Bankernas dosor - säkra?

Är det olika algoritmer i varje dosa, eller en algoritm som beror på lösenordet när man startar den (FSB iaf)?
För det kan ju inte vara exakt samma, då skulle man kunna använda vilken dosa som helst och logga in på personnummer man hittar.

Helt klart är ju iallafall att om man har en trojan på sin dator så kan en illvillig person föra över pengar från ditt konto till varfritt konto.

Att sniffa sig till koder kan bli svårt då de flesta banker använder säkra anslutningar.

Hur menar du med att man kan överföra pengar genom trojanen till valfritt konto? För att kunna överföra pengar till någon annans konto måste man (iaf på FSB) registrera det konto och det gör ju med hjälp av dosan.

Edit: svårt att hitta någon bra information om detta men PTS har lite på sin sida http://www.pts.se/internetsakerhet/Sidor/sida.asp?SectionId=1...

För att inte göra ett allt för tekniskt inlägg så...

Tror någon att banken skulle släppa en weblösning med säkerhetsdosa om dom inte var säkra på att det hela fungerade bra utan att någon inom rimlig tid kan knäcka systemet?

Jag skulle kunna tänka mig att algoritmerna bygger på nån avart av elliptiska kurvor ... men vem vet egentligen ?? Det är ett stort problem, att inte veta vad det är man har att göra med ...

att försöka samla datapunkter kan fungera men frågan är, hur ser de funktioner som talen genereras ur ut ? Är dessa genetiska så du jobbar med olika kurvor från tidpunkt till tidpunkt ?

ja ... fler frågor än svar ... men jag sätter säkerhetsdosans säkerhet relativt högt ... för det användningsområde som den används till...

Problemet med en trojan är ju att de koder dosan spottar ut endast fungerar för en viss operation och under en begränsad tid.

Att göra en man in the middle attack är nog inte allt för svårt, även om kunden nog skulle kunna upptäcka det. Det borde dock fungera att man som mellanman skickar de nummer som behövs för att tömma offrets bankkonto när offret tror att han ska betala sin elräkning. Svårigheten med den här metoden ligger såklart i att få offret att acceptera ett osignerat certifikat, men med tanke på hur säkerhetskunniga de flesta är i dagsläget trycker de nog acceptera utan att tänka mer på det.

Till trådskaparen, i dagsläget bör du nog oroa dig mer för att någon ska komma över koden till ditt betalkort och sedan sno/kopiera kortet.

Edit: En funktion jag gärna skulle se hos internetbankerna vore att man inte skulle kunna skicka över x kronor till en mottagare som inte är bekräftade, antingen av banken (så det ska vara lätt att skicka betalningar till Fortum osv fortfarande) eller av en själv (då öga mot öga med bankpersonal).

Om man har en trojan i aktion redan så är det inte svårt att modifiera offrets webbläsare till att acceptera ett sådant certifikat utan frågor.

Om man testar på dosan så ser man att man alltid får samma värde ut för respektive inmattat värde. Ex 12345678 blir alltid 58875221. (var visst bara föreningssparbanken)
Detta innebär att om någon kommer åt ens dosa och får ut alla värden så kan de från den listan gå förbi dosan. Listan blir dock väldigt stor så det är inget man gör manuellt utan de får "knäcka" skyddet i dosan..
Så de måste alltså få tag på ens dosa och sedan vara grymma på mikrodatorteknik.
Men varför ska de kämpa så hårt med detta när de istället kan sno ens visa och handla direkt på den, eller sätta ut en sådan där "falsk fasad" framför bankomaterna som de gjorde ett tag.

Är man rädd om sin dosa och hanterar den som en värdehandling så behöver man alltså inte vara oroliga. Ingen kan ju veta vad man har för koder om de inte fysisk kommer år dosan. Visst dataintrång och spara alla nummer, vilket är ett antal så de får vänta i tusen år så de får några.
Om någon knäcker algoritmen vilket nog inte är det lättaste, så skulle de iofs kunna lista ut vilka nummer som blir från resp inmattat nummer. Men då måste de ha ett par nummer från din dosa, och varför skulle de först ge sig på just ens bankkonto av alla?

Nja, SEB:s dosor ger inte samma värde hela tiden. Värdet i deras dosor beror på hur många värden du har beräknat med den tidigare.

ok. föreningssparbakens är sådan. Jag har inte testat SEB's, jag trodde den var samma.

Föresten hur kan banken på internet veta hur många värden man har slått in på dosan? Om man slår in ett värde på dosan fast inte på internet så borde ju den räkning bli fel.
*edit* Jag hittade en länk med svaret själv.
http://www.varbostad.se/vab/1999/Reportag/VB51821/VB51821.htm...

jag har jobbat med liknande dosor tidigare och för att kunderna skulle kunna använda dem måste de synkroniseras (programmeras) samidigt som man lägger in en tillfällig pin-kod som byts efter första inloggning (användaren tvingas att byta pin)

dosan och servern den jobbar mot ligger i fas eftersom man synkroniserat och en genererad kod var giltig i 3 minuter

1. Algoritmen är redan känd. Triple-DES är det som används. Varje dosa har dock en unik nyckel.

Varför oroar du dig? Någon kan sno din Visa-kod när du lämnar Visa-kortet till expediten.

Med nyckel menar jag inte den nyckel du anger för att aktivera dosan. Varje dosa har en inbyggd nyckel. Som jag skulle uppskatta är större än 4 siffror.

Skriver du in den 4-siffriga pinkoden fel 3 gånger så låser dosan sig och du måste gå till banken. Så det går inte att testa sig fram.

Företaget som gjort FSB:s:
http://www.activcard.com/en/solutions/3_6_banking.php

Så har jag alltid också trott.

Inte omöjligt men mycket svårt. Jag skulle nog säga att MITM attacker är en betydligt svagare punkt iallafall.

3-DES är väl ett symmetriskt krypto. Känns lite som att dom borde ha en hash algrotim här.

Det är en kod i varje enskild dosa... och du låser upp dosan med ditt lösenord... sen beroende på algoritmen i själva dosan, så får du olika svar på samma siffror från banken...

Om man tappar bort dosan så behöver man aldrig spärra den, de skickar bara en ny och ändrar i sitt system vilken dosa man har fått... och det är ju bara ens egna kod som låser upp just den dosan, på så sätt skulle jag nog vilja påstå att det är ett säkert system...

Vad händer om man skruvar isär sin dosa då?

Öppna en dosa och studera återkopplingarna, och bestäm därefter sekvensnätet.

Är det möjligt att skriva ett program till datorn, så att man slipper att slå in koden på dosan ?

Frågan är om alternativen är så mycket säkrare.

Telefonbanken (FSB) har en fyrsiffrig kod som skickas oskyddad över vanlig telefonlina. Pipen som hörs när du knappar in sifferkoden kan mycket väl höras av folk i närheten. Jag är själv ganska skicklig på att uitan hjälpmedel översätta pipen till siffror.

Papperblankett på banken. Tja, hur säkert är det egentligen? Det förekomme rat folk som komme röver någon annans identitetshandlingar lyckats gå in på banker och tagit ut pengar, tecknat lån och så vidare.

Jag håller nog på internetbankerna ändå. Följ de regler och rekommendationer som gäller för din internetbank så borde banken få ta smällarna om tekniken inte håller.

annars kan du ju hålla dig borta från banken helt. Pengar i madrassen och/eller byteshandel. Jag ser fram emot annonser av typen "getabock bytes mot AMD64 dator" här på SweC