NemID er ikke sikker ID

der er brugt en spand penge nemid som netop skulle kunne validere borgernes identitet på nettet - nu vil bankerne så ikke godtage denne løsning...

HVORFOR har de ikke snakket sammen med bankerne INDEN de udviklede skodID?? - netop for at undgå dette!
Det er ligesom en smart sælger er ude at sælge noget uden at have en tekniker på banen!

1# det var jo bankerne i samarbejde med PBS eller NETS som specificerede kravene, og Danid som så udviklede det. så bankerne har sandsynligvis været klar over det under hele forløbet.

Nu handler sagen nok kun om præ-identifikation... dvs. inden oprettelse af konti eller ved oprettelse af kunde, at der er behov for yderligere ID...

når man endelig er godkendt, kan man overføre alle de penge man vil via online banking.

#3

Meget vigtig information at inkludere, da det overhovedet ikke gøres klart i resumeet.

I kilden er det også fortalt at det er sikkerheden ved oprettelse af NemID der er problematisk, eftersom man kan få NemID udelukkende vha. sin gamle digitale signatur. Og det er denne gamle digitale signatur der ikke lever op til kravet. Men eftersom den kan bruges til at oprette NemID, er dét NemID's svageste led...

"Hvidvaskloven har så bare et andet niveau, kan man sige. Der skal du være overbevist om kundens identitet. Og det mener vi ikke, at den (digital signatur, red.) har levet op til, netop fordi at digital signatur var nemmere at få, og de, som havde den før, bare kan gå ind og få en NemID." Karina Hansen til Computerworld.dk

Med "digital signatur" ovenfor menes formentlig den gamle; ikke NemID.

#6
Så er det efter min mening bare at få lukket den svaghed i en fart, så man rent faktisk kan bruge NemID ordenligt.

Kan ikke passe vi skal ha en skod løsning som ikke engang kan bruge til det hele, hvis vi endelig skal finde os i papkortet, så skal det fanme også virke hele vejen.

Selvfølgelig kan man ikke bruge NemID til at oprette en bankkonto. NemID kan ligesom et sygesikringsbevis gives til og bruges af andre end en selv. Derfor kræves ID med billede.

#0 artiklen

Jeg forstår ikke helt hvad der menes?
- er det en kritik at nemID ikke er sikke (Som overskriften hentyder en meget lille bitte små smugle til)?
- Er det oprettelsen af en nemID login man ikke kan bruge nemID login til?
- er det oprettelse af en ny bankkonto?
- en kritik af banker og det offentlige der modsiger sig selv om nem id kan bruges til idenfication af "jeg-er-mig"

Syndes det er meget forvirrende at finde ud af hvad kritikken går ud på, andet end hvad overskriften siger?

#8
For at forhindre hvidvaskning af penge, skal bankerne sikre at deres kunder er hvem de siger de er. Til det er NemID ifølge Finanstilsynet ikke godt nok.

...er dét NemID's svageste led...GoofyChristoffer (#5)

NemID's svageste led er DanID.

Jeg synes nu det er en større sikkerhedsbrist at de sender alle papirer ud i samme brev.

NemID's svageste led er DanID.

Jeg synes nu det er en større sikkerhedsbrist at de sender alle papirer ud i samme brev.puttitat (#10)

Det har de flere gange sagt, ikke er meningen og ikke burde kunne lade sig gøre...

...men de gør det så alligevel :)

#10, jeg kan se et par større fejl, som jeg selv har oplevet:

STORE eller små bogstaver er ligegyldige - prøv selv at gøre det tilfældigt næste gang.

Genbrug af engangskoderne!! Jeg tastede en forkert nøgle ind, og NemID bad mig sgu om at taste den samme nøgle ind!!

Godt forsøg på sensationsjournalistik med den overskrift. Jeg har det som om jeg læser Ekstra Bladet.

Og til #12
Systemet er bygget sådan, så det er ikke en fejl. Hvor mange gange tror du kan blive ved med at prøve den samme nøgle?

Som jeg læser det, har det mere at gøre med den gamle digitale signatur end nemid. OCES-godkendelse er jo ikke noget nyt?

STORE eller små bogstaver er ligegyldige - prøv selv at gøre det tilfældigt næste gang.Alrekr (#12)

Det er ikke et sikkerhedsproblem. Jeg forklarede det lige på et andet forum tidligere i dag, den forklaring kan du læse: http://www.reddit.com/r/geek/comments/fc6b3/banking_site_passwords_not_casesensitive_chase/c1euqnq

Genbrug af engangskoderne!! Jeg tastede en forkert nøgle ind, og NemID bad mig sgu om at taste den samme nøgle ind!!Alrekr (#12)

Det lyder lidt mystisk. Men så længe en nøgle ikke er blevet brugt, kan jeg ikke se det store problem.

Synes overskriften er misvisende...

/fail@ForklarendeOverskrift

(Ja ID = identification... men når det brugs i et ordspil er det sgu ikke det man tænker)

Stram op

Det lyder lidt mystisk. Men så længe en nøgle ikke er blevet brugt, kan jeg ikke se det store problem.myplacedk (#14)

problemet hedder BruteForce... men som sagt er der nok en grænse for hvor mange gange man kan prøve et tal inden den blokere ?

I "gamle" dage krævede kommunerne/posthuset at man tog forbi dem og viste gyldigt billede ID før man kunne modtage sin digitale signatur.

Men udrulningen af digital signatur tog for lang tid og så begyndte man at lempe på sikkerheden og nogle kommuner sendte endda CD'er med posten til folk sammen med login oplysninger for at få dem til at melde sig til.

Problemet eksisterer stadig med NemID fordi der ikke er nogen sikkerhed for at den der modtager signaturen er den som vedkommende giver sig ud for. Jeg ville kunne lave en signatur i min mors navn, uden hendes viden, hvis jeg har adgang til hendes postkasse.

Det er langt sværere at lave hvis man skal op et sted og vise ID først.

problemet hedder BruteForce... men som sagt er der nok en grænse for hvor mange gange man kan prøve et tal inden den blokere ?Montago (#16)

Netop. Hvis problemet ikke er brute force, hvad er problemet så?

Nu spørger jeg af uvidenhed / dårlig hukommelse - men kan det passe den specifikt bad om både store og små bogstaver ved oprettelse?

#18, hvis jeg indtaster en nøgle, så burde den nøgle jo registreres som brugt, om jeg taster den rigtigt ind eller ej. Men det gjorde den ikke! Jeg fik lov til at forsøge at taste nøglen ind, efter jeg tastede den forkert ind. Dér er da stort potentiale fo brute force, som #16 er inde på.

#20

#18, hvis jeg indtaster en nøgle, så burde den nøgle jo registreres som brugt, om jeg taster den rigtigt ind eller ej. Men det gjorde den ikke! Jeg fik lov til at forsøge at taste nøglen ind, efter jeg tastede den forkert ind. Dér er da stort potentiale fo brute force, som #16 er inde på.

Jeg har lige været inde og teste det.
Hvis du taster din nemID nøgle forkert, så har du et forsøg igen.
Hvis du taster din nemID nøgle forkert 2. gang, bliver denne nøgle sat til brugt(så man har en nøgle mindre), og du skal indtaste en anden nøgle.

Og man kan ikke brute force det med kun 2 forsøg per nøgle

#21, nu er jeg ikke meget for at spilde mine nøgler på den slags test (de forsvinder hurtigt nok som det er), og jeg kan godt se, at systemet er væsentligt stærkere nu, hvor du har vist, at man kun har to forsøg. Jeg synes bare ikke der er meget éngangskode over en nøgle, som kan bruges mere end én gang. Og man kan da lave 100 % flere brute force-forsøg pr. nøgle med to forsøg, end man kan med ét ;)

der er brugt en spand penge nemid som netop skulle kunne validere borgernes identitet på nettet - nu vil bankerne så ikke godtage denne løsning...

HVORFOR har de ikke snakket sammen med bankerne INDEN de udviklede skodID?? - netop for at undgå dette!
Det er ligesom en smart sælger er ude at sælge noget uden at have en tekniker på banen!noisycricket (#1)

Du har så evigt ret...

#21, nu er jeg ikke meget for at spilde mine nøgler på den slags test (de forsvinder hurtigt nok som det er), og jeg kan godt se, at systemet er væsentligt stærkere nu, hvor du har vist, at man kun har to forsøg. Jeg synes bare ikke der er meget éngangskode over en nøgle, som kan bruges mere end én gang. Og man kan da lave 100 % flere brute force-forsøg pr. nøgle med to forsøg, end man kan med ét ;)Alrekr (#22)

Nu prøver du vidst også at være sur bare for at være på tværs. Man kan sku ikke sige at to forsøg er nok til brute force.

#24, jeg prøver at være sjov, hence the smiley :)

Selvfølgelig kan man ikke bruge NemID til at oprette en bankkonto. NemID kan ligesom et sygesikringsbevis gives til og bruges af andre end en selv. Derfor kræves ID med billede.Killa (#7)

Some sagtens kan forfalskes. Altså en ligegyldig kommentar. Uskyldige mennesker generes, skurke laver hvad skurke altid laver: noget ulovligt.

Det er fint med mig.

Har intet problem med at møde op og verificerer for dem at jeg er mig. Hvis det afværger identitets tyveri, syntes jeg det er en fin løsning.

Desværre kan man stadigvæk snyde ved at møde op. Vores sygesikringskort kan da umuligt være særligt godt. Enhver der stjæler sådan et kort kan jo oprette alverdens ting.

#21, nu er jeg ikke meget for at spilde mine nøgler på den slags test (de forsvinder hurtigt nok som det er), og jeg kan godt se, at systemet er væsentligt stærkere nu, hvor du har vist, at man kun har to forsøg. Jeg synes bare ikke der er meget éngangskode over en nøgle, som kan bruges mere end én gang. Og man kan da lave 100 % flere brute force-forsøg pr. nøgle med to forsøg, end man kan med ét ;)Alrekr (#22)

Hah, så skulle du se da jeg skulle oprette min eboks, tror jeg fik fyret de første 10 nøgler af før jeg fandt ud af at jeg skulle rundt på nogle andre sider og åbne op for sluserne, som så kostede yderligere 5 nøgler. Jo med den hastighed det skyder skal man jo snart have et ekstra kort liggende.

Nu hvor det så bliver stemplet som værende usikkert og ikke opfylder bankernes krav alligevel, skal vi jo sikkert også bøde for på en eller anden måde - her tænker jeg de penge der nu bliver spildt på at "forsøge at gøre det sikkert".

Selvfølgelig kan man ikke bruge NemID til at oprette en bankkonto. NemID kan ligesom et sygesikringsbevis gives til og bruges af andre end en selv. Derfor kræves ID med billede.Killa (#7)

Jeg mener ikke at jeg skulle vise noget ID med billede sidst jeg oprettede en bankkonto for lidt over et år siden

For et par år siden læste jeg også en lille artikel, hvor der er par folk der lige ville teste hvor meget de egentligt kunne gøre uden at have noget som helst ID på sig. De udleverede hinandens CPR nr. og gik en tur rundt forskellige steder for at se hvad de alt kunne gøre. Før testen var omme havde de ændret i skatte-oplysningerne, oprettet kontoer, taget lån og anskaffet en hel masse personlige oplysninger, uden at der på noget tidspunkt blev spurgt om ID. De skulle stort set bare sige et cprnr
Hvis jeg husker korrekt var der også en del år imellem de to personer, men det at en 25 årig siger at han har cprnr 010255-4321 vækkede ikke undren

Nu hvor det så bliver stemplet som værende usikkert og ikke opfylder bankernes krav alligevel,Djungland (#28)

Pas på med at accepterer facts fra journalister.

NemID er IKKE usikkert, og der er IKKE problemer med at opfylde bankernes krav. Der er blot tale om noget som NemID ikke er designet til.

Det her er noget man valgte helt bevidst på et eller andet tidspunkt, og alle parter kendte konsekvensen. Man kunne sagtens have sagt at der skulle bedre ID til for at få oprettet NemID, men man mente at det gav flere ulemper end fordele.

#30

Det er vel generelt man skal passe på med at acceptere facts? Der er for mig at se ingen grund til at æde dine facts og så samtidig være varsom overfor facts fra journalister. Selvom de er ansat på computerworld.dk

#31
Nu har han fået sagen fra begge sider, fra to upålidelige kilder. Så har han mulighed for selv at tage stilling.
Før kendte han kun sagen fra én side, og den slags er meget ofte mere misinformerende end informerende.

Og så må du selv bestemme om du tror på at det er godt at se sagen fra flere sider, jeg er ligeglad. ;-)

Selvfølgelig er det godt at se sagen fra flere sider. Men det virker bare ret morsomt at du stiller dig op og proklamerer at journalisternes fakta er noget man skal holde sig fra og så er nemID iøvrigt sikkert. Uden nogen form for dokumentation eller anden underbygning. Så fakta kontra påstand? :)

Håber du kan se hvor jeg vil hen med mit indlæg. :)