| Forfatter |
 Emne Søg  Emne-funktioner
|
strandvasker 
Guld medlem
Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2388
|
 Emne: NemID har indført Let-ID
Sendt: 27-Oktober-2011 kl. 09:17 |
|
Lol, så nu er vi ude i at argumentet for at en usbløsning er god nok er at batteriet kan løbe tør i sådan en kodenøglering og for øvrigt er alle tre typer sårbare for "man in the middle" angreb så sikkerheden alligevel kan være ligegyldig?!?
|
 |
gearløs
Bruger
Oprettet: 25-September-2011
Sted: dk
Status: Offline
Point: 111
|
Sendt: 26-Oktober-2011 kl. 22:34 |
|
jajajaaa - hvis man holder sin sti ren, så sker der ikke ulykker.
En væsentlig sikkerhed er altså, at man sørger for at holde sin PC fri for skidt.
En - desværre - ofte kilde til snavs er "uartige" sider - ikke ekstrabladets - men de mere eksotiske, samt sider med piratsoftware (med links)...
Men jeg kan egentligt godt forstå, at nogen godt kan lide at have en form for egen-kontrol med koderne.
|
|
bruger udmeldt 5
--
Oprettet: 15-April-2006
Sted: lolland
Status: Offline
Point: 3584
|
Sendt: 26-Oktober-2011 kl. 22:22 |
 gearløs skrev:
Derfor kan en usb-nøgle sagtens være en utimativ løsning, som ikke kræver andet en isætning og et museklik.
|
jeg tror vist vi kan blive enige om at RDP kan omgåes så jeg får 100% adgang til den isatte usb nøgle, og det er sidst en F40 som gør at brugeren vil være det svageste led. du kan kryptere, benytte ulæselige infomationer, properitære filsystemer eller anden form for sikkerhed på selve usb nøglen.. sålænge man kan bruge den med minimal interaktivitet, så vil det jo være hamrende ligemeget, hvis alt man skal er, at trykke på et knap når man tilgår en side. skal brugernavn og kode også bruges, ja, det fik kinamanden jo denne info, sidste gang du brugte maskinen. så selv den bedste lukning at en usb nøgle har et svagt led.
Redigeret af pendec - 26-Oktober-2011 kl. 22:23
|
|
gearløs
Bruger
Oprettet: 25-September-2011
Sted: dk
Status: Offline
Point: 111
|
Sendt: 26-Oktober-2011 kl. 21:55 |
En usb-nøgle er altså ikke så primitiv og et manuelt login med skiftende koder er heller ikke så sikkert som mange tror... En specialfremstillet usbnøgle ville kunne have flere adskillige sikkerhedsfeatures, såsom * proprietært interface dvs. en tilgang som et operativsystem ikke kan genkende (dvs. et filsystem) og s om ikke kan kopieres overhovedet. * skiftende adgangsnøgle dvs. overfor den software som vil læse den. * krypteret indhold En usb-nøgle kan sagtens have sit eget firmwareapp (bluetooth har fx) som kan udføre logiske processer m.m. man kan derfor sagtens frembringe en usb-nøgle der opfylder samme betingelser som pap og LetID og som er lige så sikker (endda bedre pga. mulig indbygget logik). De fleste trojanere kompromitterer kommunikation og/eller tastatur sekvenser. Dette gælder således det nuværende login... En forholdsvis simpel trojaner kunne efterligne login billedet og snappe det indtastede kodeord/nøgle (der har lige været en sag). Herefter præsentere et billede som siger "vent...." og i baggrunden logge ind og overføre kontoens saldo til kina. Dette er muligt - endda let - med pap- /LetID - blot fordi der skal tastes ind manuelt..... Den eneste forbedring af sikkerheden var at adgangskoden ikke var forudsigelig via pap-kortet, men hvad hjælper det, hvis der bare sidder en trojaner og opsnapper hvad der tastes..  og laver ovennævnte julenummer.. Derimod ville det være særdeles vanskeligt at kompromittere et login, der med en avanceret (krypteret) kommunikationsprotokol taler med usb-enheden og skaber adgang. Ingen pølser på tastaturet.... DET kan man ikke bare kopiere eller efterligne.... Derfor kan en usb-nøgle sagtens være en utimativ løsning, som ikke kræver andet en isætning og et museklik. addendum: og så behøver usb-nøglen ikke batterier. Den anden løsning løber tør efter et par år. ekstra addendum: Og så kunne man indbygge før-omtalte fingeraftrykslæser ind i usb-nøglen og SÅ er den nok helt hjemme....
Redigeret af gearløs - 26-Oktober-2011 kl. 22:22
|
|
strandvasker
Guld medlem
Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2388
|
Sendt: 26-Oktober-2011 kl. 08:52 |
gearløs skrev:
a)
Man kan også kopiere pap-kortet, ligesåvel som en usb-nøgle. |
En hacker der har tiltusket sig kontrol over din computer kan ikke aflæse koden på det papkort du har liggende i skuffen ved siden af. Hackeren kan heller ikke fjernbetjene den kodenøglering du har sat i dit nøglebundt. Derfor er papkort eller kodenøglering en god ide, det er noget eksternt som en hacker ikke kan få adgang til blot ved at kompromitere din computer. En usbnøgle er en dårlig ide fordi en hacker kan få adgang til den og klone den når du sætter den i din inficerede computer. Derfor er en usbnøgle en dårlig ide, uanset hvor fancy den er designet.
gearløs skrev:
b)
Ondartet kode på PC'en kan også aflæse indtastede data, uanset om kilden er tastauret eller en usb-nøgle. |
Ja, hackeren kan aflæse den kode du indtaster fra dit papkort eller din kodenøglering, men det er en engangskode så hackeren kan ikke bruge den til noget og fordi både papkortet og kodenøgleringen er udenfor hackeren rækkevidde, så kan hackeren ikke efterfølgende skaffe nye engangskoder. Med en usbnøgle kan hackeren snuppe en kopi og lave en klon af din usbnøgle når du er så elskværdig at sætte den til din inficerede computer. Herefter kan hackeren bruge klonen til at lave alle de engangsnøgler han vil, han logger bare på din netbank hjemme fra sig selv, taster din personlige kode som han har aflæst dig indtaste og lader bankens software om at hente en kode fra den usbnøgle-klon. Hackeren behøver ikke engang knække noget som helst, bankens software tror ganske enkelt at den klonede usbnøgle er originalen og at det bare er dig der sidder på en fremmed computer og logger ind.
gearløs skrev:
c)
Det er ikke bare lige sådan at "knække" en AES-2014 nøgle. |
Det behøver hackeren heller ikke, det eneste han skal gøre er at suge en kopi af indholdet på usbnøglen og lave en magen til. Hackeren behøver ikke kunne knække indholdet på usbnøglen, han skal bare lave en klon med samme krypterede indhold, det er en ren copy'n'paste opgave.
gearløs skrev:
Men altså - hverken a) eller b) er argument for at udelade muligheden for en usb-nøgle ! |
Øh, jo! Med en usbnøgle kan hackeren sidde i Kina (eller hvor han nu sidder) og snuppe en kopi af din usbnøgle når du sætter den til din inficerede computer. Herefter kan han lave en klon og så kan han logge på din netbank lige så ofte han gider. Med et papkort skal kineseren have fysisk fat i papkortet og snuppe en kopi uden at du opdager det og spærrer kortet. Hernæst skal han finde ud af præcis hvilken netbankforbindelse papkortet passer til, dvs. at han skal også have hacket din computer, aflæse din personlige kode og på en eller anden måde hitte ud af at lige netop din netbank matcher det papkort han bøffede en fotokopi af. Med en kodenøglering skal kineseren fysisk stjæle den. Han kan ikke tage en kopi. Du opdager nok relativt hurtigt at den er væk og får den spærret hos din bank. Inden du når at opdage den er væk skal kineseren nå at hitte ud af hvilken netbankforbindelse kodenøgleringen passer til og have aflæst din personlige kode.
Redigeret af strandvasker - 26-Oktober-2011 kl. 08:53
|
|
Jwin
Guld medlem
Oprettet: 02-Januar-2008
Sted: København, DK
Status: Offline
Point: 757
|
Sendt: 25-Oktober-2011 kl. 18:45 |
jacobask skrev:
Konceptet er vel ikke meget anderledes end de velkendte RSA nøgler, der løbende generer nye koder synkront med en server et eller andet sted. Dvs det er ikke en forudbestemt liste (jo lidt, men næste tal kendes ikke før det er der).
|
Jeg tror at Jakobask er inde på noget rigtigt. I så fald har nøglen et indbygget ur som er synket op mod Let-ID' s servere. Der er mig bekendt ikke nogen ur funktion på en USB stick, så dur det trick ikke. J
|
|
gearløs
Bruger
Oprettet: 25-September-2011
Sted: dk
Status: Offline
Point: 111
|
Sendt: 25-Oktober-2011 kl. 16:30 |
|
a)
Man kan også kopiere pap-kortet, ligesåvel som en usb-nøgle.
b)
Ondartet kode på PC'en kan også aflæse indtastede data, uanset om kilden er tastauret eller en usb-nøgle.
Hvis Log-in rutinen er infiltreret af en trojaner, så er det faktisk mere sikkert at fx. bruge en usb nøgle med krypterede koder da det vil være betydeligt mere besværligt at infiltrere et dekrypteringsprogram som både kunne ligge som skrivebeskyttet på usb-nøglen og med et selvcheck (alle virusprogrammer har fx. selvcheck mod angreb).
c)
Det er ikke bare lige sådan at "knække" en AES-2014 nøgle.
Men altså - hverken a) eller b) er argument for at udelade muligheden for en usb-nøgle !
Det vil være lige så godt - eller for den sags skyld ringe.
Næ - gi mig en usb-nøgle eller et modul med fingercheck.
Redigeret af gearløs - 25-Oktober-2011 kl. 17:10
|
|
Krjstoff
Guld medlem
Oprettet: 10-December-2007
Sted: Denmark
Status: Offline
Point: 678
|
Sendt: 25-Oktober-2011 kl. 12:41 |
|
Den omtalte dongle kan som udgangspunkt ikke anvendes til Netbank-apps på både iOs og Android, sålænge DanID's standardiserede løsning til app-banker ikke er på plads.
Så hvad godt gør den egentlig for folk på farten?
(Jeg er godt klar over at der stadigvæk findes en hel del mobile mennesker UDEN smart phones ... men helt ærligt DanID?)
Redigeret af Krjstoff - 25-Oktober-2011 kl. 12:42
|
|
| Synology DS412+ | ATV4 | PS4 | Onkyo 507 | System Audio 2.1 | Logitech Smart Control |
|
|
strandvasker
Guld medlem
Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2388
|
Sendt: 25-Oktober-2011 kl. 09:36 |
Sylvest skrev:
det er computeren som er inficeret med ondartet kode, den vil kunne aflæse donglen, du har ikke brug for at skrive til usb donglen. Tilbage er 'blot' at knække krypteringen. Så den løsning er mere usikker end fysisk adskilte enheder. |
Det er ikke engang nødvendigt at knække krypteringen, hvis du har mulighed for at score en kopi af usb donglen kan du lave en klon af den og bruge den uden at netbanken der dekrypterer kan se forskellen.
|
|
strandvasker
Guld medlem
Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2388
|
Sendt: 25-Oktober-2011 kl. 09:33 |
gearløs skrev:
Sylvest skrev:
ved at koble en usb dongle på en computer der er inficeret med ondartet kode, vil alle koder kunne aflæses. Det undgår du ved fortsat at have tingene fysisk adskilt.
|
1) ikke hvis en usb dongle fra Nets er skrivebeskyttet fra fabrikken. Så kan INGEN skrive på den og fx. komme til at lægge dårlig kode på.
2) Nøglerne på usb dongle ville selfølgelig være AES-krypteret, så ingen andre en login rutinen kan læse det.
Så - Nej - en USB løsning kan være glimrende og uden risici.
|
..men folk kan lægge dårlig kode på din computer, ikk? Lad os sige at jeg er en ond hacker og det er lykkedes mig at få sneget et fjernstyringsprogram ind på din computer. Jeg kan få din computer til at lave præcis det samme som du selv kan når du sidder ved tasterne og jeg kan gøre det uden at du opdager det. Jeg kan naturligvis også aflæse de ting du taster, bla. dine personlige kodeord. Jeg venter tålmodigt på at du sætter din skrivebeskyttede usb dongle i, hvorefter jeg snupper en kopi af indholdet. Måske er du en doven slambert der bare lader donglen blive siddende i efter brug, det er jo nemmere end at hive den ind og ud hver gang du skal bruge netbank. Men selv hvis du hiver donglen ud efter brug kan jeg jo bare mounte den kopi jeg snuppede via et usb emulator program. Jeg surfer ind på din netbankside, lader netbanken finde den emulerede usb dongle og lader den om at hive en cifferkode derfra. Herefter bruger jeg manuelt den personlige kode mit fjernstyrings/overvågningsprogram så dig bruge og voila! Hele pointen med at have et eksternt kodekort eller sådan en nøglering er at en hacker ikke kan få fat i oplysningerne selv om din computer er inficeret med alt muligt skrammel. Hvis oplysningerne lægges over på fx. en usb dongle eller du er typen der skanner dit kodekort ind og lægger det på computeren for nemheds skyld, så har hackeren adgang til at snuppe en kopi og så er beskyttelsen ikke en skid værd. Skidtet skal være eksternt og uden computerforbindelse, ellers er det formålsløst.
Redigeret af strandvasker - 25-Oktober-2011 kl. 09:40
|
|
bruger udmeldt 5
--
Oprettet: 15-April-2006
Sted: lolland
Status: Offline
Point: 3584
|
Sendt: 25-Oktober-2011 kl. 09:18 |
gearløs skrev:
...du har hifi/receivers som slet ikke har nogen usb...
Altså - Jeg skrev tidligere, at særtilfælde ikke bør dominere emnet...
|
så folk med en lille pung der fylder den op er verdens rigeste da det skal ses udfra den enkelte persons synspunkt som er pungen og hvad den kan indeholde.
og når der så kommer en ny størrere pung og personen prøver den , så udvides det spektra som hidtil var brugt, og personen er nu ikke længere verdens rigeste da den nye pung blev størrere.
så kort sagt, viden er magt, og man kan hurtigt afskære med "særtilfælde" da disse jo er baseret på personlige behov. og derved begrænses af dennes interesser.
For dig er hifi særtilfælde, men ikke på recordere.dk da flere nu køber sådanne anlæg , da de kan bruges til PC funktioner og musik er nok nøgleordet.
vi skal ikke vade mere i det. men generalisering udfra personlige ønsker er ikke det bedste.
Når du forsøger at gøre LetID til en standard usb løsning, så husk at der var rigtig mange som slet ikke ville have et kredit kort, som erstatning for den fysiske bankbog, det havde vi vel nok i 15år+ , så hvor lang tid tror du sådanne en introduktion vil tage?
Yderligere bliver LetID jo ikke let , når Netcafe'r og andre steder som offentlige tilgængelige maskiner har fået USB porten låst og du ikke sætte denne LetID i maskinen, og så afskæres du fra hvor let det nu kan være. det er sådan set utrolig udbredt.
(Udover kravene til installeret Java, internet explorer osv..)
Redigeret af pendec - 25-Oktober-2011 kl. 09:21
|
|
Sylvest
Guld medlem
Oprettet: 21-Oktober-2007
Sted: Denmark
Status: Offline
Point: 886
|
Sendt: 25-Oktober-2011 kl. 09:15 |
gearløs skrev:
Sylvest skrev:
ved at koble en usb dongle på en computer der er inficeret med ondartet kode, vil alle koder kunne aflæses. Det undgår du ved fortsat at have tingene fysisk adskilt.
|
1) ikke hvis en usb dongle fra Nets er skrivebeskyttet fra fabrikken. Så kan INGEN skrive på den og fx. komme til at lægge dårlig kode på.
2) Nøglerne på usb dongle ville selfølgelig være AES-krypteret, så ingen andre en login rutinen kan læse det.
Så - Nej - en USB løsning kan være glimrende og uden risici.
|
det er computeren som er inficeret med ondartet kode, den vil kunne aflæse donglen, du har ikke brug for at skrive til usb donglen. Tilbage er 'blot' at knække krypteringen. Så den løsning er mere usikker end fysisk adskilte enheder.
|
|
NemID har indført Let-ID
