Mit netbank-design!

Lad os et øjeblik glemme alt on NemID og tanken om et fælles offentligt identifikationssystem. Lad os tillade os at drømme lidt og ikke være bundet af hvordan verden så ud i sidste uge. Hvad ville så være et realistisk design af en netbank?

Vi skal opfylde tre krav. Banken og kunden skal genkende hinanden, uvedkommende skal ikke kunne lytte med og endelig skal banken og kunden være enige om hvilke handlinger banken skal foretage for kunden.

Autentifikation

Når phishing er muligt skyldes det i høj grad et manglende fokus på at kunden skal kunne genkende banken. SSL certifikater og websteder med genkendeligt design og velformuleret sprog er ikke sikkerhed nok. I stedet for bare at kræve at kunden skal dokumenterer at han kender til et kodeord, skal vi ligeledes kræve at banken også dokumenterer at den kender kodeordet. Det kaldes "mutual authentification".

Denne genside autentifikation kan ikke implementeres i en java-applikation som banken kontrollerer, da det netop er den der skal garanterer os at vi virkelig taler med banken. Derfor skal gensidig autentifikation indbygges i browseren. Det kræver dog en standard, men den er muligvis på vej.

Som en del af autentificeringen kan denne metode bruge parametre fra den underliggende SSL-forbindelse. Dette sikrer at selve SSL-forbindelse er oprettet af nogen der kender kodeordet. Dermed fjerner vi muligheden hvor en angriber opsnapper autentificeringen i real-tid. Selvfølgelig vil det ikke skader både at have et korrekt EV-certifikat og at lægge certifikat oplysninger i DNS.

Roller

Rettigheder skal ikke hænge uløsligt sammen med brugere. Det skal være let at delegerer rettigheder fra en bruger til en anden og disse rettigheder skal være tilpas fintmaskede.

Det kan for eksempel være voksne børn der skal have lov til at foretage visse handlinger på vegne af deres ældre forældre.

Autorisering

Selv med en ordentlig autentifikation bør alle transaktioner autoriseres selvstændigt. Egentlig ville jeg gerne have en digital signatur der dækkede hele transaktionen: Et tidspunkt, et fortløbende transaktions-id og for pengeoverførelse et beløb en afsender-konto og en modtager-konto. Selvfølgelig foretaget af en ekstern enhed der ikke kunne angribes på sammen måde som en normal desktop computer. Som digital signatur kunne jeg i dag godt levet med HMAC-SHA med en delt hemmelighed.

Men den får vi nok ikke lige den normale kunde med på, men lad os ikke forfalde til laveste fællesnævner. Giv kunderne flere muligheder: Stol på bankens webapp, autoriser modtageren eller autoriser hele transaktionen. Hvilket niveau af sikkerhed en kunder kræver kan så afgøres som en del af rollesystemet.

Det er dog et krav at formen på autoriseringen er åbent defineret. Det gør det muligt at implementerer tredjeparts programmer, der eftertjekker autorisationer.

Oversigt

Ovenstående er selvfølgelig ikke et fuldt funktionelt design. For eksempel kræver det at browserne skal implementerer en endnu ikke godkendt standard.

Men det indeholder tre grundlæggende forventninger, som jeg ikke ser opfyldt af min banks nuværende system: Genside genkendelse, brugbare rettigheder og autorisation der kan efterprøves uafhængigt.

Kommentarer (53)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Poul-Henning Kamp Blogger

Et af de allerstørste problemer med netsikkerhed er, at for 99.9999% af brugerne er SSL ren magi og de har ikke en snebolds chance på Merkur for at vide eller finde ud af hvad der er op og ned.

En af de ting et nøglekort, som kendt fra Jyske Bank og senere NemID, faktisk bringer til, er at banken viser at den kender indholdet af nøglekortet.

Det er ikke nogen stærk identifikation eller authentikation, men det har ikke desto mindre totalt elminieret alt andet end real-time MiM attacks.

Sikkerhedsmæssigt er det et meget stort fremskridt og det er ikke afhængigt af om SSL virker, eller om folk forstår hvorledes SSL virker.

Den eneste måde at opnå næste niveau af sikkerhed, er at få etableret en sikker platform i brugernes hænder.

Priserne på hardware taget i betragtning, burde flg være muligt:

Byg en tablet baseret på open source software, hvor softwaren ikke på nogen måde kan modificeres efter produktion. (ROM, ikke flash!) og tabletten har ikke noget skrivbart non-volatile storage, overhovedet. Hvis man tager batteriet (3 AAA celler) ud, glemmer den alt.

Vi skal bruge op imod en million stykker, så de kan laves godt og billigt.

Tablet'en kender et og kun et certifikat som den stoler på, dette certifikat administreres af DataTilsynet.

Tablet'ens eget certifikat er signeret af DataTilsynet og indeholder kun tablettens serienummer som identifikation.

DataTilsynet bruger deres certifikat til at signere SSL-certifikater for myndigheder og danske virksomheder, hvis webservice lever op til en verificering af kvalitet & sikkerhed.

Hvis borgerne bruger en sådan tablet til at gå på netbank, har vi styr på SSL sikkerheden og certifikaterne.

Det er selvfølgelig en smule upraktisk at skulle bruge en sådan device, men der er intet der forhindrer bankerne I at tilbyde differentieret service:

Hvis du bruger tabletten og den udleverede to-faktor authentikation, er bankens lovpligtige erstatningsansvar minimalt. (Der bør dog stadig screens for mistænkelige overførsler til Nigeria osv. men det er kundeservice overfor svagttænkende borgere.)

Hvis banken accepterer at du bruger noget andet end tabletten, har de det fulde erstatningsanvar og den fulde bevisbyrde for at bevise at det faktisk var den/de for kontoen underskriftsbemyndigede person der initierede transaktionen.

Formodentlig vil det betyde read-only adgang til web-bank fra PC'er (alternativt højere gebyr for manuel kontrol af alle transaktioner) og read-write kun fra tabletter.

Det kunne jeg fint leve med.

  • 10
  • 3
#4 Casper Bang

Byg en tablet baseret på open source software, hvor softwaren ikke på nogen måde kan modificeres efter produktion. (ROM, ikke flash!) og tabletten har ikke noget skrivbart non-volatile storage, overhovedet. Hvis man tager batteriet (3 AAA celler) ud, glemmer den alt.

Ja for vi er jo så gode til at skrive software helt uden fejl! Og selv om tabletten er "låst", så er det rent teknisk stadig muligt at klone den - og så meget mere værd at forsøge, eftersom ingen vil tro at den kan kompromiteres. At du er til sådanne låst og propriatær hardware/software kommer lidt bag på mig.

  • 10
  • 7
#5 Søren Hansen

Der står ingen steder i PHK's forslag, at nogen af de involverede dele (hardware, software, etc.) skal være "proprietære". Hvor får du det fra? At det ikke kan ændres er ganske uafhængigt af udviklingsmodellen og/eller licensen.

Desuden kan du da klone den lige så tosset, du vil. Du skal stadig bruge en privat nøgle, der er digitalt underskrevet af Datatilsynet.

  • 6
  • 1
#6 Casper Bang

Der står ingen steder i PHK's forslag, at nogen af de involverede dele (hardware, software, etc.) skal være "proprietære". Hvor får du det fra? At det ikke kan ændres er ganske uafhængigt af udviklingsmodellen og/eller licensen.

Hvordan synes du NemId løsningen tager sig ud og hvar får dig til at tro det ville være anderledes med en tablet?

Desuden kan du da klone den lige så tosset, du vil. Du skal stadig bruge en privat nøgle, der er digitalt underskrevet af Datatilsynet.

Naturligvis... men det har jo ikke noget med MiM aspektet at gøre, som er det primære PHK's indlæg handler om - en sikker platform.

  • 0
  • 3
#7 Patrick Mylund Nielsen

Noget bankerne kunne gøre med NemID i dag, er at kræve et login/OTP-auth ved enkelte transaktioner. Der er ingen grund til at ét successfuldt phish skal give fuld og "permanent" adgang til kontoen. Det største argument mod er vel, at koderne på papkortet vil blive opbrugt for hurtigt.

Noget som chipTAN (Tyskland) ville være meget interessant--en separat terminal, der ikke er tilkoblet noget netværk, og som viser hvilke beløb, du overfører, og til hvem, også selv om pc'en er kompromitteret.

  • 5
  • 0
#8 Jeppe Boelsmand

Det er ikke ret fleksibelt at knytte al nyttig interaktion med banken til en enhed. Hvad hvis banken gerne vil bruge enheder som webcamera, mikrofon eller hvis du gerne vil gemme dit budget. Er afledt rapportering ok at lave fra en PC? Skal jeg betale min regning fra tabletten og så gemme og emaile pdfkvitteringen fra min pc bagefter? Jeg tror hellere jeg vil sende min bank en SMS hver gang jeg har lyst til at logge på. "NetBank asdfee33" -> 1221 Email fra banken "Du bad kl bla bla om at logge på netbank. Du skrev asdfee33 i sms'en. Click her http://netbank.dk/sha256-hash-der-er-gyldigt-i-10-min/logonside for at logge på." Og det syntes jeg også er en meget middelmådig ide.

  • 1
  • 0
#9 Poul-Henning Kamp Blogger

Hvordan synes du NemId løsningen tager sig ud og hvar får dig til at tro det ville være anderledes med en tablet?

Nu er du decideret fatsvag at høre på: Hvis du læser Peters oplæg var det netop et forsøg på at gøre det rigtigt, hvis du læser mit indlæg var det meget tydeligt at der var tale om et åbent design.

Du er velkommen til at være parnoid og skeptisk overfor alle mulige ting, men lad være med at lægge os ord i munden, det skal vi nok selv tage os af.

  • 4
  • 11
#11 Michael Nielsen

Minder meget om det jeg kalder en krypto terminal..

Men jeg ser det som en svaghed at bruge en terminal der kobles direkte på nettet, fordi hvis der er huller i designet, kan en hostile overtage tablettet, og får fuld kontrol.

jeg mener stadigvæk at en de-coupled enhed med en skærm - kan godt være en tablet. men som ikke har nogen direkte forbindelse til nettet er vejen frem.

Hvad jeg mener her er at i stedet for at ændre browserer m.v. kan man via HTML5 få adgang til divs lokal storage... Det eneste man så skal er at tage den forspørgsel man har genereret mellem banken og dig (via en browser), ligge den ned i noget shared storage (mellem din enhed - feks en tablet), men hvor der ikke er netadgang til tabletten... Men tabletten, finder den fil der bliver skrevet i shared storage, og reagere på den, ved at læse indholdet, verificere den mod divs certifikater, som tabletten stoler på, og tillader brugeren at signere, og skrive en ny fil - et svar på den som browseren skrev..

Ved at decouple, minsker du chancen for at systemet bliver hacket, eller sårbare over for viruser...

Man kan feks benytte bluetooth, wifi, usb kabl til at lave denne storage decoupling med.

Dog mener jeg en tablet er for upraktisk stor at slæbe med, måske en smartphone lignene ting, men igen den kan hackes, og er derfor problematisk..

Det der er vigtig.

  1. decouple kommunikation med krypto enheden, således det ikke er muligt at inject kode ind på den, det eneste der deles er non-executable storage, hvor fra data kun kan læses og skrives, og en hver divergering fra formatet der er aftalt, medførere automatisk afvisning - reducere derved muligheden for buffer-over/under flow, og code injection.

  2. Privat nøglen er stored i tamper-proof hardware, som selv generer nøglen, og denne nøgle aldrig forlader hardwaren, og ikke KAN læses, derved begrænser man hackere meget.

  3. Der skal fortages en fysisk aktion for at kunne signere, eller gennemfører en transaktion - feks tryk på en knap - dette besværliggørere livet betydeligt for en hacker, en tablet/smartphone er et dårligt valg her, fordi "knappen" er virtuel, og kan simuleres af software, således decoupling bliver vitalt.. Grunden til den fysiske aktion er at det ikke er muligt at lave sådan en fysisk aktion via software (derved skal man snyde brugeren), den fysiske knap bør direkte være en mekanisk aktion der aktivere krypterings delen.

  4. ikke kræve CA funktionalitet, fordi dette betyder du har en 3. part du stoler på, og hvis denne hackes er du sårbar... CA funktionalitet kan godt bruges til lav sikkerheds ting, men ikke for høj sikkerhed.

mvh mike.

  • 2
  • 0
#12 Peter Stricker

En af de ting et nøglekort, som kendt fra Jyske Bank og senere NemID, faktisk bringer til, er at banken viser at den kender indholdet af nøglekortet.

Nej! Du overser en vigtig forskel på Jyske Bank og NemID.

At NemID appletten viser en nølge, som findes på nøglekortet, viser ikke, at banken kender indholdet af nøglekortet. Det viser kun at den tredjepart som banken kræver at kunden stoler på, kender indholdet af nøglekortet. Og dette kendskab er på ingen måde en sikker identifikation af banken, da samme nøglekort anvendes på tværs af de organisationer, borgeren kommunikerer med.

  • 1
  • 0
#14 Mads Randstoft

Logisk set står vi i dag med 3 problemer i 2 kategorier i forhold til sikre logins og kommunikation med vores bank, det offentlige etc.

Kategori et: Transaktions sikkerhed problem et: Hvis vi authentikere en 3. part (hacker, via phising eller andet) har denne fuld transaktionsadgang. problem to: Certifikater kan kompromitteres da alm. brugere ikke ved hvordan de tjekkes og vores værktøjer ikke nemt giver adgang til dette.

Kategori to: Problem et: Vi har ingen anelse om hvem vi egentlig snakker med, da det kun er os der skal identificere os, men vi må stole på at dem vi snakker med er hvem de siger de er (vores bank, bibliotektet etc.) og vi har ingen mulighed (jfr. kat 1 problem 2) for at tjekke dette.

Løsningen ligger ikke lige for. En lukket platform (alá tablet) vil ikke være mere sikker end implementeringen, selvom om den benytter åbne std. vil den ikke nødvendigvis være sikker, hvis et hul findes vil det ikke være muligt at beskytte nogen, da platformens hardware skal opgraderes.

Det er ikke muligt at beskytte folk mod sig selv, derfor vil det altid være muligt at lave social engineering angreb af en art. Alt hvad vi kan gøre er at gøre det nemmere at opdage og sværere at hoppe på dem.

  • 1
  • 0
#15 Peter Makholm Blogger

...glemmer vi ikke her at NemID også bruges til offentlige myndigheder ?

Jo, men det er som sagt ret bevidst. Vil vi virkelig stille os tilfreds med en middelmådig netbank, bare fordi det offentlige manler en samlet login-løsninger? Vil vi virkelige stille os tilfreds med en middelmådig offentlig login-løsning bare fordi vi overlader opgaven til finanssektoren?

Så lad os træde et skridt tilbage og spørger os selv hvad vi forventer af en netbank og hvad vi forventer af et offentligt login-system. Først bagefter kan vi overveje det rationelle i at dele moduler mellem de to problemer.

Et offentligt login-system vil formodentlig have et tilsvarende krav til gensidig genkendelse, men jeg tror det vil kræve meget mere fokus på rettighedssystemet og det er noget mere uklart hvad der identificerer en handling som skal autoriseres.

På den anden side er der et helt uudforsket område med at ikke alle myndigheder har behov for at vide lige meget om ens identitet. Et godt design for et offentligt identitetssystem bør for eksempel også understøtte delvis autentificering hvor servicen bare kræver at brugeren er inden for et vist aldersinterval, bor i en bestmt kommune elller bare at brugeren bare kan identificeres ved en unik ikke-personhenførbar reference.

  • 3
  • 0
#16 Jørgen Elgaard Larsen

Det er fint nok med al den snak om netbanker, men jeg synes at I tænker for meget i browsere.

Jeg så gerne, at man gjorde noget mere for at lave åbne API'er til diverse tjenester - såvel netbanker som offentlige tjenester.

Hvor dejligt ville det for eksempel ikke være, hvis mit økonomisystem selv kunne indberette moms og udløse betalingen til SKAT? Uden at jeg skal nørde med papkort og dongles, naturligvis.

Det vil naturligvis være mit eget ansvar at holde økonomisystemet fri for slyngler - men det kunne nok gå, hvis økonomisystemet brugte et certifikat, der kun gav adgang til at indberette moms og betale penge til SKAT.

Samtidig vil jeg naturligvis gerne beholde muligheden for at gå ind i en netbank eller på en offentlig hjemmeside og bruge den funktionalitet, som jeg ikke lige har en troværdig applikation til at håndtere.

Til det vil jeg bruge et andet certifikat, som jeg eventuelt har lagt i escrow hos en udbyder efter eget valg.

Web-banken og den offentlige hjemmeside kan så sende mig forbi escrow'en for at identificere mig. Det kunne være en infrastruktur svarende til den, der benyttes til kortbetalinger på nettet i øjeblikket. Bortset fra, at jeg ved, at jeg kun må indtaste mit password/papkortnummer/RSA-token-tal/whatever på min escrow provider's hjemmeside. Min escrow provider kan passende så samtidig vise, hvad det er, jeg er ved at skrive under på.

Jeg er klar over, at der stadig er en risiko, hvis min PC bliver totalt ownet - men igen gør det måske ikke så meget, hvis jeg på forhånd ret finmasket har defineret, hvad mit certifikat hos escow'en har rettigheder til.

  • 2
  • 0
#17 Mads Vanggaard

De fleste brugere vil ikke være i stand til at lægge et certifikat, nøgle eller andet hos en ekstern part. De vil ikke kunne gøre det meste af hvad alle her kan eller kan finde ud af. Så PHK er inde på noget af det rigtige med et device bygget hertil. Hvis vi kan lave en/flere løsning til tablet, mobil og PC brugerne så er vi kommet tæt på mål.

  • 0
  • 0
#18 Thomas Søndergaard

En netbank behøver ikke være ubrydelig, den skal are være svære t bryde ind i end andre netbanker. Efter KISS-princippet vil jeg foreslå at de aktuelle løsninger suppleres med ekstra sikkerhedstjek når

  1. der overføres penge til en konto, som ikke står på "faste modtagere-llisten
  2. der ændres/tilføjes til faste modtagere listen

Det ekstra tjek kan laves ved at banken sender en smskode, eller ringer op og fortæller koden på dansk.

De 2% der ofte har brug for at overføre penge til fremmede konti kan ved en opringning til banken (eller anden lidt bøvlet proces) fravælge sikkerhedstjekket.

  • 0
  • 0
#19 Casper Bang

Nu er du decideret fatsvag at høre på: Hvis du læser Peters oplæg var det netop et forsøg på at gøre det rigtigt, hvis du læser mit indlæg var det meget tydeligt at der var tale om et åbent design. Du er velkommen til at være parnoid og skeptisk overfor alle mulige ting, men lad være med at lægge os ord i munden, det skal vi nok selv tage os af.

Jeg ved ikke lige hvornår jeg har lagt nogen ord i munden, og jeg undrer mig over hvordan "...baseret på åben software..." som du skriver bliver ensbetydende med at der er tale om et åbent design - de to har da nul og nix med hinanden at gøre?

Det kan godt være du ikke er vant til kritiske spørgsmål, men derfor holder jeg nu stadig fast i at dét at producere 4.000.000 tablets kun til brug af bank-transaktioner er tåbeligt på ufattelig mange åbentlyse måder.

Hvad når en fejl opdages det skal patches? Hvordan tror ud GreenPeace ser på dette udspil? Skal forretningsfolk nu til at rende rundt med 3 - 6 tablets som de gør p.t. med NemID kort? Osv. osv.

Jeg har da sjældent oplevet dig så aggressiv og bastant, bedre held med at få det rigtige ben ud af sengen i morgen kammerat.

  • 12
  • 3
#20 Per Andersen

Ud fra at systemet skal være simpelt og enkelt at bruge for alle og når man samtidig holder det op i mod det relative lille antal netbank indbrud. Så har vi efter min mening den løsning i NEMID der er et "realistisk design af en netbank".

  • 1
  • 4
#21 Jacob Larsen

Som jeg ser det, så behøver netbank sikkerhed ikke at være 100%. Lige netop ved indbrud i netbanken er det nemt at opgøre skaden, og banken kan erstatte dette. Så længe bankerne holder kunderne skadesfri, så er det sådan set op til dem hvilket sikkerhedsniveau der kan betale sig. Dog burde denne retsstilling være sikret ved lov i stedet for den nuværende frivillige ordning.

Jeg så hellere at man fokuserede på at sikre mod misbrug af andre NemID baserede services, da misbrug her kan være væsentligt sværere at opdage og samtidig have langt alvorligere konsekvenser. Desuden kan det være svært at rulle den slags transaktioner tilbage.

  • 2
  • 0
#22 Klaus Slott

Jeg synes stadig den Tyske ChipTan løsning er et rimeligt kompromis mellem brugervenlighed og rigtigt sikkert design. En forsimplet udgave af ovenævnte BankPad. Et par gode detailjer er at den kan produceres af flere, og interfacer med chippen på dit kreditkort, således at den kan bruges med forskellige kreditkort.

Når de bøjelige display kommer på markedet, kunne man måske indbygge den i kreditkortet, med fotosensor på bagsiden og display på forsiden. Så ku' man bare holde kortet op mod et krypteret billede på skærmen.

  • 2
  • 0
#23 Hans Schou

Byg en tablet baseret på open source software, hvor softwaren ikke på nogen måde kan modificeres efter produktion. (ROM, ikke flash!)

Hvis forslaget er, at den tablet kun skal bruges til at godkende transaktioner, så finder jeg at det er et realistisk forslag. Netop brugerfladen af en bank-app kan være meget forskellig, og alle dem jeg har set indtil nu, er ringe. Et åbent API er vejen frem, så man kan oprette sine transaktioner i menneske-venlig brugerflade.

Ordet tablet får det bare til at lyde alt for stort. Det burde kunne gøres med en mobiltlf lignende tingest, hvor man får spørgsmålet "Godkend €10,000.00 til russisk konto ved at indtaste XY fra dit papkort" på skærmen. Evt mange transaktioner på samme tid (batch). Kommunikation med SMS/Wifi etc.

Desuden burde det være muligt kun at have bootstrap koden i ROM, der så verificere resten af koden i flashROM, og dernæst køre flash-koden.

Simpelt. Jeg tror faktisk jeg ville kunne forklare min gamle far det...

  • 0
  • 0
#24 Poul-Henning Kamp Blogger

Så længe bankerne holder kunderne skadesfri, så er det sådan set op til dem hvilket sikkerhedsniveau der kan betale sig. Dog burde denne retsstilling være sikret ved lov i stedet for den nuværende frivillige ordning.

Det er et sundt og godt princip, at dem der kan ændre og bestemme over sikkerheden, betaler regningen hvis den ikke er god nok.

Ross Andersson har harpet det punkt i årevis vedr. banker.

Vi så et flot eksempel på det modsatte da billedet blev taget af DanKortet: Det skete ene og alene fordi en bank tabte en erstatningssag på grund af fuldskægget på billedet. Ved at fjerne billedet kunne bankerne flytte mere af erstatningsansvaret over på kunderne.

Jeg ville gå ind for en lov der gjorde det helt op til bankerne hvorledes de implementerer deres business, men samtidig ville de få det fulde erstatningsansvar og den fulde bevisbyrde.

Den lov burde ikke fylde mere end et ark papir.

  • 5
  • 0
#26 Peter Makholm Blogger

Mads, der er intet i hverken mit eller Poul-Hennings oplæg der gør ting mere besværligere for slutbrugeren der ikke bekymrer sig specielt over sikkerhed.

Hvis vi som standard giver brugeren den laveste grad af transaktionssikkerhed af hvad jeg foreslår, så vil løsningen funktionelt for virke stort set som nu, bortset fra at java-appen der bruges til login er erstattet af et login-vindue indbygget i browseren. Derudover giver vi den kompetente bruger en række ekstra-værktøjer til rettighedsstyring og uafhængigt tjen af transaktioner. Poul-Hennings tablet gør tingene endnu simplere for den jævne bruger. Men et dedikeret device skal brugere ikke længere bekymre sig om at holde java og certifikater opdateret.

Så jeg kan ikke rigtigt se hvilken bekymring det er du lufter?

Casper, som jeg læser det er Poul-Hennings table alene en specialiseret netbank-terminal. Den indeholder ingen identifikation af brugeren og kan derfor ikke sidestilles med papkortet. Det er alene et værktøj til at sikre at netbankapplikationen kører i en nogenlunde sikret sandkasse. Der er derfor intet i designet der medfører at forretningsfolk skal have flere tablets. Nærmere tværtimod...

Med et ordetntlig rolle-baseret rettighedssystem vil man endelig kunne lade forretningsfolk agerer i flere roller, kun med deres personlige login. Der er derfor ingen grund til at jeg skal have flere logins til samme bank, bare fordi jeg kan handle på vegne af flere juridiske kunder.

  • 2
  • 0
#27 Michael Hein

De fleste netbanker i dag har jo allerede en række sikkerhedsprocedurer på plads, der håndtere de fleste af de nævnte problematikker.

  1. Login via nem-id, ikke perfekt men som tidligere sagt udelukker det en række muligheder for misbrug.

  2. Hvis du laver en transaktion der dømmes "mistænkelig", får du en sms med en kode du skal taste for at gennemføre transaktionen. Det er store transaktioner, mange små, overførsler til udlandet m.v.

  3. De enkelte transaktioner skal allerede i dag underskrives med en kode som BØR for alle brugere være forskellig fra deres login (den er selvvalgt).

Det betyder jo i praksis at du for at overføre 10.000 kroner til rusland skal kende / bryde nem-id, have adgang til mobiltelefonen og kende brugerens personlige underskrifts kode.

Hvis nogen gør det, kan du stadig anke - og banken er ansvarlig for dit tab, medmindre du er erhvervsdrivende.

  • 1
  • 0
#28 Anders Hessellund Jensen

Med phks tablet er der vel ikke noget i vejen for at tabletten kan tage imod en opdatering (som er signeret på behørig vis). Det vil jeg faktisk mene er en nødvendighed - sansynligheden for at det vil lykkedes nogen at producere et stykke 100% sikker og fejlfri software der skal understøtte SSL, signering og så videre forekommer mig minimal.

  • 1
  • 1
#29 Jørgen L. Sørensen

"Hvis du laver en transaktion der dømmes "mistænkelig", får du en sms med en kode du skal taste for at gennemføre transaktionen. Det er store transaktioner, mange små, overførsler til udlandet m.v.

De enkelte transaktioner skal allerede i dag underskrives med en kode som BØR for alle brugere være forskellig fra deres login (den er selvvalgt)."

Ang. underskrift: I min netbank (Sydbank) skal jeg godkende en overførsel (kan godkende flere i et hug) ved at indtaste den nem-id adgangskode, jeg logger ind med. Hvis det er muligt at ændre denne standard-opførsel er det forbigået min opmærksomhed.

Ang. sms-kode: Det har jeg ikke hørt om i forbindelse med min netbank --- og den vil da også kræve at banken kender mit mobil-nummer!

  • 1
  • 0
#30 Steen Koldsø

Er der nogen her som kender det system de bruger i Sverige? Der bruger man nettop en lille boks, (ligner mest en mini lommeregner), som er tilsluttet ens PC via usb og et lille program, som hentes fra ens netbank og som sørger for kommunikationen med netbanken, dels når man logger ind eller skal godkende at en/flere transaktioner skal gennemføres. I den lille boks sættes først ens kreditkort, og dernæst bruger man sin personlige 6 cifferet pin kode. Jeg ved ikke hvordan det virker rent teknisk, men det ser ud til at være en sikker løsning... med Netbank side via https, bankens application i PC'en, tilsluttet en boks med kreditkortlæser via usb og en personlig 6 cifferet pin kode.

  • 0
  • 0
#31 Michael Hein

Hos mig kan jeg tilmelde mit mobilnummer i netbanken, og rette min underskriftskode som jeg har lyst til - den er uafhængig af den kode jeg bruger som nem-id adgangkode. Jeg har en af de mange SDC netbanker, men mener at kunne huske jeg kunne noget tilsvarende da jeg havde Danske Bank.

  • 0
  • 0
#32 Klaus Slott

Jeg har ikke set den Svenske boks, men den lyder lidt som den Tyske ChipTan løsning, bare med usb overførsel i stedet for nogen blinkende pletter på skærmen. Du siger den ligner en lomme regner, ved du om den transaktion man aktuelt godkender, vises på "regnerens" display? I bekræftende fald kan laves rimelig sikker løsning på den måde. Hvis man er nød til at skulle have et særligt program installeret for at kommunikere med dimsen, kan der tilgengæld være nogen platformsafhængige problemer. Disse har den Tyske ChiTan ikke, men den er lidt mere bøvlet i daglig brug.

  • 1
  • 0
#33 Hans Schou

Er der nogen her som kender det system de bruger i Sverige?

Jeg har spurgt min svenske kollega om https://www.izettle.com/dk .

Det er en slags "dankortterminal" og den koster ca 800. Mange private har en, og den bruges fx ved garagesalg. Kunden (debitor) sætter så sit chip-kort ind i dimsen og taster vist også pin-kode, og så sælger overført pengene til izettle konto. De fleste af de store banker i Sverige er med i samarbejde, så man har reelt en izettle-konto i sin bank.

Når man så køber en 40" faldskærm til 1000 kr af en rumæner der sælger fra ladet af en lastbil, kræver det selvfølgelig at man har tillid til at han behandler dit chip-kort med fortrolighed....

  • 0
  • 0
#35 Peter Makholm Blogger

Jeg har spurgt min svenske kollega om https://www.izettle.com/dk .

Jeg tror ikke det er det der henvise til, når der snakkes om det system de bruger i sverige. Jeg tror nærmere der henvises til noget ala de enheder der er beskrevet på hhv: - http://hjalp.swedbank.se/logga-in/logga-in-med-bankid-pa-kort/index.htm - http://hjalp.swedbank.se/logga-in/logga-in-med-sakerhetsdosa/om-sakerhet...

Ud fra beskrivelse er det "kun" to-faktor autentifikation og ikke en speciel sikker autoriserinsløsning.

  • 0
  • 0
#36 Bo Petersen

Den svenske boks jeg kénder til er en/et avanceret elektronisk nøglekort somm skulle regne sig frem til en "retur-kode" som svar på en 6 eller 8 cifret kode sendt fra banken.

@PHK - Hvis vi at vores respektive stationære, laptops og (til nød)smartphones umuligt kan kvalificeres til transaktioner med bank, off. myndigheder og lign. - så er din ide med en "special-purpose" tablet måske et brugbart alternative til en tur ned til filialen eller dens udvidet/avancerede ATM. En ATM som dem man har andre steder i verdenen, f.eks. Thailand, men endnu ikke har fået i et så fremme-i-skoene-IT-land som Danmark - ynkeligt !. Men hvis der er en mulighed for at vores stationære...... kunne blive kvalificeret til den slags transaktioner vi taler om, så er tablet-ideen en helt la.....g ....., når lad os bare sige en dårlig ide, som ikke kan være i tegnebogen og folk vil glemme ligesom deres mobiltelefon.

Vi vil aldrig være et sekundt uegnige om at Nem-ID aldrig har været eller nogensinde vil blive en løsning man kan kalde god. Nem-IDs fundament er simpelthen for fyldt med dårligdomme til at den kan blive god.

Men hvad så, har jeg selv en løsning ? - næe!.

Men som en "starter" syntes jeg at Peter lægger godt ud. Tunneling, gensidig authentication og en nøgle udveksling baseret på en algoritme i en "svensk boks".

En vigtig ting for mig er at den kan bruges hjemme på den stationære, på farten på den bærbare, på kontorets stationære og ideelt set også på en netcafe i Sao Paulo. Den sidste er svær for ikke at sige "giftig".

Browserteknologien er ikke klar !, men kan det lade sig gøre eller kun hvis der køres IPv6 - eller IPv6 kan måske heller ikke klare opgaven !?.

  • 0
  • 0
#37 Poul-Henning Kamp Blogger
  • 1
  • 0
#39 Nikolaj Brinch Jørgensen
  • 0
  • 0
#40 Peter Makholm Blogger

Browserteknologien er ikke klar !, men kan det lade sig gøre eller kun hvis der køres IPv6 - eller IPv6 kan måske heller ikke klare opgaven !?.

Jeg kan ikke se at der er noget i diskussionen vedrørende netbanker der kræver ændringer af IP-laget.

Som jeg ser det er vores protokol-mæssige mest kritiske problem at server autentifikation i SSL laget er så skrøbligt som det er. I det ovenstående er det løst ved at binde den gensidige autentifikation på applikations laget sammen med nøgler der identificerer enderne i sessions-laget (SSL).

  • 0
  • 0
#41 Bo Petersen

I IPv6 er IPsec en del af protokollen og i modsætning til IPsec "på" IPv4 (ikke en del af protokollen men en add-on) som er "border-to-border" (oftest og sjældent mere) så er IPsec i IPv6 "end-to-end" security.

Ved brug af Authentication Header og Encapsulating Security Payload er mange af problemerne måske løst, bl.a. den svage server autentifikation - selvom gensidige autentifikation ikke er at foragte. Så mangler vi bare at få identificeret brugeren og sikre os at det er den rigtige bank vi prøver login på og ikke en fake-dito.

Men det kræver så at både client og "udbyder" køre IPv6 - og det er pt ikke noget der er nært forstående.

Så en IPv4 baseret løsning er nok et must.

Den her gi'r et hurtigt overblik - http://www.sans.org/reading_room/whitepapers/protocols/security-features...

  • 0
  • 0
#43 Bo Petersen

"Forklar lige hvordan det virker til 7 ud af 10 70årige..."

@Poul-Henning - der er to måder at forstå det på ....

Hvis det skal forståes - "forklare det teknisk" - så er det ikke relevant for som du selv har skrevet i denne tråd "for 99.9999% af brugerne er SSL ren magi" og det er alt andet teknisk ved computere også.

Hvis det skal forståes, og det tror jeg det skal, som "hvordan forklare du brugen af det", så er svaret "ligesom NemID" - brugerID, brugerKode, indtast det tal du får på skærmen på din "boks" og indtast den talkode som boksen giver i feltet på skærmen.

For øvrigt har "fatte-problemet" ikke skæringsdato engang i 1942 men, iflg. min erfaring, nærmere engang i starten af 1980'erne, og er måske lige så meget afhængig af interressen for at indkludere en "elektronik-dims" i næsten alle gøremål.

Det med at tableten glemmes er så ikke så stort et sikkerheds problem som det er et irretations moment ved at skulle anskaffe sig en ny. Og da den, i modsætning til en smartphone,ikke kan bruges til at misbruge ens identitet eller "tørre" telefon regningen af på så er der kun den lille økonomiske gevinst ved at sælge den til en anden der har fået smidt en tablet væk.

Men prøv så lige at forklare en 70årig at han/hun nu, ud over at bære rundt på en smartphone der er så stor at den dårlig kan komme ned i en lomme, også skal slæbe rundt på en tablet som bestemt ikke kan kommes i en lomme - bare for at kunne komme på sin netbank. "Hvorfor ikke bare den nærmeste PC på kontoret eller en netcafe ?"

  • 0
  • 0
#44 Bo Petersen

Ikke forstået Poul !?

Ja undskyld hvis jeg er lidt "rusten" på IPsec i IPv4's udvikling. (Det er 8+ år siden jeg har bevæget mig prof i netværk)

Men hvis IPsec virker lige så integreret og sikkert, "end-to-end", på IPv4 som på IPv6 og man har både AH og ESP, så mangler jeg bare at høre argumenterne for hvorfor man ikke bruger det !?!

Du må ha' nogle tunge argumenter for at forslå en dedikeret secure-hardwareløsning i stedet for at bruge IPsec. Nogle argumenter som jeg i min "rustne" tilstand ikke umiddelbart kan for øje på.

Dette skal ikke forståes sarkastisk, jeg er seriøst interesserret.

  • 0
  • 0
#45 Peter Makholm Blogger

Men hvis IPsec virker lige så integreret og sikkert, "end-to-end", på IPv4 som på IPv6 og man har både AH og ESP, så mangler jeg bare at høre argumenterne for hvorfor man ikke bruger det !?!

IPSec løser stort set ikke nogle problemer som ikke i dag er løst med SSL. Hvorvidt den funktionalitet som både IPSec og SSL tilbyder bør ligge i tredje lag eller sjette lag er mest en ideologisk diskussion.

Svagheden ved begge protokoller er at de i de fleste standard-opsætninger højst sikrer at serveren er den den udgiver sig for. Jeg efterlyser et design der sikrer at serveren rent faktisk er den som jeg som bruger har intention om at tilgå. Først når systemet garanterer at det kan sikrer at min intention bliver opfyldt kan man tale om rigtig end-to-end sikkerhed.

En del af Poul-Hennings design medfører at CA-listen bliver låst ned til at man ikke kan udgive sig for noget der ikke er på Finanstilsynets liste over godkendte banker. Dermed vil et SSL-cert for danskebank.dj ikke bliver godkendt.

  • 0
  • 0
#46 Poul-Henning Kamp Blogger

Men prøv så lige at forklare en 70årig at han/hun nu, ud over at bære rundt på en smartphone der er så stor at den dårlig kan komme ned i en lomme, også skal slæbe rundt på en tablet som bestemt ikke kan kommes i en lomme - bare for at kunne komme på sin netbank.

Hvem siger at den ikke også kan bruges til at læse nyhederne på ?

Til at handle på Amazon eller DBA med ?

Til at gå på facebook og genere børnebørnene med ?

Hele pointen er at når "markedet" ikke er villig til at levere en sikker og ukompromiteret platform, så er det en god ide at samfundet gør det.

Hvis "markedet" beslutter sig for at understøtte en platform uden mulighed for lagring (=ingen cookies), uden mulighed for at udføre kode (= ingen java, flash eller javascript) så er de velkomne til det, hvis ikke, så er de også velkomne til at lade være.

Investering i en sådan "DK-Tavle" vil rigeligt betale sig hjem for det danske samfund alene på den værdi der er i en sikker kommunikationskanal mellem borger og offentlig myndighed.

  • 1
  • 1
#47 Maxx Frøstrup

Nu er jeg ikke specielt indforstået med de tekniske detaljer omkring PHK's DK-Tavle. Kan dog egentlig godt lide ideen og vil som en smule teknisk person også kalde det den Krypto tavle.

Jeg kan godt se problemerne i fra en brugers side:

Den er ikke min mobil, derfor har jeg den ikke med. Fix: Lån naboens, Fonas, Bilkas, den lokale café's plade. (Ja, undskyld i henhold til den litteratur jeg falder over er dette betegnet som en plade siden min barnedom, en tavle kommer fra Apple). Hvad med biblotekets, kommunens, McDonalds. Pointen er jo at den er jo mere eller mindre allesteder. Der ville være en på alle skoler, måske 2-20, en i hver eneste virksomhed, bank, hjem, plejehjem.

Den er teknisk uforståelig? Det er den jo ikke rigtig i forhold til hvad vi har i dag.

Kan man stole på den? Tja, hvis DataTilsynet eller anden offentlig instans siger god for den og dem man kommunikere sikkert med på den.... Er det meget anderledes end hvis en politimand kommer hen og vil se mit kørekort, pas, og i den forbindelse identificere sig med sit politiskilt? Man er ligesom nødt til at stole på at han kommer fra ordensmagten i sådan et tilfælle.

I bund og grund kan jeg vitterligt ikke se hvorfor brugere skulle være imod konceptet rent praktisk.

Hvad jeg derimod tydeligt lægger mærke til er hvordan et sådant system fjerner muligheden for at "snyde". Du vil ikke lige kunne gå bagom systemet og gøre et eller andet i en andens ID, altså medmindre du har "lånt" denne lovligt eller ulovligt. Og det betyder at personerne lige pludselig står til ansvar for deres egne handlinger. Der er ikke umiddelbart nogen mulighed for at uddelegere sit ansvar uden at afskrive sig retten. Samtidig, med sølvpapirs hatten på... Hvordan kontrollere du brugerne til at gøre som du vil uden de selv begynder at tænke over tingene. Og opsnappere de afvigere som ikke passer ind i det optimerede design.

Dette er en langt tungere hurdle at komme igennem, og undskyldningerne for ikke at komme igennem denne, vil altid falde på teknikken, eller noget andet magisk.

Undskyld jeg blander mig lidt som sort seer, synes bare det er en pointe der glemmes ofte blandt dem med evnerne.

  • 0
  • 0
#48 Bo Petersen

Svagheden ved begge protokoller er at de i de fleste standard-opsætninger højst sikrer at serveren er den den udgiver sig for. Jeg efterlyser et design der sikrer at serveren rent faktisk er den som jeg som bruger har intention om at tilgå. Først når systemet garanterer at det kan sikrer at min intention bliver opfyldt kan man tale om rigtig end-to-end sikkerhed.

Jamen her er DNSsec måske svaret på dine bønner og i samme forbindelse mener jeg stadig at IPsec er bedre til at sikre dig at den server du kommunikere med er den den udgiver sig for at være - det er jeg ikke sikker på SSL er lige så godt til.

Men der er måske noget jeg lige skal læse op på ;-)

  • 0
  • 0
#49 Bo Petersen

Hvem siger at den ikke også kan bruges til at læse nyhederne på ?

Til at handle på Amazon eller DBA med ?

Til at gå på facebook og genere børnebørnene med ?

... læse nyheder, DBA/eBay, Facebook - jeg går udfra at vi stadig taler om en tablet - på omkring de 10" !?

Hvorfor skulle jeg dog gøre det på 10" når der står en 27" (2560x1400) på computerbordet ?, og hvis jeg er på rejse har jeg en 14" flysæde-optimeret.

En ukompromiterbar platform er da en rar ting som jeg ubetinget gerne ville bruge mod min netbank og offentlige myndigheder. Men jeg kan ikke finde argumenter for at bruge den samme dims til FB, DBA, eBay og andet internet releateret, hvis den ikke har en acceptabel skærmstørrelse. Og hvis vi nu sætter en ordenlig skærm på dimsen er vi så ikke bare der hvor vi lige så godt kan gøre vores nuværende PC (win/osx/linux) ukompromiterbar ?

Hele pointen er at når "markedet" ikke er villig til at levere en sikker og ukompromiteret platform, så er det en god ide at samfundet gør det.

Hvis "markedet" beslutter sig for at understøtte en platform uden mulighed for lagring (=ingen cookies), uden mulighed for at udføre kode (= ingen java, flash eller javascript) så er de velkomne til det, hvis ikke, så er de også velkomne til at lade være.

Investering i en sådan "DK-Tavle" vil rigeligt betale sig hjem for det danske samfund alene på den værdi der er i en sikker kommunikationskanal mellem borger og offentlig myndighed.

"ingen cookies" er noget brugeren selv kan fravælge i sin browser og Java, Javascript og flash som udbydere af "sikre løsninger" som bl.a. DanID klart skulle ha' fravalgt ved projektets kravspecifikation.

  • 0
  • 0
#50 Bo Petersen
  • 0
  • 0
#51 Bo Petersen

vi bør debatere en ukompromiterbar platform, for det bør vores respektive maskiner allerede være. Arrhe det er de jo ikke, men da ihvert fald fri for kompromiterende ting inde fra.

Reelt er det jo vores connect vi ikke vil have kompromiteret, så er det jo der vi skal løse problemet.

Jeg har aldrig set det i brug, men dur TPModulet til noget fornuftigt?.

Og hvis der er noget der er umuligt at forstå eller måske enda både sort tale og magi for den alm. bruger, så må man lave en forståelig brugerflade.

  • 0
  • 0
#53 Peter Makholm Blogger

Jamen her er DNSsec måske svaret på dine bønner og i samme forbindelse mener jeg stadig at IPsec er bedre til at sikre dig at den server du kommunikere med er den den udgiver sig for at være - det er jeg ikke sikker på SSL er lige så godt til.

Nej, DNSSec yder ingen sikkerhed for at jeg forbinder mig til den jeg har intention om at forbinde mig til. DNSSec giver os sikkerhed for at det kun er administratoren for et domæne der kan lægge oplysninger om domænet i DNS. Det giver ingen sikkerhed for at administratoren og domænet overhovedet tilhører den det udgiver sig for.

Du må meget gerne uddybe hvorfor du mener at IPSec er en bedre løsning end SSL. De to protokoller bruger samme sæt af krypteringsalgoritmer, de bruger samme procedure for nøglehåndtering (X.509/DNS keys/pre-shared keys og Diffie-Hellman key exchange til session keys).

Den primære grund til at IPSec er interessant i nogle tilfælde er at det er lidt besværligt at implementerer TCP over TCP og få det til at virke rigtig godt. Derfor har VPN-producenter fokuseret på at implementere kryptering over noget andet end en TCP-stream. For eksempel i IP laget (aka. IPSec) eller md krypterede UDP-pakker.

  • 0
  • 0
Log ind eller Opret konto for at kommentere