Inloggningsförsök på Avanza

Var inloggningsförsök på Avanzakonton i natt/morse. Har ett generiskt användarnamn på Avanza så fick dem också, trots att jag hade inloggning med användarnamn avaktiverat.

Förstår inte varför det ska gå att ens försöka logga in med sånt om det är avaktiverat hos en kund.

Jag trodde man behövde BandId för att logga in på Avanza. Jag minns inte att jag har något användarnamn och lösenord där?

1 gillning

Man kan ställa in så det går att logga in med användarnamn, lösenord och en 2-faktorskod

Förstår inte varför det ska gå att ens försöka logga in med sånt om det är avaktiverat hos en kund.

Som jag förstår det går det inte. Endast kunder som har haft lösenordsinloggning aktiverad (och använt samma användarnamn/lösenord på andra ställen) har drabbats.

Allt verkar ha fungerat som det ska. OTP-delen av tvåfaktorsautentiseringen förhindrade intrång, och beslutet att stänga av lösenordsinloggning för drabbade kunder är ju helt riktigt eftersom deras tvåfaktor reducerats till en.

Bra hanterat av Avanza tycker jag!

2 gillningar

Untitled2

Ja? Det stämmer ju med det jag skrev.

Edit: Om du syftar på inställningen “Användarnamn: inte aktiverad” beror det på att Avanza deaktiverat det åt dig, precis som de skrev i meddelandet.

Of topic. Min tyska bank har användarnamn på 8 siffror och lösenord på 6 siffror.

Oh, kortets pin nummer kunde man inte byta till för ett par år sedan, men nu kan man göra det iaf. Helt sjukt.

1 gillning

Bra gjort av Avanza absolut, men borde inte banker mer eller mindre ha krav på BankID som inloggning.

Användarnamn och lösenord känns så B :scream:

2 gillningar

Användarnamn och lösenord känns så B :scream:

Lösenord + OTP är säkrare än BankID eftersom det är mindre sårbart för social engineering. Alla vet att man inte ska lämna ut sitt lösenord, men titt som tätt blir folk lurade att logga in med sitt BankID åt någon bedragare.

2 gillningar

Så det är de som har deaktiverat den nu, och jag minns fel att den var deaktiverad när jag kollade i inställningarna för runt ett år sedan (och undrade vem som skulle logga in med det där idag)?

Dessutom så har den varit aktiverad i alla dessa år från att jag skapade kontot innan BankID blev populärt?

Vart i meddelandet skrev Avanza att det har deaktiverat att logga in med användarnamn, för de som blivit drabbade (det står att dom rekommenderar att man byter lösenord)?

Är du en PR-person från Avanza?

Så det är de som har deaktiverat den nu, och jag minns fel att den var deaktiverad när jag kollade i inställningarna för runt ett år sedan (och undrade vem som skulle logga in med det där idag)?

Precis så. Om det redan hade varit deaktiverat så finns inget användanamn/lösenord att logga in med. De som utfört attacken har ju uppenbarligen haft tillgång till ett användarnamn som var kopplat till ditt konto.

Dessutom så har den varit aktiverad i alla dessa år från att jag skapade kontot innan BankID blev populärt?

Det stämmer. Fram tills för några år sedan var användarnamn + lösenord ett krav när man skapade ett konto hos Avanza.

Vart i meddelandet skrev Avanza att det har deaktiverat att logga in med användarnamn, för de som blivit drabbade (det står att dom rekommenderar att man byter lösenord)?

Bokstavligen första meningen i meddelandet: “Din inloggning med användanamn har tillfälligt spärrats pga för många misslyckade försök.”

Det är inte samma sak som deaktiverat. Det där meddelandet skickades flera gånger med olika spärrtid när spärrningen släpptes och aktörerna testade igen.

Det deaktiverades väl efter x antal misslyckade försök. Faktum kvarstår: Utan ett aktiverat användanamn, ingen attack möjlig.

Jag har nu testat att logga in med fel lösenord trots att det var deaktiverat och det skickade ett meddelande om att kontot spärras. Så det går tydligen att försöka logga in även om det är deaktiverat.

Vilket är en halmdocka.

Jag har nu testat att logga in med fel lösenord trots att det var deaktiverat och det skickade ett meddelande om att kontot spärras. Så det går tydligen att försöka logga in även om det är deaktiverat.

Intressant, ska prova.

Edit: Jag kan inte reproducera detta. Hur många gånger försökte du logga in och på vilket sätt? Att bara klicka på “logga in”-knappen hundra gånger med felaktigt lösenord resulterar inte i något sådant meddelande för mig.

Editedit: Jag verkar inte få några meddelanden alls, även vid spärrning, så ovan reproductionscase är opålitligt.

Vilket är en halmdocka.

En halmdocka är att argumentera mot något som inget påstått. Du påstår att du deaktiverat inloggning med användanamn, vilket jag menar inte är möjligt eftersom attacken vi diskuterar då inte skulle kunna genomföras. Det kan vara fel i sak, om det du skriver ovan stämmer, men det är ingen halmdocka.

Nej, jag funderade över varför Avanza tillåter inloggningsförsök till deaktiverade användarnamn. Jag tror det bara är en teknisk fråga där de kanske vill erbjuda kunden att aktivera detta om de lyckas logga in på det sättet.

Det räckte att försöka en gång och den spärrades längre än den tidigare gången. Skrev mitt användarnamn och fel lösenord.

Nej, jag funderade över varför Avanza tillåter inloggningsförsök till deaktiverade användarnamn.

Och jag menar att de inte tillåter detta.

Det räckte att försöka en gång och den spärrades längre än den tidigare gången. Skrev mitt användarnamn och fel lösenord.

Nu provade jag samma sak med användanamninloggning aktiverat. Inloggningen spärrades (går inte att logga in ens med rätt lösenord) men jag fick inget meddelande :man_shrugging: