mboost-dp1
Telmore
Kazper (50) skrev:jeg svarer *specifikt* på det scenarie som #17 opstiller og skriver hvorfor det ikke er muligt
Det er nu ellers muligt, så det gør ikke sin sag bedre. ;-)
Jeg ser det som underforstået at det er man-in-the-middle, hvilket jeg så uddyber i mit indlæg.
Kazper (50) skrev:Godt at se du misbruger systemet til at rate negativt fordi du ikke kan lide et indlæg.
Jeg kan ikke lige se hvad man skulle bruge rating-systemet til, hvis ikke det er for at skjule indlæg som ikke gavner debatten, og fremhæve dem der gør.
Bemærk at det ikke er fordi jeg er subjektivt uenig, det er fordi jeg virkelig synes dit indlæg ikke er relevant for debatten.
Kazper (50) skrev:DIT svar er derimod en gentagelse af mit indlæg.
Det kan jeg sagtens følge, og jeg burde have læst dit indlæg færdigt inden jeg svarede. Du er velkommen til at rate det som en gentagelse.
I øvrigt burde dette sidespring have været klaret privat, så folk er velkomne til at rate indlæggende irrelevant, for min skyld. ;-)
myplacedk (49) skrev:DanID har den. Ikke PBS, ikke din bank, ikke TDC. Hvem der ejer DanID har ikke indflydelse på hvem der har adgang til nøglerne.
Det har det da i allerhøjeste grad, ejerne af virksomheden bestemmer jo over aktiverne i virksomheden, men i øvrigt er det fuldstændig ligegyldigt om det er TDC, PBS, det offentlige eller Hans Jensens Tømrerfirma der kører det. I en ordentligt public-key infrastruktur skal INGEN udover mig have adgang til min digitale signatur. At kalde det en digital signatur er jo med det nye system en lodret løgn i og med det ikke kan vises om det er mig eller DanID der har skrevet under.
myplacedk (49) skrev:snailwalker (47) skrev:Dette problem har man ikke med den gamle (så længe din pc er sikker nok naturligvis),
Men det er den jo ikke, i alt for mange tilfælde.
Men det kan jeg trods alt selv have lidt mere indflydelse over end hvis dataene er gemt på en central server. Jeg aner jo ikke hvilke standarder de lægger for dagen. Og den server vil sikkert også på et tidspunkt blive kompromitteret, hvorved ALLE skal skifte signatur.
Jeg må indrømme at jeg synes at denne udvikling inden for digitale signaturer er meget BigBrother agtig.
snailwalker (52) skrev:Det har det da i allerhøjeste grad, ejerne af virksomheden bestemmer jo over aktiverne i virksomheden
I dette tilfælde er det loven.
snailwalker (52) skrev:I en ordentligt public-key infrastruktur skal INGEN udover mig have adgang til min digitale signatur.
Det er jeg enig med dig i. Men målet er jo at lave det bedste system, ikke at lave en "ordentlig public-key infrastruktur".
snailwalker (52) skrev:Men det kan jeg trods alt selv have lidt mere indflydelse over end hvis dataene er gemt på en central server.
Ja, det er lidt ærgeligt for de (os) nørder der går op i det. Men de fylder altså meget lidt i landskabet. Jeg er glad for at der blev taget hensyn til befolkningen som helhed i stedet for nogle få nørder.
snailwalker (52) skrev:Og den server vil sikkert også på et tidspunkt blive kompromitteret, hvorved ALLE skal skifte signatur
Men i det tilfælde skal brugerne ikke gøre noget som helst. DanID skal derimod ganske rigtigt lave nye signature og udsende nye nøglekort, men det er deres problem. Det værste brugerne oplever er at skulle vente et par dage på et nyt nøglekort.
Og i tilfælde af hackning ville servicen blive lukket for brug med det samme det opdages. Og derved ville man ikke kunne få adgang til nogen af systemerne indtil der er lavet nye signature. Hvilket effektivt ugyldiggør alle de hackede signature på opdage tidspunktet.
Og skal vi ikke lige glemme "man in the middle" problematikken. Jeg tør ikke engang at tænke på hvordan man ville gøre det på en SSL forbindelse. Selv hvis man kunne ville det være nemt nok at tjekke IP'en og nægte den adgang. Men kunne endog tjekke for at det kun er danske IP'er der har adgang, og skete der "man in the middle" angreb, var det sket fra danmark, og derfor noget politiet kunne gøre noget ved (hvad de jo ikke kan når det kommer fra Kina).
Hvilket gør at man er nød til at bruge en proxy (aka man in the middle) hvis man er i udlandet på ferie, eller et længere ophold (fx studie i udlandet og skal registerer noget hos SU-styrrelsen).fennec (54) skrev:Men kunne endog tjekke for at det kun er danske IP'er der har adgang
Jeg har intet sagt om keylogger, jeg snakker om en fullblown trojan, og så kan meget lade sig gøre - inklusive at foile deres et-skrab-koder.
Det er trojaner der er brugt i de danske netbank angreb, baseret på udtalelserne derefter.
Så længe Ingerlise klikker på BradPitt.exe og installerer AntiVirus2010Prof.exe hurtigere end Windows selv kan gå ned, så er intet i stand til at beskytte.
Antivirus virker ikke.
Non-admin use og patchning/opdatering af alt software, samt manglende rettigheder til overførsel fra egne konti er det der kommer tættest på, og så undervisning. Og dem der ikke kan eller vil fatte, de skal bare fratages muligheden.
"Desværre fru Hansen, du er uegnet til internet. Kom igen når du har bestået internet-genoptagelses-prøven."
Det er trojaner der er brugt i de danske netbank angreb, baseret på udtalelserne derefter.
Så længe Ingerlise klikker på BradPitt.exe og installerer AntiVirus2010Prof.exe hurtigere end Windows selv kan gå ned, så er intet i stand til at beskytte.
Antivirus virker ikke.
Non-admin use og patchning/opdatering af alt software, samt manglende rettigheder til overførsel fra egne konti er det der kommer tættest på, og så undervisning. Og dem der ikke kan eller vil fatte, de skal bare fratages muligheden.
"Desværre fru Hansen, du er uegnet til internet. Kom igen når du har bestået internet-genoptagelses-prøven."
Indtil videre er det vel kun danske bank der tilbyder deres kunder en RSA token løsning.
Sagen er helt klar...Hvis min bank forsøger at tvinge mig til at bruge nemID til at logge ind på deres netbank istedetfor den løsning jeg har idag hvor jeg har min egen nøglefil så ser jeg kun 2 scenarier.
1. Jeg lever uden netbank.
2. Jeg skifter til Danske bank.
Jeg skal IKKE have en nemID så længe det bygger på at jeg skal identificere mig overfor danID og DE så bruger min digitale signatur som DE råder over til at videre-identificere mig overfor tredjepart.
XxX
Sagen er helt klar...Hvis min bank forsøger at tvinge mig til at bruge nemID til at logge ind på deres netbank istedetfor den løsning jeg har idag hvor jeg har min egen nøglefil så ser jeg kun 2 scenarier.
1. Jeg lever uden netbank.
2. Jeg skifter til Danske bank.
Jeg skal IKKE have en nemID så længe det bygger på at jeg skal identificere mig overfor danID og DE så bruger min digitale signatur som DE råder over til at videre-identificere mig overfor tredjepart.
XxX
#56
Hvad er din pointe? At vi lige så godt kan lade være med at forbedre sikkerheden, hvis vi ikke kan få den op på 100% alligevel?
Det bankerne forsøger er at skabe en balance mellem høj sikkerhed og høj brugervenlighed. Og med NemID forsøger man at gå et skridt videre, og lave et system som kan bruges til så meget som muligt, nu vi alligevel har det.
Man kan altid diskutere om man har ramt balancen, men er det det du prøver at nå frem til? Synes du man har ofret for meget brugervenlighed mod for lidt ekstra sikkerhed? Og at uafhængigheden af hardwaren er for lille en fordel, mod den ulempe der er ved at have kortet?
I så fald: Det er du velkommen til at mene, og den holdning har folk ytret lige siden ideen om systemet blev offentliggjort. Ja faktisk siden Jyske Bank begyndte at bruge det for mange år siden. Og tidligere end det. Og fair nok at du har samme holdning, men det blev sagt meget tidligt i tråden (og stort set alle andre tråde på newz hvor det er relevant), og JEG kan ikke se noget formål i at diskutere det yderligere.
Hvad er din pointe? At vi lige så godt kan lade være med at forbedre sikkerheden, hvis vi ikke kan få den op på 100% alligevel?
Det bankerne forsøger er at skabe en balance mellem høj sikkerhed og høj brugervenlighed. Og med NemID forsøger man at gå et skridt videre, og lave et system som kan bruges til så meget som muligt, nu vi alligevel har det.
Man kan altid diskutere om man har ramt balancen, men er det det du prøver at nå frem til? Synes du man har ofret for meget brugervenlighed mod for lidt ekstra sikkerhed? Og at uafhængigheden af hardwaren er for lille en fordel, mod den ulempe der er ved at have kortet?
I så fald: Det er du velkommen til at mene, og den holdning har folk ytret lige siden ideen om systemet blev offentliggjort. Ja faktisk siden Jyske Bank begyndte at bruge det for mange år siden. Og tidligere end det. Og fair nok at du har samme holdning, men det blev sagt meget tidligt i tråden (og stort set alle andre tråde på newz hvor det er relevant), og JEG kan ikke se noget formål i at diskutere det yderligere.
Du har misforstået noget.XxX (57) skrev:Jeg skal IKKE have en nemID så længe det bygger på at jeg skal identificere mig overfor danID og DE så bruger min digitale signatur som DE råder over til at videre-identificere mig overfor tredjepart.
Bankerne vil være NemID providers, som så bygger op mod en fælles service. Det er meget ala. hvordan PBS fungere i dag.
Så dine data er skam fint beskyttet.
#59
Uanset hvordan du vender og drejer det så ligger min "digitale signatur" ikke på min maskine men på danID's servere og sådan en løsning er jeg ikke en skid tryg ved.
Hvis Skat og så videre så vil forlange at jeg skal bruge den løsning så er det fint for mig så må de for min skyld meget gerne begynde at sende mig snail mail hvis de forventer at kommunikere med mig.
Jeg gentager....Jeg skal IKKE have en nemID for som navnet antyder så bliver det "nem't" for "rette vedkommende" at udgive sig for at være mig.
DanID er ejet af PBS.....Skal vi gætte på at der på sigt kunne blive tale om at de giver forsikringselskaber adgang til din sygejournal uden dit vidende eller hvad med banken....Kan jeg få et lån hvis jeg har haft et par hjerteslag og dermed risikerer at miste mit arbejde......Ikke hvis banken får fingre i de informationer.
Ja, jeg er måske paranoid men jeg må sige at lige netop med det her med at identificere sig som mig, der vil jeg ikke gå på kompromis, der vil jeg have nøglefilen så jeg selv bestemmer hvem der skal se hvad..
XxX
Uanset hvordan du vender og drejer det så ligger min "digitale signatur" ikke på min maskine men på danID's servere og sådan en løsning er jeg ikke en skid tryg ved.
Hvis Skat og så videre så vil forlange at jeg skal bruge den løsning så er det fint for mig så må de for min skyld meget gerne begynde at sende mig snail mail hvis de forventer at kommunikere med mig.
Jeg gentager....Jeg skal IKKE have en nemID for som navnet antyder så bliver det "nem't" for "rette vedkommende" at udgive sig for at være mig.
DanID er ejet af PBS.....Skal vi gætte på at der på sigt kunne blive tale om at de giver forsikringselskaber adgang til din sygejournal uden dit vidende eller hvad med banken....Kan jeg få et lån hvis jeg har haft et par hjerteslag og dermed risikerer at miste mit arbejde......Ikke hvis banken får fingre i de informationer.
Ja, jeg er måske paranoid men jeg må sige at lige netop med det her med at identificere sig som mig, der vil jeg ikke gå på kompromis, der vil jeg have nøglefilen så jeg selv bestemmer hvem der skal se hvad..
XxX
Jeg har bestilt 2, men sjovt nok virkede den første ikke efter den var aktiveret og lagt på en usb og sat i den stationære og prøvet at genaktivere.
Den sidste fik jeg aldrig installeret, så jeg har bestilt en pinkode i stedet nu.
Forstår ikke hvorfor man ikke kan lave et system der sender på mail, så man har det når man skal bruge det, og ikke om 3-4 dage hvor man har noget helt andet på tankerne.
Den sidste fik jeg aldrig installeret, så jeg har bestilt en pinkode i stedet nu.
Forstår ikke hvorfor man ikke kan lave et system der sender på mail, så man har det når man skal bruge det, og ikke om 3-4 dage hvor man har noget helt andet på tankerne.
#57
Good luck with that. ALLE banker skifter til NemID, eller N3M-ID som DanID så fint brander det. Danske Bank er endda en af de banker der skifter først.
Like it or hate it, så kan du i løbet af i år ikke have netbank i Danmark uden også at have Nem-ID.
Selve løsningen bliver sådan at du får et kort, det er ikke endelig bestemt, hvor mange koder der er på kortet, men 80 er vist ikke helt skudt forbi, og når du har x antal koder tilbage tilsendes der AUTOMATISK et nyt kort. X kan du selv definere inden for et predefineret antal (10 - 20 eller noget i den dur).
Når du logger på med Nem-ID kræver det java (1.5+ er systemkrav indtil vidre) og løsningen kommer principielt til at virke på alt, hvad nyere versioner af java virker på, så vink farvel til netbank på din iPad/iPhone, hvis du nu har Jyske Bank (som virker på ALT, selv den gamle brødrister der står i nederste køkkenskab)
og XxX... Hvis du tror på at der udveksles data imellem de forskellige Nem-ID kunder kan du lige så godt brænde dit sygesikringsbevis, opsige dit internet og flytte til Antarktis med det samme, for så er du ikke sikker i noget som helst IT samfund.
Good luck with that. ALLE banker skifter til NemID, eller N3M-ID som DanID så fint brander det. Danske Bank er endda en af de banker der skifter først.
Like it or hate it, så kan du i løbet af i år ikke have netbank i Danmark uden også at have Nem-ID.
Selve løsningen bliver sådan at du får et kort, det er ikke endelig bestemt, hvor mange koder der er på kortet, men 80 er vist ikke helt skudt forbi, og når du har x antal koder tilbage tilsendes der AUTOMATISK et nyt kort. X kan du selv definere inden for et predefineret antal (10 - 20 eller noget i den dur).
Når du logger på med Nem-ID kræver det java (1.5+ er systemkrav indtil vidre) og løsningen kommer principielt til at virke på alt, hvad nyere versioner af java virker på, så vink farvel til netbank på din iPad/iPhone, hvis du nu har Jyske Bank (som virker på ALT, selv den gamle brødrister der står i nederste køkkenskab)
og XxX... Hvis du tror på at der udveksles data imellem de forskellige Nem-ID kunder kan du lige så godt brænde dit sygesikringsbevis, opsige dit internet og flytte til Antarktis med det samme, for så er du ikke sikker i noget som helst IT samfund.
#63
Like it or hate it, så kan du i løbet af i år ikke have netbank i Danmark uden også at have Nem-ID.
Ja eller.....Live without it....
Gad vide hvornår banken bliver trætte af at jeg står dernede hver gang der skal tilmeldes noget til PBS....
PS. Sygesikringskortet er mig bekendt ikke bestyret af et privat firma ligesom nemID ?
XxX
Like it or hate it, så kan du i løbet af i år ikke have netbank i Danmark uden også at have Nem-ID.
Ja eller.....Live without it....
Gad vide hvornår banken bliver trætte af at jeg står dernede hver gang der skal tilmeldes noget til PBS....
PS. Sygesikringskortet er mig bekendt ikke bestyret af et privat firma ligesom nemID ?
XxX
XxX (64) skrev:Gad vide hvornår banken bliver trætte af at jeg står dernede hver gang der skal tilmeldes noget til PBS....
Det bliver jo regulær krig, du kommer til at føre der.
#65
Tja...
Sidst jeg var mr. annoying var dengang bankerne indførte deres 50 øres gebyr på dankort transaktioner.
Der stod jeg hver den 1 i banken og hævede hele lortet og jeg kan sige at jeg IKKE var alene....Der var banken ret trætte af den lange kø for de var jo ikke vandt til kunder i de mængder og havde derfor kun een kasse.
Ultimativt er det jo os forbrugere der bestemmer....Hvis alle nægter at deltage i det her danID cirkus med digitale signaturer der ligger og flagrer på 3. parts servere så dør det jo hurtigere end du kan nå at sige "Lortesystem"...
Desværre vil det nok ikke ske for de fleste brugere er for dumme til at gennemskue at de bliver taget i måsen og det produkt der bliver solgt til dem som "ekstra sikkerhed" i sidste ende er en usikker løsning hvor hackerne ikke skal hacke en masse enkeltmaskiner men kan koncentere sig om kun een central server.
Jeg vil da forresten gerne lige tilføje at jeg hermed forbeholder mig retten til at sige "Hvad sagde jeg" når systemet bliver kompromitteret første gang og folks oplysninger og digitale signaturer bliver solgt på det sorte marked.
XxX
Tja...
Sidst jeg var mr. annoying var dengang bankerne indførte deres 50 øres gebyr på dankort transaktioner.
Der stod jeg hver den 1 i banken og hævede hele lortet og jeg kan sige at jeg IKKE var alene....Der var banken ret trætte af den lange kø for de var jo ikke vandt til kunder i de mængder og havde derfor kun een kasse.
Ultimativt er det jo os forbrugere der bestemmer....Hvis alle nægter at deltage i det her danID cirkus med digitale signaturer der ligger og flagrer på 3. parts servere så dør det jo hurtigere end du kan nå at sige "Lortesystem"...
Desværre vil det nok ikke ske for de fleste brugere er for dumme til at gennemskue at de bliver taget i måsen og det produkt der bliver solgt til dem som "ekstra sikkerhed" i sidste ende er en usikker løsning hvor hackerne ikke skal hacke en masse enkeltmaskiner men kan koncentere sig om kun een central server.
Jeg vil da forresten gerne lige tilføje at jeg hermed forbeholder mig retten til at sige "Hvad sagde jeg" når systemet bliver kompromitteret første gang og folks oplysninger og digitale signaturer bliver solgt på det sorte marked.
XxX
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund