mboost-dp1
PBS A/S
Wow.... Never saw that coming!! *host host*
Tror jeg har brugt ordet om DanID her i forummet før, men vil lige slå det fast med syvtommer-søm:
Fedtmuler og Bangalorekodere!
Lad os få noget konkurrence....
1) NemID -> Åben Standard
2) Lav en komite bestående af andet end fedtmuler og aber (ie. nogen der rent faktisk VED noget om sikkerhed!).
3) En NemID-udbyder skal dermed registreres og gennemgå strenge sikkerhedsgodkendelser. - med andre ord en certificering.
Lad os derefter se hvor lang tid der går før DanID går fallit :-P ;-)
Det må da kunne lade sig gøre at lave en model der ligner ovenstående og dermed undgå "single point of failure"-modellen ;-)
Tror jeg har brugt ordet om DanID her i forummet før, men vil lige slå det fast med syvtommer-søm:
Fedtmuler og Bangalorekodere!
Lad os få noget konkurrence....
1) NemID -> Åben Standard
2) Lav en komite bestående af andet end fedtmuler og aber (ie. nogen der rent faktisk VED noget om sikkerhed!).
3) En NemID-udbyder skal dermed registreres og gennemgå strenge sikkerhedsgodkendelser. - med andre ord en certificering.
Lad os derefter se hvor lang tid der går før DanID går fallit :-P ;-)
Det må da kunne lade sig gøre at lave en model der ligner ovenstående og dermed undgå "single point of failure"-modellen ;-)
Er det ikke lidt at gå i panik???
Jeg mener at et dos angreb af enhver slags kan nedkæbes hvis bare nemid og deres ISP, måske flere ISPer arbejder lidt sammen.
Det var jo fx TDC anti DOS filter som fik stoppet for det ene angreb..
Det er jo bare poor planing fra nemids side af, ikke at være forberedt på den slags åbentlyse ting.
Jeg mener at et dos angreb af enhver slags kan nedkæbes hvis bare nemid og deres ISP, måske flere ISPer arbejder lidt sammen.
Det var jo fx TDC anti DOS filter som fik stoppet for det ene angreb..
Det er jo bare poor planing fra nemids side af, ikke at være forberedt på den slags åbentlyse ting.
Jeg elsker mængden af selv-udnævnte it-sikkerheds-eksperter i denne her debat! :D
Så kan vi diskutere hvor meget DDOS har med "sikkerhed" at gøre, men hr og fru danmark er ikke i tvivl: NEMID er pisse usikkert!, og pengene fosser ud af kontoer og punge som følgerne deraf. (Det har ikke noget at gøre med at at folk gladeligt udleverer deres kortoplysninger til folk over telefon / net og irl, og tager billeder af nemidkort mm.)
Vi kan alle blive enige om at ALT kan gå ned pga. DDOS. Der var altså snak om hvorvidt at det rent faktisk var sandsynligt at en gruppe kunne tage "nettet" ned, så på en eller anden måde har jeg lidt svært ved at have respekt for de mennesker der tror at danid på en eller anden måde er udødelige hvad det angår.
OG ang. nemid: jamen der er mange måder man kunne lave det anderledes på, og sikkert bedre men faktum er: efter nemid er det blevet mindre at lave i supportsektoren, og det der er UTROLIGT gennemskueligt. Ang. sikkerhed: så har IKKE set/ hørt om et eneste brud på nemid ud over de enkelte eksempler der har været hypet i medierne, og det er en hel del mindre end før NEMID!
(Jeg kan sige så meget at den support jeg arbejdede i havde et drop på op imod 50% af kald da nemid var intergreret.)
NEMID kan laves bedre, og meget er sket siden, men faktum er bare at 99% af det som nemid får skyld for ude i det danske land, er retarderede mennesker der udtaler sig om noget de ikke ved noget som helst om. Når det er sagt: Jeg ser da også frem til at nemid bliver baseret på noget "platformsafhængigt", men det eksisterer bare ikke..., Hvis i kigger på hvordan microsoft, apple og google er ved at lægge op til deres egen entrenched platform så bliver det svært.
Så kan vi diskutere hvor meget DDOS har med "sikkerhed" at gøre, men hr og fru danmark er ikke i tvivl: NEMID er pisse usikkert!, og pengene fosser ud af kontoer og punge som følgerne deraf. (Det har ikke noget at gøre med at at folk gladeligt udleverer deres kortoplysninger til folk over telefon / net og irl, og tager billeder af nemidkort mm.)
Vi kan alle blive enige om at ALT kan gå ned pga. DDOS. Der var altså snak om hvorvidt at det rent faktisk var sandsynligt at en gruppe kunne tage "nettet" ned, så på en eller anden måde har jeg lidt svært ved at have respekt for de mennesker der tror at danid på en eller anden måde er udødelige hvad det angår.
OG ang. nemid: jamen der er mange måder man kunne lave det anderledes på, og sikkert bedre men faktum er: efter nemid er det blevet mindre at lave i supportsektoren, og det der er UTROLIGT gennemskueligt. Ang. sikkerhed: så har IKKE set/ hørt om et eneste brud på nemid ud over de enkelte eksempler der har været hypet i medierne, og det er en hel del mindre end før NEMID!
(Jeg kan sige så meget at den support jeg arbejdede i havde et drop på op imod 50% af kald da nemid var intergreret.)
NEMID kan laves bedre, og meget er sket siden, men faktum er bare at 99% af det som nemid får skyld for ude i det danske land, er retarderede mennesker der udtaler sig om noget de ikke ved noget som helst om. Når det er sagt: Jeg ser da også frem til at nemid bliver baseret på noget "platformsafhængigt", men det eksisterer bare ikke..., Hvis i kigger på hvordan microsoft, apple og google er ved at lægge op til deres egen entrenched platform så bliver det svært.
Nyheden skrev:Søren Vinge fra Nets udtaler, at Nets er i gang med at tage de fornødne sikkerhedsforanstaltninger, men kan dog ikke give detaljer, da dette kan misbruges af hackere.
Hvis det ikke kan tåle at blive omtalt, er det ikke særligt gode foranstaltninger!
NemID fungerer som forventet til formålet, men ikke som ønsket. Der er stadig en stor fejl i NemID ved oprettelse/ændring af password. En fejl der giver falsk sikkerhed. Når man skal ændre sin kode, er der forskel på store/små bogstaver. Når man skal logge ind, gøres der ikke forskel. Kæmpe fejl!
Jeg har før beskrevet systemet nedenfor, men gør det gerne igen. Hvis nogen kan finde fejl/huller i sikkerheden, udover at bortføre brugeren, skal i være velkomne til at komme med en bedre løsning.
Oprettelse af NemID
1. Angiv brugernavn
2. Angiv nummer til mobiltelefon
3. Modtag MMS-forespørgsel på password
4. Send MMS-svar med password (IMEI auto-vedhæftet)
5. Modtag MMS-forespørgsel på bekræftelse af password
6. Send MMS-svar med bekræftelse af password (IMEI auto-vedhæftet)
7a. Konto er nu oprettet og sikkerhedsoplysninger skal angives
7b. Mobiltelefon godkendt til brug med NemID via dens IMEI-kode
8. Download program på computer
9. Kør program
10. Modtag MMS-forespørgsel på kode vist på skærmen
11. Send MMS-svar med koden vist på skærmen (IMEI auto-vedhæftet)
12. Computeren er nu godkendt til brug med NemID
13. Modtag MMS-forespørgsel på kode til login fra anden computer
14. Send MMS-svar med kode til login fra anden computer
15. Modtag MMS-forespørgsel på kode til ændring af oplysninger
16. Send MMS-svar med kode til ændring af oplysninger
17. Modtag MMS-forespørgsel på kode til ændring af sikkerhed
18. Send MMS-svar med kode til ændring af sikkerhed
19. Din konto er klar til brug
Login fra godkendt computer
1. Angiv brugernavn
2. Angiv password
3. Få vist kode-nøgle på skærm
4. Modtag MMS-forespørgsel om nøglens kode
5. Send nøglens kode via MMS (IMEI auto-vedhæftet)
6. Du er nu logget ind
Login fra anden computer
1 - 5. Som ved godkendt computer
6. Modtag MMS-forespørgsel på kode til login fra anden computer
7. Send MMS-svar med kode (IMEI auto-vedhæftet)
8. Computer nu godkendt indtil logout
9. Du er nu logget ind
9a. Overførsel af penge kun muligt mellem egne konti
9b. Indbetaling af Giro kort ikke muligt
Ændring af oplysninger
1. Login fra godkendt computer
2. Klik på "Ret oplysninger"
3. Modtag MMS-forespørgsel på kode til ændring af oplysninger
4. Send MMS-svar med kode (IMEI auto-vedhæftet)
5. Personoplysninger kan nu ændres
Ændring af sikkerhed
1. Login fra godkendt computer
2. Klik på "Ret sikkerhedsoplysninger"
3. Modtag MMS-forespørgsel på kode til ændring af sikkerhed
4. Send MMS-svar med kode (IMEI auto-vedhæftet)
5. Sikkerhedsoplysninger kan nu ændres
Efter ændring af oplysninger/sikkerhed
1. Modtag email med bekræftelseskode (gyldig i 15 minutter)
2. Modtag MMS-forespørgsel på bekræftelseskode
3. Send MMS-svar med bekræftelseskode (IMEI auto-vedhæftet)
4. Ændringer til oplysninger/sikkerhed er nu gemt
Noter
Alle MMS'er er gratis for brugeren og betales af udbyderen af systemet
Forkert IMEI kode i MMS-svar afbryder login. Efter tre fejlede, spærres alt login indtil genåbnet med hjælp fra Support. Kræver oplysning af kode til ændring af sikkerhed. Herefter er denne tvunget at skulle ændres ved næste login.
mireigi (6) skrev:Hvis det ikke kan tåle at blive omtalt, er det ikke særligt gode foranstaltninger!
NemID fungerer som forventet til formålet, men ikke som ønsket. Der er stadig en stor fejl i NemID ved oprettelse/ændring af password. En fejl der giver falsk sikkerhed. Når man skal ændre sin kode, er der forskel på store/små bogstaver. Når man skal logge ind, gøres der ikke forskel. Kæmpe fejl!
Jeg har før beskrevet systemet nedenfor, men gør det gerne igen. Hvis nogen kan finde fejl/huller i sikkerheden, udover at bortføre brugeren, skal i være velkomne til at komme med en bedre løsning.
Oprettelse af NemID
1. Angiv brugernavn
2. Angiv nummer til mobiltelefon
3. Modtag MMS-forespørgsel på password
4. Send MMS-svar med password (IMEI auto-vedhæftet)
5. Modtag MMS-forespørgsel på bekræftelse af password
6. Send MMS-svar med bekræftelse af password (IMEI auto-vedhæftet)
7a. Konto er nu oprettet og sikkerhedsoplysninger skal angives
7b. Mobiltelefon godkendt til brug med NemID via dens IMEI-kode
8. Download program på computer
9. Kør program
10. Modtag MMS-forespørgsel på kode vist på skærmen
11. Send MMS-svar med koden vist på skærmen (IMEI auto-vedhæftet)
12. Computeren er nu godkendt til brug med NemID
13. Modtag MMS-forespørgsel på kode til login fra anden computer
14. Send MMS-svar med kode til login fra anden computer
15. Modtag MMS-forespørgsel på kode til ændring af oplysninger
16. Send MMS-svar med kode til ændring af oplysninger
17. Modtag MMS-forespørgsel på kode til ændring af sikkerhed
18. Send MMS-svar med kode til ændring af sikkerhed
19. Din konto er klar til brug
Login fra godkendt computer
1. Angiv brugernavn
2. Angiv password
3. Få vist kode-nøgle på skærm
4. Modtag MMS-forespørgsel om nøglens kode
5. Send nøglens kode via MMS (IMEI auto-vedhæftet)
6. Du er nu logget ind
Login fra anden computer
1 - 5. Som ved godkendt computer
6. Modtag MMS-forespørgsel på kode til login fra anden computer
7. Send MMS-svar med kode (IMEI auto-vedhæftet)
8. Computer nu godkendt indtil logout
9. Du er nu logget ind
9a. Overførsel af penge kun muligt mellem egne konti
9b. Indbetaling af Giro kort ikke muligt
Ændring af oplysninger
1. Login fra godkendt computer
2. Klik på "Ret oplysninger"
3. Modtag MMS-forespørgsel på kode til ændring af oplysninger
4. Send MMS-svar med kode (IMEI auto-vedhæftet)
5. Personoplysninger kan nu ændres
Ændring af sikkerhed
1. Login fra godkendt computer
2. Klik på "Ret sikkerhedsoplysninger"
3. Modtag MMS-forespørgsel på kode til ændring af sikkerhed
4. Send MMS-svar med kode (IMEI auto-vedhæftet)
5. Sikkerhedsoplysninger kan nu ændres
Efter ændring af oplysninger/sikkerhed
1. Modtag email med bekræftelseskode (gyldig i 15 minutter)
2. Modtag MMS-forespørgsel på bekræftelseskode
3. Send MMS-svar med bekræftelseskode (IMEI auto-vedhæftet)
4. Ændringer til oplysninger/sikkerhed er nu gemt
Noter
Alle MMS'er er gratis for brugeren og betales af udbyderen af systemet
Forkert IMEI kode i MMS-svar afbryder login. Efter tre fejlede, spærres alt login indtil genåbnet med hjælp fra Support. Kræver oplysning af kode til ændring af sikkerhed. Herefter er denne tvunget at skulle ændres ved næste login.
Held og lykke med at få Hr. og Fru. Jensen til at kaste sig ud i det projekt. Mange over 70 har slet ikke en mobil, og hvis, så er den nok ikke mms kompatibel eller de ved ikke hvad det er. Alle der rejser eller ikke har deres bærbare med over alt bliver også tosset når det kræver godkendelse af computer. Man må finde en balance mellem sikkerhed og brugervenlighed.
#6 - Wall of text.
Det du skriver, vil være umuligt at gennemføre i praksis - ked af at sige det.
Der er ingen tvivl om, at dit eksempel vil være en god del mere sikkert, men NemID er netop oprettet for at skabe et alternativ for ALLE danskere.
Jeg sidder i banken 30 meter fra hotline-salen, og kan kun korse mig over, hvor mange personer der allerede NU synes, at det er svært at få styr på NemID. Det kan godt være, at vi andre synes det er (for) enkelt, men hvis man fulgte din ide, kunne man lige så godt sige "I praksis afskærer vi 90% af alle over 70 fra NemID".
Det du skriver, vil være umuligt at gennemføre i praksis - ked af at sige det.
Der er ingen tvivl om, at dit eksempel vil være en god del mere sikkert, men NemID er netop oprettet for at skabe et alternativ for ALLE danskere.
Jeg sidder i banken 30 meter fra hotline-salen, og kan kun korse mig over, hvor mange personer der allerede NU synes, at det er svært at få styr på NemID. Det kan godt være, at vi andre synes det er (for) enkelt, men hvis man fulgte din ide, kunne man lige så godt sige "I praksis afskærer vi 90% af alle over 70 fra NemID".
#6: Jeg kan godt finde huller.
For det første: MMS beskeder er ikke krypterede. De kan opsnappes med en smule snilde og en viden omkring brugeren samt udbyder. Sikkerhed er simpelthen ikke en del af MMS' design.
For det andet: IMEI numre kan spoofes. F. eks. gjorde jeg netop dette på min Samsung Galaxy S for at modtage opdateringer fra udlandet. Med lidt viden omkring at bruge en hex-editor, samt noget reverse engineering kan du få en mobiltelefon til at få et hvilket som helst IMEI nummer.
- Så hellere NEM -ID
For det første: MMS beskeder er ikke krypterede. De kan opsnappes med en smule snilde og en viden omkring brugeren samt udbyder. Sikkerhed er simpelthen ikke en del af MMS' design.
For det andet: IMEI numre kan spoofes. F. eks. gjorde jeg netop dette på min Samsung Galaxy S for at modtage opdateringer fra udlandet. Med lidt viden omkring at bruge en hex-editor, samt noget reverse engineering kan du få en mobiltelefon til at få et hvilket som helst IMEI nummer.
- Så hellere NEM -ID
inglorious bosterd (5) skrev:Vi kan alle blive enige om at ALT kan gå ned pga. DDOS.
Der er meget stor forskel på om en specifik service kan lægges ned med et DDoS-angreb, eller om du kan lægge samtlige services i et land ned ved at DDoS-angribe et enkelt punkt.
NemIDs primære svaghed overfor DDoS, er at det er én central service, som er absolut nødvendig for alt andet. Modsat den gamle signatur, hvor en service kunne vælge at benytte en central authenticator, eller gøre det selv.
Problemet er at det er det offentlige, med de mange økonomer, som har fulgt deres vanlige tankegang og tænkt at et centralt system er billigere, bedre og mere effektivt end et med flere centrale punkter - samme fejlagtige tankegang som konstant køres i den offentlige administration er direkte overført til kravspecifikationen for NemID.
Regeringen er også ved at øge mængden af security by obscurity i staten, ganske som i NemID - du kan drage mange paralleller mellem stat og NemID, da det bygger på de samme tåbelige fejlagtige antagelser af karrierepolitikere uden sans for virkeligheden, og indspiste embedsfolk, som blot siger "javel hr. minister".
#11: Hele mobilnettet er krypteret, selv ting som sms'er. At den er brudt for længe siden er en anden sag, men du skal tilbage til gamle analoge telefonlinjer før der ingen kryptering er overhovedet.
#12: Læs venligst mine kommentarer her: http://newz.dk/nets-havde-ikke-ventet-voldsomme-dd...
Specifikt det omkring hvorledes DDoS fungerer og hvad der er muligt at forhindre.
At gøre NemID til én af de mest brugervenlige systemer til sikker identifikation er netop at den er så central. En decentral løsning på tværs af leverandører og skel vil gøre det langt mindre brugervenligt.
Hvis den ikke var central, så ville Hr. og Fru. jensen på +60 have enddog meget svært ved at forstå basale sammenhænge i systemet - og det er meget vigtigt for usability samt ikke mindst sikkerheden da det gør det sværere at spoofe en given service over for brugeren.
NemID SKAL ramme på tværs af alder, social status og erhverv - ellers giver det ikke mening at have det.
Specifikt det omkring hvorledes DDoS fungerer og hvad der er muligt at forhindre.
At gøre NemID til én af de mest brugervenlige systemer til sikker identifikation er netop at den er så central. En decentral løsning på tværs af leverandører og skel vil gøre det langt mindre brugervenligt.
Hvis den ikke var central, så ville Hr. og Fru. jensen på +60 have enddog meget svært ved at forstå basale sammenhænge i systemet - og det er meget vigtigt for usability samt ikke mindst sikkerheden da det gør det sværere at spoofe en given service over for brugeren.
NemID SKAL ramme på tværs af alder, social status og erhverv - ellers giver det ikke mening at have det.
#13: Jeg ved udmærket godt hvordan DDoS fungerer, og hvilke dele af det man ikke kan forhindre, eller kæmpe imod synderligt billigt.
Jeg ved dog også godt hvordan certifikater, signaturer og sikkerhed i flere trin fungerer.
Den skal ikke være mere besværlig end i dag, den skal faktisk være lidt lettere for folk - og langt mere fleksibel/sikker.
Prøv du at læse lidt op på hvordan en egentlig signatur med sekundær godkendelse (som papkort eller sms) bagved fungerer - et system hvor man ikke skal godkende signaturen et centralt sted (men godt kan hvis man vil).
Jeg ved dog også godt hvordan certifikater, signaturer og sikkerhed i flere trin fungerer.
Den skal ikke være mere besværlig end i dag, den skal faktisk være lidt lettere for folk - og langt mere fleksibel/sikker.
Prøv du at læse lidt op på hvordan en egentlig signatur med sekundær godkendelse (som papkort eller sms) bagved fungerer - et system hvor man ikke skal godkende signaturen et centralt sted (men godt kan hvis man vil).
Uh, jeg ved det... Kunne man forestille sig et en privat, ja, lad os kalde det en "nøgle" på klienten med et tilhørende kodeord, der så kræver en offentlig tilgængelig "nøgle" på "serveren"? Så kunne man distribuere den offentlige nøgle, og lade brugeren godkende op mod det enkelte system han forsøger at bruge? Så kunne "de onde" f.eks. DDOS'e en kommune, mens brugeren stadig ville have fuld adgang til sin netbank... Smart ikke? Gid' sådan noget fandtes i forvejen :(
Bah - NemID er på alle måder et klasse-eksempel på hvad der sker når man lader økonomiuddannede jakkesæt med store evner i Excel i nærheden af udviklingen af, ja, noget som helst...
Bah - NemID er på alle måder et klasse-eksempel på hvad der sker når man lader økonomiuddannede jakkesæt med store evner i Excel i nærheden af udviklingen af, ja, noget som helst...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund