NemID var ramt af kendt stor sikkerhedsbrist

Face + Palm = ???

Fejlen blev opdaget af Politiken, der har fået den verificeret af F-Secure, men det viser sig, DanID har kendt til fejlen siden juni i år. Her indrømmer man, at man burde have advaret tidligere mod at benytte nemid.dk.topic

Burde? Burde?! De BURDE have rettet fejlen! Hvad sker der lige for den sikkerhed vi åbenbart har i dag? Jeg synes ikke jeg hører om andet end fejl i NemID og hvad der ellers er "ID".

Hvor meget er det lige en uvedkommende kan skade ens private ting, således de får adgang til ens konto - hvilket tilsyneladende er utrolig nemt.

Aldrig om jeg skal have det pjat!

Aldrig om jeg skal have det pjat!mrKayne

Du har desværre snart ikke noget valg.

Face + Palm = ???Athinira (#1)

palmpilot??

#2
der står ikke her i nyheden, men fejlen er rettet.
og ja, de burde have informeret, og de erkernder de også.
så lederen skal bare fyres og finde en kompetent person.

De afviser alt kritik af deres sikkerhed og alligevel kommer man ud for "sjove ting" som dette!?!?!?

Det er fandeme ikke et dating site de kører!!!!!

SPADER!!

Sådan et hul skal bare lukkes, og det fa'eme ASAP.

Hele NemID systemet er jo generelt bare "Failure by Design"-stemplet all over!

Nøglekort?? *pfffff* .... Besværligt og stadig ikke sikkert nok. Hvordan tror I man laver lookup på de nøgler? Hvor tror I de er lagret også? ;-)

Systemet er for centraliseret med alt sikkerhed på serverne hos DanID.... og DET er ikke fedt!!

Nej, den eneste rigtige måde er at give brugeren et token i form af USB-tingest eller f.eks. smartcard (med reader).... Indtil SmartCard Cryptographic readers bliver standard i PC'ere så er et USB-pendrive nok det bedste.

På det pendrive er der en nøgle (private key), som rent faktisk ER private. Mister man sit pendrive og dermed sin private key, så er der kun én måde at få adgang til sine sager igen: Man skal troppe op i egen høje person med validt ID og så skal nogen FYSISK gøre noget på et disconnected system for at tildele en ny nøgle til personen..... og selvfølgelig et par andre smådetaljer ;-)

Hvor svært ka' det være??
Min private key skal fa'eme ikke ligge på samme system som min public key med net access.... DOOOH!!!

#2
der står ikke her i nyheden, men fejlen er rettet.
og ja, de burde have informeret, og de erkernder de også.
så lederen skal bare fyres og finde en kompetent person.Remmerboy (#4)

Ja, det er vel det mindste de kunne gøre. Hvornår blev fejlen rettet? Efter det var blæst op i medierne?

Det er fandeme ikke et dating site de kører!!!!!Softy (#5)

Kender folk der er mere bange for sikkerheden omkring deres datingprofiler end deres NemID ;-)

Vi "burde" snart høre om fyringer.

Gang efter gang hører man om total idioti omkring offentlig IT. For nu at tage fra engelsk: "Common sense apparently isn't that common".

Jeg har NemID kortet, og det har faktisk været meget bekvemt for mig at bruge, men det løber mig koldt ned ad ryggen når jeg høre sådan noget her.

At man laver "Danmarks nye sikkerheds system" og så slår plat på... ja sikkerheden, så er man fanme for amatør til at arbejde i branchen.

Hvordan kan det være NemID (DanID)´s skyld at en konkurrent der fik snuppet nemid.dk foran næsen på DanID fucker logout funktionen op?

Hvordan kan det være NemID (DanID)´s skyld at en konkurrent der fik snuppet nemid.dk foran næsen på DanID fucker logout funktionen op?moveax1ret (#11)

Hvordan er det ikke dem der har designet systems skyld at det kan lade sig gøre?

Der er hvis nogen der ikke er voksen nok til den opgave de har påtaget sig.

For at det skal kunne lade sig gøre har man jo åbenbart sin login session til at ligge i en cookie af en eller anden form.
ARGH!!! Det burde bare ikke eksistere når man har så følsomme data at gøre.

Det burde ikke engang kun give en fyreseddel, man skulle fandeme ind og side i spjællet for usømmelig omgang med folkets personlige data.

#12

Hvordan vil du designe et system der automatisk terminerer en session uden at systemet får at vide sessionen skal termineres? Hvis nemid.dk ikke sender et "terminer sessionen" signal til danid er den jo ikke længere.

#13
Ahva? hvordan vil du så opretholde sessions data? url rewrite?!?!?!?

Det skræmmer mig at sige... Men... "Gid den Digitale Signatur var blevet ved TDC."

Sådan som jeg forstår denne "historie" så har firmaet Assemble købt nemid.dk.

Assemble lader så folk logge ind på deres side med nemid(de er bare en nemid kunde- har intet med danid at gøre).

Når at folk logger ind med nemid startes der en single sign on session på en IDP.(Dette gør det muligt at du automatisk logger ind alle steder når du har logget på én gang).

Når at folk så trykker på logout knappen er det Assembles ansvar at sige til Danids server "Hey, Hr Hansen er logget ud, dræb hans session".

Men det gør Assemble ikke, Danid kan derfor på ingen måde vide at Hr. Hansen har trykket på logout.

Det er sjusk fra Assembles side, det kan på ingen måde være DanID´s skyld.

Eller har jeg forstået det forkert?!?!?!!? Er der nogen der ved mere???

#14

Ja der må jeg sku nok blive dig et svar skyldigt, jeg havde ikke forstillet mig at fordi man loggede ind på skat via NemID at man så kunne tilgå alle andre sider med NemID login uden at skulle logge sig ind igen.

Det er jo bare første gang der er en der hijacker din browser mens du er logget på med NemID og du er færdig. Den risiko er det jo altid lige meget hvad men bare ikke til så mange oplysninger på en gang.

Eller har jeg forstået det forkert?!?!?!!? Er der nogen der ved mere???moveax1ret (#16)

Dit oplæg lyder ikke helt ufornuftigt MEN: Et eller andet sted burde der fra DanID's side være en sikkerhedsforanstaltning eller som et minimum bare et sikkerhedskrav til de der udbyder deres tjeneste?

PBS er jo så gode til at stille krav alle andre steder, specielt i Nethandel, så hvorfor ikke her?

Hvordan kan det være NemID (DanID)´s skyld at en konkurrent der fik snuppet nemid.dk foran næsen på DanID fucker logout funktionen op?moveax1ret (#11)

De kunne jo evt. tilbyde dem 100,- herefter 50.000,- og til sidst pudse deres top-advokater på dem, så de er sikre på at fravriste dem deres domæne?

#3: Der er et valg. Det valg hedder at man må bruge sin gamle signatur, som man selv har liggende, indtil NemID får nosset sig sammen til en lignende løsning. Og så ellers undvære ting som netbank indtil da (det er så synd for bankerne).

Og nej, en løsning hvor DanID blot kommer et elektronisk nøglekort på en USB-pind og bruger den til at lave et regulært NemID log-ind, er ikke god nok. Jeg vil have min private nøgle, jeg anser det ikke for sikkert, at DanID har min nøgle liggende.

hold kæft et amatør firma. Skyd jer selv i foden og luk biksen.

Sikke en flok lallende amatører. Hvem fanden har godkendt den lorte løsning? Sikkert en flok uvidende politikere hvis familie har anparter i danid

ansigtspalme

#18

Meget kort forklaring faktisk: Session timeout.
Hvilket NemId åbenbart ikke har (havde).

Deres session lever ret lang tid, hvilken den ikke burde.
Det har de dog rettet nu.

#22 men den er nok ikke rettet til fx 10 sekunder, så det kan jo stadig ske hvis et site ikke kan finde ud af at implementere logout. Det er et problem med alle systemer, og har sgu ikke noget med NemID at gøre.

#12
Hvordan vil du designe et system der automatisk terminerer en session uden at systemet får at vide sessionen skal termineres? Hvis nemid.dk ikke sender et "terminer sessionen" signal til danid er den jo ikke længere.moveax1ret (#14)

Hvis ikke du kan logge folk ud og låse ladeporten - så må du lade være med at tilbyde systemet.

Det NemID har gjort er:
1. Acceptere at et andet firma har deres domæne - vi taler ikke bare typosquatting men at NemID har valgt at lade stå til. Hvordan kan de gå i luften uden eget domæne (og det hjælper ikke at PBS/Nets er ligeså bovlamme).

2. Bygge en løsning, hvor brugerne får en "lås døren" knap... som ikke låser døren. Duh! Det må simpelthen ikke ske.

3. Kende til fejlen men intet gøre i månedsvis... før en avis offentliggør det - og derefter reagere på et par timer. Så er man simpelthen ligeglad med sikkerhed og evner ikke at prioritere.

Holdet bag NemID burde stå ret i regnen foran 500 råbende bankkunder mens de tvinges til at læse op af Jef Raskins bøger og æde dem side for side. Og lad det blive ved indtil de enten finder et job på et niveau de kan bestride eller forstår vigtigheden af usability i forbindelse med sikkerhed. Damn for en flok håbløse amatører.

#5:

Nej, den eneste rigtige måde er at give brugeren et token i form af USB-tingest

Jeg giver dig fuldstændig ret!
I mine dage som mobilsælger havde vi jo adgang til mobilselskabernes CPR register, og kunne slå en masse informationer op om kunderne.
Login foregik:
Brugernavn:
4-cifret kode efterfulgt af koden på token donglen.

MAn må da næsten anse det for at være tæt på sikkert.
Man skal jo både bruge brugernavn, adgangskode og ha´ en token.
Det med en papirfolder med kode - hvilket århundrede lever vi i?

Jeg synes ikke jeg hører om andet end fejl i NemIDmrKayne (#2)

Det er primært fordi det er det man snakker om der hvor du opholder dig. Der er nu en del som er glad for fordelene ved systemet.

(Ikke fordi jeg ikke synes denne sag er skandaløs.)

#25
Hvad er forskellen på det system, og papkortet fra NemID? Tror du det er mere sikkert koderne står på et display frem for et pap-kort?

De vigtigste forskelle er at papkortet kan kopieres, at papkortet er nemmere at have med samt at papkortet er billigere.

Ja, det er korrekt - hentydede vel nærmere til systemet eksisterer, og refererer derfor til min sidste sætning :

Det med en papirfolder med kode - hvilket århundrede lever vi i?

#28
Det århundrede hvor penge stadig ikke er gratis?

2. Bygge en løsning, hvor brugerne får en "lås døren" knap... som ikke låser døren. Duh! Det må simpelthen ikke ske.

3. Kende til fejlen men intet gøre i månedsvis... før en avis offentliggør det - og derefter reagere på et par timer. Så er man simpelthen ligeglad med sikkerhed og evner ikke at prioritere.nubus

Det er IKKE danid der har lavet den ikke fungerende "lås døren knap" det er ET HELT ANDET FIRMA DER INGEN RELATION HAR TIL DANID.

Penge er kun papir !

Sidst der var noget om NemID og adgang til andres oplysninger forsvarede jeg lidt NemID. Denne gang er de bare alt alt for idiotiske. Man burde sgu da rette en fejl med det samme man finder den!?

Sidste gang der var en sag med nemid og adgang til andres oplysninger var det en bankdame der indtastede et forkert cpr nummer.
Det kunne ligeså godt have været digital signatur der blev brugt til at logge ind.

Hvorfor går folk fuldstændigt i selvsving og overhovedet ikke lytter til fornuft eller opfører sig rationelt så snart NemID bliver nævnt?

Det virker som om i holder jer for ørene og råber "LALALALA NEMID ER NOGET LORT, OG JEG KAN IKKE HØRE DIG, LALALALA NEMID ER NOGET LORT"

Note to self: unit test logout functionality.

Jeg vil lige tilføje at jeg ikke er fan af nemID, jeg vil helst forsætte med digital signatur- men min modstand af nemID er baseret på ting i den virkelige verden, og ikke bare ignorant bitcheri.

Må jeg foreslå at folk læser her inden de kommenterer artiklen: https://www.nemid.nu/om_nemid/aktuelt/20100914_sikkerhedsbrist_paa_www_nemid_dk_har_intet_at_goere_med_nemid.html

Findes der en mulighed for at tilmelde sin NemID til _KUN_ at kunne benyttes til web-bank (altså ikke som erstatning for den digitale signatur, men kun til web-banken), og så ellers fortsat benytte den digitale signatur, så længe den nu virker?

#37
Ja. Bare lad være med at gøre noget. Det du får fra banken automatisk virker kun i banken, indtil du selv aktiverer resten af din NemID.

#25
Hvad er forskellen på det system, og papkortet fra NemID? Tror du det er mere sikkert koderne står på et display frem for et pap-kort?

De vigtigste forskelle er at papkortet kan kopieres, at papkortet er nemmere at have med samt at papkortet er billigere.myplacedk (#27)

Det er ikke der filmen knækker for mig.

Det er der, hvor jeg skal bruge pap-kort, for at identificere mig overfor en 3.-part, som så ellers er den tjeneste der står 100% for at bekræfte overfor banken hvem jeg er.

Det svarer til at et firma holder alle folks pas, og når så man ellers skal identificeres, går man ned til dem, og så går de med over på kommunen, og siger til kommunen "Den er fjong, han er hvem han siger". (tænkte at de tog med på rejsen var lidt for langt ude)...

Det holder bare ikke. Jeg vil have mit pas personligt, ligesom jeg vil have den nøgle jeg skal bruge til netbank, det offentlige m.m. personligt.

Det er ikke der filmen knækker for mig.

Det er der, hvor jeg skal bruge pap-kort, for at identificere mig overfor en 3.-part, som så ellers er den tjeneste der står 100% for at bekræfte overfor banken hvem jeg er.HenrikH (#39)

Øh, okay. Men det var ikke det du snakkede om, og derfor ikke det jeg svarede på.

Note to self: unit test logout functionality.Windcape (#34)

Integrationstest ville nok være bedre ;-)

Findes der en mulighed for at tilmelde sin NemID til _KUN_ at kunne benyttes til web-bank (altså ikke som erstatning for den digitale signatur, men kun til web-banken), og så ellers fortsat benytte den digitale signatur, så længe den nu virker?burgurne (#37)

Som #37 siger: Ja. Men, jeg tilmeldte mig Nem-ID (fysisk) i banken, og de har muligheden for at tilknytte login'et til de offentlige sites. Så hvis du står i banken og bestiller dit Nem-ID, så husk at sige 'nej tak' til resten.

#36
Enig. Ville dog gerne have dette uddybet:

Assemble (red: nemid.dk) anvender uretmæssigt det fællesoffentlige log-in-system NemLog-in. Økonomistyrelsen, som er ansvarlig for NemLog-in, har rettet henvendelse til Assemble om at ophøre med at anvende Nem-Log-innemid.nu

Hvis de ikke overholder retningslinierne for korrekt brug, kan de så ikke bare lukke for det.... af sikkerhedsmæssige årsager el. lign.

Addendum til #42
Det er jo ikke holdbart af ét forkert konfigureret site, potentielt kan medføre at man risikerer at udlevere sine oplysninger. Det sætter jo hele sikkerheden i et dårligt lys og gør folk utrygge ved det.

#43

Hvordan vil du lave en single sign on løsning, hvor at det ikke er nødvendigt at klikke "log ud" ?
Det eneste alternativ der er et at det ikke er single sign on, og du skal have fat i papkortet for hver site du kommer ind på.

#44 Jeg vil da til enhver tid også foretrække, at jeg skal logge ind på hvert site, der kræver det, fremfor bare at logge ind en gang, og så er der frit slag, sålænge browseren bare er åben!

men måske er det slet ikke nødvendigt at benytte NemID til banken.
http://www.mobilsiden.dk/nyheder/idanske-applikation-klar-til-iphone-kommer-ogsa-til-android,lid.12638/

Måske jeg skal se nærmere på dette til min iPhone ...

#44
Vil NemID bede et firma om at stoppe brugen af NemLogin, blot fordi log-ud knappen ikke virker? Eller er der mon mere i det?

Ellers er dette jo en storm i et glas vand. Det er jo ikke (meget) værre end at folk glemmer at lukke browseren (som er den anbefalede metode fra IT & Telestyrelsen). Okay, det er falsk tryghed at have en knap, der ikke gør som den skal.

Min pointe var nu, at hvis et firma bruger NetLogin forkert, så er det eneste NemID kan gøre, at sende dem et brev? Imens er brugerne i større risiko for at uddele en bred mængde personlige informationer. Det forstår jeg ikke, at man ikke kan håndtere med et håndtag.

Indtil i går aftes eksisterede der en stort sikkerhedsbrist i NemID,

Nej.

Der eksisterede en sikkerhedsbrist i web site for et firma som bruger NemID.

Hvor meget er det lige en uvedkommende kan skade ens private ting, således de får adgang til ens konto - hvilket tilsyneladende er utrolig nemt.

Aldrig om jeg skal have det pjat!
mrKayne (#2)

Du kan undlade at bruge nemid.dk men bruge NemID hos de enkelte web sites.

Eller du kan bruge lidt sund fornuft og lukke browseren ned efter at du har brugt den til at tilgå fortrolige ting på en offentlig computer.

Eller du kan bruge endnu mere sund fornuft og helt undlade at tilgå fortrolige ting på en offentlig computer!

Systemet er for centraliseret med alt sikkerhed på serverne hos DanID.... og DET er ikke fedt!!

Nej, den eneste rigtige måde er at give brugeren et token i form af USB-tingest eller f.eks. smartcard (med reader).... Indtil SmartCard Cryptographic readers bliver standard i PC'ere så er et USB-pendrive nok det bedste.

På det pendrive er der en nøgle (private key), som rent faktisk ER private. Mister man sit pendrive og dermed sin private key, så er der kun én måde at få adgang til sine sager igen: Man skal troppe op i egen høje person med validt ID og så skal nogen FYSISK gøre noget på et disconnected system for at tildele en ny nøgle til personen..... og selvfølgelig et par andre smådetaljer ;-)Softy (#5)

Jeg er enig med betragtningen omkring private key.

Men det er en anden og efterhånden halvgammel diskussion.

Gang efter gang hører man om total idioti omkring offentlig IT.Erixxxx (#9)

Muligt.

Men i det her tilfælde er det et web site for et privat firma, så ....