Rådet for større IT-sikkerhed kritiserer igen NemID

Egentlig et meget cool forslag, forbyd dog 2 samtidige sessions, evt. hvis den ene er fra udlandet af som en start, det burde være rimelig effektivt.. Hvis vi ser lidt ud over nemid, så kunne det også være smart om bankerne lige autom. smed en sms, der skete større overførsler / hævninger så folk hurtigere har en chance for at reagere når noget er galt. Det med at forkorte sessions.. Der har jeg allerede været nødt til at bruge snydekoder for at forlænge sessionen, den udløber altså alt for hurtig, så den må ikke sænkes, hvis det skal være brugbart...

webwarp (1) skrev:

Hvis vi ser lidt ud over nemid, så kunne det også være smart om bankerne lige autom. smed en sms, der skete større overførsler / hævninger så folk hurtigere har en chance for at reagere når noget er galt.

Det kan brugerne selv sætte op (ihvertfald i Danske Netbank) - jeg får en sms hvis der bliver hævet eller indsat mere end X antal kr, samt hvis kontoen ryger under et vis antal kr, og jeg kan også vælge at få en daglig sms med saldoen.
Så der er rig mulighed for den slags.

webwarp (1) skrev:

Egentlig et meget cool forslag, forbyd dog 2 samtidige sessions, evt. hvis den ene er fra udlandet af som en start, det burde være rimelig effektivt.. Hvis vi ser lidt ud over nemid, så kunne det også være smart om bankerne lige autom. smed en sms, der skete større overførsler / hævninger så folk hurtigere har en chance for at reagere når noget er galt. Det med at forkorte sessions.. Der har jeg allerede været nødt til at bruge snydekoder for at forlænge sessionen, den udløber altså alt for hurtig, så den må ikke sænkes, hvis det skal være brugbart...

Det ville næppe være særligt effektivt at blokkere sessioner fra udlandet. Så vil man bare gå over til at bruge brugerens egen pc som proxy når man skal tømme en konto. Hvis de da ikke allerede gør det i dag.

Winnick (2) skrev:

Det kan brugerne selv sætte op (ihvertfald i Danske Netbank) - jeg får en sms hvis der bliver hævet eller indsat mere end X antal kr, samt hvis kontoen ryger under et vis antal kr, og jeg kan også vælge at få en daglig sms med saldoen.
Så der er rig mulighed for den slags.

Det fortæller dig jo bare at indbruddet ER sket. Jeg tror han mener, at man skal godkende overførslen via sms.

Er det forøvrigt ikke sjovt, at hver gang der er en negativ nyhed om NemID, så har version2 altid været på spil? Man får næsten fornemmelsen af en skjult agenda og partisk journalistik.

Jackiass (4) skrev:

Winnick (2) skrev:

Det kan brugerne selv sætte op (ihvertfald i Danske Netbank) - jeg får en sms hvis der bliver hævet eller indsat mere end X antal kr, samt hvis kontoen ryger under et vis antal kr, og jeg kan også vælge at få en daglig sms med saldoen.
Så der er rig mulighed for den slags.

Det fortæller dig jo bare at indbruddet ER sket. Jeg tror han mener, at man skal godkende overførslen via sms.

Er det forøvrigt ikke sjovt, at hver gang der er en negativ nyhed om NemID, så har version2 altid været på spil? Man får næsten fornemmelsen af en skjult agenda og partisk journalistik.

Den korte version af Version2's redaktionelle oplæg:
- NemID must die
- Linux 4 teh masses

Ned Nordea skal man vist altid godkende overførsler over 10.000kr. Så det findes også. Men det stopper jo ikke indbrud i at flytte alle pengene 100kr af gangen...

NemID er generelt usikkert fordi det bygger på Java. Microsoft fraråder også brug af java. http://newz.dk/microsoft-pas-paa-med-at-bruge-java

Jackiass (4) skrev:

Er det forøvrigt ikke sjovt, at hver gang der er en nyhed, så har thimon altid været på spil? Man får næsten fornemmelsen af en skjult agenda og partisk journalistik.

FYP

el_barto (5) skrev:

Den korte version af Version2's redaktionelle oplæg:
- NemID must die
- Linux 4 teh masses

Så giver det jo ikke ret meget mening at have nærmest lige så meget fokus på Windows som her på newz.dk der er ved at udvikle sig til lidt en højborg for windows.

"Rådet anbefaler, at DanID i højere grad informerer proaktivt omkring de aktuelle NemID-sikkerhedsproblemer, og også i højere grad går i dialog med fagligt velkvalificerede kritikere." - Altså, dem selv.

De er altså mopset over at de ikke er inviteret med i legen. Buhu! Samtidig vil de også have at der skal finde flere forskellige løsninger. Prøv at forklare Hr. og Fru. Hansen hvilken de så skal vælge. Folk finder det svært nok i forvejen, med en enkelt løsning. De vil også have at det hele skal bygge på open source, så en evt. hacker har adgang til hele koden?

"Næste generation af en offentlig dansk digital ID-løsning bør ifølge Rådets være platformsuafhængig og uden krav om, at der skal installeres bestemt type software fra tredjepart på brugerens computer."

Er der nogen der kender til software, der kan gøre det? Vil man som minimum ikke have brug for en browser? Kender i noget der i forvejen kan køre på samtlige afarter af Linux, Android, iOS, OSX, Windows osv.?

@ #9

De vil også have at det hele skal bygge på open source, så en evt. hacker har adgang til hele koden?

Og hvad er problemet med det?

Er der nogen der kender til software, der kan gøre det? Vil man som minimum ikke have brug for en browser? Kender i noget der i forvejen kan køre på samtlige afarter af Linux, Android, iOS, OSX, Windows osv.?

HTML, og selvfølgelig skal man bruge en browser. Med tredjeparts software menes der f.eks. Java, Flash, Silverlight, etc..

Jeg er 90% enig i at man ikke kan opdatere sig ud af dumme brugere. Det er i sidste ende brugeren der afgør hvorvidt sikkerheden er noget værd og hvis brugeren er dum som bølgepap så kan nok så meget antivirus, anti-malware etc ikke hjælpe ret meget.

Og derfor er det heller ikke, det meste af vejen, et softwareproblem. Hvis man vil øge sikkerheden så burde bankerne ikke bare sige ja hver gang en kunde kom og ville ha netbank. Banken burde stille krav eller i det mindste fortælle at du får ikke dine penge erstattet hvis det viser sig at du selv har kompromiteret sikkerheden ved fx at opgive din nem-id-nøgle til en phiser eller lign.
Så kan man som kunde overveje om man tør stå med sin egen konto i hånden eller ej. Og hvis man mener man har for ringe IT-skills så vælger man, forhåbentlig, at lade være... hvilket i enhver anden sammenlignelig betragtning i livet er det korrekte valg: hvis du ikke kan finde ud af det, og der er rissiko for pengetab, så hold dig fra det! i såfald så vid at du selv står til ansvar for evt. tab!

Selvfølgelig skal softwaren være iorden! Kryptering osv osv... men er den efterhånden ikke også det hos NemID? 2+ sessions er jo iøvrigt en fantastisk ting at lukke for!

Det et totalt broken at bruge java. De burde have set af smartphones var på vej frem og i store enterprise miljøer kan man altså ikke lige altid få installeret java.

Desuden: Ligeså snart du er afhængig af en plugin på brugerens maskine er du færdig rent sikkerhedsmæssigt ;)

el_barto (5) skrev:

Jackiass (4) skrev:

Er det forøvrigt ikke sjovt, at hver gang der er en negativ nyhed om NemID, så har version2 altid været på spil? Man får næsten fornemmelsen af en skjult agenda og partisk journalistik.

Den korte version af Version2's redaktionelle oplæg:
- NemID must die
- Linux 4 teh masses

Kilden til nyheden er Computerworld - så ja, det er selvfølgelig Version2's skyld.

Version2's artikler om NemID er generelt negative, specielt overfor det indbyggede koncept med security-by-obscurity og den måde det er lagt i Jave på, samt det single-point-of-failure hvorpå alle de private nøgler ligger, udenfor brugerens kontrol.

Så på den led er jeg vel enig i at NemID skal dø og Linux til alle - altså at:
- NemID skal erstattes med noget ordentligt.
- Det skal være en effektiv og gennemsigtig sikkerhed, ikke noget med at lave sikkerhed med programkode i billedefiler.
- Den enkelte borger skal have mulighed for at have sin private nøgle - uden at denne har været inde over centrale servere til opbecaring og brug.

Selvfølgelig vil ethvert fagligt kompetent IT-medie være stærkt kritisk overfor den uforståeligt tåbelige måde NemID er implementeret på og tvunget ned over folk.

Ja, Computerworld er står som kilden, men der version2 der har lavet interviewet.

"Til version2 udtaler Christian Wernberg-Tougaard, at brugerne kan opdatere deres computer og stadig blive ramt."

Det er fint at de er kritiske, men de er langt fra objektive. F.eks. bliver der i denne nyhed linket her: http://www.version2.dk/artikel/it-sikkerhedsraad-n...

Hvor version2 vælger kun at citere det der passer i deres linje. (Som også bliver påpeget her: http://www.version2.dk/artikel/it-sikkerhedsraad-n... )

Hvordan det burde være:
1. Gå ind på et sted med NemID
2. Skriv brugernavn
3. Skriv password
4. Modtag nøgle gratis på SMS
5. Svar gratis tilbage på SMS med koden for nøglen
6. Du er nu logget ind

Ændring af vigtige oplysninger, undtagen telefon:
1. Gør som ovenfor
2. Gå ind i indstillinger
3. Skift dine indstillinger
4. Modtag gratis SMS
5. Svar gratis på SMS
6. Dine ændringer er nu gemt

Ændring af telefon:
1. Følg punkt 1 til 3 for ændring af oplysninger
2. Modtag gratis SMS på gammelt nummer
3. Svar gratis på SMS fra gammelt nummer
4. Modtag gratis SMS på nyt nummer
5. Svar gratis på SMS fra nyt nummer
6. Dine ændringer er nu gemt

Har du ikke mulighed for at modtage/sende SMS fra gammelt/nyt nummer, kan ændringer kun foretages ved direkte telefonopkald.

Hvordan er det muligt for kriminelle at overføre penge, når nu de ikke har nøglekortet? Jeg troede at selv hvis jeg gik på min netbank med en unpatched windows 98 og hundredevis af hackere fulgte med i hvad jeg lavede, så kunne de stadigvæk ikke gøre noget, for de skal jo bruge en nøgle som er offline.

#17

MITM-attack (Man in the middle)

Hvis de laver en fake front-end som beder om netop den nøgle som banken lige har spurgt om ... De er inde i systemet, selvom du er "logget ud" :)

Jackiass (9) skrev:

"Rådet anbefaler, at DanID i højere grad informerer proaktivt omkring de aktuelle NemID-sikkerhedsproblemer, og også i højere grad går i dialog med fagligt velkvalificerede kritikere." - Altså, dem selv.

Så snart der er ballade på den front er det stortset kun CSiS der får lov til at kigge med. Alt ære og respekt for CSIS. De er sikkert hamrende dygtige til deres arbejde men lur mig om de ikke også kunne bruge noget peereview på deres arbejde.

De er altså mopset over at de ikke er inviteret med i legen. Buhu! Samtidig vil de også have at der skal finde flere forskellige løsninger. Prøv at forklare Hr. og Fru. Hansen hvilken de så skal vælge. Folk finder det svært nok i forvejen, med en enkelt løsning. De vil også have at det hele skal bygge på open source, så en evt. hacker har adgang til hele koden?

Det ville nok have været smart at have taget folk der ikke er motiveret af egen vinding med fra starten af ja.

Hvorfor skulle folk ikke kunne brug forskellige løsninger? Tastselv hos skat har da været en mulighed længe for nemid kom til. Og selv før nemid brugte folk netbank. Allerede der har vi 2 forskellige løsninger som folk gerne brugte.

Jeg forstår ikke dit probleme med open source? Hvor ser vi flest problemer md malware? På de åbne platforme eller de lukkede?

Jackiass (4) skrev:

Er det forøvrigt ikke sjovt, at hver gang der er en negativ nyhed om NemID, så har version2 altid været på spil? Man får næsten fornemmelsen af en skjult agenda og partisk journalistik.

Version2 har da ikke noget skjult agenda om at de vil have afskaffet NemID i sin nuværende form.

Version2 har altid været kritisk overfor NemID, og det med god grund. Og med den mængde af teknikken bag, som er synlig for mig som bruger, så er jeg også kritisk overfor det.

Kort sagt, hvis nogen udtaler sig positivt omkring NemID, så bliver jeg nødt til at tro at de enten er betalt for det, eller ikke ved hvad de snakker om.

Utte (6) skrev:

Microsoft fraråder også brug af java.

Det gør Firefox også.

Jackiass (10) skrev:

Vil man som minimum ikke have brug for en browser?

Jo, det er et rimeligt krav. Teksten var vist ikke helt præcist formuleret.

Det er ikke noget problem at kræve en browser, fordi der er uafhængige browserimplementationer til alle operativsystemer af betydning på klienterne, og de bygger på åbne standarder.

Det er et problem at kræve Java fordi der ikke er en åben standard, og systemet kræver at man anvender Java fra en specifik leverandør.

Kian (12) skrev:

Og derfor er det heller ikke, det meste af vejen, et softwareproblem.

Problemerne med NemID er i høj grad softwareproblemer. Lad os sammenligne følgende to scenarier:

1. En bruger som er bevidst omkring sikkerheden og anvender Danmarks mest sikre netbank løsning fra før NemID blev indført.
2. En bruger som er bevidst omkring sikkerheden og anvender en nebank løsning baseret på NemID.

Af de to giver scenarie 1 den bedste sikkerhed.

Kian (12) skrev:

Og hvis man mener man har for ringe IT-skills så vælger man, forhåbentlig, at lade være

Bankerne skulle hellere tage at lave netbankløsninger med differentiering i mængden af muligheder.

Jeg har engang undersøgt muligheden for at få en netbank adgang der var read-only. Det vil sige mulighed for at se kontoudtog osv., men ingen mulighed for at flytte penge. Det kunne man ikke få. Hvorfor?

Og en netbank som kun gav mulighed for at flytte penge mellem egne konto plus at betale girokort og tilmelde dem til PBS ville dække langt over 90% af de transaktioner som kunderne har brug for at lave gennem netbanken og gøre det meget svært at stjæle penge gennem netbanken.

Men at gå gennem en netbank er muligvis ikke engang den eneste måde at udnytte NemID til at stjæle penge. En anden metode jeg læste om på et tidspunkt var følgende:
1. Udnyt NemID til at skaffe sig adgang til en persons selvangivelse.
2. Lav om på tallene således at personen får et stort beløb tilbage i skat.
3. Opdater kontonummeret som pengene bliver udbetalt på.