Sårbarhed belaster NemID

Det er lidt noget sludder. Det er ikke en sårbarhed i nemid. Det er blot en metode. Det svarer til at sige at der er en sårbarhed hos politiken fordi en kan stjæle din morgenavis i postkassen.

kriss3d (1) skrev:

Det er lidt noget sludder. Det er ikke en sårbarhed i nemid. Det er blot en metode. Det svarer til at sige at der er en sårbarhed hos politiken fordi en kan stjæle din morgenavis i postkassen.

Selvfølgelig er det da en sårbarhed at man kan regne ud hvornår nemid ejeren modtager et nyt nemid kort.

Og ja, det er da en sårbarhed i avis distributionen at enhver kan fiske den op af postkassen, men det er rimelig begrænset hvor meget skade det kan gøre i forhold at stjæle et nemid :)

#0

Det er en sårbarhed men lad os lige have lidt perspektiv.

Kontekst: sort hat kender brugernavn og password.

Traditionel enkelt faktor password: fuld adgang også fra den anden side af jorden.

NemID: skal vente på at et nyt kort skal bestilles hvilket kan tage år og kræver fysisk adgang til postkssen.

NemID kunne så forbedres ved først at vise antal nøgler tilbage efter login med engangskode fra nøglekort.

Men på en skala 1-100 må det vel være:

traditionel - 30
NemID idag - 90
NemID med forbedring - 92

Uden helt af vide det - Men jeg gætter på når man indtaster nemid koden forkert 3 gange, så lukkes NemID kortet, og der automatisk bliver sendt et nyt afsted.

Ellers så indtaster man jo bare forkert indtil der er 0 koder tilbage.

Så de behøver ikke engang at holde øje med hvor mange koder der er tilbage. Bare tast løs, og så vente på posten.

En hurtig ændring - Du skal ned i banken for at lukke det op, eller for at modtage en engangs kode.

Den tæller vel ikke kode ned, hvis du taster forkert? Og desuden kan man jo bruge app'en som alle andre, så er det ikke noget problem ;)

#5 Jo, den tæller koden ned - har selv prøvet af ren nysgerrighed, efter at have gjort samme overvejelser som #4

Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk. Der fremgår imidlertid ikke umiddelbart, hvad konsekvensen er at indtaste engangskoden forkert, adskillige gange. En antagelse er dog at de har en kontrolforanstaltning, der tager højde for dette.

En anden, mulig svaghed kan være banken, der kan iværksætte udstedelse af nyt nøglekort. Banditten har - såfremt der ikke anvendes brugernavn - offerets CPR, kodeord og banknavn (takket være keyloggeren), så hvad forhindrer førstnævnte i at få udstedt et nyt nøglekort? Nordea angiver selv, det gøres med et telefonopkald... og hvor nummeret i øvrigt også kan spoofes, i tilfælde af at dette også anvendes som del af autentificeringsprocessen.

Der skal naturligvis lidt forarbejde til - men til gengæld er så mange tjenester efterhånden knyttet op på NemID at det er et rent slaraffenland for den, der kan og vil.

Edit: Jeg kan ikke se, det hjælper så meget at bruge app'en. Banditten har jo CPR/brugernavn og adgangskode, hvilket betyder at der kan skiftes over til nøglekort til hver en tid. Hvis offeret så ikke opdager det, er banen fri.

#6
Hvad hvis du i stedet når den spørg efter kode bare lukker vinduet og starter et nyt op?
Så giver den dig vel også en ny kode ikke?
Så ja de kunne nok lave nogle bedre sikringer af at man ikke kan fremprovokere kode-kortskifte.

udenrigsministeren (6) skrev:

Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk.

Vil det sige at man kan lægge en brugers NemID adgang ned, bare man kender vedkommendes brugernavn?

Det er da en sårbarhed så det basker hvis det er tilfældet.

Mangel på adgang kan være alvorligt.

larsp (8) skrev:

udenrigsministeren (6) skrev:

Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk.

Vil det sige at man kan lægge en brugers NemID adgang ned, bare man kender vedkommendes brugernavn?

Det er da en sårbarhed så det basker hvis det er tilfældet.

Mangel på adgang kan være alvorligt.

Hmm ja evt. bare deres CPR nummer måske..
Det ville kunne betyde nogle fjolser kunne gøre livet rigtig træls for folk de ikke kunne lide.

Man bør tilføje et brugernavn til nemid, og slå login med cpr-nummer som brugernavn, fra. Dermed går man ikke rundt med brugernavnet på sit sygesikringskort, og nappes ens login med keylogger, afslører det ikke automatisk ens cprnummer.

larsp (8) skrev:

udenrigsministeren (6) skrev:

Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk.

Vil det sige at man kan lægge en brugers NemID adgang ned, bare man kender vedkommendes brugernavn?

Det er da en sårbarhed så det basker hvis det er tilfældet.

Mangel på adgang kan være alvorligt.

Ja.

Men at tillade et brute force angreb anses normalt som værende mere alvorligt.

#11 Kunne de ikke have lavet en karantæne løsning, f.eks. 5 forkerte passwords låser kontoen i 12 timer.

Som det er nu kan man ud fra fødselsdato gætte sig til en persons CPR nr og med en vis sandsynlighed har man så NemID brugernavnet og mulighed for at spærre det hvis man har dem ondt i sinde.

Inden for bil-software opererer man ikke kun med sikkerhed i traditionel forstand, men også med begrebet functional safety. Bilen må IKKE bare stoppe med at kunne betjenes som en fallback hvis noget er ved at gå galt, det kan være ekstremt farligt. NemID er så central og så vigtig for en borger at man også burde have set på functional safety her.

Fem eller otte forkerte forsøg låser kontoen i 8 (eller 12) timer; et familiemedlem har netop lige været ude for det :-)

#12

Det er ret almindeligt.

Klassisk:

N forgæves forsøg => luk for adgang i X minutter

Mere avanceret:

ventetid før næste forsøg = X sekunder * pow(2, antal forgæves forsøg)

#12 og #13

https://www.version2.dk/artikel/danid-ja-det-er-mu...

er ikke ny men siger:

I første omgang vil kontoen være låst i otte timer og er derefter klar igen. Men bliver der igen brugt fem forkerte forsøg på at logge ind, kræver det en ny, midlertidig adgangskode. Har man tilknyttet et mobiltelefonnummer til sin NemID, kan man få adgangskoden med det samme. Ellers kan man gå ned i banken og få en, eller hvis det ikke haster, få en pr. brev.

Så hvis jeg kan finde jeres cpr nummer kan jeg blokere jeres nemid?

Ikke ligefrem fantastisk... Nok derfor nemid ikke bruges til så meget i Danmark

(I Sverige bruger vi BankId til næsten alt hvor en digital signatur kan være relevant)

"Sikkerhedshullerne" som DR omtaler er henholdsvis 1) at man indtaster alle sine koder på en offentlig computer, hvor enhver kan installere keylogger, og 2) at man udleverer sine koder til "politiet", når de ringer. Kan Nets A/S også udvikle software, der kan forhindre mig i at åbne mine vinduer, så jeg ikke kan kaste penge ud af dem?

En helt relevant forebyggende optimering af sikkerheden kunne være, at lukke landets biblioteker og give folk der arbejder, pengene i skattelettelser i stedet. Jeg er sikker på, at folk der gerne vil læse en bog, selv er voksne nok til enten at kunne købe den, eller til at kunne starte en privat indkøbsforening, hvor man udlåner værker til hinanden privat efter aftale. Mon ikke vi kan finde ud af det uden staten?

Folk der udleverer koder når "politiet" ringer bør selv hæfte. Det har jeg ikke lyst til at betale for som bankkunde, og det er kun andres renter og gebyrer der stiger, når banken skal dække sådan noget. Det er virkelig at kaste lorten videre til de andre. I øvrigt kan man tegne private forsikringer imod digitalt identitetstyveri. Jeg tror at flere forsikringsselskaber har det som en tillægsydelse til indboforsikringen. Man må tage ansvar for sig selv.

Nåh, nu ringer politiet. Nu vil jeg brænde 100.000 kroner af og ringe til banken bagefter. Så kan I andre få lov til at betale.

#10
Et CPR-nummer er ikke en adgangskode. Hvis vi skal bruge den præmis, så er vi allerede helt fortabte. Man bør straks enten afskaffe CPR-numrene eller offentliggøre dem alle.

#16
Og i Sverige har man offentliggjort alle borgeres personnumre på nettet, så folk ikke får den vanvittige tanke, at deres CPR-nummer, der udover deres fødselsdag er fire cifre, er adgangskoden til hele deres liv.

#17

Principelt er de sidste 4 cifre ikke 100% offenlige - dvs. du kan ikke finde dem på hitta.se (Den Svenske udgave af De Gule Sider), men man bruger personnummeret til mange ting, så det betragtes ikke som at være hemmeligt på samme måde som i Danmark.