Nýtt öryggiskerfi fyrir netbanka

[dori]

Þegar ég skráði mig inn í netbankann áðan (ég er hjá Landsbankanum) þá blasti við mér falleg sjón, auðkennislykillinn er orðinn óþarfi.

Sú gleði varði samt ekki lengi því að um leið og ég er kominn inn er ég beðinn um að fylla inn einhverjar upplýsingar og þar á meðal 3 "öryggisspurningar" þar sem hægt er að velja úr alls konar spurningum (væntanlega ~100 stykki) sem eiga að taka á persónulegum en minnisverðum atriðum í lífi allra viðskiptavina. Svo er manni sagt að setja inn allavega eitt símanúmer og 3 öryggisspurningar því fyrr kemst maður ekki inn í netbankann.

Ég geri mér grein fyrir því að það er ekki verið að nota öryggisspurningarnar nema þegar þú gerir eitthvað óhefðbundið en ekki til að vera backup fyrir lykilorð eins og tíðkast annars staðar á netinu en mér finnst lítið öryggi í svona spurningum þar sem stór hluti af þessu er eitthvað sem þú getur giskað á nokkuð auðveldlega ef þú þekkir aðilann og með aðeins minni nákvæmni ef þú veist basic hluti um hann og hefur aðgang að facebook/þjóðskrá/íslendingabók etc.

Mín skoðun á svona spurningum er að þær geti ekki orðið öruggar og auðminnilegar og þ.a.l. er verið að biðja mig um að gefa upplýsingar sem eiga að auðkenna mig með einhverri nákvæmni en mér finnst ekki auðkenna mig á nokkurn hátt eða að búa til annað lykilorð með því að nota eitthvað kerfi þannig að ég muni að "Hvaða bygging á Íslandi finnst þér fallegust" væri í rauninni "Heimilisfangið hjá skvísunni sem var með mér í bekk í grunnskóla" (eða eitthvað álíka fáránlegt).

Ég reyndi en það er ekki hægt að slökkva á þessum fítus (og hafa þá bara möguleikann á því að svara símtali eftir). Upplýsingarnar sem komu fram á hjálparsíðunni segja heldur ekki mikið um hvernig nákvæmlega þessi svör eru notuð þannig að ég er að mestu að giska. Veit einhver eitthvað um það hvernig þetta kerfi er hannað og hvað það er sem þessar spurningar eru notaðar í? Ennþá betra, veit einhver hérna eitthvað um rökfærsluna fyrir því að þetta sé nógu öruggt til að það sé í lagi að nota þetta til að auðkenna bankaviðskipti?

Og svo bara almennt, hefur einhver prufað þetta og lent á því að þurfa að svara spurningum/símtali frá þessu kerfi og hvað finnst ykkur um það?

[tdog]

Það versta við þetta... Hegðun þín er „greind“ af Bandaríkjamönnum.

[Pandemic]

Og það alversta er að þeir gáfu skít í auðkenningarskilríkja innleiðingu á Íslandi. Way 2 go Landsbanki.

[kvaldik]

Aðilli sem kemst inn á einkabankan hjá þér, það er kemst yfir lykilorðið hjá þér OG veit svarið við þessum spurningum, hlýtur að þekkja þig. Sami aðili ætti því ekki að vera í vandræðum að komast í auðkennislykillinn hjá þér, ef eitthvað er, er auðveldara fyrir hann að nálgast auðkennislykillinn. Afhverju ætti hann þá að vera stela frá þér, fyrst hann þekkir þig, þá ætti hann að vera vinur þinn.

Annað gildir ef einhver út í heimi kemst yfir lykilorðið hjá þér en þá er ekki fræðilegur möguleiki að hann geti svarað spurningunum um þig. Þá fynnst mér það alveg þess virði að svara þessum spurningum til að losna við þenna helv*** auðkennislykill.

Snýst allt um við hverju menn eru að vernda sig frá...

[playman]

Ég hef aldrey séð neitt vandamál við að nota auðkennislykillinn, og fynst því óþarfi að vera að hætta með hann.
Ég hefði haldið að hann væri mun öruggari en þetta nýa dæmi, þar sem að þú þarft bara að hafa rouge software á tölvunni þinni
sem sér náhvæmlega hverninn þú kemst inn í bankann, og því easily exploitable IMO. (allaveganna það sem ég las út úr þessu)

[dori]

Aðilli sem kemst inn á einkabankan hjá þér, það er kemst yfir lykilorðið hjá þér OG veit svarið við þessum spurningum, hlýtur að þekkja þig. Sami aðili ætti því ekki að vera í vandræðum að komast í auðkennislykillinn hjá þér, ef eitthvað er, er auðveldara fyrir hann að nálgast auðkennislykillinn. Afhverju ætti hann þá að vera stela frá þér, fyrst hann þekkir þig, þá ætti hann að vera vinur þinn.

Annað gildir ef einhver út í heimi kemst yfir lykilorðið hjá þér en þá er ekki fræðilegur möguleiki að hann geti svarað spurningunum um þig. Þá fynnst mér það alveg þess virði að svara þessum spurningum til að losna við þenna helv*** auðkennislykill.

Snýst allt um við hverju menn eru að vernda sig frá...

Aðili sem kemst yfir lykilorðið mitt (ef hann fær það er hann með aðgang að einkabankanum sjálfkrafa) OG veit svarið við þessum spurningum gæti hafa komist yfir þessar upplýsingar með keylogger. Núna þarf líka bara notandanafn+lykilorð og þá geturðu fengið að giska á svona spurningar. Ekki misskilja mig, ég er ekki hræddur um að einhver komist í gegnum allar þessar þrautir og nái að stela af mér peningum. Hvað þá án þess að ég nái þeim aftur. En mér finnst nákvæmlega þessi litli þáttur og sú áhersla sem bankinn leggur á hann vera út í hött og mjög heimskulegur.

Vandamálið sem ég sé við þetta er aðallega það að þetta á að vera til að auðkenna. Það er ekkert auðkenni að vita svarið við "Hver var eftirlætis sjónvarpsþáttaröðin þín í kringum 1990?" eða "Hvað heitir heimilislæknirinn þinn?" (svo að ég taki tvær spurningar sem þeir nota af handahófi). Svona öryggisspurningar sem auðkenning var rosa bylting og þótti kúl uppúr 1900. Hefur okkur ekki farið eitthvað fram í þessum efnum?

[Stuffz]

ok svo þeir létu verða að þessu, var inná fyrir 2 dögum síðan og var ekki búið að breyta þá, á eftir að skoða þetta.

annars bara skjóta hérna stutt inn

ef vilt ekki gefa upp of auðkennandi upplýsingar um sjálfan þig þá getur þú ef þú kýst hugsað upp eftirminnilegan karackter sem er ekki þú og svaraðu spurningunum einsog ef það værir þú, mundu að tengja hann við svæðið sem þú ert að svara þessum spurningum á svo þú gleymir ekki hvaða karakter þú valdir.

ok of flókið kannski? hugsaðu um bankann þinn og veldu eftirminnilegasta karakterinn sem þú hefur kynnst í tengslum við banka, ýmindaðu þér að þú sért þessi karakter og svaraðu spurningunum í samræmi við það. engin sem þekkir þig á eftir að geta svarað spurningunum rétt og ef hugsanlega eitthver dytti í hug að prófæla þig byggjandi á þessum upplýsingum þá væri það bara fyndið

[dori]

ok svo þeir létu verða að þessu, var inná fyrir 2 dögum síðan og var ekki búið að breyta þá, á eftir að skoða þetta.

annars bara skjóta hérna stutt inn

ef vilt ekki gefa upp of auðkennandi upplýsingar um sjálfan þig þá getur þú ef þú kýst hugsað upp eftirminnilegan karackter sem er ekki þú og svaraðu spurningunum einsog ef það værir þú, mundu að tengja hann við svæðið sem þú ert að svara þessum spurningum á svo þú gleymir ekki hvaða karakter þú valdir.

ok of flókið kannski? hugsaðu um bankann þinn og veldu eftirminnilegasta karakterinn sem þú hefur kynnst í tengslum við banka, ýmindaðu þér að þú sért þessi karakter og svaraðu spurningunum í samræmi við það. engin sem þekkir þig á eftir að geta svarað spurningunum rétt og ef hugsanlega eitthver dytti í hug að prófæla þig byggjandi á þessum upplýsingum þá væri það bara fyndið

Jájá, ég veit svosem alveg af öllum svona leiðum. En vandamálið með þetta er að þarna ert þú búinn að búa til eitthvað kerfi til að muna spurningarnar. Þá þarftu sjálfur að muna kerfið. Það er ekkert gefið að þú gerir það ef þú ert ekki alltaf að slá þetta inn (ég held að ég hafi bent á það að búa til eitthvað svona kerfi til að svara spurningum með í fyrri pósti í þessum þræði).

Þetta er bara mjög heimskulegt og ég trúi því ekki að árið 2012 séu íslenskir bankar stoltir að taka upp nýtt öryggiskerfi sem byggist á því að hluta til að krefja notendur um að svara fyrirframskilgreindum öryggisspurningum.

[Tiger]

Mér finnst fínt að hafa þetta svona. Er aldrei með auðkennislykil og þarf alltaf að greiða fyrir SMS, laus við það núna.

[ArnarF]

Mér finnst fínt að hafa þetta svona. Er aldrei með auðkennislykil og þarf alltaf að greiða fyrir SMS, laus við það núna.

Ditto, loksins þarf ég ekki að leita af helvítis lyklinum eða standa í því að bíða eftir sms'i (sem stundum áttu það til með að sendast ekkert strax)

Sáttur með þessa breytingu

[Frantic]

Mér finnst þetta svosem ágætt.
Er orðinn hundleiður á þessum auðkennislykli.

Annað finnst mér verra við landsbankann, það eru reglurnar við að búa til nýtt lykilorð.
Það má ekki vera neinn af Shift + Number stöfunum eins og !"#$%&/()=.
Og það sem böggar mig ekki eins mikið en böggar mig samt er að lykilorðið verður að vera á milli 8 - 16 stafir, en ég myndi vilja hafa fleiri en 16 stafi fyrir heimabankann minn.
Er með mun lengra lykilorð á Facebookinu mínu en á heimabankanum útaf þessum reglum.

Mér finnst að það mætti endurhugsa þessar reglur eitthvað.

[hagur]

Mér finnst þetta interesting kerfi. Feginn að vera laus við auðkennislykilinn, fannst hann alltaf hálf glataður eitthvað. Þetta er víst engin séríslensk uppfinning þetta kerfi, þeir segja að yfir 6000 bankar séu að nota þetta víðsvegar um heiminn með yfir 350 milljón notendur. En það kannski segir ekki alla söguna, sbr. máltækið "If majority is always right - let's eat shit... millions of flies can't be wrong".

[pattzi]

Sé að þetta er bara komið Landsbankann finnst þetta ótraustvekjandi

[Danni V8]

Skil ekki hvers vegna maður getur ekki einfaldlega fengið að nota gamla góða auðkennislykilinn ef maður kýs það frekar.

[playman]

Skil ekki hvers vegna maður getur ekki einfaldlega fengið að nota gamla góða auðkennislykilinn ef maður kýs það frekar.

Nákvæmlega

[Stuffz]

Skil ekki hvers vegna maður getur ekki einfaldlega fengið að nota gamla góða auðkennislykilinn ef maður kýs það frekar.

Nákvæmlega

Já eins gott að þetta sé jafn öruggt

var alltaf að segja gömlu gaurunum í vinnunni sem vilja bara fara sjálfir í bankann hverning maður er búinn að vera að nota þetta netbanka kerfi í mörg ár án vandkvæða, ekki eins mikið viss núna um að það verði vandkvæðalaust, hefði hiklaust viljað halda möguleikanum að nota lykilinn áfram

það er eitthvað fyrirtæki sem sér/sá um auðkennislyklana sem allir bankarnir áttu hlut í, ætli það fari ekki á nýja kennitölu núna

[Baldurmar]

Hvað segir öryrkjabandalagið við þessu ?

[tlord]

það er soldið bratt hjá þessum banka að gefa sér að viðskiptavinurinn vilji deila þessum upplýsingum.

[loxins]

Mér sýndist þetta var þannig hjá landsbankanum að maður þyrfti bara að vera með síma skráðann, engar spurningar, ég fengi þá bara e-ð numer sent í símann.
þetta finnst mér agalegt! ég vill ekkert vera með síma. síst af öllu vill ég að bankinn viti símanúmerið hjá mér.
ég spurði svo einhvern fulltrúann í bankanum í dag hvort það væri þá nauðsyn að vera með síma ef ég vill nota heimabankann, svarið sem ég fékk var: já, það er nauðsyn.
ég, sem viðskiptavinur landsbankans, er því tilneyddur til að stunda líka viðskipti við einhvert símafyrirtæki ef ég ætla að vera viðskiptavinur bankans!
ég er með internet til þess að ég þurfti ekki síma! núna þarf ég síma til að geta borgað internetið í stað þess að geta gert það bara á internetinu.
ég hef nú aldrei verið ánægður með þessa auðkennislykla, alltaf fundist þetta fáranlegt og ennþá fáranlegra nuna. af hverju má ég ekki bara hafa mitt password. ég skal þá hafa áhyggjur af því að muna það, en nei... mér greinilega ekki treystandi.
hvort er bankinn að vernda mig gegn tölvuþrjótum eða er hann að verja sig frá mér ?

[tlord]

auðkennislykillinn á að koma í veg fyrir að einhver sem er búinn að setja spyware í tölvuna þína og hlera allt sem þú gerir í langan tíma geti farið í heimabankann þinn og stolið.

[vesley]

Mér sýndist þetta var þannig hjá landsbankanum að maður þyrfti bara að vera með síma skráðann, engar spurningar, ég fengi þá bara e-ð numer sent í símann.
þetta finnst mér agalegt! ég vill ekkert vera með síma. síst af öllu vill ég að bankinn viti símanúmerið hjá mér.
ég spurði svo einhvern fulltrúann í bankanum í dag hvort það væri þá nauðsyn að vera með síma ef ég vill nota heimabankann, svarið sem ég fékk var: já, það er nauðsyn.
ég, sem viðskiptavinur landsbankans, er því tilneyddur til að stunda líka viðskipti við einhvert símafyrirtæki ef ég ætla að vera viðskiptavinur bankans!
ég er með internet til þess að ég þurfti ekki síma! núna þarf ég síma til að geta borgað internetið í stað þess að geta gert það bara á internetinu.
ég hef nú aldrei verið ánægður með þessa auðkennislykla, alltaf fundist þetta fáranlegt og ennþá fáranlegra nuna. af hverju má ég ekki bara hafa mitt password. ég skal þá hafa áhyggjur af því að muna það, en nei... mér greinilega ekki treystandi.
hvort er bankinn að vernda mig gegn tölvuþrjótum eða er hann að verja sig frá mér ?

Bankinn viti símanúmerið hjá þér ? Hann veit nú aðeins meira en það..

[pattzi]

Núna getur hver sem er ef tölvan hjá manni er sýkt ,,,farið inná heimabankaann og tekið háar fjárhæðir út

Fer ekki lengur þarna inn ef þeir leyfa fólki ekki að nota auðkenni þá færi ég launareikninginn minn í íslandsbanka

[hagur]

Voðaleg hystería er þetta.

[Olli]

Núna getur hver sem er ef tölvan hjá manni er sýkt ,,,farið inná heimabankaann og tekið háar fjárhæðir út

Fer ekki lengur þarna inn ef þeir leyfa fólki ekki að nota auðkenni þá færi ég launareikninginn minn í íslandsbanka

Það er nú ekki eins og að maður hafi lent mikið í því áður en auðkennislyklarnir komu, á tíma óöruggari stýrikerfa?

[pattzi]

Núna getur hver sem er ef tölvan hjá manni er sýkt ,,,farið inná heimabankaann og tekið háar fjárhæðir út

Fer ekki lengur þarna inn ef þeir leyfa fólki ekki að nota auðkenni þá færi ég launareikninginn minn í íslandsbanka

Það er nú ekki eins og að maður hafi lent mikið í því áður en auðkennislyklarnir komu, á tíma óöruggari stýrikerfa?

Fékk Mér heimabanka 2008 svo þá voru lyklarnir komnir

fer svo sem aldrei þarna inn eiginlega