mboost-dp1
PBS A/S
Ydermere så giver den applet der benyttes også adgang til godt og vel alt på din harddisk: http://www.version2.dk/artikel/15777-danid-derfor-...
Det skræmmende er det er alle Nem-IDs kunder der kan få adgang. Både staten, kommuner, regioner samt virksomheder.
Problemet er ifølge Jørgen Elgaard Larsen, at NemID anvender en Java-applet, som kører på brugerens pc. Da Java-appletter først blev designet, valgte man dengang hos Sun, at der kun skulle være to niveauer af sikkerhed.
Enten kunne appletten kun køre inden for en sandkasse i browseren, eller også kunne appletten signeres, så brugeren kunne godkende, at appletten fik adgang til systemet med samme rettigheder som brugeren. Det sidste kan blandt andet bruges til at give appletten adgang til at hente filer, som ligger lokalt på pc'en.
Det skræmmende er det er alle Nem-IDs kunder der kan få adgang. Både staten, kommuner, regioner samt virksomheder.
... der administrerer NemID, og her afviser man, der er tale om et problem.
Så det er ikke et problem, men en forsætlig handling?
Det virker da godt nok ikke som om de helt har styr på det - og det skal de fandeme have, hvis de skal administrere sådanne nøgler, der giver adgang til så mange ting.
Har ellers lige bestilt NemID for at kunne søge SU over nettet, men nu bliver det nok installeret på en virtuel maskine, så er der da i det mindste en smule kontrol over hvad der sker, efter at jeg begynder at bruge det.
Ellers burde man bare afholde sig helt fra at bruge det.
Men der er bare ikke rigtig nogle alternativer, er der?
Er Personlig Pinkode(eller hvad det hed/hedder) stadig oppe?
Dissan (4) skrev:Hvem havde ikke forudset der ville være mange problemer med det lort?
Afskaf det igen, jeg havde jyskebank og der er ikke noget mere lamt end de lorte nøglekort!
Tværtigmod, jeg har jyskebank og foretrækker det system frem for alle de irriterende nøgler, som altid udløber og er et helvede at kopiere mellem maskine og maskine. Nøglekort giver let adgang ligemeget hvilken computer jeg er på og er samtidig tæt på umuligt at bryde.
Netop det med at nøglekortet kan bruges hvor som helst er sikkert også en del af pointen, så man endelig kan tvinge folk over på digitale systemer, da de, hvis de ingen computer har, bare kan gå op til borgerservice og logge ind der, evt. med supporten lige ved siden af.
Angående sikkerhedshullet, der omtales i denne nyhed, så er jeg ikke paranoid nok til at jeg tror min bank vil begynde at snage i mine andre sager. Primært fordi det er ulovligt.
jeees!! og så til den pris ... ku ha lavet det enemand for en 1/10 10x bedre og livet lykkeligt resten af livet -.-
FUCKTARDS... fed feature der kommet i eller -.-
og genialt tidspunkt det kommet frem ?
FUCKTARDS... fed feature der kommet i eller -.-
og genialt tidspunkt det kommet frem ?
http://newz.dk/telmore-fraraader-brug-af-nemid skrev:31. mar. 2010 11:16Telmore anbefaler, at deres kunder får opdateret deres gamle digitale signatur inden juli, hvor det nye NemID fra DanID bliver indført. Ved at opdatere nu, kan den eksisterende signatur benyttes 2 år mere.
trylleklovn (7) skrev:Dissan (4) skrev:Hvem havde ikke forudset der ville være mange problemer med det lort?
Afskaf det igen, jeg havde jyskebank og der er ikke noget mere lamt end de lorte nøglekort!
Tværtigmod, jeg har jyskebank og foretrækker det system frem for alle de irriterende nøgler, som altid udløber og er et helvede at kopiere mellem maskine og maskine. Nøglekort giver let adgang ligemeget hvilken computer jeg er på og er samtidig tæt på umuligt at bryde.
Netop det med at nøglekortet kan bruges hvor som helst er sikkert også en del af pointen, så man endelig kan tvinge folk over på digitale systemer, da de, hvis de ingen computer har, bare kan gå op til borgerservice og logge ind der, evt. med supporten lige ved siden af.
Angående sikkerhedshullet, der omtales i denne nyhed, så er jeg ikke paranoid nok til at jeg tror min bank vil begynde at snage i mine andre sager. Primært fordi det er ulovligt.
Et Tokencard er bedre og mere sikkert....fuck nøglekort.
Århh hvor er jeg dog glad for at jeg fornyede min digitale signatur her i juni måned <3 den kan man jo stadig bruge!
Meningen med NemID, og argumentet for at de beholder ens noegle er at man kan tilgaa systemet alle steder fra. Altsaa boer man helt droppe den der java-applet og holde sig til SSL. Hvad skal logfil og historik ogsaa paa ens egen computer - kan det ikke lige saa godt ligge hos NemID?
Hold da op en flok whiners der sidder herinde og holder fast i "det gamle system der bare virker" lol.
Kom lige i sving og sæt jer ind i det I udtaler jer om.
Terracide, et tokencard er mere sikkert? Bullshit.
Tokencard kræver blot at du kender passwordet, så kan du benytte det. Altså, stjæler jeg dit tokencard og får dit password, så kan jeg bruge det overalt.
Med NemID skal jeg kende dit CPR-nr, dit valgte password samt have stjålet dit nøglekort.
Det er trodsalt én ekstra oplysning jeg skal have fat i, at du så siger tokencard er mere sikkert vil jeg påstå er modbevist.
Kom lige i sving og sæt jer ind i det I udtaler jer om.
Terracide, et tokencard er mere sikkert? Bullshit.
Tokencard kræver blot at du kender passwordet, så kan du benytte det. Altså, stjæler jeg dit tokencard og får dit password, så kan jeg bruge det overalt.
Med NemID skal jeg kende dit CPR-nr, dit valgte password samt have stjålet dit nøglekort.
Det er trodsalt én ekstra oplysning jeg skal have fat i, at du så siger tokencard er mere sikkert vil jeg påstå er modbevist.
#14: Hvis man stjæler din seddel med tal på og dit password, kan man det samme.. Min gamle løsning kræver også CPR.
Et system, der skal varetage sikkerheden for hele Danmark, og så kalder du folk whiners fordi de stiller høje krav til det?
Det kan godt være, at min bank ikke vil benytte muligheden for at snage i andre sager, men muligheden burde ikke eksistere.
Et system, der skal varetage sikkerheden for hele Danmark, og så kalder du folk whiners fordi de stiller høje krav til det?
Det kan godt være, at min bank ikke vil benytte muligheden for at snage i andre sager, men muligheden burde ikke eksistere.
#14
Så den "ekstra" information er CPR-nr? Det er jo nemmere at få fat i end passwordet. Hvis nøglekortet bliver stjålet, så er har det jo været ligeså let at tage sygesikringskortet med - så det er ikke fordi der er så meget mere sikkerhed.
Og for den sags skyld så kunne et tokencard også gøre brug af samme 3-punkts model.
Så den "ekstra" information er CPR-nr? Det er jo nemmere at få fat i end passwordet. Hvis nøglekortet bliver stjålet, så er har det jo været ligeså let at tage sygesikringskortet med - så det er ikke fordi der er så meget mere sikkerhed.
Og for den sags skyld så kunne et tokencard også gøre brug af samme 3-punkts model.
#16 Jeg argumenterer netop at Tokencard ikke er *MERE* sikkert end NemID, men at det netop er HØJST er ligeså sikkert.
#17 Igen, jeg argumenterer for at tokencard ikke er *mere* sikkert. Og det er det ikke.
#19 Lige præcis.
On topic: Lad os nu lige se noget mere dokumentation, en såkaldt "ekspert" har udtalt sig, åh nej, hele newz plejer jo at bukke og neje når en "ekspert" udtaler sig. Slå koldt vand i blodet og tag det med et gran salt indtil han har uddybet præcist hvad man kan gøre og hvordan, for det har han *ikke*.
#17 Igen, jeg argumenterer for at tokencard ikke er *mere* sikkert. Og det er det ikke.
#19 Lige præcis.
On topic: Lad os nu lige se noget mere dokumentation, en såkaldt "ekspert" har udtalt sig, åh nej, hele newz plejer jo at bukke og neje når en "ekspert" udtaler sig. Slå koldt vand i blodet og tag det med et gran salt indtil han har uddybet præcist hvad man kan gøre og hvordan, for det har han *ikke*.
Om det er tokencard eller nøglekort er ret ligegyldigt. Pointen er at de begge er milevis sikrere end en digital fil på computeren, som langt lettere kan kopieres.
Så røg den sidste rest af tillid, jeg havde til NemID... Hvis det er deres holdning og den ligegyldighed NemID fremviser for andres private oplysninger, så kan man bekymre sig om hvor mange andre informationer der kommer til at flyde på nettet.
Der er for mange steder (Bank, Skat, Kommune osv) hvor der kan sidde en person og lække private oplysninger.
Som der siges, Kan det blive misbrugt så VIL det blive misbrugt....
Der er for mange steder (Bank, Skat, Kommune osv) hvor der kan sidde en person og lække private oplysninger.
Som der siges, Kan det blive misbrugt så VIL det blive misbrugt....
Jeg har været modstander af konceptet siden det kom frem og har derfor ikke fornyet min digitale signatur efter den udløb.
Kan fandme ikke passe at fordi at hr og fru jensen ikke har styr på sikkerheden så skal danid ligge inde med min private nøgle.
Jeg skal nok selv bestemme hvordan jeg beskytter min nøgle.
Denne nyhed bekræftiger bare hvorfor man skal holde sig langt fra danid.
Kan fandme ikke passe at fordi at hr og fru jensen ikke har styr på sikkerheden så skal danid ligge inde med min private nøgle.
Jeg skal nok selv bestemme hvordan jeg beskytter min nøgle.
Denne nyhed bekræftiger bare hvorfor man skal holde sig langt fra danid.
Det dummeste ved NemID må være, at man kan stjæle en dametaske/jakke og få fat i hendes mobiltelefon og pung - og måske ligger der et nøglekort i denne pung. Det ville da være oplagt at gemme det der, så man kan have det på sig.
Så skal man bare hjem med sin ny-fundne mobiltelefon, cpr-nr (sygesikring, kørekort osv. i pungen) og nøglekortet, taste forkert password fem gange (man kender det jo ikke!), så kontoen bliver spærret. Dernæst bestiller man et nyt midlertidigt kodeord, som bliver sendt til.......drumroll please..... mobiltelefonen! Og så kan man ellers slå sig løs, som man lyster, indtil offeret kommer i tanke om, at hun måske skulle få lukket sit NemID (men hvem tænker på det?).
Så skal man bare hjem med sin ny-fundne mobiltelefon, cpr-nr (sygesikring, kørekort osv. i pungen) og nøglekortet, taste forkert password fem gange (man kender det jo ikke!), så kontoen bliver spærret. Dernæst bestiller man et nyt midlertidigt kodeord, som bliver sendt til.......drumroll please..... mobiltelefonen! Og så kan man ellers slå sig løs, som man lyster, indtil offeret kommer i tanke om, at hun måske skulle få lukket sit NemID (men hvem tænker på det?).
Raekwon_ (14) skrev:Terracide, et tokencard er mere sikkert? Bullshit.
Hvis man erstatter nøglekortet med elektronisk token ER det faktisk en anelse mere sikkert.
Forskellen er, at et nøglekort kan kopieres. En token må du stjæle, hvilket ejeren nemmere kan opdage.
#23 Okay, men så skal du stadig have fat i cpr nr og password, og har du først kunne kopiere nøglekortet har du vel også kunne stjæle token. Igen, ikke mere sikkert. Højst ligeså sikkert.
#22 Nej, det er ikke korrekt, du kan *ikke* få sendt adgangskoden til mobilen uden stærk identifikation, dvs ned i banken med billedID. Den bliver sendt til din folkeregister adresse med posten, så dit geniale scenarie holder ikke vand.
Grunden til at nemID bliver indført er jo netop problematikken i den udfasede digitale signatur som er at hvis din computer har en keylogger/trojaner kombo så kan føre til at både dit password og din private nøgle er i hænderne på en ondsindet person, dette er klart et mere hyppigt tilfælde end de der vilde scenarier med "jeg stjæler dit nøglekort og installerer en keylogger på din computer så jeg kan aflæse dit cpr nr og password".. I kan være ligeså stædige som det passer jer, det er stadig væsentligt mere sikkert end den gamle løsning, samtidig med at det er mere fleksibelt i form af mobilitet.
Hvis I så ikke har tillid til DanID som udbyder, er det jeres problem, så kan I godt droppe at benytte netbank fremover :)
#22 Nej, det er ikke korrekt, du kan *ikke* få sendt adgangskoden til mobilen uden stærk identifikation, dvs ned i banken med billedID. Den bliver sendt til din folkeregister adresse med posten, så dit geniale scenarie holder ikke vand.
Grunden til at nemID bliver indført er jo netop problematikken i den udfasede digitale signatur som er at hvis din computer har en keylogger/trojaner kombo så kan føre til at både dit password og din private nøgle er i hænderne på en ondsindet person, dette er klart et mere hyppigt tilfælde end de der vilde scenarier med "jeg stjæler dit nøglekort og installerer en keylogger på din computer så jeg kan aflæse dit cpr nr og password".. I kan være ligeså stædige som det passer jer, det er stadig væsentligt mere sikkert end den gamle løsning, samtidig med at det er mere fleksibelt i form af mobilitet.
Hvis I så ikke har tillid til DanID som udbyder, er det jeres problem, så kan I godt droppe at benytte netbank fremover :)
Jeg ser en gylden forretnings mulighed i det her.
Jeg opretter et firma og tilmelder det til nem-Id og så går jeg ellers i gang med at suge al information ud fra samtlige brugere.
Sådan noget info er jeg sikker på at et firma der målretter reklamer godt vil betale en god sjat for
Jeg opretter et firma og tilmelder det til nem-Id og så går jeg ellers i gang med at suge al information ud fra samtlige brugere.
Sådan noget info er jeg sikker på at et firma der målretter reklamer godt vil betale en god sjat for
Raekwon_ (24) skrev:#22 Nej, det er ikke korrekt, du kan *ikke* få sendt adgangskoden til mobilen uden stærk identifikation, dvs ned i banken med billedID. Den bliver sendt til din folkeregister adresse med posten, så dit geniale scenarie holder ikke vand.
Det er ikke korrekt. Der er ingen krav om billed-id. Banken skal blot være sikker på, at det er den rigtige person i den anden ende.
Og det er ganske nemt at fake med bare en lille bitte smule social engineering.
Læs f.eks. her:
https://www.mathx.dk/dotnetnuke/Blog/tabid/74/Entr...
Edit:
skal lige tilføjes, at offeret skal have tilføjet sit mobil-nummer til NemID inden ovenstående kan lade sig gøre.
Men det er altså kun et spørgsmål om tid, før vi ser de første personer blive butt-fucked af det her.
Raekwon_ (24) skrev:Okay, men så skal du stadig have fat i cpr nr og password
Det ændrer sig ikke, uanset om det er nøglekort eller token.
Raekwon_ (24) skrev:og har du først kunne kopiere nøglekortet har du vel også kunne stjæle token.
Med en token vil ejeren kunne opdage det. Med et nøglekort har man potentielt meget længere tid til at udnytte sin gevinst.
I øvrigt er der nok også en del som digitaliserer sit nøglekort på en eller anden måde, hvilket gør det muligt at kopiere det digital, ligesom kodeordet. Og så nærmer vi os one-factor login.
Altså: En anelse mere sikkert.
Nermal (20) skrev:Der er for mange steder (Bank, Skat, Kommune osv) hvor der kan sidde en person og lække private oplysninger.
Som der siges, Kan det blive misbrugt så VIL det blive misbrugt....
Udover at det sandsynligvis er muligt at lukke det her hul, så sidder der jo ikke en i banken har noget at gøre med dit NemID, det er jo en automatiseret process, hvor der skulle laves et program decideret til at snage i informationerne. Ellers så kører systemet jo bare og tjekker om du, når du logger ind, er den du påstår at være op mod NemID systemet, og så fortsætter den bare herefter.
jakobdam (1) skrev:
og her afviser man, der er tale om et problem.
Fint, så offentliggør samtlige NemID-oplysninger på samtlige personer i ledelsen hos DanID. Narhatte!
De bruger det sgu da ikke, de ved godt det er noget lort :D
Det irriterer mig at de gemmer de informationer og har adgang til det, men det der irriterer mig mest i det daglige er de fjolser har gjort så man ikke kan paste sit password ind i password feltet, jeg bruger altid 256 bit koder der er 50+ lange, men fordi de har lavet den retarderede løsning er min kode 6 tegn og et ganske almindeligt ord jeg kan huske. De vil, som Danske Bank, nok ikke gøre noget som helst ved det.
Ja jeg kan, jeg bruger en password database, hvor jeg copy/paster fra, men jeg kan netop ikke paste noget ind i sværID login, så jeg måtte vælge en simpel kode jeg kan huske istedet.Raekwon_ (31) skrev:#30 Det er også lidt overdrevet eftersom bruteforcing er ganske umuligt da ens konto bliver låst efter x forkerte logins og man får et brev om det.
Jeg har prøvet det :P
Edit: Du kan da bruge væsentligt flere end 6 tegn? min kode er på 16..
trylleklovn (28) skrev:Nermal (20) skrev:Der er for mange steder (Bank, Skat, Kommune osv) hvor der kan sidde en person og lække private oplysninger.
Som der siges, Kan det blive misbrugt så VIL det blive misbrugt....
Udover at det sandsynligvis er muligt at lukke det her hul, så sidder der jo ikke en i banken har noget at gøre med dit NemID, det er jo en automatiseret process, hvor der skulle laves et program decideret til at snage i informationerne. Ellers så kører systemet jo bare og tjekker om du, når du logger ind, er den du påstår at være op mod NemID systemet, og så fortsætter den bare herefter.
Qoute taget fra linket som Goon #33 referere til
Professor i It-sikkerhed Ivan Damgaard siger:
"I teorien kunne man, hvis man var ude på at snyde folk, designe en applet, der giver mulighed for at snage i personlige oplysninger uden, at den almindelige bruger ville opdage det."
Nu er det ikke kun i teorien at mennesker kan finde på at snyde andre. Hvorfor skal vi give banker, forsikringsselskaber, osv. MULIGHED for at gå ind på vores computere? Efter Roskilde Bank m.fl. burde det stå stjerneklart for enhver at man ikke skal nære ubegrænset tillid til banker, osv.
Det er DET vi tager afstand fra i IT-Politisk forening.
Jeg er udvikler i en virksomhed som lever af at udvikle systemer til det offentlige. ( Og i den branche er det heldigvis ikke så svært at overgå konkurrenterne :-) )
Jeg glæder mig da til at kunne se hvad alle vores kunders , klienter har af bankforretning osv.
Sagt med andre ord. Det er en sikkerhedsfejl. Og den er især alvorlig, fordi banker ( som har udviklet NemID ) faktisk kunne være interesserede i at kende til deres kunders aftaler med læger og psykologer, når de vurderer deres økonomi, og derfor har de et troværdighedsproblem, når de så udvikler et system, der nettop giver dem denne adgang. Selvom det selvfølgelig er ulovlig at bruge den adgang.
I øvrigt kan de fleste banker dette allerede, hvis de kræver at man giver en java applet fuld kontrol, så har denne fuld kontrol.
Jeg glæder mig da til at kunne se hvad alle vores kunders , klienter har af bankforretning osv.
Ja. Det bestemmer jeg vil selv om det skal være.trylleklovn (28) skrev:... det er jo en automatiseret process, ..
Det gør du bare. Jeg kan ikke se hvordan det skulle hjælpe dig, hvis du altså ikke har en virtuel maskine pr. bank + offentlig instans.Gralm (3) skrev:Alternativ er vel at installere det under en virtuel pc.
Sagt med andre ord. Det er en sikkerhedsfejl. Og den er især alvorlig, fordi banker ( som har udviklet NemID ) faktisk kunne være interesserede i at kende til deres kunders aftaler med læger og psykologer, når de vurderer deres økonomi, og derfor har de et troværdighedsproblem, når de så udvikler et system, der nettop giver dem denne adgang. Selvom det selvfølgelig er ulovlig at bruge den adgang.
I øvrigt kan de fleste banker dette allerede, hvis de kræver at man giver en java applet fuld kontrol, så har denne fuld kontrol.
Jeg syntes det her nemid bliver mere og mere til grin hver eneste gang man hører noget nyt om det. De skulle da tage sig sammen og lave noget fornuftigt i stedet
Jeg er enig i at den gamle løsning ikke var den bedste, men det hjælper jo intet at skifte en skod løsning ud med en anden skod løsning
Nu har jeg ikke selv prøvet nemid, så lige et hurtigt spørgsmål. Er følgende korrekt:
For at logge ind med nemid skal man bruge et loginnavn (er det så bare et mange cifret id eller ens cprnr?), et password bestemt af brugeren samt de koder det står på det papir man får tilsendt? Har man de ting, så vil man kunne logge ind alle stedet, right?
Hvis det er tilfældet, så kræves det i mange tilfælde bare at man stjæler det der lille nøglekort og så har man alle oplysningerne. Jeg er rimeligt sikker på at hvis jeg ikke stopper min mor, så vil hun skrive både id og sit kodeord på nøglekortet, selvom hendes kodeord er noget så simpelt som f.eks. qwertyuiop... og det tror jeg at rimeligt mange vil gøre, da det jo er umuligt at huske alle disse kodeord, selvom de bruger samme kode ALLE steder...
Jeg er enig i at den gamle løsning ikke var den bedste, men det hjælper jo intet at skifte en skod løsning ud med en anden skod løsning
Nu har jeg ikke selv prøvet nemid, så lige et hurtigt spørgsmål. Er følgende korrekt:
For at logge ind med nemid skal man bruge et loginnavn (er det så bare et mange cifret id eller ens cprnr?), et password bestemt af brugeren samt de koder det står på det papir man får tilsendt? Har man de ting, så vil man kunne logge ind alle stedet, right?
Hvis det er tilfældet, så kræves det i mange tilfælde bare at man stjæler det der lille nøglekort og så har man alle oplysningerne. Jeg er rimeligt sikker på at hvis jeg ikke stopper min mor, så vil hun skrive både id og sit kodeord på nøglekortet, selvom hendes kodeord er noget så simpelt som f.eks. qwertyuiop... og det tror jeg at rimeligt mange vil gøre, da det jo er umuligt at huske alle disse kodeord, selvom de bruger samme kode ALLE steder...
Adagio (40) skrev:Jeg syntes det her nemid bliver mere og mere til grin hver eneste gang man hører noget nyt om det.
Hvilket er ærgeligt, fordi det meste af det er enten vildt overdrevet eller direkte forkert.
Rigtigt meget af det kan føres tilbage til, at man ikke stoler på DanID. Det giver kun mening, hvis man heller ikke stoler på banken. Og for den sags skyld det offentlige.
Det er sådan set også fair nok at erkende at der er en risiko ved at stole på dem, men man kan altså leve i 100% sikkerhed. Man er nødt til at tage chancer.
Adagio (40) skrev:For at logge ind med nemid skal man bruge et loginnavn (er det så bare et mange cifret id eller ens cprnr?), et password bestemt af brugeren samt de koder det står på det papir man får tilsendt? Har man de ting, så vil man kunne logge ind alle stedet, right?
Ja. Og brugernavnet er enten en talrække, cprnr eller et selvvalgt brugernavn.
Adagio (40) skrev:Hvis det er tilfældet, så kræves det i mange tilfælde bare at man stjæler det der lille nøglekort og så har man alle oplysningerne.
Nej. Du skal jo også have brugernavn og kodeord.
Adagio (40) skrev:Jeg er rimeligt sikker på at hvis jeg ikke stopper min mor, så vil hun skrive både id og sit kodeord på nøglekortet
Hvad vil du sige med det? Har du en ide til et (realistisk) system, som ikke har den slags problemer? (Altså ikke er følsomt over for misbrug)
Alle skal da bare have samme (besværlige men sikre) løsning som Nordea Sverige bruger.
For at logge på netbanken skal man have kortlæser samt sit hævekort. Derudover skal man bruge sit personnummer samt pinkoden til hævekortet, for at skabe en engangskode ud fra en challenge nøgle som Nordea giver mig.
Kræver bare en browser. Kræver ikke Java, ActiveX eller alt muligt andet skrammel. Man kan også bruge den til de offentlige ting, der kræver det godt nok software installeret for at tilslutte kortlæseren til computeren.
Så hvis NemID er en 2-faktor sikkerhed (noget du har og noget du ved) så er Nordeas næsten en 4-5-faktor sikkerhed (2 ting du har, 2 ting du ved samt en engangs challenge/response kode).
For at logge på netbanken skal man have kortlæser samt sit hævekort. Derudover skal man bruge sit personnummer samt pinkoden til hævekortet, for at skabe en engangskode ud fra en challenge nøgle som Nordea giver mig.
Kræver bare en browser. Kræver ikke Java, ActiveX eller alt muligt andet skrammel. Man kan også bruge den til de offentlige ting, der kræver det godt nok software installeret for at tilslutte kortlæseren til computeren.
Så hvis NemID er en 2-faktor sikkerhed (noget du har og noget du ved) så er Nordeas næsten en 4-5-faktor sikkerhed (2 ting du har, 2 ting du ved samt en engangs challenge/response kode).
myplacedk (41) skrev:Rigtigt meget af det kan føres tilbage til, at man ikke stoler på DanID. Det giver kun mening, hvis man heller ikke stoler på banken. Og for den sags skyld det offentlige
Jeg stoler ikke på, at et privat firma, eller det offentlige for den sags skyld, kan håndtere mine private oplysninger på en tilfredsstillende måde. Netbank er fint, da de kun havde adgang til mine bankoplysninger via deres java-applet. Derudover bruger jeg digital signatur til tast-selv (og når jeg skal skifte adresse). På den måde er det delt op, og jeg kan ikke miste alle mine oplysninger samtidig.
Når (ikke hvis, men når) det første tilfælde af misbrug af NemID finder sted, så vil jeg nødig være den det går udover. (Cr)(H)ackeren har fuld kontrol over vedkommendes liv, indtil offeret finder ud af, at hans NemID bliver misbrugt og får det spærret.
Noget helt andet - må jeg spørge dig om, hvorfor man har valgt at bruge en java-applet til at håndtere logon, istedet for "blot" at bruge en SSL-forbindelse? I og med at man har valgt at bruge en java-applet, så udelukker man bl.a. iPads, iPhone mv. Jeg mindes også at have set, at Android har problemer med omtalte applet. Dvs. man risikerer reelt set at udelukke en fandens masse tablets og smartphones fra systemet.
briped (44) skrev:Så hvis NemID er en 2-faktor sikkerhed (noget du har og noget du ved) så er Nordeas næsten en 4-5-faktor sikkerhed (2 ting du har, 2 ting du ved samt en engangs challenge/response kode).
Det er stadig 2 faktorer: Noget du har, og noget du ved.
I øvrigt har jeg svært ved at tro at netbanken kan benytte kortlæseren ud en eller anden form for software.
XorpiZ (45) skrev:Jeg stoler ikke på, at et privat firma, eller det offentlige for den sags skyld, kan håndtere mine private oplysninger på en tilfredsstillende måde. Netbank er fint, da de kun havde adgang til mine bankoplysninger
Banken har nu en hel del af dine private oplysninger. Nu ved jeg ikke hvad du er bekymret for, men de har i hvert fald dine stamoplysninger (cpr-nummer, navn, adresse osv.) og formentlig et ret godt overblik over din økonomi og med lidt analyse også dine forbrugsvaner.
Du nævner både java-applet og digital signatur. Dette er overhovedet ikke relevant, hvis du ikke stoler på de organisationer som har dine private data. De skal jo ikke logge ind med hverken applet eller digital signatur for at tilgå informationerne, eller for at lække dem mere eller mindre bevidst.
XorpiZ (45) skrev:må jeg spørge dig om, hvorfor man har valgt at bruge en java-applet til at håndtere logon, istedet for "blot" at bruge en SSL-forbindelse?
http://www.version2.dk/artikel/15777-danid-derfor-...
Jeg så gerne en applet-fri løsning til de situationer hvor man ikke har behov for de ting som udløser appletten. Så ville jeg fx. kunne gå i netbanken via min mobiltelefon, som jeg kunne før NemID.
XorpiZ (45) skrev:Jeg mindes også at have set, at Android har problemer med omtalte applet.
Så vidt jeg ved er der ingen håndholdte enheder overhovedet, som kan køre Java-applets.
#48.. Sjovt du linker til version2.. Prøv at læse kommentarene.. Der er netop flere der der STADIG pointere at der ingen logisk grund er til overhovedet at bruge en applet. Og det danid svarer på er ikke hvorfor de bruger en applet, men hvorfor de bruger en SIGNED applet.
Edit:
Lige et nyt link fra version2
http://www.version2.dk/artikel/15781-forening-unoe...
Edit:
Lige et nyt link fra version2
http://www.version2.dk/artikel/15781-forening-unoe...
myplacedk (47) skrev:Banken har nu en hel del af dine private oplysninger. Nu ved jeg ikke hvad du er bekymret for, men de har i hvert fald dine stamoplysninger (cpr-nummer, navn, adresse osv.) og formentlig et ret godt overblik over din økonomi og med lidt analyse også dine forbrugsvaner.
Uden tvivl. Til gengæld ved de intet om min skattemappe og hvilke restancer der er/ikke er der. Men nu hvor NemID bliver den eneste måde at kommunikere med det offentlige er der vel nærmest ingen grænser for, hvad de kan finde ud af om mig, hvis de skulle få lyst.
Du nævner både java-applet og digital signatur. Dette er overhovedet ikke relevant, hvis du ikke stoler på de organisationer som har dine private data. De skal jo ikke logge ind med hverken applet eller digital signatur for at tilgå informationerne, eller for at lække dem mere eller mindre bevidst.
Korrekt - men med digital signatur kan de ikke foretage sig ting i mit navn. Det kan man sagtens risikere med NemID.
De udtaler jo godt nok, at de ikke kan dekryptere ens oplysninger uden ens personlige password - men hvor svært er det lige at få fat i, hvis de virkelig vil?
Pointen i det hele er selvfølgelig om man stoler på udbyderen. Og nej, det gør jeg ikke. Jeg bryder mig ikke om, at et privat firma kan se alt hvad jeg foretager mig, hvis jeg skulle vælge at skifte til nemid.
myplacedk (48) skrev:http://www.version2.dk/artikel/15777-danid-derfor-bruger-vi-en-signeret-java-applet
Jeg så gerne en applet-fri løsning til de situationer hvor man ikke har behov for de ting som udløser appletten. Så ville jeg fx. kunne gå i netbanken via min mobiltelefon, som jeg kunne før NemID.
Som bjarkekr er inde på er det ikke en forklaring på, hvorfor de har valgt at bruge applet-systemet. De har blot forklaret, hvorfor de bruger en signed, fremfor en unsigned.
Kald mig paranoid, hvis du vil, men hvis man tillader NemID-appletten på sin pc, så giver man også frit lejde til, at DanID A/S kan se hvad man har liggende af filer, hvis de ønsker det.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund