sslug-teknik team mailing list archive

Thread
Date

RE: Jyske Netbank med Konqueror?

To: sslug-teknik@xxxxxxxx
From: "Johnny Ernst Nielsen" <j.e.nielsen@xxxxxxxxx>
Date: Fri, 14 Dec 2001 08:56:00 GMT
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Sender: johnnyen@xxxxxxxxxxxxxx

>> >Hvad skulle de så bruge i stedet?
>> >>
>> Det samme som min webmail-udbyder vel sagtens?
>>
>> De har da en fin pålogningsside hvor jeg kan indtaste
>> brugernavn og kodeord
>> i et par tekstfelter - helt uden Java.
>> Sådan en side skal vel blot være en SSL-side så det
>> indtastede krypteres
>> når det ryger hen over internetlinjen.
>>
>> Jeg er ikke klar over hvad Java tilføjer til sikkerheden.
>>
>> Løsningen med papir-nøglekortet i Jyske Netbank skulle gøre
>> systemet så sikkert
>> som det er muligt.
>>
>> Hilsen Johnny :o)
>>
>Jeg vil tro at JN bruger java til at lave en MD5 digest (eller
>tilsvarende) af dit kodeord og engangsnøglen og så sender DEN over
>internettet (hvor den så sammenlignes med en tilsvarende generet hos
>Jyske Bank, på den måde sendes ingen oplysninger mere end 1 gang >over
>nettet (One time pad cipher princippet). Derfor er Java eller noget
>andet nødvendigt.

Det lyder som det de gør (deres hjemmeside skriver det lidt mere uteknisk).


Jeg er ikke kyndig udi Java og sikkerhed, men hvordan er Java-løsningen mere
sikker end følgende løsning:

Du har et papirkort (et nøglekort) med en række firecifrede tal på. Kortet
har et nummer.
Du går ind på en SSL-side (uden Java) hvor du bliver afkrævet dit kundenummer
(CPR) og nøglekortets nummer.
Efter du har sendt CPR og nøglekortnummer, bliver du bedt om på nøglekortet
med det opgivne nummer at finde et alfanummer og indtaste de fire cifre der
står efter alfanummeret, samt at indtaste det kodeord du fik på papir da
du blev kunde.
Når de informationer er sendt er du inde.
Derefter vil du blive afkrævet et nyt firecifret nummer fra dit nøglekort
_hver_ gang du vil udføre en pengetransaktion.

Læg mærke til at ingen af de informationer der forlanges findes på computeren.
Brugeren har dem på papir ved siden af sig.
Der er to trin i pålogningen.
Det er min forståelse at SSL sørger for at kryptere alt hvad der sendes mellem
brugeren og banken.

Hvilken sikkerhed tilføjer Java-løsningen til dette?
Eller...
Hvordan er ikke-Java-løsningen mere usikker end Java-løsningen?

Hilsen Johnny :o)