.. så har man prøvet det nye verified by visa..
Og det er som sædvanlig en skuffelse når det er PBS der står for det
Man skal starte med at gentage udløbs måned og år, samt cvc koden.. og ens sidste 4 cifre i CPR.. (hvordan gør virksomheder det?)
Selve “opsætningen” består i valg af kodeord, “Koden skal være på minimum 6 karakterer uden mellemrum, og den skal indeholde både tal og bogstaver.”, en “Sikkerhedstekst som vises til dig for at sikre dig det er PBS du snakker med”, og et “Sikkerhedsspørgsmål så vi alligevel kan give dig adgang”..
Design er lavet af en blind dværg undulat fra sydkorea i vanlig PBS stil. Der er ingen rigtig hjælp, et mini logo, ingen farver, ingenting.. Intet der minder kunden om det her ikke er et phishing site fordi kunden har set det før. Der er dog en knap og et flag til at gå til engelsk, hvilket jeg ikke har testet, måske de har lavet den side først?
Som noget meget sjovt, så kræver PBS at vi som forretninger på nettet laver det meget tydeligt at kunderne indegår og forstår handelsbetingelser… Det er åbenbart ikke helt så vigtigt på verified by visa?
Nu er spørgsmålet, følger jeg mig sikker?
Jeg har aldrig været fan af sikkerhedsspørgsmål, jeg mener simpelthen at det er for let idag at lave en simpel søgning på nettet om folk, og dermed gætte deres sikkerheds spørgsmål..
Nu har jeg så ikke set hvordan PBS har tænkt sig at man skal bruge det sikkerhedsspørgsmål, eller hvordan man skal ændre “sikkerhedsteksten”, eller sit kodeord..
For kodeordet er jo bare et kodeord, kodeord kan en keylogger læse, og så er vi tilbage ved problemet start, at folk fik aflæst deres kreditkort informationer når de tastede dem ind i deres browser.
Så nu har vi både en cvc kode og et kodeord, skal vi så ikke også have en netpinkode og en farvekode, evt en vinkekode eller blinkekode, hvad med en morsekode eller en IP lock så vi kun kan handle fra vores pc (og KUN fra vores ipv6 adresse!)?
Jeg er ikke fan af verified by visa som det var, men det var imho langt større sikkerhed end “endnu” et “hemmeligt” kodeords lag
6 Comments
Den gamle VbV var da også håbløs. Jeg løb kun ind i den en gang. Den åbnede automatisk et browservindue til min webbank, hvor det så var meningen at jeg skulle indtaste alle oplysninger til at logge på min webbank. Jeg vidste jo at det er en typisk fremgangsmåde til phishing eller Man-in-the-middle attack, så jeg åbnede selv et browservindue til min webbank og loggede ind. Men det var ikke godt nok. Jeg skulle gøre det gennem det automatisk åbnede vindue.
Så VbV trænede folk i at hoppe på phishing og man-in-the-middle attack.
Nå men den nye VbV tilføjer endnu en “pinkode” til min bankkonto:
- Almindelig bankpinkode
- VbV pinkode
- cvc kode
- Digitalsignaturpinkode
Jeg tror du har misforstået det nye VbV koncept. Dette er faktisk et stort fremskridt. Godt nok på samme måde som et spark over skinnebenet er et fremskridt i forhold til et spark i skridtet, men alligevel.
Mit første møde med VbV online var jeg overbevist om var et phishing attempt, og når man som kunde tror det så er der godt nok nogle system designere hos visa der skulle skamme sig.
Nogle sælgere gør det rigtige ved at åbne en ny side med din webbank login, men langt det fleste åbner denne side i en iframe. Hvordan i himlens navn skal man som sagesløs bruger kunne se om dette er ens bank eller ej?
Det var nøjagtig det jeg spurgte min bank om, og kunne ikke rigtig få et godt svar. Jeg gik endog så vidt at læse implementationsdokumentationen for VbV systemer, for ikke at se om der dog et eller andet sted var bare én systemdesigner med to hjerneceller, som havde lavet en notits om at alt andet end pop-ups var forbudt hvis man ville åbne certifikation. Desværre ser det ud til at jo mere man får VbV til at ligne phishing, jo bedre overholder man specifikationen.
Det viste sig at det ikke er sælgeren der bestemmer om man skal bruge VbV eller den gamle metode, det er linket til ens kortnummer.
Jeg prøvede at få min bank til fuldstændig at afmelde mit kort fra denne ‘service’, men til forskel fra alle andre lande hvor dette er et valg, så kan/vil PBS ikke lade kunderne selv vælge om de vil deltage i dette overlagte forsøg på at lægge hele skylden om phishing og bedrag fra banken over på kunden.
Og nu til fremskridtet. Sådan som PBS havde implementeret VbV indtil d. 1. september, betød det at jeg skulle indgive kodeordet til min webbank hver gang jeg handlede ind på nettet.
Det siger jeg lige igen, for der var heller ikke nogen hos min bank der synes at dette lød himmelråbende idiotisk da jeg gentog det for dem i telefonen, hvilket jeg rent faktisk synes er ret skræmmende.
Jeg skal, når jeg vil købe en CD på nettet, give sælgeren kodeordet til alle mine finanser, mine konti, etc.
Jeg prøvede at forklare min bank at jeg tusind gange hellere vil give dem mit kreditkortnummer, fordi der er jeg da i det mindste dækket til et vist beløb hvis sælgeren viser sig at være en skurk.
Jeg prøvede også at få dem til at pege på en paragraf i deres bestemmelser hvori der står at hvis nogen stjæler mit webbank kodeord og overfører alle mine penge til udlandet, så er jeg fuldt dækket.
De kunne sjovt nok ikke lige finde noget der sagde at have ens kreditkortnummer stjålet svarer til at have ens webbank kodeord stjålet, men forsikrede mig at alt nok skulle gå.
Andre lande havde dette ‘kodeord og selvvalgt hilsen’ implementeret længe før PBS, og det er rent faktisk at foretrække frem for alternativet.
Det er et ekstra sikkerhedslag oven på.. tjaa.. absolut ingen sikkerhed i forvejen, sådan som jeg ser det.
Det tidligere system betød at JEG SELV skulle bedømme om en internetsælger er til at stole på, hvilket jeg ikke rigtig synes at jeg overhovedet er i stand til at gøre. Specielt når de fleste phishing sider er langt mere subtile i deres præsentation end VbV er. Måske er nettets fremtid simpelthen bare at dét der ikke ligner phishing rent faktisk er det, og det der ligner de mest kluntede og åbenlyse forsøg på at frarøve dig alle dine penge, er bankernes forsøg på at komme ind i det 21. århundrede.
VbV har længe været kritiseret som et forsøg for bankerne at undgå lovgivningsmæssige krav om at erstatte kreditkort bedrag når kunder handler på nettet, og ved at opfinde en teknologi der lægger alt ansvar og skyld over på kunden i form af VbV autentikering, ser det ud som om at det er lykkedes for dem. Prisen er så bare at de har gjort internethandel mere usikker end den var før.
Du siger jeg har misforstået det, og dernæst sige du du selv troede det var phishing
Hvilken del var det jeg ikke forstod?
Desuden er det ikke din forhandler af cd’er der får dit webbank kodeord, men via en hemmelig path af forward igennem PBS nåede du (i datid) til din bank.
I dag når du kun til PBS’s maskine, som oven i købet har et ugyldigt CA som får sikkerhedsfixeret browsers til at gå amok, eg safari
Undskyld, den første paragraf var meget ironisk ment.
Jeg ved godt at forhandleren ikke skal have mit kodeord, det er ligesom dét der er hele pointen i at blande Visa ind i online handlen.
Problemet er at hvis forhandleren er en skurk, så er det netop ham der får mit webbank kodeord, og så dårligt som VbV er designet så har jeg ikke en jordisk chance for at checke om det er phishing eller ej når siden åbner mit webbank login i en iframe på en ukrypteret side.
[...] … set i lyset af den nyeste mail fra diverse håbefulde lømler, så kan det være fristende at sige.. Hvad sagde jeg? [...]
Det var sku da det mest jordslåede lortesystem jeg nogensinde har støt på! >:-7 Jeg er edder splinter rasende! For at bankerne kan slippe for ansvaret og tørre misbrugsregningen af på mig, gør de min nethandel mindre sikker og væsentlig mere ugennemskuelig, og så prøver idioterne oven i købet at sælge systemet til mig som om det er noget de gør for MIN skyld (men jeg kan ikke få lov til at sige nej tak????)!!!!!!
Jeg er SÅ FANDENS træt af bankerne! Jeg har indtil videre nægtet pure at købe noget hos internetbutikker hvor jeg bliver mødt med VbV – og det kan for fanden da vel ikke være meningen at bankernes ubegrænsede idioti skal stoppe webhandel?
Ligesom I, var jeg sikker på at jeg havde støt på et phishingsite første gang jeg så VbV. Hvem fanden har fået den brilliante idé at bede brugeren indtaste de sidste 4 cifre i sit cprnummer i en iframe med en eller anden obskur url – https javist – men jeg aner jo ikke hvem som sidder i den anden ende! >:-7
Jeg ringede straks til min bank, som henviste mig til PBS, som efter nogen tid fik fundet frem til en eller anden talentløs nobrain telefondame HK’er, der med hørbar glæde i stemmen kunne forklare mig at det var blevet indført efter årevis af kompetent systemudvikling for at komme op med et meget sikrere system, alt sammen for at sikre mig endnu bedre! … ja godag mand økseskaft!
Hvis de har skulle bruge år på at drømme op at efterligne phishingsites og få mit til at afgive de sidste fire cifre i mit cpr-nummer og koden til min webbank i obskure iframes, så står det fandeme skidt til med pbs!
Øv øv øv øv øv! Hvor melder man sig ind, for at få det monstrøse fejlskud af et sikkerhedssystem lagt i graven igen hurtigst muligt?
Kan man få at vide hvad det er for en afsindig klaphat der har fundet på det her system, og få hans begrundelse for at det skulle være bare tilnærmelsesvist forsvarligt at lære internetkøbere at afgive cpr-numre og webbank oplysninger til hjemmesider de ret beset ikke aner hvad er, og kun hvis de er avancerede brugere har en chance for at checke efter?
Jeg er simpelthen lamslået over hvor ubrugeligt det her er – og at pbs insisterer på at vi skal bruge det??? IDIOTER!!!! >:-7
RSS feed for comments on this post. TrackBack URL
Leave a comment