mboost-dp1
PBS A/S
Jeg føler mig godt nok ikke specielt meget tryg ved den der Nem ID..
Jeg har det fint med at bruge den nøglefil jeg fik da jeg oprettede mig som netbank-bruger, den føler jeg er langt mere sikker..
Det er da også rent grotesk at den slags kan ske, der bør være langt strengere kontrol med Nem ID, det virker pænt amatør-agtigt som det ser ud lige nu.
Jeg har det fint med at bruge den nøglefil jeg fik da jeg oprettede mig som netbank-bruger, den føler jeg er langt mere sikker..
Det er da også rent grotesk at den slags kan ske, der bør være langt strengere kontrol med Nem ID, det virker pænt amatør-agtigt som det ser ud lige nu.
Behold Nem ID, men behold stadig nøglefilen på pc'en så overførsler ect ikke kan finde sted uden at være på sin egen pc!
Nøglefils sikkerheden + Nem ID (ID, Kode, Nem ID kode) = Epic
Nøglefils sikkerheden + Nem ID (ID, Kode, Nem ID kode) = Epic
Hvordan kan det lade sig gøre, menneskelig fejl eller ej, at systemet tillader at sende informationerne til andre adresser end den personen er registreret med?
Jeg prøvede også at indsende denne nyhed, der var ikke andre i køen da jeg startede, men da jeg havde indsendt nyheden, var der pludselig en der havde indsendt den næsten en time tidligere.
Lettere irriterende synes jeg.
Jeg prøvede også at indsende denne nyhed, der var ikke andre i køen da jeg startede, men da jeg havde indsendt nyheden, var der pludselig en der havde indsendt den næsten en time tidligere.
Lettere irriterende synes jeg.
#0 skrev:Danske Bank agter ikke at ændre noget i deres procedure, da de ikke mener, at man kan gardere sig mod, at samme menneskelige fejl kan ske igen.
Hvad med at tage indtastningen ud af ligningen, så en medarbejder ikke kan taste forkert igen?
Det kan jo erstattes af mange ting, fx stregkodescannere eller en ren elektronisk løsning.
Systemet er en vaskeægte skandale. Der er ikke en skid styr på sikkerheden, men til gengæld er det voldsomt irriterende for os superbrugere, der bruger digital signatur 10-20 gange om dagen. Der går MEGET spildtid med at fumle med kodekort, hvor jeg før kunne logge ind på under et sekund.
Nu har jeg ikke oprettet NemID endnu, men sådan som jeg husker det, da jeg oprettede min Digital Signatur, skrev jeg blot mit cpr-nr. og e-mail-adresse. Færdig. Med posten kommer pinkoden til digital signatur og med e-mail kommer det link som jeg skal bruge. Kan godt være jeg husker forkert, da det er ved at være mange år siden.
Med et sådan system, hvor man skal indtaste cpr-nr. (og ingen adresse) og pinkoden kommer med posten, så kunne pigen umuligt have fået en andens NemID, da koden ville være sendt til en anden adresse.
Med et sådan system, hvor man skal indtaste cpr-nr. (og ingen adresse) og pinkoden kommer med posten, så kunne pigen umuligt have fået en andens NemID, da koden ville være sendt til en anden adresse.
Alrekr (6) skrev:Nej, det er ikke NemIDs skyld, at Danske Bank fejler.
<Bilanalogi-advarsel>
Det er jo heller ikke Shell, der er skyld i, at mange kører for hurtigt?
Måske ikke - men det er absolut NemIDs skyld at der overhovedet kræves den slags manuelle indtastning fra bankens side.
som #6 pointerer, så var det en menneskelig fejl... kom videre i livet.
Mr_Mo (12) skrev:Med et sådan system, hvor man skal indtaste cpr-nr. (og ingen adresse) og pinkoden kommer med posten, så kunne pigen umuligt have fået en andens NemID, da koden ville være sendt til en anden adresse.
Historien er den anden vej rundt. Hun havde fået en andens konto tilknyttet henden egen og korrekte NemId.
Så fejlen har intet med NemId at gøre som sådan.....
¨PinHigh (16) skrev:Historien er den anden vej rundt. Hun havde fået en andens konto tilknyttet henden egen og korrekte NemId.
Så fejlen har intet med NemId at gøre som sådan.....
kilden skrev:Da hun loggede på, var det en andens navn, CPR-nummer og kontonummer hun fik op på skærmen.
Alt, som kan tilknyttes NemID, er registreret pr. CPRnr, hvorfor der kan påtvinges tilknytning på CPRnr. Hvordan kan designerne af NemID ikke have tænkt dette lag af sikkerhed ind i det?
rmariboe (17) skrev:Alt, som kan tilknyttes NemID, er registreret pr. CPRnr, hvorfor der kan påtvinges tilknytning på CPRnr. Hvordan kan designerne af NemID ikke have tænkt dette lag af sikkerhed ind i det?
Det kan du have en pointe i, men det næste der kunne ske, var at en bank fik tilknyttet et forkert CPRnr. til en konto..... Menneskelige felj kan minimeres, men aldrig undgås.....
#17
Der er intet nyt i at folk får adgang til hinandens konti. Fx. har min kæreste og jeg nogle fælles konti, men de fleste af vores egne konti har den anden også adgang til.
Fx. vores budgetkonto, den står begge vores CPR-numre på.
Og hendes lønkonto er der kun hendes CPR-nummer på, men jeg har fuld adgang til den alligevel.
Der er intet nyt i at folk får adgang til hinandens konti. Fx. har min kæreste og jeg nogle fælles konti, men de fleste af vores egne konti har den anden også adgang til.
Fx. vores budgetkonto, den står begge vores CPR-numre på.
Og hendes lønkonto er der kun hendes CPR-nummer på, men jeg har fuld adgang til den alligevel.
Okay.... shit happens.... Hvis samme menneskelige fejl var sket med en nøglefil og et brugerid, så kunne dette være sendt til forkerte person.... same same...
MEN.... NEM-ID er et skridt tilbage i tiden.
Nøglekort = Hulkort .... Basta!
Hvorfor fa'en kunne man ikke benytte et USB-token og give folk et lille smart token som kan være i nøgleringen? .... Eller hvad med, *gisp*, et smartcard?? (selvom dette vil kræve en kryptografisk smartcard reader i PC'erne).
Død over nøglekort!
Kombinationen med bruger-id, password OG nøgle er god nok.... implementationen er bare ELENDIG! .... Og hvorfor skal Dan-ID have ALT sikkerheden hos dem? .... Deres servere er dermed paradis for hackere.... spader.
Gi' folket en token. Mister en person sit token, så skal det bare spærres på samme måde som Dankort, bare hos Dan-ID istedet for PBS. En token kan også have variabel størrelse key, så er fleksibel.
Og så skal Dan-ID IKKE have en kopi af min private key hos dem!!
Mister jeg min nøgle, ja så skal jeg gennem bureaukratiet med at få en ny tildelt, som selvfølgelig kun kan ske med manuelt arbejde på stedet i Danske Bank eller hos Dan-ID.... Så får hackerne det meeeeget sværere hvis ikke umuligt (selvom man skal passe på med det ord).
Endnu en gang..... ***SUK!!!***
MEN.... NEM-ID er et skridt tilbage i tiden.
Nøglekort = Hulkort .... Basta!
Hvorfor fa'en kunne man ikke benytte et USB-token og give folk et lille smart token som kan være i nøgleringen? .... Eller hvad med, *gisp*, et smartcard?? (selvom dette vil kræve en kryptografisk smartcard reader i PC'erne).
Død over nøglekort!
Kombinationen med bruger-id, password OG nøgle er god nok.... implementationen er bare ELENDIG! .... Og hvorfor skal Dan-ID have ALT sikkerheden hos dem? .... Deres servere er dermed paradis for hackere.... spader.
Gi' folket en token. Mister en person sit token, så skal det bare spærres på samme måde som Dankort, bare hos Dan-ID istedet for PBS. En token kan også have variabel størrelse key, så er fleksibel.
Og så skal Dan-ID IKKE have en kopi af min private key hos dem!!
Mister jeg min nøgle, ja så skal jeg gennem bureaukratiet med at få en ny tildelt, som selvfølgelig kun kan ske med manuelt arbejde på stedet i Danske Bank eller hos Dan-ID.... Så får hackerne det meeeeget sværere hvis ikke umuligt (selvom man skal passe på med det ord).
Endnu en gang..... ***SUK!!!***
Altså nu er jeg også helt på det rene med at menneskelige fejl er håbløse at gardere sig 100% imod, det undrer mig dog, hvordan det her kan lade sig gøre her, det login må da være tilknyttet hende, så burde da nok være muligt at sammenkøre om nu der er samme navn på konto x som på nemid login ?
(I øvrigt må ham i den anden ende jo så have haft adgang til hendes konti i stedet?)
#19 nu sker der jo så heller ikke så meget ved at manden har adgang til konens konto.. så længe det bare ikke er omvendt.. ;p
#20 bestil for blinde, det er så meget nemmere !
(I øvrigt må ham i den anden ende jo så have haft adgang til hendes konti i stedet?)
#19 nu sker der jo så heller ikke så meget ved at manden har adgang til konens konto.. så længe det bare ikke er omvendt.. ;p
#20 bestil for blinde, det er så meget nemmere !
Ja, nyheden handler egentlig ikke så meget om nemid. Siden det var en menneskelig fejl kunne det også være sket med det gamle system hvis man kom til at taste et enkelt tal forkert i et CPR-nr når kunden bestiller netbank. Det er jo ikke fordi at den ansatte ikke er kompetent - personen kom bare til at lave en fejl. Det sker. Selv læger laver dødelige fejl, så at folk kan få deres pis i kog over det her fatter jeg ikke.
#16
Så med NemID, kan man få adgang til sin egen skatteoplysninger, en andens bankkonto og en tredjes SU-oplysninger, en fjerdes sundhedsoplysninger osv.?
Det ligner en designfejl IMHO. Nu har jeg ikke forstand på hvordan disse systemer er opbygget, men det burde designes sådan, at en NemID, kun kan tilknyttes en person (CPR-nr.). Er det en umulig opgave?
Så med NemID, kan man få adgang til sin egen skatteoplysninger, en andens bankkonto og en tredjes SU-oplysninger, en fjerdes sundhedsoplysninger osv.?
Det ligner en designfejl IMHO. Nu har jeg ikke forstand på hvordan disse systemer er opbygget, men det burde designes sådan, at en NemID, kun kan tilknyttes en person (CPR-nr.). Er det en umulig opgave?
Må tilslutte mig flertallet her.
Hvordan kan de designe systemet så det i det mindste ikke smider en besked op til medarbejderen, hvis vedkommende forsøger at parre en NemID og bankkonto hvor CPR-NR ikke matcher?
Og hvis det skal gøre manuelt, så burde der da som minimum ryge en pinkode afsted til bankkontoens ejermand, der siger hvilken NemID kontoen er forsøgt parret med, og kræver indtastning af koden inden den gøres aktiv.
Hvordan kan de designe systemet så det i det mindste ikke smider en besked op til medarbejderen, hvis vedkommende forsøger at parre en NemID og bankkonto hvor CPR-NR ikke matcher?
Og hvis det skal gøre manuelt, så burde der da som minimum ryge en pinkode afsted til bankkontoens ejermand, der siger hvilken NemID kontoen er forsøgt parret med, og kræver indtastning af koden inden den gøres aktiv.
#28
Hvad er problemet med fælleskonto? En fælleskonto, 2 brugere, 2 cpr-numre, 2 NemID'er.
Hvorfor skal du have adgang til en andens sundhedsoplysninger, blot fordi I har fælleskonto? Din NemID behøver ikke (og burde ikke) være tilknyttet CPR-nr. til den du har fælleskonto med. Så du må lige uddybe, hvor du ser et problem....
Hvad er problemet med fælleskonto? En fælleskonto, 2 brugere, 2 cpr-numre, 2 NemID'er.
Hvorfor skal du have adgang til en andens sundhedsoplysninger, blot fordi I har fælleskonto? Din NemID behøver ikke (og burde ikke) være tilknyttet CPR-nr. til den du har fælleskonto med. Så du må lige uddybe, hvor du ser et problem....
#30
Ingen der siger at fælleskonto har noget med NemID at gøre. Jeg spørger i #25, hvorfor man ikke har kunnet designe NemID til at være tilknyttet ét enkelt cpr-nummer. #28 siger dette løsning ikke vil lade sig gøre pga. fælleskonto og jeg svarer, at jeg ikke kan se problemet. Spørgsmålet er altså, hvorfor er NemID ikke designet anderledes (tilknyttet ét cpr-nr), så fejl som denne kunne undgås?
Ingen der siger at fælleskonto har noget med NemID at gøre. Jeg spørger i #25, hvorfor man ikke har kunnet designe NemID til at være tilknyttet ét enkelt cpr-nummer. #28 siger dette løsning ikke vil lade sig gøre pga. fælleskonto og jeg svarer, at jeg ikke kan se problemet. Spørgsmålet er altså, hvorfor er NemID ikke designet anderledes (tilknyttet ét cpr-nr), så fejl som denne kunne undgås?
Jeg kan lige så godt sige det med det samme. Jeg nægter at rende rundt med det lortepapir.
Jeg kunne ikke forestille mig at sidde på biblioteket eller andet offentligt sted og benytte netbank eller lige fikse skatten. Derfor synes det er helt ubrugeligt. For de sidste 100 personer i danmark som ikke har en computer i hjemmet tjaaaa
Jeg kunne ikke forestille mig at sidde på biblioteket eller andet offentligt sted og benytte netbank eller lige fikse skatten. Derfor synes det er helt ubrugeligt. For de sidste 100 personer i danmark som ikke har en computer i hjemmet tjaaaa
Til dem, som tror der er sket en fejl. Tro om igen.
Dette system er helt klart designet, med usynligt stempel fra de høje herrer. Dem som gerne vil fucke dit liv op, når du ikke makker ret.
Jeg ved godt det lyder som noget jeg har taget fra en god film :-) Men ikke destro mindre tror jeg det et er sådan.
Dette system er helt klart designet, med usynligt stempel fra de høje herrer. Dem som gerne vil fucke dit liv op, når du ikke makker ret.
Jeg ved godt det lyder som noget jeg har taget fra en god film :-) Men ikke destro mindre tror jeg det et er sådan.
Jackiass (23) skrev:hvis man kom til at taste et enkelt tal forkert i et CPR-nr
CPR-numre har et check-ciffer, som gør at man ved ét forkert ciffer ender med noget som ikke er et CPR-nummer. Ved to forkerte cifre vil du med stor sandsynlighed heller ikke ramme et CPR-nummer.
Og selv hvis du rammer noget som kan være et CPR-nummer så er det ikke sikkert at der er nogen der har det nummer.
Der er ganske få CPR-numre som ikke overholder den regel, men det er kun langt mere usandsynligt at du rammer sådan et nummer ved et uheld.
For at få forkert CPR-nummer på er der højest sandsynligt tale om at en person får blandet noget sammen. Kigger på et forkert notat el. lign.
Mr_Mo (25) skrev:Så med NemID, kan man få adgang til sin egen skatteoplysninger, en andens bankkonto og en tredjes SU-oplysninger, en fjerdes sundhedsoplysninger osv.?
Med NemID kan du bevise hvem du er.
Hvis systemet så mener du skal have adgang til noget du ikke skal have adgang til, så er det fløjtende ligegyldigt hvordan du har bevist hvem du er.
Mr_Mo (31) skrev:Ingen der siger at fælleskonto har noget med NemID at gøre. Jeg spørger i #25, hvorfor man ikke har kunnet designe NemID til at være tilknyttet ét enkelt cpr-nummer.
Sådan er NemID da også.
Hvordan Danske Bank så har lavet systemet til at bestille NemID med ved jeg så ikke. Jeg havde forestillet mig en simpel knap, hvor man bestiller NemID til den valgte kunde. Her ser det umiddelbart ud at selv om man har valgt den kunde NemID skal tilknyttes, skal man stadig indtaste kundens CPR-nummer.
Dette kan vel være fordi man har valgt en såkaldt "koncern", dvs. ikke en bestemt person men fx. en familie. Så skal man jo fortælle systemet hvilken af personerne der skal have NemID. Men det burde vel være en dropdown el. lign., og ikke et indtastningsfelt.
Oh well, artiklen er meget vagt formuleret. Det er svært at gætte på hvad der faktisk er sket.
Det bliver da værre endnu, synes jeg. Tænk hvis pigen ikke havde været reel? Der er tilsyneladende ingen regler for spærring af NemID!!!
http://www.computerworld.dk/art/101042/ingen-regle...
http://www.computerworld.dk/art/101042/ingen-regle...
myplacedk (40) skrev:Oh well, artiklen er meget vagt formuleret. Det er svært at gætte på hvad der faktisk er sket.
Jeg er helt enig i dig i, at det er en vag. Der er sakset fra en ellers god artikel, og meget af forståelsen er udeladt.
Jeg havde læst den tidligere på Version2
http://www.version2.dk/artikel/16068-danske-bank-g...
Jeg fatter ikke, at du og den øvrige del af debattanterne ikke læser kilden, inden i udtaler jer, når artiklen er SÅ dårlig.
Det er en meget simpel fejl der er sket. Medarbejderen i banken, havde både den 17-åriges billede åbent OG en anden kundes. Da hun spørger pigen, om hun skal have tilknyttet sin konto, til Nem-ID, kommer hun til at vælge den anden kundes konto.
Den 17-årige får derved adgang til denne forkerte konto.
En ganske simpel fejl, som det er ret svært at gardere sig imod, for det kunne jo være, at det var rigtigt, at hun skulle have adgang. Der kunne jo ligge en fuldmagt, det kunne være forældre, værge, børn (nok ikke i dette tilfælde), samlever osv. osv.
skipperskip (44) skrev:Jeg fatter ikke, at du og den øvrige del af debattanterne ikke læser kilden, inden i udtaler jer, når artiklen er SÅ dårlig.
Artiklen ER kilden. Teksten på newz er ikke en artikel, det er et resume.
skipperskip (44) skrev:Det er en meget simpel fejl der er sket. Medarbejderen i banken, havde både den 17-åriges billede åbent OG en anden kundes. Da hun spørger pigen, om hun skal have tilknyttet sin konto, til Nem-ID, kommer hun til at vælge den anden kundes konto.
Den 17-årige får derved adgang til denne forkerte konto.
Det var også noget i den stil jeg gættede på, uden fra artiklen=kilden=det-på-version2-newz-og-du-linker-til.
Det var mit udgangspunkt i #40.
skipperskip (44) skrev:En ganske simpel fejl, som det er ret svært at gardere sig imod, for det kunne jo være, at det var rigtigt, at hun skulle have adgang. Der kunne jo ligge en fuldmagt, det kunne være forældre, værge, børn (nok ikke i dette tilfælde), samlever osv. osv.
Systemet kunne jo spørge efter denne påkrævede fuldmagt. Jeg synes ikke man burde kunne give en person adgang til noget, blot ved at bestille NemID til personen.
Der må være mere i det end det. Fx. at Danske Bank ikke er helt ærlige/korrekte, når de siger at der ikke er noget at gøre ved det.
myplacedk (41) skrev:Ja. Det kommer helt af sig selv.
Hvad sker der så, hvis jeg har 1 kode tilbage, og jeg skal have angivet skat, moms og diverse listeoplysninger inden om et par dage, hvor jeg er ret sikker på, jeg skal logge ind flere gange?
Er det så en planlægningsstrategi, at jeg skal opbruge kortet på noget ligegyldigt en uges tid før for en sikkerheds skyld, så jeg kan være nogenlunde sikker på, jeg har et nyt, og skal lige huske at have regnet postforsinkelser ind i det?
[quote=henrikmk (46)]Hvad sker der så, hvis jeg har 1 kode tilbage, og jeg skal have angivet skat, moms og diverse listeoplysninger inden om et par dage, hvor jeg er ret sikker på, jeg skal logge ind flere gange?
Er det så en planlægningsstrategi, at jeg skal opbruge kortet på noget ligegyldigt en uges tid før for en sikkerheds skyld, så jeg kan være nogenlunde sikker på, jeg har et nyt, og skal lige huske at have regnet postforsinkelser ind i det?[\quote]
Der kommer naturligvis et nyt kort i rigtig god tid. Jeg kan ikke lige huske hvor mange koder der skal være tilbage, når det nye udskrives, men jeg mener, at det er 30.
Hvis du bruger mange koder, eller hvis du f.eks skal på rejse, kan du bestille flere kort, så du har en stak til turen...
[quote]Systemet kunne jo spørge efter denne påkrævede fuldmagt. Jeg synes ikke man burde kunne give en person adgang til noget, blot ved at bestille NemID til personen.[\quote]
Ja, og bliver der blot svaret "ja", for denne foreligger jo i de fleste tilfælde.
Der er ikke bestilt NemId, men der er blot blevet tilknyttet en forkert konto til en eksisterende NemId.
Er det så en planlægningsstrategi, at jeg skal opbruge kortet på noget ligegyldigt en uges tid før for en sikkerheds skyld, så jeg kan være nogenlunde sikker på, jeg har et nyt, og skal lige huske at have regnet postforsinkelser ind i det?[\quote]
Der kommer naturligvis et nyt kort i rigtig god tid. Jeg kan ikke lige huske hvor mange koder der skal være tilbage, når det nye udskrives, men jeg mener, at det er 30.
Hvis du bruger mange koder, eller hvis du f.eks skal på rejse, kan du bestille flere kort, så du har en stak til turen...
[quote]Systemet kunne jo spørge efter denne påkrævede fuldmagt. Jeg synes ikke man burde kunne give en person adgang til noget, blot ved at bestille NemID til personen.[\quote]
Ja, og bliver der blot svaret "ja", for denne foreligger jo i de fleste tilfælde.
Der er ikke bestilt NemId, men der er blot blevet tilknyttet en forkert konto til en eksisterende NemId.
Denne nyhed er da stærkt overdrevet.. Hvis personens NemID er oprettet med hendes eget CPR nr er der overhovedet ikke noget i at hun så pludselig også kan få en anden persons digitale signatur, sådan foregår det ikke.. Her er fejlen jo udelukkende hos danske bank: Altså, Medarbejder tilslutter NemID på den bestillende person hos en anden person's konto lokalt i banken..
NemID har næppe en direkte indgang til banken, det er med temmelig stor sikkerhed fuldstændigt adskilt. Det forholder sig nok mere nøjagtigt sådan at hvis hun havde sat et hak i "digital signatur" så var hendes digitale signatur fortsat hendes egen.
Det er efter min mening et helt lokalt problem i bankens system at de ikke laver CPR matching mellem NemID konto og bank konto inden de tilknytter NemID til en konto.
Der må sgu da sidde nogle andre software udviklere her som har kløet sig lidt i hovedet over denne her fejl. Jeg troede sgu niveauet på Newz.dk var højere end Nationen!'s læsergruppe.
NemID har næppe en direkte indgang til banken, det er med temmelig stor sikkerhed fuldstændigt adskilt. Det forholder sig nok mere nøjagtigt sådan at hvis hun havde sat et hak i "digital signatur" så var hendes digitale signatur fortsat hendes egen.
Det er efter min mening et helt lokalt problem i bankens system at de ikke laver CPR matching mellem NemID konto og bank konto inden de tilknytter NemID til en konto.
Der må sgu da sidde nogle andre software udviklere her som har kløet sig lidt i hovedet over denne her fejl. Jeg troede sgu niveauet på Newz.dk var højere end Nationen!'s læsergruppe.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund