Athyglisverður öryggisleki

Kunningi minn var að skrá sig í þjónustu á vefsíðu bankans sem hét áður KB banki.  (Nýja nafnið man ég ekki, ég ætla að leggja það á minnið ef þeir lifa í nokkra mánuði).

Hann, eins og ég, er með tvær tegundir af lykilorðum, eina sem hann notar þegar mikið liggur við, til dæmis í samskiptum við bankann sinn, og aðra sem hann notar þegar hann skráir sig á síður eins og Facebook eða GMail, lykilorð sem honum er ekki eins annt um.

Hann, eins og fleiri, getur ekki munað tugi ólíkra lykilorða og er því með nokkur sem hann notar á mörgum stöðum.

Hann varð því hvumsa þegar bankinn sendi honum "spari" lykilorðið sem hann hafði verið að enda við að skrá inn, ódulkóðað í venjulegum tölvupósti.

Þess vegna þurfti kunningi minn að fara á þá staði þar sem hann notar "spari" lykilorðið og skipta því út hið snarasta.

Ég hef lesið ýmislegt um öryggismál en þetta vandamál held ég að sé ný tegund. Kunningi minn gaf sér ákveðið færnisstig vegna þess að hann var í samskiptum við bankann, en svo kom í ljós að hann var í samskiptum við einhverja deild innan bankans sem taldi sig ekki þurfa að fylgja sömu öryggiskröfum og aðrar deildir innan bankans.

Þetta er eins og að fara á heilsuverndarstöð, segja lækni persónuleg vandamál sín en komast svo að því að maður var að tala við manninn sem lagar ljósritunarvélina en gengur líka um í hvítum slopp.

Ég er ekki að gagnrýna bankann, þetta er mjög skiljanleg uppákoma. Ég er bara að skrásetja nýtt fyrirbæri í mörkinni.

Tölvupóstur er algerlega óöruggur samskiptamáti. Hann er jafn óöruggur og póstkort.  Allir sem hafa aðgang að afritum af einhverjum póstþjóni á boðleiðinni geta skoðað tölvupósta, sem og þeir sem eru á sama nethnúti og notandinn.   Afrit er furðu auðvelt að nálgast, gömlum afritaböndum er hent, harðir diskar sem eru ennþá læsilegir eru teknir úr umferð og lenda í ólæstum ruslageymslum.

Tölvupóstur þarf ekki að vera óöruggur, það eru bara sögulegar ástæður fyrir þessu.  Póststaðlarnir eru með elstu netstöðlunum, frá þeim tíma þegar tölvuglæpir voru ekki til.

Bankasamskipti um vefsíðu eru miklu öruggari því þau eru dulkóðuð (https) og enginn milliliður er á leiðinni milli bankans og notandans þar sem skilaboðin eru afkóðuð og vistuð.

Reyndar er annað öryggisvandamál á ferðinni.  Ef öryggið er gott, getur starfsfólk ekki hjálpað þér ef þú gleymir lykilorði, það verður að búa til nýtt.  Ef starfsfólk getur sagt þér hvað lykilorðið þitt er, getur það líka þóst vera þú og notað lykilorðið þitt í lengri tíma án þess að þú vitir af því og þú getur ekki lagalega sannað að einhver annar hafi verið á ferðinni.  Ef starfsmaður sem ætlar að brjóta af sér þarf að búa til nýtt lykilorð, munt þú komast að því fljótlega að þú kemst ekki inn á þínu gamla og einhver skráning mun eiga sér stað að lykilorðinu hafi verið breytt án þinnar beiðni sem fríar þig vonandi undan fjárhagslegri ábyrgð.

Lykilorðið sem bankinn var að senda kunningja mínum er augljóslega af þeirri tegund að allir starfsmenn bankans geta séð það.

Eru ekki öryggsimál skemmtileg?   Þeir sem vilja fræðast um þennan málaflokk geta lesið skemmtilega pistla Bruce Schneier: http://www.schneier.com/crypto-gram.html

 

PS:  Bruce mælir með ókeypis vírusvörn:  http://free.avg.com/us-en/homepage


« Síðasta færsla | Næsta færsla »

Athugasemdir

1 Smámynd: Stefán Freyr Stefánsson

Uss... þetta er heiftarlega ömurlegt ef satt er.

Það er reyndar ekki aaaaalveg öruggt að lykilorðið sé í raun geymt á "óhökkuðu" formi hjá bankanum. Ef viðkomandi var að enda við að slá þetta lykilorð inn og fékk póstinn í beinu framhaldi af því þá getur verið að lykilorðið hafi verið tekið úr þeirri framkvæmd og sett beint í póstinn... þetta gæti t.d. gerst þegar viðkomandi skráir sig, kerfið tekur við lykilorðinu og sendir tölvupóstinn út með því óbrengluðu til notandans og tekur það svo og hakkar það til geymslu. Þetta er örlítið skárra þar sem starfsmenn hafa þá allavega ekki beinan aðgang að því... en engu að síður er það algjörlega ófyrirgefanlegt að senda lykilorð af því kaliberi sem fólk notar í heimabankann í gegnum miðil eins og tölvupóst!

Stefán Freyr Stefánsson, 27.11.2009 kl. 11:29

2 Smámynd: Stefán Freyr Stefánsson

Og kannski ein önnur ábending til fólks svona fyrst þú hefur nú svo breiðan lesendahóp.

Það er ekki góð hugmynd að nota sama lykilorðið fyrir póstinn sem þú skráir hjá hinum og þessum þjónustum og þú notar fyrir þjónusturnar sjálfar.

T.d. ef ég skrái mig hjá þjónustu X með lykilorði P og gef þar upp GMail netfangið mitt sem ég einmitt nota lykilorð P líka fyrir, þá getur þjónusta X (ef það eru vondir kallar) loggað sig inn á póstinn þinn og skoðað hann, þ.á.m. hugsanlega öruggari lykilorð sem hafa verið send þangað.

Ég mæli því með þremur lykilorðum: Spari (netbanki), Milli (tölvupóstur) og Rusl (allt annað).

(ekki samt nota lykilorðin "Spari", "Milli" og "Rusl" fyrir þetta ).

Stefán Freyr Stefánsson, 27.11.2009 kl. 11:34

3 Smámynd: Jón Ragnarsson

Annað varðandi Kb^H^H Arion banka, er að þeir leifa fáránlega stutt lykilorð (8 stafir ef ég man rétt).

Jón Ragnarsson, 27.11.2009 kl. 11:55

4 Smámynd: Sigurjón

Sælir.

Þetta kemur mér mjög á óvart.  Ég hélt að allt svona væri löngu liðin tíð.

Ég skráði mig hjá nýjum banka um daginn (hætti einmitt hjá Kööööpþing) og fékk útprentað notandanafn (sem reyndar verður ekki breytt) og lykilorð.  Þegar ég skráði mig í fyrsta sinn, þurfti ég að breyta lykilorðinu strax og þar með er öruggt að enginn nema ég viti lykilorðið.  Ef ég týni því úr minniskubbinum í hausnum á mér, þá fer ég persónulega niður í banka og fæ nýja útprentun og sama ferlið hefst.  Mér skilst að þetta sé nokkuð öruggt, en hvort þetta er algjörlega skothelt, veit ég ekki...

Kv. Sigurjón

Sigurjón, 27.11.2009 kl. 12:10

5 identicon

Hvet alla til að sækja um debetkort með rafrænum skilríkjum

sjá www.skilriki.is

þau leysa þenna vanda og enginn nema eigandinn veit PIN kóðann

Grímur (IP-tala skráð) 27.11.2009 kl. 16:16

6 Smámynd:

Ja hérna - alltaf lærir maður eitthvað nýtt.

, 28.11.2009 kl. 23:44

7 Smámynd: Kjartan R Guðmundsson

Til að geyma lykilorð:  https://lastpass.com/

Ég geymi sparilykilorðið í hausnum, hin í þessu forriti.  Ég yrði nú létt pirraður ef bankinn minn færi að senda mér lykilorð í pósti!

Kjartan R Guðmundsson, 29.11.2009 kl. 13:39

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband