Dankorts beskrivelse af sikkerheden

http://www.dankort.dk/sikkerhed-for-kortholdere beskriver noget af sikkerheden i viftekortet. Der er dog en del misvisende informationer:

”Og fordi du aldrig slipper det under betaling, giver det dig fuld kontrol.”

Det ville være korrekt, hvis det ikke var et viftekort, men netop fordi kortet kan aflæses trådløst, så er det ikke korrekt. Helt indlysende er det jo, at hvis du kommer til at vifte det foran terminalen uden at ville betale med kortet, så kan beløbet blive trukket. Mindre indlysende er det, at kortet kan aflæses af kriminelle uden dit vidende, mens du f.eks. venter på toget. Se demonstration her: https://www.youtube.com/watch?v=R9AwULVyIk4

”Kortets data er krypterede og kan derfor ikke kopieres.”

Igen drages en forkert konklusion: Det er muligt at kortets data er krypterede, men som videoen ovenfor viser, så kan kortnummer og udløbsdato tydeligvis kopieres uden videre.

”Du hæfter ikke ved tyveri.”

Det er korrekt, men det er stadig din opgave at gøre indsigelser. Hvis du ikke lige får kontrolleret hver eneste kontoudtog, og får spurgt konen, om det er hende, der har brugt de 137,50 som du ikke lige kan gøre rede for, ja, så kan du reelt ikke gøre indsigelse. Det gælder også i dag, men typisk vil man være ekstra opmærksom, hvis kortet er blevet væk eller man har brugt kortet i en snusket cafe i Kuala Lumpur.

Men fordi kortoplysningerne fra viftekortet er så nemme at fjernaflæse, tvinges borgeren til have denne ekstra opmærksomhed hele tiden – noget som kunne have været undgået, hvis banken havde sørget for helt elementær kryptering af kortoplysningerne.

Det undrer mig stadig, at nogen tror, at man kan sende data trådløst uden at kryptere data med gennemtestede algoritmer som RSA, AES eller Diffie-Hellman. Wifi skulle lære det på den hårde måde, at ugennemtestede algoritmer som WEP bare ikke er nok. Wifi benytter i dag WPA2, som er baseret på AES. Lad os håbe, at bankerne får rettet op på deres sikkerhedsbrøler, inden alt for mange borgere kommer i klemme.

Advertisements
This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s