I dag fikk jeg den triste meldingen om at banken ønsker å fase ut de blå kodebrikkene fordi de ønsker å gå over til kode på mobil. Etter å ha hørt dette begynte jeg å fundere på om det virkelig kan være sikkert. Nå er det flere ting med norsk bank løsning som jeg stusser på, som får meg til å tro at de ikke selv forstår sine egne sikkerhetssystemer. Med andre ord har sikkerhetssystemene kun blitt et stilig mønster som de pynter opp sine sikkerhetssystemer med uten egentlig å være beviste på hvilken funksjon de yter.

Vi er jo alle vant med å bruke passord på diverse nettsider (her iblant på blant annet freak.no). Dette er jo ment som et sikkerhetssystem for å forsikre seg om at personer ikke kan utgi seg for å være noen andre. Selv om i dette tilfelle er det kun snakk om "virtuelle avatarer", derimot ønsker vi fremdeles ikke at noen andre skal utgi seg for å være oss selv. Tilbake til temaet om banker så bruker også de et passord, men for å ha en større sikkerhet så har de også disse blå kodebrikkene.

Sikkerheten i de blå kodebrikkene (som forøvrig også kunne ha vært gule ettersom farge ikke her har noe med sikkerheten å gjør), eller skal vi si tanken bak de blå kodebrikkene, er å legge på et nytt lag på sikkerheten. Dette laget kan vi kalle det fysiske lag. Tanken er at fysiske ting er de mest sikre, eller om ikke annet en annen type for sikkerhet. Dette blir på samme måte som med en nøkkel. Folk kan ikke komme seg inn i huset ditt uten enten å få tak i nøkkelen, dirke låsen (hacking/cracking) eller å slå ned døren (brute force).

Selvfølgelig er det flere systemer som bruker både tanken med et fysisk sikkerhet (nøkkel/kodebrikke) og en virtuell sikkerhet (passord/pinkode); et eksempel er enkelte safer/våpenskap. De har gjerne både en kode som man taster inn med enten et keyboard eller det tradisjonelle hjulet, og en nøkkel.

Det store problemet med fysiske nøkler. er at de kan bli relativt enkelt stjålet. Folk glemmer ting igjen rundt om kring og pickpocketing er relativt enkelt (derfor skjer dette i så stort volum i storbyer). Derfor er det lurt å la kodebrikken ligge hjemme på en skjult plass, derimot så kjenner jeg enkelte som har den blå kodebrikken på nøkkelknippe (i hovedsak offshore arbeidere som liker å handle på nett mens de sitter ute på en rigg). Problemet med å ha med seg kodebrikken er at vi i praksis annullerer den sikkerheten som en kodebrikke var ment å være; den blir kun en dekorasjon.

Så dermed ved å tvinge alle til å bruke mobilen som kodebrikke, tvinger vi i praksis alle til alltid å ha med seg den blå kodebrikka uansett hvor de er. Ut fra mitt tankeeksperiment betyr det at vi annullerer den ekstra sikkerheten som kodebrikka var ment å være.

Hva tenker freak om dette?
Kjør debatt.

Men har du mobilen til en annen kan det jo bli lettere å få tak i personnummer etc.

Fødsels/personnummer er ikke hemmelig og er ikke ment som en sikkerhet. Kun for identifisering. Og som Hayer sa så er det lettere å få tak i slikt om du allerede har mobilen til en person. Enten det eller så kan du stjele posten til personen eller bruke en av flere metoder som det finnes utallige forum og blogposter om for å få tak i personnummeret til noen.

Du trenger ikke å vite hvilken bank personen har. Bankbrikke systemet er uavhengige av bank og jeg bruker samme bankbrikke i flere banker uten at bankene har gjort noe spesielt for å få til det.

Så det eneste som gjenstår er den personlige koden. Men hva er vitsen med en bankbrikke om man i praksis har har kompromittert den løsningen?

Jeg har sr bank og bank id på mobilen. Jeg må taste en selv valgt kode for å kunne bruke den. Det må jeg også gjøre for hver eneste engangskode jeg skal ha ut av den.

Kodebrikkene til sparebank1 er ikke unike. Har man en kodebrikke kan hvem som helst bruke den. Sikkerheten ligger i bankkortet som legges inn i brikken før bruk.

I mine øyne blir derfor mobilen sikrere, ettersom jeg der har to ekstra lag med sikkerhet(Koden for å låse opp skjermen og koden for å få tilsendt engangskode).

Jeg ville personlig gjerne ha benyttet "mobil" kodebrikke, men så lenge dette kun går med abbonnement så er det ikke mulig. /out

Det er flere som ikke har fått med seg hvordan ting henger sammen her.
Brikken er for er MENT for hindre roboter/brute force, samt hvis noen får tak i brukernavn password via eks sniffing.
Sanheten er at disse brikken har blitt knekt, det vil si noen hacket "rsa" som lager brikken, fant hvordan koden blir generter fremover og bakover så ved og ha password + en av kode tall på kalkulator så kune dem regne seg tilbake til orginal nøkel på brikken og finne ut hva den "nye" koden er for neste login. (mer info google: rsa hack )

Brikken er IKKE men som fysisk sikring(der kommer password inn).

Kode på mobilen er bedre, siden det er random tall/bokstaver som blir genert vær gang(hvis banken bruker random generete tall) , så hvis du har sniffa brukernavn/password må du og sniffe mobil tlf
Kode på mobilen er IKKE ment som fysisk sikring (der kommer password inn).

NB: husk sms kan sniffes, men en gammle nokia 3210 (google har mer info for dem som vil se sms til alle naboene)

Er ikke sms kryptert? Netmonitor-mode som var tillgjengelig på eldre Nokia-mobiler kunne brukes til å låse mobilen mot en spesifikk basestasjon, men mener att trafikken er kryptert.

https://svn.berlin.ccc.de/projects/a.../wiki/tracelog <- hvordan koble opp og sniffe i praksis.

Etter utallige problemer med BankID på Mobil på min LG Optimus 2X gikk jeg over til å benytte meg av kodebrikke igjen. Måtte restarte telefonen omtrent hver gang jeg skulle logge inn i nettbanken.

Sparebank 1 har ikke kutta ut kodebrikken, de har bare bytta den til en der du ikke trenger å stappe kortet inn.