mboost-dp1

Sikkerhedsfejl ved NETBANK/NEMID


Gå til bund
Gravatar #1 - coday
23. jan. 2012 09:04
Hej, jeg har opdaget en sikkerhedsfejl ved min netbank, der gør at jeg kan logge ind uden at bruge nøglekortet. Hvem skal jeg kontakte, min bank eller NEMID?
Gravatar #2 - Hånter
23. jan. 2012 09:06
Ikke nogen.
Flere banker har med vilje gjort sådan, så man ikke skal bruge nøglekort for at logge ind på netbanken. Skal du derimod betale regninger/overførsler osv., skal du bruge dit nøglekort.
Gravatar #3 - coday
23. jan. 2012 09:12
#2 Nå okay, hvornår har de gjort det, fordi at tidligere har jeg skulle bruge det. Så er det blevet lavet om inden for 2 uger?

Bruger AL bank hvis det hjælper.

EDIT: Jeg kan så svarer på mit eget spørgsmål, det er noget der lige er ændret og altså ikke en sikkerheds fejl.

/thread
Gravatar #4 - Ronson ⅍
23. jan. 2012 09:32
Det var så l... DAMN IT! Læg dog ordentligt op til det.
Gravatar #5 - Hånter
23. jan. 2012 09:36
Ronson (4) skrev:
Det var så l... DAMN IT! Læg dog ordentligt op til det.


I don't get it. Hvad er det du prøver på at sige Ronron? Og hvornår skal vi have en dejlig kold øl igen?
Gravatar #6 - Alrekr
23. jan. 2012 10:08
Hånter (5) skrev:
Ronson (4) skrev:
Det var så l... DAMN IT! Læg dog ordentligt op til det.


I don't get it. Hvad er det du prøver på at sige Ronron? Og hvornår skal vi have en dejlig kold øl igen?


Han ville gerne have et "Tak for hjælpen" så han kunne sige "Det var så lidt"

Bare for at følge op på #3:

https://www.al-bank.dk/netBank_frame.htm skrev:
Fra den 18. januar 2012 skal du ikke længere benytte dit NemID nøglekort, når du logger på Netbank. Dit NemID nøglekort skal kun benyttes første gang, du foretager en godkendelse, efter du er logget på Netbank. Klik på knappen: Hjælp - øverst til højre på denne side, for at få flere oplysninger
Gravatar #7 - Alrekr
23. jan. 2012 10:16
Nå. Jeg ser nu et par sikkerhedsproblemer. Nu kan man logge ind med NemID-adgangskoden alene. En adgangskode som ikke er case-sensitive. Samtidig er der kommet følgende tilføjelse i Vilkår for Anvendelse (af AL-netbank):

3.1.8 Ved anvendelse af AL-NetBank skal kunden sikre, at AL-NetBank eller den relevante applikation til AL-MobilBank er distribueret af Arbejdernes Landsbanks edbcentral, som er Bankernes EDB Central (BEC)


Et tjek, som er nær umuligt, jf. Kasperds tråd om sikkerhedsproblemer i NemID.
Gravatar #8 - Ronson ⅍
23. jan. 2012 10:19
Hånter (5) skrev:
I don't get it. Hvad er det du prøver på at sige Ronron? Og hvornår skal vi have en dejlig kold øl igen?
En dag hvor jeg ved det i forvejen så jeg kan tage noget pænt tøj på.
Gravatar #9 - Hånter
23. jan. 2012 10:23
Så øhm... Hvornår er det så? Altså, nu ved jeg jo, at det skal planlægges i god tid, så din kære moder kan nå at vaske dit tøj osv.; men engang i næste uge perhaps? Eller nu på fredag?
Gravatar #10 - Ronson ⅍
23. jan. 2012 10:44
Fredag er fin.

Jeg skal se om jeg kan overtale min mor til at vaske tøj..
Gravatar #11 - Hånter
23. jan. 2012 10:55
Omkring kl. 15:00? Så kan jeg også nå hjem fra Aabenraa og what not.

Yes - husk lige at hilse hende fra mig :)
Gravatar #12 - LinguaIgnota
23. jan. 2012 10:58
Ha, så skal I bolle! Og Ronson skal... erm, pis også. :(
Gravatar #13 - myplacedk
23. jan. 2012 11:02
Alrekr (7) skrev:
Nu kan man logge ind med NemID-adgangskoden alene.

Det er slækket sikkerhed. Tanken er, at så længe man kun kan kigge, er der grænser for hvor slemt det er. Bad guys vil normalt stjæle penge, og for dem er denne ændring ikke så væsentlig.

Problemet er mere kendte/vigtige personer, hvor det faktisk ER interessant at bryde ind, bare for at kigge.

Alrekr (7) skrev:
En adgangskode som ikke er case-sensitive.

Det er til gengæld overhovedet ikke et sikkerhedsmæssigt problem.

Alrekr (7) skrev:
Et tjek, som er nær umuligt

Den slags er svært at læse for "den almindelige borger". Men som jeg læser det, står der bare at kunden skal gøre en indsats. Altså man skal ikke bare følge linket i en mail til http://myplace.dk/hack/al-bank/netbank, men rent faktisk tænke sig en smule om. Og det synes jeg da er ganske fair. Det er almindelig sund fornuft (for dem som har tænkt lidt over det), og det vil omgå de fleste phishing-forsøg.
Gravatar #14 - kasperd
23. jan. 2012 11:08
coday (1) skrev:
Hej, jeg har opdaget en sikkerhedsfejl ved min netbank, der gør at jeg kan logge ind uden at bruge nøglekortet. Hvem skal jeg kontakte, min bank eller NEMID?
I det her tilfælde lyder det som om der nok ikke var noget hul, men blot en misforståelse af hvordan tingene burde fungere. Det gør dog ikke spørgsmålet mindre relevant. Det er stadig værd at vide, hvem man skal kontakte, hvis man finder et hul.

Min umiddelbare anbefaling vil være at du først kontakter din bank. Det er der flere grunde til at jeg vil anbefale.
- Hvis du på et senere tidspunkt skulle miste penge pga. sikkerhedshullet vil jeg mene du står stærkere, hvis du kan dokumentere at du har gjort banken opmærksom på hullet i tide.
- Banken burde have en større interesse i sikkerheden af netbanken end Danid har. Det er ikke Danids penge der kan blive hugget, og dårlig omtale påvirker ikke Danid, da nogen har besluttet at Danid skal have monopol og derfor ikke kan miste markedsandele.
- Bankens softwareudviklere burde være de bedste til at vurdere om hullet skyldes fejl i nemid eller i bankens egen software.
- Danid har historisk set ikke været særligt gode til at reagere om henvendelser om sikkerheden.

Når det er sagt vil jeg også sige at man behøver ikke nødvendigvis at holde sig til at kun rette henvendelse til banken. Man kan sagtens henvende sig til banken og Danid på samme tid.

Hvis hullet man finder er alvorligt nok vil jeg sige at man nok bør rette henvendelse til begge parter på samme tid. Og samtidigt vil jeg sige at et alvorligt hul bør de have lukket indenfor 24 timer, de systemer som nemid anvendes til er kritiske nok til at jeg ikke mener det er acceptabelt at lade et alvorligt hul stå åbent i over 24 timer.

På den anden side er mine personlige erfaringer med Danid så dårlige at jeg ikke selv ville kontakte dem, hvis jeg fandt et hul, da jeg ikke tror på at de ville lukke det. Så jeg ville nok vælge at holde oplysningerne for mig selv indtil jeg finder en person som både tager sikkerheden alvorligt og er i en position til at gøre noget ved det.

Sidstnævnte skal dog ikke ses som nogen anbefaling. At jeg har haft dårlig erfaringer med Danid bør ikke afholde andre fra helt at prøve at kommunikere med dem.
Gravatar #15 - kasperd
23. jan. 2012 11:11
myplacedk (13) skrev:
følge linket i en mail til http://myplace.dk/hack/al-bank/netbank,
Linket virker ikke. Jeg fik bare en fejlmelding, og da jeg indtastede mit password i tekstfeltet øverst til høje skete der heller ikke noget.
Gravatar #16 - Alrekr
23. jan. 2012 11:18
#13
Så du kan ikke se et problem i, at adgangskodens entropi er slækket, samtidig med at sikkerheden slækkes?
Gravatar #17 - kasperd
23. jan. 2012 11:33
Alrekr (16) skrev:
adgangskodens entropi er slækket
Det kommer an på længden af adgangskoden. Hvis de samtidigt med at case sensitive blev droppet øgede kravet til længden af adgangskoden med 15%, så er den samlede entropi ikke blevet reduceret.
Gravatar #18 - Ronson ⅍
23. jan. 2012 11:44
Hånter (11) skrev:
Omkring kl. 15:00?
Jeg har fri kl. 15, så ja.
Gravatar #19 - Hånter
23. jan. 2012 11:56
Og hvor i Kolding er det lige du arbejder? ^^
Gravatar #20 - Systran
23. jan. 2012 12:10
Kolding Storcenter. Følg nu med, Hånter! Det er vist ret billigt at tage derhen med offentligt transport, har jeg hørt...
Gravatar #21 - Hånter
23. jan. 2012 12:17
Jamen han arbejder da vel ikke i Centret?!
Eller Ronron? Er der et eller andet jeg har misforstået helt vildt? Du render da rundt og fixer tanskstationer og sådan noget edb-halløj hos dem?

ANSWER ME!!!
Gravatar #22 - myplacedk
23. jan. 2012 12:23
Alrekr (16) skrev:
Så du kan ikke se et problem i, at adgangskodens entropi er slækket,

Den er ikke slækket. Mig bekendt har de ikke ændret den siden NemID blev åbnet officielt...

Alrekr (16) skrev:
samtidig med at sikkerheden slækkes?

...og dermed giver det ikke mening at snakke om noget "samtidigt".

Men nej, jeg kan ikke se noget problem med entropien. Kan du?

(Jeg er træt af at skrive den lange forklaring. Du får bevisbyrden denne gang.)
Gravatar #23 - Ronson ⅍
23. jan. 2012 12:30
Hånter (19) skrev:
Og hvor i Kolding er det lige du arbejder? ^^
Gilbarco Veeder-Root.
Gravatar #24 - Alrekr
23. jan. 2012 12:37
myplacedk (22) skrev:
Den er ikke slækket. Mig bekendt har de ikke ændret den siden NemID blev åbnet officielt...



De har ikke ændret den, nej. Men ift. at jeg indtastede en kode med store og små bogstaver og tal (f.eks. gZ8JYya9), hvor der var forskel på store og små bogstaver til tjek, mens alle kombinationer af store og små bogstaver er accepteret når oden igen skal indtastes. Jeg havde ikke det store problem tidligere (pga. 2-faktor sikkerhed), men nu ser jeg et problem.

Med andre ord: Adgangskoden er ikke blevet slækket (som du forstod det jeg skrev), den har altid været slækket.

Og dermed giver det mening at snakke om noget samtidig.

Det er selvfølgelig ikke et generelt NemID-problem, men kun et problem for os med Arbejdernes Landsbank.
Gravatar #25 - Hånter
23. jan. 2012 12:40
Ronson (23) skrev:
Gilbarco Veeder-Root.


Yes, og så vidt jeg ved, er det ikke i Kolding Storcenter? ^^

Men så har vi en date fredag omkring kl. 15:15 på Eiffel - hvor Linge kommer og kigger på?
Gravatar #26 - Ronson ⅍
23. jan. 2012 12:47
Hånter (25) skrev:
Yes, og så vidt jeg ved, er det ikke i Kolding Storcenter? ^^
Ikke mig bekendt, nej. Det ligger trods alt også på platinvej hvor storcentret ligger på vejlevej - eller måske har det fået sin egen sidevej.

Uanset hvad må jeg konkludere at jeg ikke arbejder i kolding storcenter.

Hånter (25) skrev:
Men så har vi en date fredag omkring kl. 15:15 på Eiffel - hvor Linge kommer og kigger på?
Vi kigger på og lingu boller.
Gravatar #27 - Hånter
23. jan. 2012 12:48
Yes. Sådan gør vi det.
Gravatar #28 - Systran
23. jan. 2012 12:59
Jeg var så sikker på, jeg havde ræsonneret rigtigt... Eller måske vil jeg bare slet ikke have, at I skal mødes. Jeg vil ikke have homoerotik på video her på mit newz.
Gravatar #29 - Hånter
23. jan. 2012 13:00
Jamen lille Sysser da... Du kan jo bolle med Linge på Café Eiffel i Kolding Storcenter på fredag kl. 15:15, mens Ronron og jeg kigger på, hvis du føler dig forbigået?

Vi kan jo ikke alle lave orgier hver weekend, som dig, Linge, Fjernfarve og MiniSnøvs :(
Gravatar #30 - LinguaIgnota
23. jan. 2012 13:07
Hov hov, Sysser var ikke med i lørdags. Han havde tyndskid eller sådan noget.
Gravatar #31 - Hånter
23. jan. 2012 13:08
Men derfor ville i stadig ikke have mig med? :(
Gravatar #32 - LinguaIgnota
23. jan. 2012 13:12
Sådan er det, når man kommer fra Jylland og taler sjovt. Men altså, du gik heller ikke glip af så meget - vi spillede Trivial Pursuit og så Melodi Grand Prix. Jeg lod i øvrigt Mikhail vinde, når nu det var sidste gang vi sås i nogle måneders tid.
Gravatar #33 - myplacedk
23. jan. 2012 14:54
Alrekr (24) skrev:
Men ift. at jeg indtastede en kode med store og små bogstaver og tal (f.eks. gZ8JYya9), hvor der var forskel på store og små bogstaver til tjek, mens alle kombinationer af store og små bogstaver er accepteret når oden igen skal indtastes.

Det er selvfølgelig skidt. Men det var ikke det du brokkede dig over.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login