sslug-teknik team mailing list archive

Thread
Date

RE: Jyske Netbank med Konqueror?

To: sslug-teknik@xxxxxxxx
From: "Johnny Ernst Nielsen" <j.e.nielsen@xxxxxxxxx>
Date: Fri, 14 Dec 2001 11:18:25 GMT
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Sender: johnnyen@xxxxxxxxxxxxxx

>> >Jeg vil tro at JN bruger java til at lave en MD5 digest (eller
>> >> >tilsvarende) af dit kodeord og engangsnøglen og så sender DEN >over

>> >internettet (hvor den så sammenlignes med en tilsvarende generet
>> >hos Jyske Bank, på den måde sendes ingen oplysninger mere end 1
>> gang >over
>> >nettet (One time pad cipher princippet). Derfor er Java eller
>> >noget andet nødvendigt.
>>
>> Det lyder som det de gør (deres hjemmeside skriver det lidt
>> mere uteknisk).
>>
>>
>> Jeg er ikke kyndig udi Java og sikkerhed, men hvordan er
>> Java-løsningen mere
>> sikker end følgende løsning:
>>
>> Du har et papirkort (et nøglekort) med en række firecifrede
>> tal på. Kortet
>> har et nummer.
>> Du går ind på en SSL-side (uden Java) hvor du bliver afkrævet
>> dit kundenummer
>> (CPR) og nøglekortets nummer.
>> Efter du har sendt CPR og nøglekortnummer, bliver du bedt om
>> på nøglekortet
>> med det opgivne nummer at finde et alfanummer og indtaste de
>> fire cifre der
>> står efter alfanummeret, samt at indtaste det kodeord du fik
>> på papir da
>> du blev kunde.
>> Når de informationer er sendt er du inde.
>> Derefter vil du blive afkrævet et nyt firecifret nummer fra
>> dit nøglekort
>> _hver_ gang du vil udføre en pengetransaktion.
>>
>> Læg mærke til at ingen af de informationer der forlanges
>> findes på computeren.
>> Brugeren har dem på papir ved siden af sig.
>> Der er to trin i pålogningen.
>> Det er min forståelse at SSL sørger for at kryptere alt hvad
>> der sendes mellem
>> brugeren og banken.
>>
>> Hvilken sikkerhed tilføjer Java-løsningen til dette?
>> Eller...
>> Hvordan er ikke-Java-løsningen mere usikker end Java-løsningen?
>>
>> Hilsen Johnny :o)
>
>Java tilføjer den sikkerhed at du ikke sender dit password over
>internettet (krypteret eller ej) da det kun bruges til MD5 digesten.
>Selv om en SSL er krypteret, er den ikke ubrydelig, og da dit
>personlige kodeord er en del af sikkerheden (så folk ikke kan >stjæle
>dit nøglekort og bruge NJ med det) er det meget klogt at det ikke
>sendes over internettet.

Tak Søren, for forklaring.
Nu er jeg med.

Hilsen Johnny :o)