mboost-dp1
PBS A/S
Jeg syntes det er fint nok det han har lavet. Han viser at der er et problem med sikkerheden, uden at gå hele vejen
Ja, han fik da ikke fat i det tal der står på papkortet, men som andre har sagt, så skulle det ikke være det store problem at implementere den del så man får fat i det rigtige nr. Og hvis han havde fået fat i nr. på papkortet, så ville alle folk da først være gået amok
"Oh no! Someone showed everybody that our system is not secure... let's sue him"
Ja, han fik da ikke fat i det tal der står på papkortet, men som andre har sagt, så skulle det ikke være det store problem at implementere den del så man får fat i det rigtige nr. Og hvis han havde fået fat i nr. på papkortet, så ville alle folk da først være gået amok
Hubert (49) skrev:Nemid overvejer juridiske konsekvenser af det her nummer
"Oh no! Someone showed everybody that our system is not secure... let's sue him"
Viftrup (50) skrev:Det viser sig jo bare til at være noget totalt usikkert crap
Hvor dælen har du det fra?
Viftrup (50) skrev:Hvorfor så nærmest ikke bare bruge OpenID i stedet?
Fordi OpenID er noget helt andet. I princippet kan det kombineres, og det ville da være lidt fedt hvis det skete.
Fx. i dag kan man se at min id peger på myopenid.com. Når jeg så logger på noget med OpenID skal jeg godkendes af myopenod.com på en måde som de bestemmer, hvorefter de melder tilbage at jeg er mig.
Alternativt kunne min openid pege på nemid, så kan jeg logge på newz.dk med min nemid. Ikke at jeg har lyst, men det kunne da være fedt at have muligheden til andre ting. :)
Adagio (51) skrev:"Oh no! Someone showed everybody that our system is not secure... let's sue him"
Hvis nogen smadrede dit vindue for at vise at det er muligt, ville du så bare lade dem?
Min pointe er: Det kan i praksis ikke undgåes, hverken phishing eller at din rude bliver smadret. At han viser det kan gøres er ikke interessant, det ved enhver som tænker sig en smule om.
NemID kræver også en nøgle per overførsel osv? Hvis man er aktiv på sin bank, så skal det kort jo skiftes hvert ½ år eller oftere, og så er man da halv fucked hvis man taber det kort.
Jeg var godt nok langt gladere for Danske Banks netbank sikkerhed. Der skulle der jo kopieres den digitale nøgle nøgle som kun måtte ligge på en computer af gangen som jeg forstod det.
Selvom det ikke er voldsomt nemt, så det jeg ser som det største problem er hvis det lykkes nogle krejlere at få en person til at bruge sit nem ID på en computer med en keylogger eller på anden måde får koden, og så er det eneste de skal bruge det nøgle kort. Ingen begrænsning for hvilken computer der så kan bruges til at bruge den person bank, og hvad der ellers bruger Nem ID. Fordelen er da så at alle de mindre banker som måske ikke havde en god nok sikkerhed på net banken nu har fået en mere sikker løsning. Så det har sikkert hjulpet generelt.
Det næste problem synes jeg så er at jeg da helst kun bruger en computer til min netbank, og så overvejer jeg da at skanne mit nøglekort ind så jeg har det klar på den computer altid. Det er jo et sted en sikkerheds brist, men jeg vil mene det så stadig er lige så sikkert som det var med den digitale løsning før. Den computer er nemlig ikke tændt så tit.
Men det skulle ikke undre mig at andre får den idé men ikke har en god firewall og antivirus. Men det skal jo nok ske ualmindeligt meget før der er nogen der vil prøve at finde personer med den slags sikkerheds brist. De risikere jo alligevel en del med kun en chance for at få noget ud af det.
Jeg var godt nok langt gladere for Danske Banks netbank sikkerhed. Der skulle der jo kopieres den digitale nøgle nøgle som kun måtte ligge på en computer af gangen som jeg forstod det.
Selvom det ikke er voldsomt nemt, så det jeg ser som det største problem er hvis det lykkes nogle krejlere at få en person til at bruge sit nem ID på en computer med en keylogger eller på anden måde får koden, og så er det eneste de skal bruge det nøgle kort. Ingen begrænsning for hvilken computer der så kan bruges til at bruge den person bank, og hvad der ellers bruger Nem ID. Fordelen er da så at alle de mindre banker som måske ikke havde en god nok sikkerhed på net banken nu har fået en mere sikker løsning. Så det har sikkert hjulpet generelt.
Det næste problem synes jeg så er at jeg da helst kun bruger en computer til min netbank, og så overvejer jeg da at skanne mit nøglekort ind så jeg har det klar på den computer altid. Det er jo et sted en sikkerheds brist, men jeg vil mene det så stadig er lige så sikkert som det var med den digitale løsning før. Den computer er nemlig ikke tændt så tit.
Men det skulle ikke undre mig at andre får den idé men ikke har en god firewall og antivirus. Men det skal jo nok ske ualmindeligt meget før der er nogen der vil prøve at finde personer med den slags sikkerheds brist. De risikere jo alligevel en del med kun en chance for at få noget ud af det.
kblood (54) skrev:NemID kræver også en nøgle per overførsel osv?
Nej. Nogle netbanker gør, NemID er ligeglad.
kblood (54) skrev:hvis det lykkes nogle krejlere at få en person til at bruge sit nem ID på en computer med en keylogger eller på anden måde får koden, og så er det eneste de skal bruge det nøgle kort.
Det er en af de grundlæggende ting ved NemID's øgede sikkerhed: Det er nogenlunde nemt at stjæle din kode. Det er nogenlunde nemt at stjæle dit nøglekort. Men at få fat i begge ting er en langt større udfordring.
En script-kiddie stjæler ikke din pung, en hasher på gaden installerer ikke en keylogger på din PC.
(Og til de lidt langsomme: Jeg påstår ikke at NemID er 100% sikkert.)
kblood (54) skrev:Fordelen er da så at alle de mindre banker som måske ikke havde en god nok sikkerhed på net banken
De mindre banker laver ikke selv sin egen netbank, og de arbejde under de samme strenge danske love som de store banker. De små bankers sikkerheds var ikke meget værre eller bedre end de større banker.
(Siger manden som arbejder med bank-IT, som bliver brugt af både store og små banker.)
kblood (54) skrev:og så overvejer jeg da at skanne mit nøglekort ind så jeg har det klar på den computer altid. Det er jo et sted en sikkerheds brist, men jeg vil mene det så stadig er lige så sikkert som det var med den digitale løsning før.
Det vil ellers gøre det rimeligt nemt at installere en avanceret keylogger, som ser hvor du finder dit nøglekort, hvorefter det kan stjæles digitalt.
Ja, det er nok nogenlunde lige så sikkert som den gamle certifikat-fil. Men "the bad guys" har ændret sig, og det er derfor certifikat-filen ikke er sikker nok længere.
Hvis du insisterer på at bryde reglerne ved at have en digital udgave af dit nøglekort, så tag i det mindste at holde filen fra de computere du bruger NemID på. (Læg fx. billedet på din telefon.) Så er det et langt mindre sikkerhedsproblem.
kblood (54) skrev:Den computer er nemlig ikke tændt så tit.
Den er vel tændt når du bruger den, og det er rigeligt. Det tager ikke mange sekunder at uploade et billede.
myplacedk (53) skrev:Hvis nogen smadrede dit vindue for at vise at det er muligt, ville du så bare lade dem?
Øh nej, der er jo også fandens til forskel
Det ham her anti-nemid manden har gjort skader intet eller ingen, men dit eksempel smadrer mit vindue
De få personer der hoppede ind på hans side i test-perioden har dog (forhåbentligt) lært noget ved besøget
myplacedk (53) skrev:Min pointe er: Det kan i praksis ikke undgåes, hverken phishing eller at din rude bliver smadret. At han viser det kan gøres er ikke interessant, det ved enhver som tænker sig en smule om.
Der kan vi godt blive enige, men er det forkert at bruge et eksempel til at advare folk?
Adagio (57) skrev:Det ham her anti-nemid manden har gjort skader intet eller ingen
Det kan så diskuteres. Fx: Der er mange som tror at han faktisk opnåede noget, at NemID er dårligt lavet og/eller er usikkert osv.
Adagio (57) skrev:De få personer der hoppede ind på hans side i test-perioden har dog (forhåbentligt) lært noget ved besøget
Ja. Spørgsmålet er om de har lært det rigtige:
1) Ting er ikke altid hvad de giver sig ud for at være.
2) Folk vil have dine penge.
Og ikke: NemID er usikkert.
Adagio (57) skrev:Der kan vi godt blive enige, men er det forkert at bruge et eksempel til at advare folk?
Det er et godt spørgsmål. Er det okay at gøre noget ulovligt, for at vise at det kan lade sig gøre?
Når de på TV viser hvor nemt det er at bryde ind i et hus, tror du så ikke det er efter aftale med husets ejer, og dermed ikke ulovligt?
Synes ikke helt det passer med at man ikke kan bruge brugernavn og adgangskode til noget i følge en mail fra NemID er det og et tlf kald til NemID nok til at man, i hvert fald på voice respons løsningen, kan få adgang til at ændre tlf nr. og der ved få adgang til andres oplysninger via NemID.
Mail fra DANID:
Tak for din henvendelse.
Vi kan gøre følgende:
- Når du sidder klar foran computeren,skal du logge ind på dette link: https://www.nemid.nu/selvbetjening/ og ringe til vores gratis hotline
- Så skal den supporter, du snakker med, nemlig klikke på "Rediger Voice response-nummer", hvilket kræver, at du indtaster det, der kaldes en supportnøgle. Det betyder, at supporteren vil læse en trecifret kode op for dig, som du skal indtaste under punktet "Angiv supportnøgle" (på Selvbetjeningen). Så vil der blive åbnet op for, at supporteren kan redigere Voice response-nummereret.
Du er også altid velkommen til at ringe til vores Servicedesk på telefon 80 30 70 50 alle hverdage mellem 08.30-20, og weekend 10-16.
Hjælp os med at forbedre vores support. Dette gøres nemt ved at du svarer på et spørgsmål på følgende link
Venlig hilsen
XXX
Servicedesk
DanID A/S
Privat support 80307050
www.danid.dk/kundeservice
[email protected]
Så i min optik er username og password alt der kræver at få adgang til andres oplysninger....
Mail fra DANID:
Tak for din henvendelse.
Vi kan gøre følgende:
- Når du sidder klar foran computeren,skal du logge ind på dette link: https://www.nemid.nu/selvbetjening/ og ringe til vores gratis hotline
- Så skal den supporter, du snakker med, nemlig klikke på "Rediger Voice response-nummer", hvilket kræver, at du indtaster det, der kaldes en supportnøgle. Det betyder, at supporteren vil læse en trecifret kode op for dig, som du skal indtaste under punktet "Angiv supportnøgle" (på Selvbetjeningen). Så vil der blive åbnet op for, at supporteren kan redigere Voice response-nummereret.
Du er også altid velkommen til at ringe til vores Servicedesk på telefon 80 30 70 50 alle hverdage mellem 08.30-20, og weekend 10-16.
Hjælp os med at forbedre vores support. Dette gøres nemt ved at du svarer på et spørgsmål på følgende link
Venlig hilsen
XXX
Servicedesk
DanID A/S
Privat support 80307050
www.danid.dk/kundeservice
[email protected]
Så i min optik er username og password alt der kræver at få adgang til andres oplysninger....
myplacedk (48) skrev:#46+#47
Han (eller en anden) gjorde det jo: http://newz.dk/hjemmeside-vil-afskaffe-tvungen-nem...
Ja ok, der gik han over stregen. Desuden, hvis jeg havde lavet hans phishingeksempel, ville jeg nok desuden have lavet det, så den kom op med en advarsel i stedet for at lade folk indtaste passwordet. Så ville DanID ikke have noget at være sure over.
mryom (59) skrev:Når du sidder klar foran computeren,skal du logge ind på dette link: https://www.nemid.nu/selvbetjening/
Den side kræver også en engangskode - har lige prøvet.
mryom (61) skrev:doctorx (60) skrev:
Den side kræver også en engangskode - har lige prøvet.
Jamen den får du jo når du ringer til NemID og det eneste det kræver for at få den er username/password.
Den nøgle du får er en på tre cifre som ikke bruges til at logge ind med, men til at skrive ind når du først er logget ind:
mryom (59) skrev:... du indtaster det, der kaldes en supportnøgle. Det betyder, at supporteren vil læse en trecifret kode op for dig, som du skal indtaste under punktet "Angiv supportnøgle" (på Selvbetjeningen).
I hvert fald som jeg læser det...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund