annat är en säkerhetsrisk. I Bank-ID fallet så kan en annan session logga in på din inloggning.

Jag är ledsen, men det går inte att svara dig mer. Du förstår helt enkelt inte vad andra skriver, och är i den egen lilla värld.

Jag skulle tro att du är van vid att utveckla inom de snäva ramarna för en webbapplikation där andra tillhandahåller ett framework som du tar för givet. Det är sålunda självklart för dig att du arbetar inom en plattform, att nycklarna tillhandahålls genom en implementation av http(s) i denna trygga sandlåda, och du har enfaldiga fördomar som att vissa saker 'vanligtvis handlar om sms'

Det är givetvis nonsens.

Jag fortsätter, men till eventuell fördel för andra som läser detta. Låt oss titta på följande stycke och se vad som är fel, utifrån scenariot jag tidigare skildrade med bankid, en windowsdator och en surfplatta.

"2-factor authentication brukar vanligtvis handla om att sända ett SMS till användaren, efter detta skapas en nyckel så att klienten och servern kan kommunicera utan att någon annan kan surfa in på samma sida."

Exemplet Authenticator:
- Applikation i Windows, Macos, Linux. T ex Lastpass. Alltså ingen webbsida. Andra program är t ex appleinloggningar av olika slag, steam, microsoft-konton i deras plattformar...
- Authenticator i Android på surfplatta. Inga sms!

Exemplet Bankid:
- Applikation i Windows. Eller den buggiga i Linux.
- Mobilt bankid på Android. Inga sms!

Alltså: Vi kan inte begränsa two-factor authentication, eller ett system som bankid som omfattar banker, myndigheter m.m, till att bara ske i en webbläsare. Den ingår i en större och bredare tradition, med corba, rpc, message queues, applikationsservrar av olika slag ( t ex ejb).
Detta är en självklarhet som inte borde behöva diskuteras mer.

Som tillägg till mitt förra inlägg kan man här se hur begreppet session troligen reduceras till en http session inom ett framework.

Bankid kan inte reduceras till något sådant. Om man ska tala om session där så sträcker det sig över flera olika plattformar och protokoll.

Signeringen kan t ex innebära en transaktion som involverar flera banker, och som kan gå fel. Det kan bli nödvändigt att göra en rollback över flera plattformar. En vanlig arkitektur för detta i stora banker är ejb, Corba Transaction RollBack, message queues och en websphere server. Detta är mycket långt från en fråga om designen av en webbsida.

Det var du som tog upp frågan om multifactor authentication

Kanske du som ska läsa på vad multifactor authentication innebär?

https://en.wikipedia.org/wiki/Multi-...authentication


Mobile phone two-factor authentication, where devices such as mobile phones and smartphones serve as "something that the user possesses", was developed to provide an alternative method that would avoid such issues. To authenticate themselves, people can use their personal access license (i.e. something that only the individual user knows) plus a one-time-valid, dynamic passcode consisting of digits. The code can be sent to their mobile device by SMS or via a special app.




Authenticator använder nycklar precis som alla andra inloggninar, hur tror du annars de kan kommunicera med varandra?


Det var du som frågade om multifactor authentication, och jag förklarade vad det var.


Vem har påstått det? Alla dessa system använder nycklar för att kommunicera klient till server vid en inloggning. Hur tror du annars de kan kommunicera med varandra?

Jaha, det verkar som om besserwissrarna här är eniga om en sak, även om dom å det grövsta beskyller varandra för ignorans på de flesta andra områden. Och det är, att det INTE är säkrare att logga in via bank-id på datorn, som jag trodde.
Varför fattar jag inte, men vill inte göra det.Verkar vara för komplicerat - för mig.
Men tråkigt är det.

Egentligen har jag redan avslutat diskussionen med dig, eftersom Dunning-Kruger effekten blir för magstark. Men just denna specifika fråga kan ju intressera någon.

Du skrev tidigare: "När du besöker en sida så skapas en nyckel för att hålla reda på vilken klient det är som efterfrågar informationen, men informationen går på samma lina som alla andras."

Min kritik av detta: "Men jag undrar vad du menar med nycklar i detta specifika sammanhang.

"När du besöker en sida så skapas en nyckel"

För att ta en annan teknik, 2-Step Verification med Google Authenticator, vad är nyckeln där?

Det är uppenbart ingenting som har med http att göra, ej heller med kryptering. Det har inget som helst att göra med någon sessionshantering genom cookies eller andra objekt.

Vad jag kan se så skapas helt enkelt ingen 'nyckel' av det slag du antyder med google's 2 step. Och inte heller med bankid. "

Poängen med min kritik är inte att kommunikationen skulle ske utan nycklar av något slag, konkret eller abstrakt, utan att din beskrivning är alldeles för snäv, och begränsar sig till t ex en http session.

Authenticator kan använda olika metoder, en av dem är TOTP.
https://en.wikipedia.org/wiki/Time-b...word_Algorithm
Givetvis kan vi hitta element i TOTP att kalla nycklar.
Authenticator med TOTP fungerar 'offline', alltså om man på ren svenska är nedkopplad. Noll internet. Inget http.

Men nu var det inte journalisten som använde det begreppet men inte ens det lyckades du ta till dig. Problemet med dig är att du har lärt dig några tekniska termer och tror att det gör dig till expert men du har extremt djupa kunskapsluckor och total oförmåga att ta till dig information.

Du förstår inte ens att bankid inte har något med accesskontroll till bankens information att göra. I inlägg efter inlägg visar du att du är så totalt förvirrad på så många punkter att en helt oteknisk person har större möjligheter än dig att förstå det mest grundläggande kring detta.


Ja det är inte utan anledning som bankid med kort eller fil på senare tid har börjat tillämpa de principer som mobilt bankid haft från början. Det finns klara fördelar med att låta identifieringar och signeringar gå via en helt separat kanal och gärna på en helt annan device (mobil). Bankid på fil är vidare sämre än bankid på kort eftersom det då öppnar upp en möjlighet för ett virus att kopiera filen samt att lyssna av koden. Inte lätt förstås men det är bra om man kan utesluta den möjligheten.

Men störst möjligheter att attackera säkerheten har man genom att på olika sätt angripa användaren som alltid är en viktig och känslig länk i säkerheten, och det är precis det vi har sett. Människor luras på olika sätt att göra dumma saker som leder till att säkerheten forceras. Ett värre exempel på det var för några år sedan när bedragare lyckades beställa Telias eleg utgivna för några kända/rika personer. Dessa eleg kunde bedragarna hämta ut på några små utlämningsställen, t.ex. på Ica i Saltsjöbaden dit Christer Gardells eleg skickades. Dålig personkontroll ledde alltså till att en bedragare fick eleg som kunde användas för att logga in och skapa nya bankkonton i offrets namn. Offret gjorde här inget fel och var inte ens inblandad.

Min teori är att detta egentligen inte är ett så supertstort säkerhetshål som media vill lyfta det till. Säkerligen en brist, men det krävs väldigt särskilda omständigheter för att kunna utnyttja den, så som att bedragaren dels har personnummer, telefonnr samt kontaktar personen, personen godkänner inloggningen (två gånger tom)

Eftersom de ansvariga för BankID inte kan gå ut och säga att det är pga folk är korkade som det funkar att utnyttja på detta sättet, så säger de istället att de släppt en uppdatering av appen för att lugna folk och återställa förtroendet. Nu kan det ju vara så att det var något de faktiskt har fixat, svårt att veta när man inte hört exakta detaljer, även om man kan misstänka att förfarandet är likt det med pensionsmyndigheten som några nämnt tidigare.

Om de har fixat något så gissar jag att det har med kösystemet att göra, där appen/BankID-systemet ogillar alla samtidiga försök av autentisering med samma unika BankID ev. begränsat till samma tjänst.