mboost-dp1
DanID
48 + andre:
Fordi det er imod de betingelser du godkendte da du tog din NemID i brug... det var dén forklaring jeg læste i et andet forum, hvor en medarbejder fra NemID kom med den som kommentar ;o)
- at nogle så vælger at gøre det alligevel, kan vel have en effekt på bankernes forpligtelse til at dække misbrug af dine konti... gætter jeg på.
Er der blevet indkøbt teleudstyr i Malaysia for 15.000,- på dit kort og de finder ud af du har brudt reglerne du selv har godkendt, kan det godt være de siger:"Det er dit eget problem!" :o)
(Jo, min søster fik købt teleudstyr på sit dankort i Malaysia for et par år siden :oD)
Fordi det er imod de betingelser du godkendte da du tog din NemID i brug... det var dén forklaring jeg læste i et andet forum, hvor en medarbejder fra NemID kom med den som kommentar ;o)
- at nogle så vælger at gøre det alligevel, kan vel have en effekt på bankernes forpligtelse til at dække misbrug af dine konti... gætter jeg på.
Er der blevet indkøbt teleudstyr i Malaysia for 15.000,- på dit kort og de finder ud af du har brudt reglerne du selv har godkendt, kan det godt være de siger:"Det er dit eget problem!" :o)
(Jo, min søster fik købt teleudstyr på sit dankort i Malaysia for et par år siden :oD)
Danske Banks mobil app giver dig også mulighed for at kigge rundt uden at bruge nemid.
Folk græder og vil have tokens. De laver en, og så græder de over designet? WTF? Hvorfor laver de ikke en mobil app - er også besvaret flere gange. Følg tidligere link til v. 2. Man kan bestille tre kort frem, så hvorfor klage over det igen? Der er så mange der bare har bestemt sig for at se sig sur på det her - jamen, så bliver det jo også den oplevelse de får. Det er et skide login. Hvordan kan man hidse sig så meget op over så lidt?
Folk græder og vil have tokens. De laver en, og så græder de over designet? WTF? Hvorfor laver de ikke en mobil app - er også besvaret flere gange. Følg tidligere link til v. 2. Man kan bestille tre kort frem, så hvorfor klage over det igen? Der er så mange der bare har bestemt sig for at se sig sur på det her - jamen, så bliver det jo også den oplevelse de får. Det er et skide login. Hvordan kan man hidse sig så meget op over så lidt?
lettere offtopic ved jeg godt. Men jeg fatter ikke helt problemet med at have certifikatet liggende hos Nemid.
Har desværre ikke en bil-analogi, men prøver alligevel.
[joke/tinfoilhat]
Man bør ikke have sine penge i banken! de har dem bare liggende elektronisk repræsenteret på en server, og staten eller en ondsindet medarbejder kan med et snuptag fjerne alle mine penge fra kontoen! -Nej så vil jeg hellere have pengene liggende derhjemme! Det er folks eget ansvar at have et ordentligt pengeskab og andre foranstaltninger der sikrer mod hjemmerøverier. Staten bør i stedet bruge kræfter på at oplære folk i basal forsvar af deres hjem!
[/joke]
mere ontopic: Erhvervsbrugere har i mange banker allerede Nemid der er oprettet til et konstrueret cprnr, tilknyttet virksomhedens cvr nummer.
Disse får glæde af en sådan dims, men jeg ku forestille mig, at de ender at gøre, som jeg selv gør med min blizzard authenticator, som blot ligger på kanten af keyboardet på den maskine jeg spiller mest fra.
Jo man er sikret mod kinesiske hackere, men ikke mod kollegaen, der installerer keylogger på min maskine, og låner min token når jeg er gået hjem.
Har desværre ikke en bil-analogi, men prøver alligevel.
[joke/tinfoilhat]
Man bør ikke have sine penge i banken! de har dem bare liggende elektronisk repræsenteret på en server, og staten eller en ondsindet medarbejder kan med et snuptag fjerne alle mine penge fra kontoen! -Nej så vil jeg hellere have pengene liggende derhjemme! Det er folks eget ansvar at have et ordentligt pengeskab og andre foranstaltninger der sikrer mod hjemmerøverier. Staten bør i stedet bruge kræfter på at oplære folk i basal forsvar af deres hjem!
[/joke]
mere ontopic: Erhvervsbrugere har i mange banker allerede Nemid der er oprettet til et konstrueret cprnr, tilknyttet virksomhedens cvr nummer.
Disse får glæde af en sådan dims, men jeg ku forestille mig, at de ender at gøre, som jeg selv gør med min blizzard authenticator, som blot ligger på kanten af keyboardet på den maskine jeg spiller mest fra.
Jo man er sikret mod kinesiske hackere, men ikke mod kollegaen, der installerer keylogger på min maskine, og låner min token når jeg er gået hjem.
Hvis man kender NemID ret, så går der ikke lang tid før de fra tid til anden bare viser "404" fremfor den key der skal bruges for at logge ind med.
Til forvirring kunne den godt ligne Blizzard authenticator, som har været ude i nogle år..
http://alturl.com/k4fyw
http://alturl.com/k4fyw
Karzo (59) skrev:Så kan det være vi kan, ligesom med Battle.net kontoer bruge smartphonen med den eletroniske token på.
1. nej
2. Læs tråden
og selv RSA SecurID findes som app til iPhone og Android, og mobilen har man jo altid med sig. Så hvorfor en token eller et papkort.
LAD OS LIGE FÅ ET PAR TING PÅ DET RENE:
1) Hele økosystemet omkring NemID handler om adgang til personlige oplysninger samt penge.
DERFOR er en mobil app ikke praktisk - man kan altså ikke tillade sig at sidestille det med Blizzards Authenticator og deres behov for at reducere hackede accounts kontra beskyttelse af meget personlige oplysninger og folks penge - uanset hvor "moderne" man så ønsker at være...
2) At folks certifikater ligger hos DanID (NETS/PBS) ER et problem. Hele NemID og det gamle Digital Signatur bygger på PKI (Public Key Infrastructure). PKI består af teknologi og principper som er særdeles sikre og ansete, MEN når certifikatet - dvs. nøglen til villaen - ligger på et til dels offentligt system kontrolleret af en privat "entity" så falder hele korthuset sammen - hele PKI designet er pludselig værdiløst. Nuvel, man har da gjort sig nogle tanker og gjort nogle ting for at sikre sig, men det ændre ikke på at det ikke længere er en PKI løsning (som det burde være).
Det man skulle have gjort istedet var at give folk en e-token med autorun software på istedet. På denne e-token er så certifikatet. Uden USB e-token i din computer, ingen mulighed for at komme på netbank osv.
...Og så er det et særdeles let princip at forstå for brugerne...
For dem der ikke har forstået hvad forskellen på den gamle Digital Signatur og så NemID så kommer det basale herom til sidst.
3) Som andre også har skrevet: En løsning hvor der ikke er behov for at sende nøglekort ud i et væk (det koster penge), der vil en e-token være MEGET hurtigt tjent hjem - sikkert inden for de første 2 år.
4) Det der er kritisk i hele opbygningen af NemID er at det er NETS/PBS (DanID) der har været primære rådgivere på løsningen, det er dem der har implementeret og dem der driver den. Altså lidt at sætte ulven til at vogte får. En helt uafhængig konsulent virksomhed skulle have stået for det arkitektoniske design og indgå som medforhandler når kontrakten for implementation og drift skulle forhandles på plads.
****Forskel på NemID og Digital Signatur****
Digital Signatur var en "ægte" PKI løsning - dvs. at brugeren havde 100% kontrol over sin nøgle til villaen (so to speak).
I NemID har man taget nøglen fra brugeren og hængt den i et nøgleskab hos en privat virksomhed.
Dernæst har man smidt en kode til nøgleskabet på og sat en robot til hente nøgler automatisk til brugerne såfremt de indtaster den kode der matcher en bestemt nøgle.
Dvs. at hvis koden til dette nøgleskab brydes så er der adgang til hele butikken.
Ja, det er svært, men gevinsten er enorm.
Én af principperne ved PKI er bla. at man spreder risikoen.
Før skulle man hacke hver enkelt brugers PC og så var det ikke engang sikkert at der var gevinst. Nu skal man hacke ét sted, men så er der til gengæld stor gevinst da der jo nok skal være én eller flere af de tilgængelige certifikater der er noget at hente på.
Derforuden ligger kontrollen så ved en privat virksomhed - Whatif f.eks. at dette var CSC istedet? en sur medarbejder med kendskab og adgang villle kunne holde det meste af DK som gidsel?
1) Hele økosystemet omkring NemID handler om adgang til personlige oplysninger samt penge.
DERFOR er en mobil app ikke praktisk - man kan altså ikke tillade sig at sidestille det med Blizzards Authenticator og deres behov for at reducere hackede accounts kontra beskyttelse af meget personlige oplysninger og folks penge - uanset hvor "moderne" man så ønsker at være...
2) At folks certifikater ligger hos DanID (NETS/PBS) ER et problem. Hele NemID og det gamle Digital Signatur bygger på PKI (Public Key Infrastructure). PKI består af teknologi og principper som er særdeles sikre og ansete, MEN når certifikatet - dvs. nøglen til villaen - ligger på et til dels offentligt system kontrolleret af en privat "entity" så falder hele korthuset sammen - hele PKI designet er pludselig værdiløst. Nuvel, man har da gjort sig nogle tanker og gjort nogle ting for at sikre sig, men det ændre ikke på at det ikke længere er en PKI løsning (som det burde være).
Det man skulle have gjort istedet var at give folk en e-token med autorun software på istedet. På denne e-token er så certifikatet. Uden USB e-token i din computer, ingen mulighed for at komme på netbank osv.
...Og så er det et særdeles let princip at forstå for brugerne...
For dem der ikke har forstået hvad forskellen på den gamle Digital Signatur og så NemID så kommer det basale herom til sidst.
3) Som andre også har skrevet: En løsning hvor der ikke er behov for at sende nøglekort ud i et væk (det koster penge), der vil en e-token være MEGET hurtigt tjent hjem - sikkert inden for de første 2 år.
4) Det der er kritisk i hele opbygningen af NemID er at det er NETS/PBS (DanID) der har været primære rådgivere på løsningen, det er dem der har implementeret og dem der driver den. Altså lidt at sætte ulven til at vogte får. En helt uafhængig konsulent virksomhed skulle have stået for det arkitektoniske design og indgå som medforhandler når kontrakten for implementation og drift skulle forhandles på plads.
****Forskel på NemID og Digital Signatur****
Digital Signatur var en "ægte" PKI løsning - dvs. at brugeren havde 100% kontrol over sin nøgle til villaen (so to speak).
I NemID har man taget nøglen fra brugeren og hængt den i et nøgleskab hos en privat virksomhed.
Dernæst har man smidt en kode til nøgleskabet på og sat en robot til hente nøgler automatisk til brugerne såfremt de indtaster den kode der matcher en bestemt nøgle.
Dvs. at hvis koden til dette nøgleskab brydes så er der adgang til hele butikken.
Ja, det er svært, men gevinsten er enorm.
Én af principperne ved PKI er bla. at man spreder risikoen.
Før skulle man hacke hver enkelt brugers PC og så var det ikke engang sikkert at der var gevinst. Nu skal man hacke ét sted, men så er der til gengæld stor gevinst da der jo nok skal være én eller flere af de tilgængelige certifikater der er noget at hente på.
Derforuden ligger kontrollen så ved en privat virksomhed - Whatif f.eks. at dette var CSC istedet? en sur medarbejder med kendskab og adgang villle kunne holde det meste af DK som gidsel?
https://www.nemid.nu/log_paa_selvbetjening/index.h...
Helt præcist er det på https://www.nemid.nu/selvbetjening/noeglekort/inds... men jeg ved ikke om man kan komme derind uden at gå gennem deres login-side.
Helt præcist er det på https://www.nemid.nu/selvbetjening/noeglekort/inds... men jeg ved ikke om man kan komme derind uden at gå gennem deres login-side.
Man fristes næsten til at give dig en relevant :Druneborgbjerg (48) skrev:Jeg har svært ved at forstå hvorfor folk ikke scanner deres nemid-kort ind, på google docs eller et andet sted, så de kan tilgå det fra deres telefon, hvis det papkort er så stort et problem...
Men igen - jeg er heller ikke så klog.
#63
PKI er ikke en magisk teknologi, der er løser alle problemer. PKI virker nogenlunde, når alle parter har ressourcer, vilje og know-how; det er bare ikke virkeligheden når Hr og Fru Danmark bliver rodet ind i det. Der er ikke langt fra et 'web of trust' til 'spaghetti of doubt'.
Når folk i denne tråd frejdigt praler med hvilken grad af stupiditet de behandler deres nøglekort, så skriger det til himlen, at det vil være en katastrofe, hvis folk generelt får rådighed over egen private nøgle.
Hvis folk havde rådighed over deres private nøgle og Newz tilbød en service beskrevet som: "Lav en PKCS#8 fil (det er en standard, så bare rolig), så kan du signere PMs på Newz", så er jeg overbevist om, at bedrøveligt mange ville synes det var smart.
PKI er en smuk idé, som har det svært overfor universets evne til at frembringe større og større idioter.
PKI er ikke en magisk teknologi, der er løser alle problemer. PKI virker nogenlunde, når alle parter har ressourcer, vilje og know-how; det er bare ikke virkeligheden når Hr og Fru Danmark bliver rodet ind i det. Der er ikke langt fra et 'web of trust' til 'spaghetti of doubt'.
Når folk i denne tråd frejdigt praler med hvilken grad af stupiditet de behandler deres nøglekort, så skriger det til himlen, at det vil være en katastrofe, hvis folk generelt får rådighed over egen private nøgle.
Hvis folk havde rådighed over deres private nøgle og Newz tilbød en service beskrevet som: "Lav en PKCS#8 fil (det er en standard, så bare rolig), så kan du signere PMs på Newz", så er jeg overbevist om, at bedrøveligt mange ville synes det var smart.
PKI er en smuk idé, som har det svært overfor universets evne til at frembringe større og større idioter.
Taxwars (70) skrev:Lav en autenticator i software til smartphones og giv dem væk gratis, så kan vi tale om det.
Venligst læs tråden.
#73: Også kaldet en e-token, som tidligere beskrevet af undertegnede...
En e-token er dog ikke blot en alm. USB-nøgle, med derimod en chip der er specielt sikret med et password (reelt blot et smartcard) og indeholder den private nøgle af et eller flere certifikater og deres modsvarende offentlige nøgler. Men den kan have et USB interface, eller alle mulige andre interfaces for den sags skyld - take your pick. USB er dog nok det mest praktiske...
#67: Du har tydeligvis ikke læst min post - eller ikke forstået det...
Det du (og mange andre IT folk) ikke fatter, er at PKI sagtens kan laves yderst brugervenligt for brugeren og simpelt uden at gå på kompromis med sikkerheden. Ligeledes kan det simplicificeres helt op på admin niveau vha. veldefinerede procedurer og processer.
Nuvel, det kan da syntes relativt langhåret under motorhjælmen for mange, men det skal brugerne jo ikke bekymre sig om alligevel.
Der er sikkert nogle ganske udmærkede PKI admins rundt omkring i det ganske land der kan sørge for det tekniske (inkl. undertegnede).
Jeg gentager: Erstat kodegeneratoren med en e-token og drop centraliseringen af certifikater som det er nu. Done deal.
Det er noget brugerne let kan forstå; "Nu er min USB e-token i PC'en, nu kan jeg tilgå mine ting. Nu er min USB e-token IKKE i PC'en, nu kan jeg IKKE tilgå mine ting." - Fuldstændig som nøglen til en lås...
Simple, elegant, flexible, secure.
En e-token er dog ikke blot en alm. USB-nøgle, med derimod en chip der er specielt sikret med et password (reelt blot et smartcard) og indeholder den private nøgle af et eller flere certifikater og deres modsvarende offentlige nøgler. Men den kan have et USB interface, eller alle mulige andre interfaces for den sags skyld - take your pick. USB er dog nok det mest praktiske...
#67: Du har tydeligvis ikke læst min post - eller ikke forstået det...
Det du (og mange andre IT folk) ikke fatter, er at PKI sagtens kan laves yderst brugervenligt for brugeren og simpelt uden at gå på kompromis med sikkerheden. Ligeledes kan det simplicificeres helt op på admin niveau vha. veldefinerede procedurer og processer.
Nuvel, det kan da syntes relativt langhåret under motorhjælmen for mange, men det skal brugerne jo ikke bekymre sig om alligevel.
Der er sikkert nogle ganske udmærkede PKI admins rundt omkring i det ganske land der kan sørge for det tekniske (inkl. undertegnede).
Jeg gentager: Erstat kodegeneratoren med en e-token og drop centraliseringen af certifikater som det er nu. Done deal.
Det er noget brugerne let kan forstå; "Nu er min USB e-token i PC'en, nu kan jeg tilgå mine ting. Nu er min USB e-token IKKE i PC'en, nu kan jeg IKKE tilgå mine ting." - Fuldstændig som nøglen til en lås...
Simple, elegant, flexible, secure.
#67: ...Jeg ved i øvrigt heller ikke hvor du fik ordet "magisk" fra... Det har jeg ikke kaldet PKI...
Ej heller er det en teknologi som sådan - det er et sæt af principper, regler og mange forskellige teknologier i tæt integration hvor principperne og reglerne er det der gør det så stærkt. I øvrigt principper og regler der allerede anvender mange andre steder end lige mht. certifikater og/eller IT sikkerhed.
Faktisk mange steder og i situationer i hverdagen hvor du ikke tænker over det, uden at være IT relateret...
PKI handler mere om process og procedure end teknologi, lidt ligesom når man implementerer et nyt ERP system i en virksomhed.
Ej heller er det en teknologi som sådan - det er et sæt af principper, regler og mange forskellige teknologier i tæt integration hvor principperne og reglerne er det der gør det så stærkt. I øvrigt principper og regler der allerede anvender mange andre steder end lige mht. certifikater og/eller IT sikkerhed.
Faktisk mange steder og i situationer i hverdagen hvor du ikke tænker over det, uden at være IT relateret...
PKI handler mere om process og procedure end teknologi, lidt ligesom når man implementerer et nyt ERP system i en virksomhed.
#67: ...Men du har da ret i at folk burde tænke sig om - specielt folk herinde der trods alt må formodes at besidde et vist teknisk niveau - det skal du da ha' ;-)
#cruzifixion
Og din "magiske" E-token skal du så have til at virke med Windows (samtlige udgave), Linux (samtlige udgave), Mac (samtlige udgaver) og Unix (samtlige udgave). I browserne FireFox, IE, Safari og 100 andre browser. Hvilket giver en kombination på billionbiliard...
Ved ikke hvilket magisk firma du vil have til at lave den. Men jeg tror du skal starte med at spørge Harry Potter om ikke han kan trylle en frem til dig...
Og du har så samtidig fravalg mobilen 100% da den ikke har USB interface.
Og alt det med at et private firma har adgang til din kode, og en hacker kan få fat i din nøgle... So fucking what. En hacker kan ikke tage nøglen med ned i banken og hæve dine penge. Han kan lave sin egen app, ja. Men det er IKKE den app banken bruger, og han kan ikke indsætte nøglen i den app. Så selv hvis han havde nøglen, kunne han ikke bruge den til noget
Og skulle DAN ID blive hacket, har jeg tillid til at de opdager det ret hurtig. Og hvad sker der så? De trykker på en knap, også har ALLE fået en ny nøgle, og det hackerne har fået er ubrugelig (hvilket det er alligevel)
Og DAN Id har ikke adgang til dine bankoplysninger og alt andet bare fordi de har din nøgle. Og er du så bekymret for at de skulle stjæle noget, hvorfor er du så ikke bekymret for din bankrådgiver? Det er i det mindste hørt før at bankansatte har stjållet fra deres kunder...
Og din "magiske" E-token skal du så have til at virke med Windows (samtlige udgave), Linux (samtlige udgave), Mac (samtlige udgaver) og Unix (samtlige udgave). I browserne FireFox, IE, Safari og 100 andre browser. Hvilket giver en kombination på billionbiliard...
Ved ikke hvilket magisk firma du vil have til at lave den. Men jeg tror du skal starte med at spørge Harry Potter om ikke han kan trylle en frem til dig...
Og du har så samtidig fravalg mobilen 100% da den ikke har USB interface.
Og alt det med at et private firma har adgang til din kode, og en hacker kan få fat i din nøgle... So fucking what. En hacker kan ikke tage nøglen med ned i banken og hæve dine penge. Han kan lave sin egen app, ja. Men det er IKKE den app banken bruger, og han kan ikke indsætte nøglen i den app. Så selv hvis han havde nøglen, kunne han ikke bruge den til noget
Og skulle DAN ID blive hacket, har jeg tillid til at de opdager det ret hurtig. Og hvad sker der så? De trykker på en knap, også har ALLE fået en ny nøgle, og det hackerne har fået er ubrugelig (hvilket det er alligevel)
Og DAN Id har ikke adgang til dine bankoplysninger og alt andet bare fordi de har din nøgle. Og er du så bekymret for at de skulle stjæle noget, hvorfor er du så ikke bekymret for din bankrådgiver? Det er i det mindste hørt før at bankansatte har stjållet fra deres kunder...
#77: e-token findes pt. med "onboard" software der kører under Java - præcist det samme krav som du har med den nuv. løsning - altså er der lige præcist samme kompabilitet.
Kan i øvrigt ikke lide Java som udgangspunkt, men til dette formål giver det mening, og det er et fint valg til NemID.
Faktum: det virker! Been there, done that...
Forkert. Hvis en hacker har din Private Key, så kan han netop rydde din konto - som udgangspunkt. Men skide være med det. Banken erstatter alligevel, og kan trace pengene til endestationen. Nej, det er langt værre at han har adgang til alle mine personlige oplysninger som ligger alle vegne i det offentlige og private regi. Nogensinde hørt om social hacking og decideret identity theft?
Oprette en fiktiv virksomhed med mig som ejer?
Bestille pas, sygesikringsbevis o.a.?
Bestille flytning og få tilsendt min private post til et andet sted?
Brug mit certifikat til at sende mails signeret som de kom fra mig?
At det Javaprogram som der anvendes i NemID ikke er bare sådan lige at omgå, det er korrekt, men det er sagen fuldstændig uvedkommende!
Faktum er at det er muligt - det er det ikke med en "ægte" PKI der er korrekt designet.
Korrekt - couldn't care less. Efter min mening hører den slags adgang ikke til på en mobiltelefon pt. Når der kommer en mere egnet løsning der passer mobilen, fint, så implementerer vi den... Ikke før.
F.eks. noget biometrisk adgang indbygget i mobilen...
Nej, jeg er IKKE bange for at DanID gør noget.
Nej, jeg er som udgangspunkt IKKE bange for at en medarbejder hos DanID gør noget (med undtagelse af senere benævnt situation f.eks).
I øvrigt så har jeg et noget tættere forhold til min bankrådgiver end jeg nogensinde får til en NETS medarbejder... Big difference...
Men det er problematisk at man reelt har samlet adgang til ALLE danskers samlede oplysninger ét eneste sted. Samtidig så er MIN nøgle ikke 100% under MIN kontrol.
Det strider mod alle principper i PKI - og dermed også sund fornuft.
Hack DanID's system der ligger ovenpå PKI og dermed deres centrale certificate store, så er der åbent til alt.
Eller som nævnt før i ét af mine tidligere indlæg, hvis en virkelig pissed medarbejder hos DanID/NETS/PBS får den lysende idé at lægge hele lortet ned så kan det lade sig gøre...
Behøver vi nævne de 2 store og alvorlige situationer der opstod 2-3 år siden i 2 af USA's største banker, hvor nogle pissed UNIX admins havde placeret timebombs i deres centrale systemer? Den ene var vist nævnt her på sitet som en nyhed.
Bare for at nævne ét skrækscenarie...
Det holder bare ikke - period! Det er MINE oplysninger, og jeg burde kunne have 100% kontrol over dem, specielt når der nu findes en så fremragende løsning som en rigtig PKI med noget e-token der kan laves brugervenlig...
Noget af det ovenstående er rent faktisk grundlæggende egenskaber i et demokratisk retssamfund, og det er noget svineri at der ikke er et valg, eller i det mindste at disse issues er blevet håndteret korrekt.
Jeg er FOR digitaliseringen som udgangspunkt, no doubt; MEN det skal gøres rigtigt - fra starten af, og det er det IKKE!
Jeg kan nok ikke overbevise dig, og det er fint. Det må du leve med.
Men at fremstille ukorrekte hypoteser i et offentligt fora, med et SÅ vigtigt emne som dette er decideret uansvarligt...
Jeg slutter diskutionen her og håber at andre der læser det har nok mellem ørene til at læse og forstå...
God pinse.
Kan i øvrigt ikke lide Java som udgangspunkt, men til dette formål giver det mening, og det er et fint valg til NemID.
Faktum: det virker! Been there, done that...
fennec skrev:Og alt det med at et private firma har adgang til din kode, og en hacker kan få fat i din nøgle... So fucking what. En hacker kan ikke tage nøglen med ned i banken og hæve dine penge. Han kan lave sin egen app, ja. Men det er IKKE den app banken bruger, og han kan ikke indsætte nøglen i den app. Så selv hvis han havde nøglen, kunne han ikke bruge den til noget
Forkert. Hvis en hacker har din Private Key, så kan han netop rydde din konto - som udgangspunkt. Men skide være med det. Banken erstatter alligevel, og kan trace pengene til endestationen. Nej, det er langt værre at han har adgang til alle mine personlige oplysninger som ligger alle vegne i det offentlige og private regi. Nogensinde hørt om social hacking og decideret identity theft?
Oprette en fiktiv virksomhed med mig som ejer?
Bestille pas, sygesikringsbevis o.a.?
Bestille flytning og få tilsendt min private post til et andet sted?
Brug mit certifikat til at sende mails signeret som de kom fra mig?
At det Javaprogram som der anvendes i NemID ikke er bare sådan lige at omgå, det er korrekt, men det er sagen fuldstændig uvedkommende!
Faktum er at det er muligt - det er det ikke med en "ægte" PKI der er korrekt designet.
fennec skrev:
Og du har så samtidig fravalg mobilen 100% da den ikke har USB interface.
Korrekt - couldn't care less. Efter min mening hører den slags adgang ikke til på en mobiltelefon pt. Når der kommer en mere egnet løsning der passer mobilen, fint, så implementerer vi den... Ikke før.
F.eks. noget biometrisk adgang indbygget i mobilen...
fennec skrev:Og DAN Id har ikke adgang til dine bankoplysninger og alt andet bare fordi de har din nøgle. Og er du så bekymret for at de skulle stjæle noget, hvorfor er du så ikke bekymret for din bankrådgiver? Det er i det mindste hørt før at bankansatte har stjållet fra deres kunder...
Nej, jeg er IKKE bange for at DanID gør noget.
Nej, jeg er som udgangspunkt IKKE bange for at en medarbejder hos DanID gør noget (med undtagelse af senere benævnt situation f.eks).
I øvrigt så har jeg et noget tættere forhold til min bankrådgiver end jeg nogensinde får til en NETS medarbejder... Big difference...
Men det er problematisk at man reelt har samlet adgang til ALLE danskers samlede oplysninger ét eneste sted. Samtidig så er MIN nøgle ikke 100% under MIN kontrol.
Det strider mod alle principper i PKI - og dermed også sund fornuft.
Hack DanID's system der ligger ovenpå PKI og dermed deres centrale certificate store, så er der åbent til alt.
Eller som nævnt før i ét af mine tidligere indlæg, hvis en virkelig pissed medarbejder hos DanID/NETS/PBS får den lysende idé at lægge hele lortet ned så kan det lade sig gøre...
Behøver vi nævne de 2 store og alvorlige situationer der opstod 2-3 år siden i 2 af USA's største banker, hvor nogle pissed UNIX admins havde placeret timebombs i deres centrale systemer? Den ene var vist nævnt her på sitet som en nyhed.
Bare for at nævne ét skrækscenarie...
Det holder bare ikke - period! Det er MINE oplysninger, og jeg burde kunne have 100% kontrol over dem, specielt når der nu findes en så fremragende løsning som en rigtig PKI med noget e-token der kan laves brugervenlig...
Noget af det ovenstående er rent faktisk grundlæggende egenskaber i et demokratisk retssamfund, og det er noget svineri at der ikke er et valg, eller i det mindste at disse issues er blevet håndteret korrekt.
Jeg er FOR digitaliseringen som udgangspunkt, no doubt; MEN det skal gøres rigtigt - fra starten af, og det er det IKKE!
Jeg kan nok ikke overbevise dig, og det er fint. Det må du leve med.
Men at fremstille ukorrekte hypoteser i et offentligt fora, med et SÅ vigtigt emne som dette er decideret uansvarligt...
Jeg slutter diskutionen her og håber at andre der læser det har nok mellem ørene til at læse og forstå...
God pinse.
fennec (77) skrev:#cruzifixion
Og du har så samtidig fravalg mobilen 100% da den ikke har USB interface.
Hvilken smartphone kender du, som ikke har enten USB-stik, USB-kabel og/eller USB-adapter, for den vil jeg da gerne høre om..
Og skulle DAN ID blive hacket, har jeg tillid til at de opdager det ret hurtig. Og hvad sker der så? De trykker på en knap, også har ALLE fået en ny nøgle, og det hackerne har fået er ubrugelig
Men alle papkort og "e-Pap" er ugyldige, og skal udskiftes.
Det er knap så slemt med papkortene, der kan udskrives og udsendes nye pænt hurtigt, men hvad hvis der er f.eks. 1 million "e-Pap"?
Skal vi bare lukke Danmark en måneds tid og holde ferie (bortset fra DanID og PostDanmark), mens vi venter på at alle får nye papkort/ePap?
#74 + #75
Ja da, PKI kan sagtens bringes til at virke, hvilket jeg osse selv skriver. Du fremhæver i #75 en vigtig caveat ganske glimrende: de procedurer, der er helt basale for at PKI virker, kan almindelige folk simpelthen ikke forventes at overholde.
Du har åbenbart arbejdet med PKI - jamen hvor flot. Det er vi andre, der osse har - og næh hvor er vi seje. Det er ikke os, der er problemet, det er alle de andre! (For en sjælden gangs skyld giver den sætning mening).
Der findes løsninger som er bedre; men jeg tvivler på de er billige. Derudover er der problemstillinger med trust til RA'er og CA'er for slet ikke at tale om effektiv revokering (igen: ja, det kan løses; men kan det løses billigt?)
Ja da, PKI kan sagtens bringes til at virke, hvilket jeg osse selv skriver. Du fremhæver i #75 en vigtig caveat ganske glimrende: de procedurer, der er helt basale for at PKI virker, kan almindelige folk simpelthen ikke forventes at overholde.
Du har åbenbart arbejdet med PKI - jamen hvor flot. Det er vi andre, der osse har - og næh hvor er vi seje. Det er ikke os, der er problemet, det er alle de andre! (For en sjælden gangs skyld giver den sætning mening).
Der findes løsninger som er bedre; men jeg tvivler på de er billige. Derudover er der problemstillinger med trust til RA'er og CA'er for slet ikke at tale om effektiv revokering (igen: ja, det kan løses; men kan det løses billigt?)
cruzifixion (78) skrev:#77: e-token findes pt. med "onboard" software der kører under Java - præcist det samme krav som du har med den nuv. løsning - altså er der lige præcist samme kompabilitet.
Bare din browser kan køre Java-applets, så kan den interface med USB-dimsen?
Og hvad er den e-token så, er det en USB Mass Storage Device med software og data på (temmelig nem at kopiere), eller er det noget mere fancy (som jeg har svært ved at tro kan bruges fra en Java-applet på enhver Java applet-kompatibel browser)?
cruzifixion (78) skrev:Faktum er at det er muligt - det er det ikke med en "ægte" PKI der er korrekt designet.
Ægte PKI skal bruges rigtigt for at det virker. Og det kommer aldrig til at ske hos langt de fleste danske borgere. Dermed kan vi ikke bruge ægte PKI i NemID's standardløsning.
Hvis du har så meget forstand på sikkerhed som du selv tror, så kan det da ikke være så svært at forstå. Ikke for at fornærme, men jeg forstår altså ikke den tankegang, og den kommer i stort set alle NemID-tråde.
cruzifixion (78) skrev:Korrekt - couldn't care less. Efter min mening hører den slags adgang ikke til på en mobiltelefon pt.
En holdning du er velkommen til at have, den kan bare ikke bruges til noget. Når en sikkerhedsløsning er så sikker at brugeren ikke kan få adgang, så kan den altså ikke bruges.
cruzifixion (78) skrev:F.eks. noget biometrisk adgang indbygget i mobilen...
Mobilen er hardware uden for DanID's kontrol. Og for den sags skyld samarbejdspartnere som DanID stoler på.
Mig bekendt er biometriske sensorer ikke meget værd der. Hvor svært kan det være at erstatte en fingeraftrykslæser med noget software som påstår at have foretaget en eller anden aflæsning? Et fingeraftryk er jo sådan ca. det samme hver gang det skal bruges. Igen engangs-nøgler, ingen signatur, no nothing.
cruzifixion (78) skrev:Jeg kan nok ikke overbevise dig, og det er fint. Det må du leve med.
*fnis*
greylion (79) skrev:Hvilken smartphone kender du, som ikke har enten USB-stik, USB-kabel og/eller USB-adapter, for den vil jeg da gerne høre om..
Nu er det jo altså ikke helt nok at have et USB-stik af en eller anden art. Du kan få en fin lille lampe til en femmer med USB-stik, prøv at se om du kan bruge den til andet end at lyse lidt. Og om du overhovedet kan komme så langt med lampen og en USB-stick. ;-)
Hvor mange smartphones kan tage et USB-A stik? Det er jo sådan et stik som vil være på en e-token, for at den kan bruges i en PC.
Så kan man forestille sig en dims med USB-A i den ene ende, og micro-USB stik i den anden. Men hvor mange telefoner kan noget med det stik, som er interessant i denne sammenhæng?
Min kan lade, og selv være USB Mass Storage. (Plus lidt platformsspecifikt som ikke er interessant her.) Det er vist ganske normalt.
Og hvad så med iPhones? Skal der være et tredje stik til dem, eller har de så lille en markesandel at det kan være lige meget?
TLDR: En e-token som skal i USB-stikket for at virke, kan ikke bruges på smartphones.
myplacedk (81) skrev:Bare din browser kan køre Java-applets, så kan den interface med USB-dimsen?
Og hvad er den e-token så, er det en USB Mass Storage Device med software og data på (temmelig nem at kopiere), eller er det noget mere fancy (som jeg har svært ved at tro kan bruges fra en Java-applet på enhver Java applet-kompatibel browser)?
En e-token er:
1) Et smartcard til certifikatets Private Key
2) En Smartcardreader
Disse to bygges sammen til en USB nøgle istedet for at have et Smartcard og en Smartcard reader tilsluttet din PC.
Det har INTET med en alm. USB Mass Storage Device at gøre overhovedet.
Du kan IKKE kopiere den. Og Selvom du muligvis kunne, så er det hele krypteret med din passcode.
Der er dog så samtidig indbygget en alm. USB Mass Storage Device, men den er der kun for at kunne indeholde Java App'en så man ikke skal have installeret noget på maskinerne man bruger nøglen på.
...Og ja, en Java app der kører i en given browser kan tilgå softwaren der kører fra nøglen. Ikke noget problem.
myplacedk (81) skrev:
Ægte PKI skal bruges rigtigt for at det virker. Og det kommer aldrig til at ske hos langt de fleste danske borgere. Dermed kan vi ikke bruge ægte PKI i NemID's standardløsning.
Hvis du har så meget forstand på sikkerhed som du selv tror, så kan det da ikke være så svært at forstå. Ikke for at fornærme, men jeg forstår altså ikke den tankegang, og den kommer i stort set alle NemID-tråde.
Som jeg skriver KAN det laves 100% brugervenligt.
Ideen er at brugeren ikke skal se hvad det er der ligger bag, om det er noget PKI eller hvad det er. Og det du ikke forstår er at sådan kan en ægte PKI laves - altså at alt det tekniske gemmes væk for brugeren.
Efterhånden har jeg lavet ret så mange PKI løsninger til alle mulige formål i ret så mange forskellige udformninger baseret på alt fra OSS til MS ADCS. Det er tungt at implementere rent processmæssigt i mange tilfælde, men i NemID regi er det ret så simpelt.
Hele menageriet med udstedelse af certifikater kan praktisk talt nedkoges til en 4 step procedure (som allerede eksisterer i dag set fra brugerens synspunkt), da NemID PKI kun skal have 2 (3) formål:
1) Sikker login til diverse offentlige og private services
2) Afsendelse af krypteret og signeret mail
*3) Muligvis kryptering af folks data på deres PC'ere og what not.
Alle mulige andre scenarier som PKI kunne håndtere er ikke i scope for NemID og det fjerne ret så meget af det tunge ved PKI.
...Og NU stopper jeg med at diskutere denne tråd... Seriously...
cruzifixion (84) skrev:Som jeg skriver KAN det laves 100% brugervenligt.
Hvis du ikke gider diskutere det, kan du så komme med bare ét eksempel på nogen som gør noget der minder om det du foreslår?
Altså noget med en e-token på USB, som kan bruges fra en browser, og er 100% brugervenligt?
I så fald mangler vi jo bare en løsning til smartphones.
Hvorfor hulen skal ALT være digitalt?!?
Folk vil sq over komplicere alt for tiden!
Slap nu af med jeres elektronik pis og hold det simpelt!
PAPKORT! Færdig! Simpelt og ligetil!
Hvis i ikke kan huske at tage det med jer, så er der heller ikke noget som forhindrer jer i at glemme alt andet som man altid bør have på sig!
Det er sq da kun gadget freaks der absolut vil have alt skal kunne stoppes i en smartphone eller et usb-stick!
Slap nu af!
Jeg synes papkortet er en løsning der fungere fint nok når vi nu SKAL have et digitalt login til alt. Hvorfor skal det kompliceres yderligere af digital ævl som dongler eller apps?!?
Lad nu være med at pive over at i skal bruge jeres fingre til andet end et tastatur!
Folk vil sq over komplicere alt for tiden!
Slap nu af med jeres elektronik pis og hold det simpelt!
PAPKORT! Færdig! Simpelt og ligetil!
Hvis i ikke kan huske at tage det med jer, så er der heller ikke noget som forhindrer jer i at glemme alt andet som man altid bør have på sig!
Det er sq da kun gadget freaks der absolut vil have alt skal kunne stoppes i en smartphone eller et usb-stick!
Slap nu af!
Jeg synes papkortet er en løsning der fungere fint nok når vi nu SKAL have et digitalt login til alt. Hvorfor skal det kompliceres yderligere af digital ævl som dongler eller apps?!?
Lad nu være med at pive over at i skal bruge jeres fingre til andet end et tastatur!
offtopic:
Kan man anbefale nye tags? Er da efterhånden på tide at indføre et tag der er mere "alvorligt" end gentagelser, som kan få en bruger markeret som spam bruger, når de gang på gang poster uden at læse op... -.- (har ikke umiddelbart kunne finde nogen konsekvens af de forskellige tags, så beklager hvis jeg har overset noget)
Kan man anbefale nye tags? Er da efterhånden på tide at indføre et tag der er mere "alvorligt" end gentagelser, som kan få en bruger markeret som spam bruger, når de gang på gang poster uden at læse op... -.- (har ikke umiddelbart kunne finde nogen konsekvens af de forskellige tags, så beklager hvis jeg har overset noget)
Nej, fordi karma systemet virker ikke. :)
Normalt ville konsekvensen være, at folk med dårlig karma kan sorteres fra i debatterne, via ens brugersettings.
(Indstillinger -> Forumindstillinger)
Normalt ville konsekvensen være, at folk med dårlig karma kan sorteres fra i debatterne, via ens brugersettings.
(Indstillinger -> Forumindstillinger)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund