Nýtt öryggiskerfi fyrir netbanka

Allt utan efnis
Skjámynd

Stuffz
ÜberAdmin
Póstar: 1335
Skráði sig: Lau 11. Mar 2006 18:39
Reputation: 100
Staðsetning: 109 Rvk
Hafðu samband:
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf Stuffz » Þri 13. Nóv 2012 23:33

grimworld skrifaði:
pattzi skrifaði:Þetta er samt pirrandi kerfi væri ekkert skemmtilegt að fara inná heimabankann og búið að tæma alla reikninga :money

Vanalega þarf maður auðkennislykil og er svoleiðis ennþá í öðrum bönkum.


Þeir bæði sögðu frá því að Landsbankinn stóð ekki á bakvið þá hugmynd að hætta með auðkennislykilinn og einnig, að með sömu tækni og notuð er til að komast yfir user og pass inn í heimabanka, er hægt að nota auðkennislykilinn án þess að hafa hann í höndunum. Hann veitir því falskt öryggi.


hmm falskt öryggi..

svo nýja kerfið er þá bulletproof :megasmile


Intel NUC Hades Canyon 8Tb NVME +8Tb SSD +80Tb HDD, Nvidia Shield Android TV, Xbox Series X, Xiaomi 4K Projector
CAMS: Insta360 X3, X4, FLOW, GO, ACE Pro, Skydio 2. Rafskjótar: E-20, KS-16S, KS-S22, EB Commander
Búnaður: Lazyrolling Armored Jacket, Alpha Motorsport-pants, TSG Pass Pro, Fox Proframe
187 KP Wrist Guards, Leatt Dual-Axis, Kinetic DL EUC Shoes, P65 BOBLBEE Backpack

Skjámynd

Höfundur
dori
Besserwisser
Póstar: 3606
Skráði sig: Fim 12. Feb 2009 10:46
Reputation: 142
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf dori » Þri 13. Nóv 2012 23:51

Það er ekkert til sem heitir bulletproof.



Skjámynd

gRIMwORLD
FanBoy
Póstar: 725
Skráði sig: Fös 19. Des 2008 21:19
Reputation: 42
Staðsetning: Hafnarfjörður
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf gRIMwORLD » Mið 14. Nóv 2012 00:01

Quote frá Landsbankanum:

"Engin öryggiskerfi eru 100%..."

"Landsbankinn telur nýja kerfið vera nægilega öruggt"

Viðbætt úr sal: "Landsbankinn ætti því frekar að segja að þeir telji að kerfið í núverandi mynd sé nægilega öruggt....í bili"

Í síbreytilegum heimi er það survival of the fittest og í þessum bransa þýðir það að til að vera skrefi á undan cybercrime þá þarf að sífellt að hugsa nýjar öryggisleiðir og vita hvenær tímabært er að segja skilið við gamla tækni sem gæti verið úreld.


IBM PS/2 8086

Skjámynd

appel
Stjórnandi
Póstar: 5592
Skráði sig: Fös 13. Jún 2003 16:46
Reputation: 1053
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf appel » Mið 14. Nóv 2012 00:05

Ég hef meiri áhuga á að vita hvernig fjárhagstjón fæst bætt verði einstaklingur fyrir því að einhver hakkar hann og nær að taka út peninga.

"Tough luck!"?

Það þarf einhverja betri vernd, ég held að fólk beri sjálft ábyrgð á sínu, og ef einhver hakkar einkartölvur þá er bankinn ekkert ábyrgur. Það þarf að vera sérstakur tryggingasjóður sem bætir tjón þeirra sem lenda í þannig.

Bankarnir sjálfir hafa hag af því að þetta sé 100% GUARANTEED ÖRUGGT fyrir fólk, því ef það kemst upp að fólk er rænt í gegnum svona og ekkert fæst bætt... jæja, þá þyrftu bankarnir að þurfa bæta við sig c.a. 1000 nýjum starfsmönnum í útibúin því þá myndu allir hætta að nota netbankana.


*-*

Skjámynd

Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Reputation: 1
Staðsetning: ;)
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf Gúrú » Mið 14. Nóv 2012 00:28

appel skrifaði:Það þarf að vera sérstakur tryggingasjóður sem bætir tjón þeirra sem lenda í þannig.



Óúthugsuð "þurft". Hvernig á að rannsaka mögulega misnotkun á tryggingasjóðnum?


Modus ponens

Skjámynd

intenz
Besserwisser
Póstar: 3337
Skráði sig: Mið 08. Okt 2008 22:07
Reputation: 35
Staðsetning: /dev/null
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf intenz » Mið 14. Nóv 2012 00:42

Mér finnst þessar öryggisspurningar vera hálfgert djók. Mér finnst ég alveg berskjaldaður.

En áður en ég dauðadæmi þetta ætla ég að bíða eftir upptökunni af fundinum.


i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64

Skjámynd

appel
Stjórnandi
Póstar: 5592
Skráði sig: Fös 13. Jún 2003 16:46
Reputation: 1053
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf appel » Mið 14. Nóv 2012 01:05

Gúrú skrifaði:
appel skrifaði:Það þarf að vera sérstakur tryggingasjóður sem bætir tjón þeirra sem lenda í þannig.



Óúthugsuð "þurft". Hvernig á að rannsaka mögulega misnotkun á tryggingasjóðnum?


Tryggingasvik eru alþekkt, en það eru refsiviðurlög gegn þeim. Auk þess eru bankarnir í betri stöðu að sjá actually hvað varð um peningana, þetta er allt rafrænt skráð, ip tölur og hvert peningarnir voru sendir, ólíkt t.d. tryggingafélögum sem þurfa bara að treysta því að þú hafir lent í því tjóni sem þú segist hafa lent í.

Kostnaður við slíkan tryggingasjóður væri afar lítill, hér erum við að tala um smápeninga enda nánast ekki neitt um það sé brotist í heimabanka á Íslandi. Markmið tryggingasjóðs er alltaf að reyna koma í veg fyrir ótta fólks. Ég veit um marga sem myndu loka heimabankanum sínum ef þeir væru ekki fullvissir og baktryggðir gagnvart þjófnaði úr honum, enda ekki allir tölvusnillingar sem kunna að "skynja" það hvort það sé verið að hakka þá.

Það er margt skrýtið varðandi öryggismál í íslensku bankakerfi. Það er alltof "líbó", þarft ekki að sýna skilríki í banka. Vissulega kemur upp mynd af þér á skjáinn mætir þú í bankann og gefur upp kennitölu þína, en hvað ef þetta er bara einhver sem er líkur þér? Að treysta á að gjaldkerinn geri ekki mistök er furðulegt. Sumsstaðar erlendis þarftu að sýna skilríki auk þess að slá inn PIN númer. Í mínu tilfelli er um 12 ára gömul mynd af mér í tölvukerfi bankanna, hví eru ekki kröfur gerðar um að fólk endurnýji mynd á 5 ára fresti?
Heimabankinn leyfir þér að gera of marga hluti sem þú þarft yfirleitt aldrei að gera. Oftast er ég bara að borga reikninga og millifæra milli eigin reikninga, örsjaldan að millifæra lágar fjárhæðir á aðra.

Þetta "líbó" attitude er kjörin gróðrastía fyrir glæpamenn, sem geta misnotað traust.

Vilji menn öryggi þá á að bjóða upp á það. Það að aðeins einn gjaldkeri sé hindrun fyrir því að einhver líkur þér með kennitölu þína að vopni geti labbað inn í bankann og tæmt reikningana þína er fáránlegt.


*-*

Skjámynd

Frantic
FanBoy
Póstar: 797
Skráði sig: Mið 04. Mar 2009 17:43
Reputation: 6
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf Frantic » Mið 14. Nóv 2012 09:28

intenz skrifaði:Mér finnst þessar öryggisspurningar vera hálfgert djók. Mér finnst ég alveg berskjaldaður.

En áður en ég dauðadæmi þetta ætla ég að bíða eftir upptökunni af fundinum.


Sammála, bíð spenntur.



Skjámynd

gRIMwORLD
FanBoy
Póstar: 725
Skráði sig: Fös 19. Des 2008 21:19
Reputation: 42
Staðsetning: Hafnarfjörður
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf gRIMwORLD » Mið 14. Nóv 2012 10:41

Öryggisspurningarnar eru djók því þær þurftu að vera nógu kjánalegar til að engum dytti í hug að giska á þær. Það er ákveðið öryggi í því.


IBM PS/2 8086

Skjámynd

Höfundur
dori
Besserwisser
Póstar: 3606
Skráði sig: Fim 12. Feb 2009 10:46
Reputation: 142
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf dori » Mið 14. Nóv 2012 11:10

grimworld skrifaði:Öryggisspurningar eru djók.

FTFY

Það að búa til öryggisspurningar sem eru svo kjánalegar að enginn mun reyna að giska á þær (skoðun þess sem býr þær til, ekki hægt að sannreyna svona fullyrðingu) er ekkert nema security through obscurity. Sem er svosem allt í lagi að nota með öðrum lausnum í flóknu kerfi eins og hér um ræðir. Nema hvað það er möguleiki í þessu kerfi að hringja í síma/senda sms og biðja um staðfestingu á að þú sért með eitthvað tæki sem þú sagðir að væri þitt (í upphafi). Það er miklu sterkari auðkenning IMHO svo að ég skil ekki af hverju það er verið að troða einhverju minna upp á fólk meðfram því. Ég skil að sumir vilja frekar svara spurningu um sig en að svara síma og slá inn tölu en af hverju er það ekki val frekar en skylda? Ég skil að það er ódýrara fyrir bankann að biðja fólk um að svara spurningu en að hringja út til notandans en er það virkilega eina ástæðan?

Ég komst ekki í gær (ruglaðist og var einhvernvegin búinn að skipuleggja mig í kringum að þetta væri kl. 17) en talaði Landsbankinn eitthvað um þetta?



Skjámynd

tlord
Tölvutryllir
Póstar: 601
Skráði sig: Mið 30. Nóv 2011 17:28
Reputation: 0
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf tlord » Mið 14. Nóv 2012 13:27

kom skýring á því að gamli auðkennislykillinn væri orðin ótryggur?



Skjámynd

gRIMwORLD
FanBoy
Póstar: 725
Skráði sig: Fös 19. Des 2008 21:19
Reputation: 42
Staðsetning: Hafnarfjörður
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf gRIMwORLD » Mið 14. Nóv 2012 23:39

dori skrifaði:
grimworld skrifaði:Öryggisspurningar eru djók.

FTFY

Það að búa til öryggisspurningar sem eru svo kjánalegar að enginn mun reyna að giska á þær (skoðun þess sem býr þær til, ekki hægt að sannreyna svona fullyrðingu) er ekkert nema security through obscurity. Sem er svosem allt í lagi að nota með öðrum lausnum í flóknu kerfi eins og hér um ræðir. Nema hvað það er möguleiki í þessu kerfi að hringja í síma/senda sms og biðja um staðfestingu á að þú sért með eitthvað tæki sem þú sagðir að væri þitt (í upphafi). Það er miklu sterkari auðkenning IMHO svo að ég skil ekki af hverju það er verið að troða einhverju minna upp á fólk meðfram því. Ég skil að sumir vilja frekar svara spurningu um sig en að svara síma og slá inn tölu en af hverju er það ekki val frekar en skylda? Ég skil að það er ódýrara fyrir bankann að biðja fólk um að svara spurningu en að hringja út til notandans en er það virkilega eina ástæðan?

Ég komst ekki í gær (ruglaðist og var einhvernvegin búinn að skipuleggja mig í kringum að þetta væri kl. 17) en talaði Landsbankinn eitthvað um þetta?


Öryggisspurningarnar eru víst notaðar þegar td þú gleymir lykilorðinu og þarft að fara niðrí banka til að fá það endurnýjað. Kerfið byggir á risk factor stepping og það fer eftir því hversu hátt þú ferð á risk skalanum hvernig verification method er notað. Segjum td að þú sért heima hjá þér og í lappanum í einkabankanum en ferð svo í alveg nýtt device og loggar þig inn. Þá færðu ekki hringingu, þar sem þú ert að tengjast inn frá sömu IP tölu. Þeir hafa hins vegar aðrar leiðir til að sannreyna hver þú ert.


IBM PS/2 8086

Skjámynd

Höfundur
dori
Besserwisser
Póstar: 3606
Skráði sig: Fim 12. Feb 2009 10:46
Reputation: 142
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf dori » Fim 15. Nóv 2012 00:52

M.v. þetta þá virðist ég hafa haft alveg nokkuð ljósa mynd af því hvað það er sem þeir eru að gera varðandi það að nota alls konar input til að meta "áhættu" og hafa svo aðferðir til að sannreyna auðkenni þegar eitthvað kemur upp á sem passar ekki við notkunarmynstur notandans. Það er "frekar basic" pæling og mjög sniðug en auðvitað er útfærsla á slíku ekki það einfaldasta sem þú getur fundið þér að gera.

grimworld skrifaði:Öryggisspurningarnar eru víst notaðar þegar td þú gleymir lykilorðinu og þarft að fara niðrí banka til að fá það endurnýjað.
Ef þetta er eina notkunin fyrir þetta drasl þá er mjög stór hluti af þessum spurningum sem falla á prófinu hvort svona spurningar séu "góðar".

Annars þá hugsa ég að ég búi bara til eitthvað bull secondary lykilorð sem ég vista svo þar sem ég kemst í það. Ömurlegt fyrir öryggi samt.



Skjámynd

gRIMwORLD
FanBoy
Póstar: 725
Skráði sig: Fös 19. Des 2008 21:19
Reputation: 42
Staðsetning: Hafnarfjörður
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf gRIMwORLD » Fim 15. Nóv 2012 01:42

Ég spjallaði stutt við stærðfræðisnillinginn hjá Landsbankanum sem er einn af heilunum á bakvið þetta að sögn þess sem kynnti okkur og hún nefndi einmitt að það eru margar breytur sem þeir logga og fylgjast með til að meta risk factor en svo kom upp eitt scenario: hvað ef kúnni hjá íslandsbanka er svo spældur yfir því að þurfa að nota auðkennislykilinn eitthvað áfram og vill færa sig yfir til landsbankans, þá er ekkert til um hann. Enginn grunnur fyrir risk assessment og því myndi hann eflaust lenda nokkuð oft í authentication approval ferlinu á meðan hann er að vinna sig í gegnum td símann sinn, laptopinn heima, tölvuna í vinnu osfrv.


IBM PS/2 8086

Skjámynd

Höfundur
dori
Besserwisser
Póstar: 3606
Skráði sig: Fim 12. Feb 2009 10:46
Reputation: 142
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf dori » Fim 15. Nóv 2012 08:17

Hahaha, svo yrði kúnninn svo pirraður yfir því að þurfa alltaf að vera að svara símtali að hann myndi gefast upp. "Þetta er ekkert betra en auðkennislykillinn. Screw you guys, I'm going home."

En bankinn getur auðvitað sett annars konar skilyrði fyrir nýja viðskiptavini. Þú getur verið slakari á nýjum tækjum og hegðun upp að vissu marki á meðan það er verið að byggja upp lágmarks grunn um hvernig þessi notandi vinnur (s.s. ekki biðja um staðfestingu þegar þú ert að leggja 1000 kall inn á bróðir þinn, eða einhvern sem býr í sama húsi, fyrir pizzunni sem þið keyptuð saman og hann lagði út fyrir). Það myndi kannski búa til vissan veikleika en það er mjög ólíklegt að einhver gæti fært sér það í not.



Skjámynd

ASUStek
spjallið.is
Póstar: 451
Skráði sig: Sun 17. Júl 2011 05:19
Reputation: 8
Staðsetning: Akureyri
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf ASUStek » Fim 15. Nóv 2012 08:50

fannst mikið betra að nota auðkennislykill ég meina maður er alltaf með hann á sér t.d húslykill,bílykill og síðan auðkennis lykil ég er alltaf með þessa hluti á mér rétt eins og þú allt alltaf að vera með ökuskírteinið þitt eða er ég bara svona skrítinn



Skjámynd

PhilipJ
has spoken...
Póstar: 168
Skráði sig: Mið 20. Apr 2011 19:30
Reputation: 1
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf PhilipJ » Fim 15. Nóv 2012 09:02

Ég held að þeir hafi nú samt ekki skipt í þetta kerfi bara til að losna við auðkennislykilinn. Hann er einfaldlega ekki nægilega öruggur. Ef þú getur safnað upplýsingum um notendanafn og lykilorð hjá einhverjum, þá getur þú líka safnað númerum úr auðkennislyklinum og útfrá einhverju magni af númerum er hægt að finna út pattern með reikniriti og finna þannig út númer til þess að nota. Leiðréttið mig ef ég hef rangt fyrir mér :)



Skjámynd

MuGGz
Vaktin er ávanabindandi
Póstar: 1652
Skráði sig: Sun 23. Mar 2003 01:23
Reputation: 6
Staðsetning: Fyrir framan tölvuna ?
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf MuGGz » Fim 15. Nóv 2012 13:55

ASUStek skrifaði:fannst mikið betra að nota auðkennislykill ég meina maður er alltaf með hann á sér t.d húslykill,bílykill og síðan auðkennis lykil ég er alltaf með þessa hluti á mér rétt eins og þú allt alltaf að vera með ökuskírteinið þitt eða er ég bara svona skrítinn


Hvernig var það betra ? ekki eins og þú sért kominn með einhvern nýjan hlut sem þú þarft að muna eftir, þarft bara að muna notendanafn og lykilorð og kerfið sér um að verja þig.



Skjámynd

ASUStek
spjallið.is
Póstar: 451
Skráði sig: Sun 17. Júl 2011 05:19
Reputation: 8
Staðsetning: Akureyri
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf ASUStek » Fim 15. Nóv 2012 13:56

MuGGz skrifaði:
ASUStek skrifaði:fannst mikið betra að nota auðkennislykill ég meina maður er alltaf með hann á sér t.d húslykill,bílykill og síðan auðkennis lykil ég er alltaf með þessa hluti á mér rétt eins og þú allt alltaf að vera með ökuskírteinið þitt eða er ég bara svona skrítinn


Hvernig var það betra ? ekki eins og þú sért kominn með einhvern nýjan hlut sem þú þarft að muna eftir, þarft bara að muna notendanafn og lykilorð og kerfið sér um að verja þig.

nei var nú bara meina hvað var að hinu "kerfinu"




biturk
Kóngur
Póstar: 4431
Skráði sig: Mið 01. Apr 2009 17:08
Reputation: 6
Staðsetning: Akureyri
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf biturk » Fim 15. Nóv 2012 14:24

ASUStek skrifaði:
MuGGz skrifaði:
ASUStek skrifaði:fannst mikið betra að nota auðkennislykill ég meina maður er alltaf með hann á sér t.d húslykill,bílykill og síðan auðkennis lykil ég er alltaf með þessa hluti á mér rétt eins og þú allt alltaf að vera með ökuskírteinið þitt eða er ég bara svona skrítinn


Hvernig var það betra ? ekki eins og þú sért kominn með einhvern nýjan hlut sem þú þarft að muna eftir, þarft bara að muna notendanafn og lykilorð og kerfið sér um að verja þig.

nei var nú bara meina hvað var að hinu "kerfinu"



það er ekki öruggt, búið að koma fram oft í þræðinum :uhh1

til dæmis í auðkennislyklinum hjá mér eru 4 tölur sem eru alltaf í hverjum einasta kóða..........hverslags öryggi er það og sumar tölur koma mun oftar, ég þarf ekki að reikna neitt rosalega til að finna kóða sem myndi virka


ef ég spyr spurninga vil ég fá það í þráðinn EKKI í pm!! pm með hótunum, svör við spurningum og fleiru eru án tafar birt í viðeigandi þráð.
Sýnum skynsemi og skrifum undir á móti esb tíma og peningasóun, farðu á www.skynsemi.is og skráðu þig!

Skjámynd

intenz
Besserwisser
Póstar: 3337
Skráði sig: Mið 08. Okt 2008 22:07
Reputation: 35
Staðsetning: /dev/null
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf intenz » Fös 16. Nóv 2012 01:34

Ég skráði mig inn heima, ég skráði mig inn uppi í vinnu, ég skráði mig inn í símanum. Aldrei var ég spurður að neinu.

Eru undarlegar hreyfingar bara risk factor? Ekki óþekktar staðsetningar?

Mér er ekkert sérlega annt um að óprúttinn aðili komist inn á bankann minn - jafnvel þó hann komist ekki upp með að gera neitt. Þá eru upplýsingar þarna sem ég vil halda fyrir sjálfan mig.


i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64

Skjámynd

MuGGz
Vaktin er ávanabindandi
Póstar: 1652
Skráði sig: Sun 23. Mar 2003 01:23
Reputation: 6
Staðsetning: Fyrir framan tölvuna ?
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf MuGGz » Fös 16. Nóv 2012 09:41

intenz skrifaði:Ég skráði mig inn heima, ég skráði mig inn uppi í vinnu, ég skráði mig inn í símanum. Aldrei var ég spurður að neinu.

Eru undarlegar hreyfingar bara risk factor? Ekki óþekktar staðsetningar?

Mér er ekkert sérlega annt um að óprúttinn aðili komist inn á bankann minn - jafnvel þó hann komist ekki upp með að gera neitt. Þá eru upplýsingar þarna sem ég vil halda fyrir sjálfan mig.


Hefuru skráð þig áður inná einkabankann með þessum tækjum ?

Þeas heima vélinni, vinnuvélinni og símtækinu ?



Skjámynd

Frantic
FanBoy
Póstar: 797
Skráði sig: Mið 04. Mar 2009 17:43
Reputation: 6
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf Frantic » Fös 16. Nóv 2012 09:44

Mér finnst að landsbankinn ætti að leyfa mér að búa til miklu öflugra lykilorð og ekki vera með þessu kjánalegu reglur.
Sérstaklega í ljósi þess að um leið og einhver er með lykilorðið mitt þá getur sá hinn sami gert það sem hann vill á heimabankanum mínum.
Ég vill lykilorð lengra en 16 stafi með táknum -> !"#$%&/()= og helst séríslenskum stöfum líka.
Ef þetta er gert þá er mér skítsama um þetta nýja kerfi.



Skjámynd

Höfundur
dori
Besserwisser
Póstar: 3606
Skráði sig: Fim 12. Feb 2009 10:46
Reputation: 142
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf dori » Fös 16. Nóv 2012 10:25

Ég er reyndar mjög sammála því. Þessar reglur eru eins og einhver hafi rifið þær út úr rassgatinu á "öryggissérfræðingi" fyrir 20 árum síðan (þegar það var óraunhæft að gera brute force á 8 stafa lykilorð).

Landsbankinn skrifaði:Reglur um lykilorð
Lykilorð verður að vera minnst 8 stafir á lengd, hámarkslengd er 16 stafir. Mjög vond hugmynd. Af hverju 16 stafir? Ef það verður að vera hámark ætti aldrei að takmarka þetta við minna en 50.
Lykilorð má ekki innihalda aðra stafi en bókstafi og tölustafi. Hvað er að táknum? Ég er á því að það geri lykilorð ekki sjálfkrafa örugg að vera með tákn en það gerir þau sjálfkrafa minna örugg að leyfa það ekki.
Það má ekki innihalda séríslenska stafi (á, ð, é, í, ó, ú, ý, þ, æ, ö). Sama og að ofan...
Það má ekki innihalda eingöngu bókstafi. afhverjuekkiikke er alveg jafn fínt ef ekki betra lykilorð en haust2012
Það má ekki byrja á tölustaf. Ég skil ekki, erum við í leiknum "hvernig getum við gert brute force á lykilorð auðveldari"?
Sami stafur má ekki koma fyrir oftar en tvisvar í röð. Aftur, þetta hjálpar ekkert til við að gera lykilorð betra heldur þveröfugt. Það eru líka til orð með sama staf 3x í röð. Þátttakandi?


Þið kannski skoðið þessa pælingu: http://xkcd.com/936/ og hérna er fín útskýring á því af hverju þetta meikar meiri sense en sum gagnrýni sem hefur komið fram á þessa pælingu: http://subrabbit.wordpress.com/2011/08/ ... -password/

Málið er að þeir sem brjóta lykilorð og vita hvað þeir eru að gera skoða ekki bara hversu langt lykilorð er og byrja á lægsta fjölda stafa og prufa allar samsetningar og bæta svo einum staf við og prufa allar samsetningar þar til þeir ná hámarki stafa. Þeir búa til template sem lýsir vissri tegund af lykilorðum og vinna sig í gegnum það. Ef þú ert með 8-16 stafa lykilorð þá er góð byrjun að skoða öll orð í orðabók sem eru 8-15 stafir að lengd og prufar þau með því að skipta út 1-4 stöfum fyrir tölustaf eða hástaf og bætir svo hugsanlega við númeri á endann. Svo er hægt að skoða tvö 4-8 stafa orð úr orðabók með 2-4 tölustöfum sem skilja þau að t.d. muna12lykilord.

Þarna myndi ég segja að þú sért kominn með lýsingu á rosalega stórum hluta af lykilorðum sem fólk er með á einkabankanum sínum. Sérstaklega af því að það getur ekki búið til lengri eða flóknari lykilorð.

(Hérna geri ég auðvitað ráð fyrir því að sá sem gerir árásina hafi komist yfir gagnagrunn af höshuðum lykilorðum, það má vel vera að það sé óraunhæft að gera ráð fyrir því en það borgar sig alltaf að hafa varann á.)



Skjámynd

Frantic
FanBoy
Póstar: 797
Skráði sig: Mið 04. Mar 2009 17:43
Reputation: 6
Staða: Ótengdur

Re: Nýtt öryggiskerfi fyrir netbanka

Pósturaf Frantic » Fös 16. Nóv 2012 11:48

dori skrifaði:Ég er reyndar mjög sammála því. Þessar reglur eru eins og einhver hafi rifið þær út úr rassgatinu á "öryggissérfræðingi" fyrir 20 árum síðan (þegar það var óraunhæft að gera brute force á 8 stafa lykilorð).

Landsbankinn skrifaði:Reglur um lykilorð
Lykilorð verður að vera minnst 8 stafir á lengd, hámarkslengd er 16 stafir. Mjög vond hugmynd. Af hverju 16 stafir? Ef það verður að vera hámark ætti aldrei að takmarka þetta við minna en 50.
Lykilorð má ekki innihalda aðra stafi en bókstafi og tölustafi. Hvað er að táknum? Ég er á því að það geri lykilorð ekki sjálfkrafa örugg að vera með tákn en það gerir þau sjálfkrafa minna örugg að leyfa það ekki.
Það má ekki innihalda séríslenska stafi (á, ð, é, í, ó, ú, ý, þ, æ, ö). Sama og að ofan...
Það má ekki innihalda eingöngu bókstafi. afhverjuekkiikke er alveg jafn fínt ef ekki betra lykilorð en haust2012
Það má ekki byrja á tölustaf. Ég skil ekki, erum við í leiknum "hvernig getum við gert brute force á lykilorð auðveldari"?
Sami stafur má ekki koma fyrir oftar en tvisvar í röð. Aftur, þetta hjálpar ekkert til við að gera lykilorð betra heldur þveröfugt. Það eru líka til orð með sama staf 3x í röð. Þátttakandi?


Þið kannski skoðið þessa pælingu: http://xkcd.com/936/ og hérna er fín útskýring á því af hverju þetta meikar meiri sense en sum gagnrýni sem hefur komið fram á þessa pælingu: http://subrabbit.wordpress.com/2011/08/ ... -password/

Málið er að þeir sem brjóta lykilorð og vita hvað þeir eru að gera skoða ekki bara hversu langt lykilorð er og byrja á lægsta fjölda stafa og prufa allar samsetningar og bæta svo einum staf við og prufa allar samsetningar þar til þeir ná hámarki stafa. Þeir búa til template sem lýsir vissri tegund af lykilorðum og vinna sig í gegnum það. Ef þú ert með 8-16 stafa lykilorð þá er góð byrjun að skoða öll orð í orðabók sem eru 8-15 stafir að lengd og prufar þau með því að skipta út 1-4 stöfum fyrir tölustaf eða hástaf og bætir svo hugsanlega við númeri á endann. Svo er hægt að skoða tvö 4-8 stafa orð úr orðabók með 2-4 tölustöfum sem skilja þau að t.d. muna12lykilord.

Þarna myndi ég segja að þú sért kominn með lýsingu á rosalega stórum hluta af lykilorðum sem fólk er með á einkabankanum sínum. Sérstaklega af því að það getur ekki búið til lengri eða flóknari lykilorð.

(Hérna geri ég auðvitað ráð fyrir því að sá sem gerir árásina hafi komist yfir gagnagrunn af höshuðum lykilorðum, það má vel vera að það sé óraunhæft að gera ráð fyrir því en það borgar sig alltaf að hafa varann á.)


Þetta er bara alveg fáránlegar reglur.
Vona svo innilega að þetta komist til skila til þeirra í Landsbankanum.
Finnst ég vera mjög óöruggur með passwordið mitt.
Gæti alveg eins verið með asdf1234 sem lykilorð(Sem ætti að virka samkvæmt reglunum).
Koma svo landsbanki!