NemID sikkerhed kompromitteret

Heh... alle de penge de spilder på at gøre nemid sikkert osv..
Kunne de have brugt på at uddane folk så de kunne finde ud af at bruge den "gamle" digitale signatur.

Rolig nu, det ser bare ud til at man bliver derigerede hen på siden når man beder om support.. Som der var en der skrev på version2, Malice before ignorance filtret er aktiveret.

Hvordan er sikkerheden kompromitteret, som overskriften siger, bare fordi de er under angreb?

Heh... alle de penge de spilder på at gøre nemid sikkert osv..
Kunne de have brugt på at uddane folk så de kunne finde ud af at bruge den "gamle" digitale signatur.

Mjaah - altså, hvis man kritiserer sikkerheden på NemID, bør man ikke være al for hurtig til at rose Digital Signatur - det var da i hvert fald usikkert af hæwlede til! :-)

Hvordan er sikkerheden kompromitteret, som overskriften siger, bare fordi de er under angreb?FritzFarlig (#3)

Kompromitteret != blevet hacket.

Hvem fanden finder på at gemme public/private keys det samme sted.... ????

Heh... alle de penge de spilder på at gøre nemid sikkert osv..
Kunne de have brugt på at uddane folk så de kunne finde ud af at bruge den "gamle" digitale signatur.D_V (#1)

Den gamle digitale signatur var i bund og grund et fælt misfoster, som det ikke giver mening at uddanne folk i.

Hvem fanden finder på at gemme public/private keys det samme sted.... ????mrF0x (#6)

Nogen der har tænkt en lille smule realistisk og kommet frem til at den ligger mere sikkert hos PBS end på på folks generelt alt for usikre computere.

Heh... alle de penge de spilder på at gøre nemid sikkert osv..
Kunne de have brugt på at uddane folk så de kunne finde ud af at bruge den "gamle" digitale signatur.D_V (#1)

De kunne åbenbart også være brugt på bedre dansk-undervisning til dig ;)

Kompromitteret != blevet hacket.

Kompromittere=stille i et ugunstigt lys (den Store Danske Ordbog)=blevet hacket

Hvis de ikke er kommet igennem sikkerheden er sikkerheden ikke kompromitteret - så de må være blevet hacket!

Edit: Det er selvf. også muligt, at de ikke ved hvad ordet betyder og ikke er blevet hacket! :-)

Hvem fanden finder på at gemme public/private keys det samme sted.... ????mrF0x (#6)

Jeg syntes du skal læse nogle af de andre tråde om NemID, for at se hvorfor det ikke er helt så dumt som det lyder.

Jeg syntes du skal læse nogle af de andre tråde om NemID, for at se hvorfor det ikke er helt så dumt som det lyder.T-Hawk (#11)

Det er også helt fint at den ikke er placeret hos forbrugeren.. Hvis en ondsindet skulle få adgang -- må der da som minimum gerne være en barriere mere.

Hvor i dog snakker og snakker om en masse i intet viden har omkring. Fejlen skyldes at CPR registreret ikke kan følge med til alle de brugere som er inde for at bestille på samme tid. At de ikke kan lave en ansændig fejlbesked skal jeg dog ikke kunne svare på. Mht. Sikkerheden af NemID har Certifikatpolitikkerne forpligter udbyderne af OCES-certifikater til, at der årligt skal gennemføres systemrevision af sikkerheden og udarbejdes en protokol og revisionserklæring af en ekstern statsautoriseret revisor, der indsendes til IT- og Telestyrelsen til godkendelse. Der er desuden krav om en ledelseserklæring fra CA (Certificate Authority).

#13

Det er da heldigt, at vi så har dig der kan fortælle os, hvad den yderst mangelfulde beskrivelse dækker over.
Man må formode du har "insider viden" ?

Hele præmissen bærer jo på troværdighed og at vi skal stole 100% på at N3M-ID har fuldstændig styr på sikkerheden, at der intet misbrug er -- og at systemet altid er så robust at intet kan bryde ind.

Er det ikke Utopi at tro at deres løsning er så sikker at ingen kan finde på bryde sikkerheden? I værste tilfælde - at de faktisk opdager for sent at systemet har været kompromitteret i (au, au) længere tid.

Det er fint nok med alle procedurer, kontrol, test, optimering, erklæringer osv..

Sidder jeg (vi)på den anden side og systematisk prøver at komme ind -- så gør man også det..

If there is a possibility of several things going wrong, the one that will cause the most damage will be the FIRST to go wrong

Det er da heldigt, at vi så har dig der kan fortælle os, hvad den yderst mangelfulde beskrivelse dækker over.Stallemanden (#14)

Det er standardviden for alle der har arbejdet med Digital Signatur. Uden at have snakket med DanID.

Jeg er ellers så glad for min egen netbankadgang. Der er personlig kode (tal, store og små bogstaver) og en krypterings-lommeregner-agtig-dims med 4-cifret adgangskode.

Det er da træls at jeg i stedet skal have NemID. Omvendt så bliver det nemmere at komme i kontakt med det offentlige...

Sikkerhed kompromitteret

Vi har konstateret tegn på at der foregår et sikkerhedsangreb.
(0)

I teorien kunne det jo også være at der er for mange der prøver at oprette et NemID fra samme IP. F.eks. fra det samme firma og sikkerhedssystemet så har set det som en trussel da mange forespørgsler kom fra samme sted.

Men det er bare min teori uden at have nogen opbakkende beviser :)

Jeg er ellers så glad for min egen netbankadgang. Der er personlig kode (tal, store og små bogstaver) og en krypterings-lommeregner-agtig-dims med 4-cifret adgangskode.

Det er da træls at jeg i stedet skal have NemID. Omvendt så bliver det nemmere at komme i kontakt med det offentlige...mathiask (#17)

Der er også personlig kode på N3M-ID + Nøglekort + brugernavn. Senere vil det også blive muligt at få den "dims" du snakker om til N3M-ID. - Kan ikke helt se forskellen :)

#17
Hvorfor synes du det er træls? For mig at se er det da bare nemmere. Nøglekortet fylder minder, og du skal ikke skrive på det.

Sikkerhed kompromitteret

Vi har konstateret tegn på at der foregår et sikkerhedsangreb.
(0)

I teorien kunne det jo også være at der er for mange der prøver at oprette et NemID fra samme IP. F.eks. fra det samme firma og sikkerhedssystemet så har set det som en trussel da mange forespørgsler kom fra samme sted.

Men det er bare min teori uden at have nogen opbakkende beviser :)daninino (#18)

- Det skyldes, som nævt tidligere, at CPR-registret ikke kan give N3M-ID den ønskede kapacitet. - Dette er også meldt ud til medierne.

Det er rigtig mange mennesker i denne tråd som blander ting sammen.

Nedbrud:
Da NemID er afhængig af at kunne trække cpr oplysninger fra CPR-registret, og der her ikke er nok ressourcer til at håndtere alle forespørgelser, har NemID oplevet nogle nedbrud.

Dette har intet at gøre med det postulerede hacker angreb.

Sikkerhedsagreb
Dette er ikke et sikkerhedsangreb, dette er medierne der blæser det her alt for meget op.
Beskeden kommer når man prøver at sende en mail til nemid, via den form som er på deres hjemmeside.
Det der sker er, at den validering som kontrollerer de indtastede oplysninger, tror at man prøver at injecte javascript/html kode. Og derfor smider valideringen en videre til en fejlmeddelse som er den som også er fremvist i denne artikel.

Så som #2 også siger, Malice before ignorance.

Der er INTET sikkerhedsangreb på nemID.

Og nej, jeg har ingen insider viden, eller har på nogen måde noget at gøre med nogle af de involdvere parter.
Det eneste jeg har er teknisk viden.

Se evt her:
http://www.version2.dk/artikel/15428-nemid-afviser-angreb-forkert-fejlbesked-skaber-unoedig-bekymring

Beskeden kommer når man prøver at sende en mail til nemid, via den form som er på deres hjemmeside.
Det der sker er, at den validering som kontrollerer de indtastede oplysninger, tror at man prøver at injecte javascript/html kode. Og derfor smider valideringen en videre til en fejlmeddelse som er den som også er fremvist i denne artikel.Mistah (#22)

Det er også noget øv ikke at have testet sådan en lille ting... er selv lige stødt i noget lignende, men heldigvis i dev og ikke production, da det var bevist.

Men det er da virkelig også en god tekst, hvis man gerne vil hyle brugerne ud af den.

Kompromitteret != blevet hacket.jAST (#5)

Hvorledes svarer det på mit spørgsmål? Mener du min router er kompromitteret fordi jeg kan se der konstant portscannes etc.?

48 timer kan der ikke engang gå, før der er nogen der har brudt sikkerheden. Men det viser jo bare hvor inkompetente de idioter, regeringen sætte til at lave deres arbejde, er.

Har der egentlig været nogen offentlige systemer som er blevet lavet ordentligt? UDEN FEJL efter 2-3 dage?

Alle deres chokerende udgifter på systemer som bryder sammen overskygger fuldstændigt de systemer der skulle virke.

Nogen der kan forklare, eller smide et link til et sted der forklarer, hvordan NemID's sikkerhedsmodel (public/private keys samme server) giver mening?

Nogen der kan forklare, eller smide et link til et sted der forklarer, hvordan NemID's sikkerhedsmodel (public/private keys samme server) giver mening?Mulpacha (#26)

http://newz.dk/nemid-kan-blive-mere-digital/page1

Diverse kommentarer forklarede det rimelig godt for mig... især T-Hawk's.

Jeg er ellers så glad for min egen netbankadgang. Der er personlig kode (tal, store og små bogstaver) og en krypterings-lommeregner-agtig-dims med 4-cifret adgangskode.

Det er da træls at jeg i stedet skal have NemID. Omvendt så bliver det nemmere at komme i kontakt med det offentlige...mathiask (#17)

Der er også personlig kode på N3M-ID + Nøglekort + brugernavn. Senere vil det også blive muligt at få den "dims" du snakker om til N3M-ID. - Kan ikke helt se forskellen :)GuZzEr (#19)

Mod betaling...token-kort koster penge hvis du ikke vil have en lap papir..som kan tabes/stjæles...og som ikke har en pinkode som sikkerhed ved tab/tyveri.

#26: Kort fortalt, så har udbyderen af Digital Signatur hele tiden kunnet udskrive nøgler i dit navn (sikkerheden omkring id bygger jo på at man stoler på en CA). Derfor er det ikke som sådan mindre sikkert at de også opbevarer de nøgler du tilfældigvis bruger.

Hvordan kan man ud fra

Sikkerhed kompromitteret Vi har konstateret tegn på at der foregår et sikkerhedsangreb.

skrive en artikel om at sikkerheden på ved NEM ID er kompromitteret?

Det eneste der står ar sg da at de er under angreb (nogen som forsøger at hacke det...)

Jeeez. Folk er godt nok hurtige til at kaste med mudder...

#30: De to første ord kan nok lede folk til tanker i retningen af at sikkerheden er kompromitteret. Jeg tror at alle her er med på at det er en ufattelig uheldig fejlbesked som kommer ud af et helt andet problem, nemlig overbelastning af en del af systemet (i dette tilfælde adgangen til CPR).
Programmøren som har skrevet dette har nok tænkt at hvis sådan en overbelastning skete så måtte det være resultat af et DOS angreb.

#31

Fejlbeskeden har da ikke direkte noget med adgangen til CPR at gøre!?

Det er også noget øv ikke at have testet sådan en lille ting... er selv lige stødt i noget lignende, men heldigvis i dev og ikke production, da det var bevist.Scorp-D (#23)

Nu kan det jo være de har testet det med belastninge (Det ville være mærkeligt andet) men er blevet overrasket over hvor mange der egentligt vil have en signatur den dag de åbner. Vi ser jo det samme gang på gang med Billetnet

Nu stopper i....

Hvis det er pga. validering, fx i ASP.NET at ValidateRequest ikke er false og siden returnere html/javascript som ikke var der til at starte med, så får man normalt en rigtig træls fejl kastede i hovedet...

Hvis de catcher den fejl, og redirecter til https://borger.pr.certifikat.dk/status/sikkerhed_kompromitteret , så er det vel fuldstændig ligegyldigt at tjekke for overbelastning...

At en overbelastning har ledt til at mange har forsøgt at skrive til dem, og der derved er kommet mange redirects er så en helt anden sag.

Så de burde stadig have tjekket indsendelsesformen.

Hvorfor f*nden kan man ikke bestille NemID vha min digitale signatur? Er der virkelig en grund til at jeg skal rejse mig op og finde mit pas frem...

Hvorledes svarer det på mit spørgsmål? Mener du min router er kompromitteret fordi jeg kan se der konstant portscannes etc.?FritzFarlig (#24)

At være kompromitteret betyder at du er blevet stillet i en ugunstig situation. Er vi enige om at være under angreb er "ugunstig", dvs. ufedt ?

Så ja hvis du f.eks. bliver DoSet , så er du blevet kompromitteret men ikke hacket.

Kompromittere=stille i et ugunstigt lys (den Store Danske Ordbog)=blevet hacket

Hvis de ikke er kommet igennem sikkerheden er sikkerheden ikke kompromitteret - så de må være blevet hacket!

Edit: Det er selvf. også muligt, at de ikke ved hvad ordet betyder og ikke er blevet hacket! :-)moulder666 (#10)

Ja, altså hvis dansk var dit helt eget sprog og du kunne fortolke det som du ville.

Kompromitteret betyder ikke nødvendigvis hacket. Hacket betyder hacket. Kompromitteret er en mindre negativ betegnelse og dækker meget bredere end hacket gør.

Fordi jeg lægger din server ned, så har jeg ikke nødvendigvis hacket dig. Jeg kunne bare have kompromitteret dit system..

Fejlbeskeden har da ikke direkte noget med adgangen til CPR at gøre!?

De siger folk at fejlen har. Fejlbeskeden nævner det ikke...

Hacket betyder hacket.jAST (#37)

Det er ikke nogen særlig god definition. Det lyder som om at folk er uenige om hvad det vil sige at blive hacket..

De siger folk at fejlen har. Fejlbeskeden nævner det ikke...mathiass (#38)

Kan se at du har givet #22 relevant... Men prøv lige at læs den igen...

Og evt. kilden.

Hvorfor f*nden kan man ikke bestille NemID vha min digitale signatur? Er der virkelig en grund til at jeg skal rejse mig op og finde mit pas frem...stofferm (#35)

Enig. Synes det er pisirriterende... DanID's falliterklæring af Digital Signatur... -.-

Men har nu kørekort, så det var hurtigt klaret :)

hahahaha det er simpelthen til grin med NemId.

Først skriver de, at man vil få sin nemid "når det bliver ens tur" - hvilket jeg også har fået at vide via min bank igennem en meddelelse sendt i netbank.

Nu kan man så pludselig bestille det, og så tænker jeg - jeg bruger da min digitale signatur - men næh nej, den er åbenbart slet ikke god nok mere. Skal jeg tolke det som, at digital signatur er noget bras - og de nu efter flere år har erkendt det? Bankerne havde altså ret dengang de ikke ville bruge digital signatur fordi den var for usikker. Nu har de så samarbejdet med det bureaukratiske juks til Nemid.

Omvendt så bliver det nemmere at komme i kontakt med det offentlige...mathiask (#17)

Hvad hvis man ikke vil det? :P