Sveinbjorn Thordarson

Ég man ekki betur en að minn netbanki leyfi transactions milli landa?

Þú lítur samt framhjá því þegar um er að ræða forrit sem er búið að setja inn á tölvurnar sem síðan hlera samskiptin milli browsersins og notandans, þá geta þessi forrit nað PIN-númerum og lykilorðum við eina millifærslu.

Svo er þessi auðkenninslykill tímabundin lausn að mér skilst. Crypto-lausn (hey, marketing!) er væntanleg (innan kannski 5-10 ára, ef maður miðar við innleiðingu örgjörva á kort).

Ef það er hægt að sniffa notendanafn, lykilorð og PIN kóða, þá hlýtur að vera hægt að sniffa töluna sem auðkennislykillinn genereitar...right? Hvernig virkar þetta nákvæmlega?

Já, það væri hægt að sniffa tölu, en málið er að talan breytist stöðugt og það þyrfti þá að finna út eftir hvaða algóritma talan er búin til.

Virkjun þessa lykils fór þannig fram, minnir mig, að maður sló inn raðnúmerið aftan á lyklinum og síðan þrjú númer sem lykillinn bjó til.

Þetta er eitthvað semi-random dót, sýnist mér, þessi þrjú númer og raðnúmerið gera bankanum kleyft að binda þinn tiltekna öryggislykil (eða öryggislykil e-s hæfilega stórs hluta af þýðinu) við login nafnið. Bankinn getur þá búið til lista yfir þær tölur sem lykillinn er líklegur til að búa til. Síðan hlýtur þetta að virka þannig að hver tala sé bara notuð einu sinni, er það ekki? En þetta hlýtur eiginlega að þýða að lykillinn hafi mjög takmarkaðan líftíma. Hvað skyldi hver lykill endast í mörg login? Hvernig skyldi maður komast að því þegar lykillinn manns "rennur út"? Skyldi bankinn fyrirvaralaust ákveða að hætta að hleypa manni inn - svona svipað og þegar öryggislyklarnir voru innleiddir?

Prófaði einhver, þegar hann virkjaði lykilinn, að gefa upp þrjú númer sem ekki voru í röð? Eða með eyðum inn á milli?
Hvað með svipaða fimleika við login? Að gefa annað hvort upp sama númerið tvisvar í röð (sem ég efast um að virki) eða hlaupa yfir eitt númer eða fleiri (sem mér finnst að hljóti að virka, þó ekki væri nema frá notendaverndarsjónarmiðum...)
En að nota tölur frá lyklinum í login en prófa að gefa þær upp í öfugri röð?

(ég er í vinnunni og ekki með lykilinn með mér - ég hef engan áhuga á að íþyngja lyklakippunni minni enn frekar en orðið er.)

Ég er sammála, mér finnast þessir lyklar gjörsamlega óþolandi. Nú á þetta að verða óþarft þegar kort með örgjörva komast í almenna notkun (frá og með næsta ári, minnir mig?) - getur einhver frætt mig á því hvernig það á að virka? Hverju breytir það?

Bæðevei - Þegar maður sækir um aðgang að einkabankanum er maður látinn skrifa undir esk. samning, ef ég man rétt... Finnst engum öðrum það neitt skrýtið að bankanum skuli heimilt að breyta allt í einu einhliða samningsskilmálunum um notkun einkabankans?

Ég hef einmitt líka hugleitt alla þessa hluti, og komst að því að ég get notað lykilinn hennar mömmu til að logga mig inn í netbankann minn. WTF?

Það er bara hægt að nota hverja tölu einu sinni, segja bankarnir. Annars veit ég lítið um hvernig þetta virkar.

Semi-random getur þetta varla verið; annars myndi netbankinn ekki vita hvaða tala nákvæmlega kemur næst (sem hann veit - prófaðu að slá inn vitlausa tölu tvisvar í röð, þá þarftu að setja tvær nýjar tölur inn).

En jú; mér finnst mjög skrítið að bankinn geti breytt einhliða svona samningum. Ég hef fengið upp í mínum heimabanka að samningur breytist, en ég þarf þá líka að samþykkja hann aftur. Ég fékk ekkert um þetta dæmi.

Nei, ég átti meira við e-ð sem virkar nógu random til að kerfið sjáist ekki...

Það væri ansi gaman að vita hvað þarf til að setja þetta kerfi úr jafnvægi (og eiginlega enn frekar hvaða fimleika það þolir...) - en ég nenni því ekki :)

Djöfull er ég viss um að einhver Framsóknarmaður er með einkarétt á að flytja inn þessa helvítis einkennislykla og framleiðir þá viljandi í Aserbaijan til þess að þeir virki örugglega ekki lengur en viku í senn.

Já, heyrðu, þarna er komin lausnin á þessu með lyklana sem "renna út" - það er bara gulltryggt með hroðvirknislegri framleiðslu að þeir endist ekki nógu lengi til að "renna út." :)

Blessadur Sveinbjorn. Er ad vafra a nyja simanum minum uppi i sumarbustad. Tetta er nutiminn

Jæja þá er maður kominn heim og farinn að nota makkann á ný en ekki vafrandi í gegnum símann.

En varðandi þessa lykla þá finnst mér þetta allt í lagi. Þetta er smá auka vesen en eykur öryggið til muna. Seinna mun örugglega koma eitthvað betra í staðinn.

Verst að interfeisið til að browsa á svona símum sökkar yfirleitt frekar mikið. Hlakka reyndar til að testa hvernig iPhone síminn stendur sig í þeim efnum -- fólk hefur sagt mér að hann sé töluvert stökk framávið.

Já iPhone lofar góðu. Interfaceið er náttúrlega hræðilegt í svona símum en þetta kom þolanlega út á símanum mínum en verður auðvitað þreytandi til lengdar.

Skemmtilegt að þú skulir níðast á símainterfeisum, þar sem þú getur opnað netbanka Glitnis án auðkennislykils þökk sé farsímavöfrun. Án þeirra hefði http://m.glitnir.is">http://m.glitnir.isaldrei verið gerð ;)

Nókía hefur langbestu símainterfeisin -- þessi sem eru 3ja takka. Þau eru einföld, auðlæranleg og straightforward. Þessir Sony Ericsson símar eru argasta drasl.

Ertu búinn að prófa að fara á m.glitnir.is?

Þú þarft ekki að nota auðkennislykil þar ;)

Ég er ekki viðskiptavinur hjá Glitni -- hætti hjá Íslandsbanka á sínum tíma sökum skítaþjónustu og attitjúds hjá þjónustufulltrúum þar.

Ég vil meina að innleiðing þessara lykla hafi gert mér mikinn óleik. Ég festi minn á lyklakippuna mína, sem gerir það að verkum að ég er sjaldnast með hann við hendina þegar ég er í tölvunni.

Þar af leiðandi hefur heimsóknum mínum í heimabankann snarfækkað, yfirsýnin yfir fjármálin horfin og staðan eftir því.

Alveg það sama hér... Annars þá tók ég svona lykil í sundur um daginn í veikri von um að vera einhvers vísari.

Ég varð einskis vísari.

Hahaha, bjóstu við því að finna algoriðmann skrifaðan á lítinn miða inni í lyklinum? :)

Neinei, það er vitanlega homunculus sem semur nýtt númer í hvert skipti sem ýtt er á takkann og hringir svo í bankann til að segja hvaða númer hann gaf upp :)

Það mátti reyna ;)

Microsoft hefðu örugglega útfært það þannig.