Jag är väldigt tveksam till att det skulle bli bättre om man talar om för användaren vilken IP-adress som startat inloggningen. 90% vet inte vad en IP-adress är, 9,99% vet vad det är men har ingen aning om vilken de har. De som blir över faller troligen inte i fällan ändå. De som inte vet kommer ändå trycka ok.
Som med all säkerhet så är det en avvägning i säkerhet och enkelhet. Blir det för svårt så vill folk inte använda det.
Som med all säkerhet så är det en avvägning i säkerhet och enkelhet. Blir det för svårt så vill folk inte använda det.
Ja man kan ju kalla det för användarfel, eftersom användaren inte vet vilken session den godkände. Men testa att försöka göra två parallella inloggningar idag och se vad som händer.AndersPS skrev:
Jag gjorde just det på två telefoner och det blev krasch. Visserligen ofarligt, men knappast bra. Om man nu löst det så borde det väl vara ok att berätta mer detaljerat om felet? Om det inte längre går att utnyttja?
Hur många hade blivit hjälpta av att det stått IP-adress?
Hur många hade blivit hjälpta av att det stått IP-adress?
Har du uppdaterat appen? Kraschar inte här iaf utan ger varning.
De har ju berättat redan. BankID ska enligt VDn haft skydd mot parallella inloggningar, men trots detta kunde två inloggningar ske mot servern. Eftersom användaren inte kan avgöra vilken session det gäller, ger appen nu istället en varning så användaren får heads up.
IP-adress: antagligen ingen. Det hade varit bättre att designat plattformen så att varje unik session skapar en kod som användaren måste ange.
De har ju berättat redan. BankID ska enligt VDn haft skydd mot parallella inloggningar, men trots detta kunde två inloggningar ske mot servern. Eftersom användaren inte kan avgöra vilken session det gäller, ger appen nu istället en varning så användaren får heads up.
IP-adress: antagligen ingen. Det hade varit bättre att designat plattformen så att varje unik session skapar en kod som användaren måste ange.
Tja, min nyfikenhet är jag stolt över! Så nu får du släcka min nyfikenhet och berätta mer om den teknik som innebär att man inte ens behöver kontakta mig. För den har jag länge väntat på lite mer detaljerad information om.DMOL skrev:
(Sedan så frågade jag inte om PPM och deras problem)
Du får hålla till godo med informationen här, där bland annat ditt lotteri kommenteras:
http://www.tv4.se/nyheterna/klipp/säkerhetsproblemen-med-bankid-kända-3671188
http://www.tv4.se/nyheterna/klipp/säkerhetsproblemen-med-bankid-kända-3671188
Visst håller jag med om att det är en liten brist, men den upptäcks eftersom du tvingas logga in två gånger i rad. Problemet är snarare PPM som tillät byte utan bekräftelse.DMOL skrev:
Vill man höja säkerheten skulle den inloggande parten spottat ut en engångskod som man måste ange i sitt mobila BankID. Det höjer säkerheten men gör det också krångligare.
Ja visst går det att göra säkrare, men det är en avvägning. Genom att sätta galler för fönstrena hemma, andra lås, säkerhetsgrind etc så kan jag minska risken för inbrott också, men jag är tveksam till värdet.
Den attackvektor som fanns förutsatte i praktiken att bedragaren kontaktade den som skulle luras. Att sitta och chansa på att någon ska logga in på en viss sida vid en viss tidpunkt är visserligen möjligt, men inte värt det. Risken att bli avslöjad är dessutom väldigt stor. Jag tror de flesta skulle reagera om det stod att man skulle logga in någon annanstans, kanske tilll och med innan man dragit igång sin egen inloggning.
Kontentan för gemene man är att BankID och mobilt sådant är tillräckligt säkert så länge man använder sunt förnuft.
Den attackvektor som fanns förutsatte i praktiken att bedragaren kontaktade den som skulle luras. Att sitta och chansa på att någon ska logga in på en viss sida vid en viss tidpunkt är visserligen möjligt, men inte värt det. Risken att bli avslöjad är dessutom väldigt stor. Jag tror de flesta skulle reagera om det stod att man skulle logga in någon annanstans, kanske tilll och med innan man dragit igång sin egen inloggning.
Kontentan för gemene man är att BankID och mobilt sådant är tillräckligt säkert så länge man använder sunt förnuft.
Man kan säga vad man vill om det, men det var trots allt över 8000 polisanmälningar rörande PPM.
Bankärenden är det mer hysh hysh kring.
Bankärenden är det mer hysh hysh kring.
8000 polisanmälningar mot PPM är iofs rätt mycket, men det rörde sig ändå om folk som på begäran loggade in.
Rimligen är mobilt bankid sårbart för fjärrstyrning. Om någon lyckas få in en trojan så borde bankid appen kunna fjärrstyras, och koden sniffas. Med tanke på mängden sårbara telefoner kanske detta är den mest troliga attackvektorn.
Telefontillverkarna är generellt urusla på uppdateringar, och användare installerar appar utan att reflektera.
Telefontillverkarna är generellt urusla på uppdateringar, och användare installerar appar utan att reflektera.