Ok. Nu läste jag länken, men den gav ju i princip ingenting. Dock så kan jag gissa vad det handlar om. Gissningsvis tas något fingeravtryck när bankid:t genereras och detta sparas hos finansiell idteknik (eller vad de heter) och kanske bakas in i certet. När man sedan försöker använda certet så tar bankid-programmet ånyo ett fingeravtryck och servern jämför det med vad den förväntar sig.anders07 skrev:
Så för att attacken ska funka måste man dessutom modifiera appen till att ljuga om fingeravtrycket. Då blir det snäppet klurigare än jag väntade mig.
Är jag nära?
(Lite ot: såg precis Citizenfour på svtplay, så nu åker stora foliehatten på igen.
)
Med hårt cert menar jag i princip ett sådant chip som finns på inloggningskort, eller i en yubikey. Ett chip där nyckelparet genereras på chipet och den privata nyckeln aldrig lämnar chipet. Ett sånt vill jag ha i telefonen och att det används av t.ex bankid.fusion skrev:
Jag ser att jag var otydlig med vad jag menade med "fingeravtryck" i ett inlägg ovan, så nu begriper jag inte vad du menar.
Jag menade en checksumma av några väl valda parametrar hos os:et och/eller hårdvaran, inte ett sådant det blir av faktiska fingrar.
Jag menade via mobilens fingeravtrycksläsarebakterie skrev:Med hårt cert menar jag i princip ett sådant chip som finns på inloggningskort, eller i en yubikey. Ett chip där nyckelparet genereras på chipet och den privata nyckeln aldrig lämnar chipet. Ett sånt vill jag ha i telefonen och att det används av t.ex bankid.
Jag ser att jag var otydlig med vad jag menade med "fingeravtryck" i ett inlägg ovan, så nu begriper jag inte vad du menar.
, men de har väl alla olika standarder och i så fall skulle man kanske behöva göra registreringen på banken. Säkert komplicerat att lösa men förmodligen nåt man kanske överväger i kommande releaser. För mig skulle ett mobilt Bank-Id kännas bättre med fingeravtryck jämfört en sifferkod.
Men det gör så ont om någon vill kapa mitt bank idfusion skrev:Jag menade via mobilens fingeravtrycksläsare
För mig skulle ett mobilt Bank-Id kännas bättre med fingeravtryck jämfört en sifferkod.
Med mobilt BankID på ens egna mobil så klarar man sig oberoende vilken enhet man ska logga in mot. Om man sitter tex vid en dator så klickar man på "mobilt BankID" sedan startar man mobila BankIDt på telefonen och slår sitt lösenord, därefter är man inloggad på datorn.AndersPS skrev:
En fördel med e-leg är ju att om man misstänker att det har kapats så kan man spärra/återkalla det.
Det är nästan enklare att tillverka ett falskleg och förfalska någons namnteckning, men de går inte att "återkalla" om man misstänker att de missbrukas.
Den stora svagheten idag är väl snarare att det är många som har fått för sig att det bara är folk själva som kan sitt personnummer, så om man kan personnumret så är man rätt person...
Det är nästan enklare att tillverka ett falskleg och förfalska någons namnteckning, men de går inte att "återkalla" om man misstänker att de missbrukas.
Den stora svagheten idag är väl snarare att det är många som har fått för sig att det bara är folk själva som kan sitt personnummer, så om man kan personnumret så är man rätt person...
BankID finns ju i flera varianter. Den variant som inte är mobil utan bygger på installerad mjukvara på datorn är en svag länk. Ett antal personer har fått sina bankkonton länsade. Hur gick det till?
- Offret får ett e-mail med en länk, länken kan också distribueras på annat sätt t ex Facebook.
- Länken går till en site som utnyttjar ett säkerhetshål i browsern/operativsystemet och installerar en trojan som innehåller en keylogger och möjligheten att kontrollera offrets dator på distans.
- Keyloggern snappar upp lösenordet som offret matar in när denna loggar in på sin bank med bankid på fil. Det drabbar inte alla banker,men Sparbanken Öresund var drabbad, eftersom de erbjöd den inloggningsmöjligheten
- Kaparen fjärrstyr nu offrets dator , loggar in på banken med det uppsnappade lösenordet, överför pengar till lämpligt konto.
- Offret får ett e-mail med en länk, länken kan också distribueras på annat sätt t ex Facebook.
- Länken går till en site som utnyttjar ett säkerhetshål i browsern/operativsystemet och installerar en trojan som innehåller en keylogger och möjligheten att kontrollera offrets dator på distans.
- Keyloggern snappar upp lösenordet som offret matar in när denna loggar in på sin bank med bankid på fil. Det drabbar inte alla banker,men Sparbanken Öresund var drabbad, eftersom de erbjöd den inloggningsmöjligheten
- Kaparen fjärrstyr nu offrets dator , loggar in på banken med det uppsnappade lösenordet, överför pengar till lämpligt konto.
Redigerat:
Ja, det stämmer ju tyvärr att man aldrig kan skydda sig mot en fjärrstyrning om man drabbats av en trojan som möjliggör det.Riemann skrev:
Dock är det en väldigt tidskrävande attackvektor och kräver en hel del av hackaren i tålamod.
De flesta trojaner baseras på "call-out" vilket gör att de inte kan agera utan att användaren är inloggad.
Dessutom syns det ju då på skärmen att någon styr den.
Låser man datorn, eller ännu hellre kopplar bort WiFi eller nätverkssladd kan inte hackern göra något.
De gamla systemet med bara kod och login var mycket enklare för en hacker att utnyttja men nu med Bankid är inloggningen knuten till en specifik dator.