mboost-dp1

PBS A/S

Sikkerhedsbrist i NemID tillader snagen

- Via Børsen - , redigeret af Net_Srak , indsendt af Tore

Den nye digitale signatur NemID er allerede taget i brug af 120.000 danskere, og det forventes, at der ved årets udgang er tre millioner, som vil anvende signaturen.

Det viser sig nu ifølge eksperter som Børsen har talt med, at der er en fejl i sikkerheden omkring NemID, der gør det muligt for de virksomheder og institutioner, der er tilknyttet systemet, at se, hvad den enkelte bruger har anvendt sin digitale signatur til.

Problemet begrænser sig ikke blot til de steder, man har valgt at benytte sin NemID, faktisk kan alle banker, institutioner, virksomheder osv. undersøge en given brugers historik.

Niels Elgaard Larsen, formand for IT-politisk Forening til Børsen skrev:
Det betyder først og fremmest, at brugeren har adgang til de funktioner, den enkelte applet giver adgang til, men også, at udstederen og dem, der er koblet sammen med udstederen, kan kigge baglæns i systemet. En bank vil kunne følge med i, hvilke konti og engagementer en kunde evt. måtte have med andre banker, ligesom banken vil kunne følge med i, hvilket udestående en kunde måtte have med det offentlige, eller en offentlig myndighed kan følge med i en borgers bankforhold.

Børsen har henvendt sig med sagen til DanID, der administrerer NemID, og her afviser man, der er tale om et problem.





Gå til bund
Gravatar #101 - HenrikH
11. aug. 2010 09:02
XorpiZ (92) skrev:
Og ja, koden bliver normalvis sendt til folkeregister-adressen. Men er det ikke korrekt, at man kan få den tilsendt pr. sms, hvis man kan overbevise sin bank om, at man skal bruge den nu og her?

Faldt lige over følgende på Version2's hjemmeside:
Version2 skrev:
Til gengæld er det ikke noget stort besvær at få låst en konto op igen, lyder det fra DanID.

I første omgang vil kontoen være låst i otte timer og er derefter klar igen. Men bliver der igen brugt fem forkerte forsøg på at logge ind, kræver det en ny, midlertidig adgangskode. Har man tilknyttet et mobiltelefonnummer til sin NemID, kan man få adgangskoden med det samme. Ellers kan man gå ned i banken og få en, eller hvis det ikke haster, få en pr. brev.

Så det lader til, at hvis nogen nupper dine ting, har du 8 timer.

Efter 8 timer, kan de så få et nyt kodeord sendt til din mobil, og haps....

Fladt også over en artikkel omhandlende at der ikke er forskel på store og små bogstaver i deres passwords, fordi "mange brugere kløjes i, om det er store eller små bogstaver, og om caps lock er slået til ved en fejl", hvilket jo siger lidt om hvor fordummet NemID-løsningen egentlig er.


Nøglefil vs. papirlap:
Nøglefil: Der vil de dumme folk skrive kodeordet på en lap papir. Der skal altså foregå både elektronisk og fysisk anskaffelse.
Papirlap: Der vil de dumme folk skrive kodeordet på en lap papir. Der skal altså kun foregå fusisk anskaffelse.

Mobilspærring:
Det kommer vel an på typen af spærring? Du kan få den spærret for udgående opkald, men hvis den spærres helt, så er det vel på det niveau, hvor nettet simpelthen ikke vil accepterer dit SIM-kort?
Gravatar #102 - Fjolle
11. aug. 2010 09:31
XorpiZ (100) skrev:
Det er til gengæld rigtigt.

Jeg vil tillade mig at komme med en forudsigelse:

Hvis DanID, ifølge deres forventninger, har fået rullet NemID ud til 3 mio. brugere inden året er omme, så vil der gå 1½-2 år max, før vi begynder at høre historier om folk, der har mistet både det ene, det andet og det tredje, fordi deres NemID er blevet misbrugt.

Jeg kan ikke mindes at have læst tilsvarende historier om den digitale signatur.

Til gengæld kan man misbruge noget så simpelt som et sygesikringsbevis ;)

http://www.dr.dk/DR1/kontant/2010/02/11141226.htm
Gravatar #103 - XorpiZ
11. aug. 2010 09:56
Fjolle (102) skrev:
Til gengæld kan man misbruge noget så simpelt som et sygesikringsbevis ;)

http://www.dr.dk/DR1/kontant/2010/02/11141226.htm


Korrekt - men det har vel ikke noget med sagen at gøre?
Gravatar #104 - myplacedk
11. aug. 2010 10:46
HenrikH (101) skrev:
Nøglefil: Der vil de dumme folk skrive kodeordet på en lap papir. Der skal altså foregå både elektronisk og fysisk anskaffelse.

Nej. Kan du snuppe filen elektronisk kan du formentlig også snuppe kodeordet elektronisk.
Det sker typisk ved at offeret har noget malware på computeren. Det venter på at du logger på netbanken, snupper kodeordet og sender det sammen med nøglefilen. Piece of cake.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login