Hål i Handelsbanken
"– Det skedde i laboratoriemiljö och då är det mycket lättare. Det är ungefär som att ge någon sin lägenhetsnyckel."Handelsbanken ska vara tacksamma att Dariusz Malolepszy och Ibrahim Abdullahi "avslöjat" att deras bank är fullt hackningsbar. (Stod om i Sthlms-Metro idag).
- HTU: "Svag säkerhet på Internetbanker" och pressmeddelande. Examensarbetet verkar inte finnas utlagt än.
| Länk till det här inlägget
Lägg till i... 
del.icio.us.
Relaterat på mymarkup.net: Inlägget ej etiketterat.
Kommentarer
Tack för tipset! Det var mycket intressant läsning. Själv använder jag Handelsbanken, men jag känner mig ändå rätt säker eftersom de förutom certifikaten även använder engångskoder som man får hemskickade till brevlådan (vanliga brevlådan alltså). Undrar om Dariusz Malolepszy och Ibrahim Abdullahi tagit hänsyn till det i sitt exjobb.
Postad av: Ronnie | juli 1, 2004 9:55 FM
Hmmm... jag använder också Handelsbanken och inte har jag några engångskoder inte?
Postad av: Anna | juli 1, 2004 11:41 FM
Engångskoden får man från banken första gången, som man sedan 'konverterar' till ett personligt certifikat.
Frågan är om det här är Handelsbankens problem? Det är ganska självklart att banken går att hacka om de har lyckats lägga in en trojan på ens dator som stjäl både lösenord och certifikat. Annat hade det varit om de lätt hade kunnat ta sig in utan t.ex. lösenordet (med bara certifikatet) osv.
Postad av: Claes | juli 1, 2004 11:49 FM
Vad är "personligt certifikat?" Det låter inte bra. De banker jag använder ger mig engångskoder ("TAN") som kan användas bara en gång. De finns inte på datorn eller på nätet. I USA har jag sett fristående slumptalgeneratorer som används för att "underteckna" bankuppdrag eller som "legitimation" vid kreditkortsköp.
Jag skulle aldrig använda en banktjänst som inte krävde att jag vidtog en viss åtgärd, olika varje gång och tillgänglig bara för mig.
Postad av: Bengt O. | juli 1, 2004 1:50 EM
Detta är sensationsjournalistik. Erik, om du inte ens läst rapporten så borde du veta bättre än att sprida sån här dynga. Jag är besviken.
Handelsbanken har engångskoder som man kan välja som komplement till sitt certifikat om man är orolig för säkerheten i lösningen. Med engångskoder så är den metod som används i rapporten helt verkningslös.
Postad av: Kalle | juli 1, 2004 7:34 EM
Kalle: ja, men är det någon som gör det? Användar engångskoder som komplement? Klart man vill ha det enkelt, men banken ska lägga ribban högre. Vet inte om det skulle hjälpa om jag läste uppsatsen, litar på uppgifterna från Högskolan i T/U. Om det nu inte är något problem, varför är Handelsbanken så nervösa och vill stoppa arbetet?
Postad av: Erik | juli 1, 2004 9:18 EM
Jag ska genast försöka få insideinfo från moderna som jobbar på ovan nämnda bank. Givetvis använder jag Handelsbanken också.
Postad av: Åsa | juli 1, 2004 9:46 EM
Erik: Du undrar om någon använder engångskoder "som komplement." Se min kommentar ovan. Givetvis måste man använda engångskoder, om det nu är "som komplement" eller som första alternativ.
I Sverige regerar ju legitimationsparanoiker suveräna. Egendomligt då att man förlitar sig på något slags "personligt certifikat" när det gäller transaktioner via Internet..
Postad av: Bengt O. | juli 1, 2004 11:30 EM
samma sak eller väre har hänt till Nordea
Postad av: anders Lras | januari 20, 2007 12:01 FM