Check papkortets løbenummer

Når du er logget ind på Nem-Id, skal du, lige før du skriver papkortets kontrolkode, checke papkortets løbenummer øverst på siden. Stemmer det overens med løbenummeret på computerskærmen, så ok. Er der et andet nummer eller mangler det, - kom væk fra den side, og meld det til politiet og Nem-Id.

Re: Check papkortets løbenummer

Når du er logget ind på Nem-Id, skal du, lige før du skriver papkortets kontrolkode, checke papkortets løbenummer øverst på siden. Stemmer det overens med løbenummeret på computerskærmen, så ok. Er der et andet nummer eller mangler det, - kom væk fra den side, og meld det til politiet og Nem-Id.

Det giver ingen sikkerhed, hvis en bandit kan bruge dine papkort numre kan han også fortælle dig hvad serienummeret skal være.

Det simple svar

Gem en cookie clientside, hvor brugeren fx kan skrive "Blå Banan" eller lign, og som bliver vist af applet klientside inden du taster login.

Det løser problemet hvor angriberen som her ikke har inficeret den computer du logger ind fra.

Hvis anbriberen dog får adgang til computeren kan de også installere deres eget root cert og ændre din host fil, og dermed ikke engang behøves at bruge typosquatting til det. (I samme omgang kan man jo også lige bruge browser history til at finde den rigtige netbank)

Angående manuelt login så kan dette meget nemt fikses med programmer som sikuli

Men den gamle løsning ville heller ikke her beskytte sig mod denne type angreb, så det vil ikke være fair at klandre NemID for.

Den opmærksomme læser vil her bemærke at den løsning naturligvis kun virker på computere hvor du har logget ind mindst en gang før, og derfor ikke kan bruges til biblioteket/netcaféen.

Skal du på nogen måde sikres der kræver det dog tovejskommunikation.

Re: Check papkortets løbenummer

Når du er logget ind på Nem-Id, skal du, lige før du skriver papkortets kontrolkode, checke papkortets løbenummer øverst på siden. Stemmer det overens med løbenummeret på computerskærmen, så ok. Er der et andet nummer eller mangler det, - kom væk fra den side, og meld det til politiet og Nem-Id.

Når man-in-the-middle har snuppet dine login oplysninger og bruger dem f.eks i banken bliver han fortalt papkortets løbenummer. Hvorefter han kan vise det på den side hvor du skal indtaste kontrolkoden.

Re: Check papkortets løbenummer

Når du er logget ind på Nem-Id, skal du, lige før du skriver papkortets kontrolkode, checke papkortets løbenummer øverst på siden. Stemmer det overens med løbenummeret på computerskærmen, så ok. Er der et andet nummer eller mangler det, - kom væk fra den side, og meld det til politiet og Nem-Id.

Det giver ingen sikkerhed, hvis en bandit kan bruge dine papkort numre kan han også fortælle dig hvad serienummeret skal være.

Ups! Det kan jeg godt se.
Måske skal vi til at have en SMS med kode

Nem ID

Nem ID er en joke

Der er ingen extra sikkerhed in papkortet, og det køres ud på cykel som
i 1945

Desuden koster nem ID support of forsendelse mange gange mere end er der bliver snydt for, som at kaste kroner efter 5 øre

Det må da snart gå op for folk hvor idiotisk det hele er

Dobbelt password, og postnummer er lige så sikkert

Jeg forstår ikke rigtigt ...

Hvordan den kriminelle kan få en økonomisk vinding på metoden, med mindre hans hjemmeside er en kopi af en banks?

Koden er en engangskode, og ved at foregive, at man er et bibliotek eller solarium osv, får man jo ikke bankoplysninger med.

Man er jo som minimum nødt til at kende ofrets bankforbindelse for at kunne gå ind på dennes hjemmeside og benytte denne ene engangskode.

Men der er noget andet, der slår mig.
NemID må benytte sig af en algoritme til at producere disse engangskoder.

Denne algoritme er jo i praksis synlig på papkortene, som alle får udleveret.

Det må være muligt at vha et håndfuld kort at finde frem til den algoritme.
Har man først den algoritme. kan man med et "man in the middle" angreb skaffe sig adgang til samtlige engangsnøgler på kortet.

Re: Det simple svar

Den opmærksomme læser vil her bemærke at den løsning naturligvis kun virker på computere hvor du har logget ind mindst en gang før, og derfor ikke kan bruges til biblioteket/netcaféen.

Det gør da ikke noget. Du må i forvejen ikke bruge det på en computer, hvor du ikke har vished om hvad der er indstalleret, samt om den er opdateret.
Så biblioteker og netcaféer er såmænd allerede udelukket som muligheder for login.

- Hvad er så den rigtige ' løsning ' ?

Efter al den kritik - som sikkert er berettiget, hvad er så det/den sikkreste
måde ? - Der må være nogen der har ' løsningen ' ?

Bjarne Aakesen

Re: - Hvad er så den rigtige ' løsning ' ?

Adskil offentlig og privat nøgle. :)

Re: - Hvad er så den rigtige ' løsning ' ?

Efter al den kritik - som sikkert er berettiget, hvad er så det/den sikkreste
måde ? - Der må være nogen der har ' løsningen ' ?

Det kunne fx være at din nøgle er placeret på en USB-nøgle, i stedet for som nu at din nøgle er placeret hos DanID og du stort set bare godkender at de skriver under for dig.

Det ville også være godt, hvis du kunne benytte din nøgle direkte med den part du ønsker at identificere dig overfor, i stedet for at DanID faktisk kan overvåge din kommunikation med parter, du måske gerne vil snakke fortroligt med.

Og så er DanID ejet af bankerne - vi har heldigvis stadig til gode at se at kunder i forbindelse med ansøgning om livsforsikring, bliver afvist af et forsikringsselskab (som samarbejder med bankerne), grundet oplysninger man har trukket i sin elektroniske journal.

Jeg tror ikke det sker, men muligheden er til stede, fordi sikkerhedsløsningen er opbygget på den måde den er opbygget.

N3MID ER ET PRIVATEJET AKTIESELSKAB

Drop N3MID!!!

Borgernes IT sikkerhed skal kun varetages af en offentligt myndighed og ikke et privat ejet aktieselskab!!!!!!!!!!!!!!!!!!!

Fald nu lige ned

Når man læser indlæggende, skulle man tro, at den tredje verdenskrig er ved at bryde ud.
Jeg kan godt forstå, at myndighederne ikke ser truslen som særlig stor. At hacke en andens konto er altså ikke HELT så nemt, som vist på videoen. Der er en del forarbejde, som 99,9 % af PC-brugerene ikke kan magte. Og af dem, der kan, er 99 % garanteret ikke kriminelle. Og hvis skaden sker, hæfter bankerne.
Skulle 8 Nordea-kunder og deres "tab" give mig søvnløse nætter ? Der er større problemer i verden; f.eks. de 2.000.000 som hvert år dør på grund af luftforurening (kilde: WHO)

Re: Fald nu lige ned

Jeg kan godt forstå, at myndighederne ikke ser truslen som særlig stor. At hacke en andens konto er altså ikke HELT så nemt, som vist på videoen. Der er en del forarbejde, som 99,9 % af PC-brugerene ikke kan magte. Og af dem, der kan, er 99 % garanteret ikke kriminelle. Og hvis skaden sker, hæfter bankerne.

Regner du seriøst med at vi snakker om tilfældige brugere, som lige får lyst til at "forsøge sig"... Vi snakker om særdeles dygtige mennesker, som med noget arbejde, kan gennemhulle sikkerheden af NemID. Har du tilknyttet OCES-delen, kan du også være så heldig, at din nabo får tilsendt indholdet af din elektroniske patientjournal... Men bare Nordea dækker dit økonomiske tab, er der jo heller ikke sket noget :-).

Det, der er vist i videoen, er jo bare et proof-of-concept. Kan det lade sig gøre eller ej? Og det kan det, for danskerne behøver ikke at rette sig efter verdenskendte IT-sikkerhedsprocedurer - vi kan selv. Helt selv! Se bare IC4, rejsekort og andre imponerende danske genopfindelser af den dybe tallerken.

Skulle 8 Nordea-kunder og deres "tab" give mig søvnløse nætter ? Der er større problemer i verden; f.eks. de 2.000.000 som hvert år dør på grund af luftforurening (kilde: WHO)

Og af samme grund er der ikke nogen grund til at gøre tingene ordentligt længere. Revner i storstømsbroen? Skidt med det. Der dør max. 200 mennesker hvis den styrter sammen og det er jo kun 0,01% af dem der dør af luftforurening. Fedt argument. Det kan vi bruge i mange sammenhænge :-)

Den rigtige løsning er...

at opretholde NemID som centralt login for "offentlige" hjemmesider, men med login via én hovedside fremfor alle mulige sider. Hovedside, fx "www.danmark.dk", kan så lede dig videre til den offentlige tjeneste, du måtte have brug for.

Det er en absolut uskik at fx min Danske Bank skal bruge det offentliges NemID som login, fremfor et eget loginsystem.

Tilbage står at afgøre hvilke tjenester der skal med under paraplyen, og hvilke der ikke skal, men i mine øjne skal hverken banker, pensionskasser, forsikringsselskaber eller solarier logge dig ind via en central, statslig service.

Og iøvrigt mener jeg, som lederen også berører, at man bør overveje at sidestille et domænenavn med et mærkevarenavn, så reglerne om mønsterbeskyttelse kan bruges. Dermed må man ikke købe et domæne, hvis navn ligger alt for tæt på et andet.

Re: Den rigtige løsning er...

Det er en absolut uskik at fx min Danske Bank skal bruge det offentliges NemID som login, fremfor et eget loginsystem.

Nu er NemID jo udviklet af DanID, som er ejet af PBS og dermed er det bankernes system, som det offentlige efterfølgende benytter, hvilket ligger i de aftaler, som man indgik, da NemID blev etableret for at erstatte den digitale signatur. Bortset fra det er vi helt enige - der bør være et skel mellem en offentlig og en privat signatur.

...og den offentlige signatur bør være udviklet og vedligeholdt af en offentlig myndighed og bygge på internationale standarder. Det ville også medføre, at signaturen ikke længere ligger centralt men hos borgeren.

2 nem-id-er

kan man ikke have 2 nemide?

Nøgleviser har sikkerhedshul

Når man bestiller en nøgleviser, så er den aktiveret fra starten. Dvs. hvis nogen stjæler den før den når frem til modtageren, så kan de bare misbruge løs. De skal selvfølgelig gætte login, som for de fleste er personnummer. Hvis man er villig til at stjæle post er det nok ikke så svært at finde personnummeret...

Det bør laves så man lige skal logge ind på nemid.nu med sit papkort med brug af BÅDE en kode fra papkortet og en nøgle fra nøgleviseren før nøgleviseren kan bruges andre steder.

Re: Den rigtige løsning er...

Og iøvrigt mener jeg, som lederen også berører, at man bør overveje at sidestille et domænenavn med et mærkevarenavn, så reglerne om mønsterbeskyttelse kan bruges. Dermed må man ikke købe et domæne, hvis navn ligger alt for tæt på et andet.

Det er ganske vanskeligt. F.eks. har NemID ikke engang selv nemid.dk; det har et andet firma som har et produkt med samme navn. Varemærker gælder som hovedregel kun indenfor én branche, så jeg kan bare registrere en Nem-ID potteskjuler og tage nem-id.dk. Eller ignorere hele problematikken og tage nem-id.nu fordi de danske regler alligevel ikke gælder for Niue. Ja faktisk tilbyder .nu "SpellGuard", som ville have forhindret mig i at registrere nem-id.nu, men det har NemID valgt IKKE at bestille.

USB-nøgle

Det kunne fx være at din nøgle er placeret på en USB-nøgle, i stedet for som nu at din nøgle er placeret hos DanID og du stort set bare godkender at de skriver under for dig.

Nej, en USB nøgle er en mere usikker løsning end DanID. Hvis USB nøglen er placeret i maskinen, kan du få misbruge USB nøglen. Da de færreste har styr på, hvad de har af software på computeren, så er en USB nøgle på en privat computer, en mere usikker nøgle, end en nøgle på DanID's computer.

Skal en USB nøgle fungere, kræves at også input og output går via USB nøglen, således den lægges ind som et sikkert led - og at PC'en ikke er en del af den sikre del. Den sikre del, består typisk af tastatur og display. Hvis man gidder at aftaste alt information, som skal bekræftes (f.eks beløb, kontonummer mv.) og lader et tastatur gå igennem nøglen, så kan det være sikkert. Eller, hvis et display på nøglen, rummer de pågældende informationer, som man skal godkende. Denne løsning, er dog ikke helt så sikker som at kræve direkte afskrift, da mange trykker på godkend, før de faktisk ser indholdet på displayet. Prøv bare at tænk på dankort automaterne. De fleste trykker på godkend, også selvom beløbet er forkert.

En USB nøgle, hvor der ikke er et tastatur på (som minimum),. og hvor de sikre indformationer indtastes på tastaturet, er ikke sikker. En USB nøgle med display, og tastatur, hvor indformationer på displayet skal godkendes via USB nøglens tastatur, er "mellem" sikker, da sikkerheden afhænger af, at man faktisk sikre sig indholdet af displayet er korrekt. Og, at der står indformationer nok på displayet. Men ofte må man antage, at der godkendes informationer, som ikke er korrekte, da mange f.eks. ikke kan huske kontonumre og lign, eller ganske enkelt ikke tjekker efter hver gang.

En USB som "dongle" der sættes ind i computerens USB stik, er dårligere sikkerhed (ingen), og dårligere end NemID. Årsagen er, at der altid kan indstalleres et stykke software på computeren, der får adgang til USB porten, således den kan "snydes" til at kommunikere via nettet, og derfor kan misbruges, hvis nøglen er i USB porten, og computeren er på net. Det er i praksis umuligt, at blokere for, at kun den "rette" software kan bruge USB stikket, og kommunikere med dongelen.

Den eneste sikkerhed som fungerer, er en USB nøgle, hvor der er et tastatur på USB nøglen, og hvor alle sikre indformationer, indtastes på tastaturet, og eventuelt et display, der gør det nemmere, ved indformationer ikke behøver at blive tastet, men så til gengæld skal tjekkes og bekræftes. Eventuelt, kan man sætte PC'ens tastatur igennem USB nøglen. Og lægge en forhindring ind i USB nøglen, så passwords og lign. aldrigt kan slippe igennem.

Re: N3MID ER ET PRIVATEJET AKTIESELSKAB

Drop N3MID!!!

Borgernes IT sikkerhed skal kun varetages af en offentligt myndighed og ikke et privat ejet aktieselskab!!!!!!!!!!!!!!!!!!!

Det gør den skam også!

Jeg ved ikke lige hvor det er havnet efter at IT Styrelsen blev brudt op, men Dan-ID opererer Nem-ID efter en licitation som NETS (tidl. PBS) vandt. Jeg kender ikke detaljerne i kontrakten, men NETS har næppe denne kontrakt "for-ever" så efter et antal år skal det i udbud igen. Det er muligt at NETS/Dan-ID vinder igan (de har jo fordelen af at have drevet det hidtil), men der er også den mulighed at andre vinder den.
Nem-ID er statens projekt - ikke bankernes. Tværtimod fik bankerne vredet armen om for at acceptere at bruge den.

Re: N3MID ER ET PRIVATEJET AKTIESELSKAB

Det er ikke nødvendigvis et større problem, at NemID er et privatejet aktieselskab - at et privatejet selskab står for det, kræver dog, at de anvender en verificerbar metode, så det offentlige kan kontrolere at sikkerheden er i orden, og at loven dermed opfyldes.

Private virksomheder, kan måske ønske at tilbyde en dårlig sikkerhed, for at underbyde de andre. Sikkerheden internt i virksomheden, er ikke kontroleret og styret af det offentlige. I nogle tilfælde kan det være et problem, men hvis man kan løse dette problem, med offentlighedens tilsyn, og ved at verificere kvaliteten, og at loven opfyldes, og eventuelt have løbende kontrol - så kan det være bedre, end at det offentlige skal "kontrolere" sig selv. At lægge noget ud til private virksomheder, kan være mere sikkert, fordi det er mere oplagt, at det offentlige har en kontrol funktion. Denne kontrolfuktion, kan i værste tilfælde mangle, hvis det er internt i det offentlige selv.

Problemet er kontrolfunktionen. Den er ikke altid nem. Og et endnu større problem, er at det offentlige også skal spare - og så sparer kontrol funktionen. Så kan det være meget bedre, at lægge det hele hos det offentlige.

Ved NemID er det tilsyneladende gået galt. De har tilbudt en "for billig" løsning, for at kunne konkurere. De har satset på, at løsningen er nem. Og de har ikke opfyldt loven. Her er man så hos det offentlige gået den modsatte vej, af den man burde. I stedet for, at kontrolere at loven blev opfyldt, så har man ændret loven, så NemID ikke er ulovligt.

Det er ikke ualmindeligt, at private virksomheder, opnår at få så stor indflydelse på lovgivningen, at kontrolfuktionen bliver en ren vits. Reelt, er det private virksomheder, der definerer hvordan kontrollen skal gøres, overfor andre virksomheder, så de selv kan sælge mest muligt. Det offentlige skulle gerne være robust overfor den slags. Men sådan er det desværre ikke. Det offentlige føler oftest selv, at de ikke er rustet til opgaverne, og tager derfor direkte efter private virksomheder, som de forventer må have tilstrækkelig kunnen. Alt imens, at professorer og dygtige specialister i det offentlige selv, forgæves forsøger at forklare omverdenen, at det aldrigt vil komme til at blive sikkert på den måde.

Re: N3MID ER ET PRIVATEJET AKTIESELSKAB

Hvor mange aktieselskaber i finanssektoren er der gået konkurs det sidste styk tid? Hvor var Finanstilsynet? De privat drevet virksomheder er en stor risiko. Borgernes IT sikkerhed skal man ikke tjene penge på!

Et privat ejet aktieselskab kan aldrig drivs mere sikkert end en offentligt virksomheder. Aktieselskaber skal tjene penge! De skal have et overskud. Derfor prøver de alt for at sparer på omkostninger her og der, bl. andet ved at outsource arbejdet til udlandet, som vi har set flere eksempler på. Desuden er aktieselskaber ikke demokratiske. Den der har fleste aktie har fleste stemmer.

Borgernes IT sikkerhed skal kun varetages af de offentlige. N3MID får landsdækkende monopol om ikke så længe. Det er jeg ikke trykt ved.

Re: Fald nu lige ned

f.eks. de 2.000.000 som hvert år dør på grund af luftforurening

Så du mener at det først er legitimt at tale om NemID, når der kun er 1.000.000 der dør af lufforurening om året, eller hvad?

På samme måde kunne du sige: Jeg syntes det er uforskammet at tale om usikkerheden ved NemID, når 1.000.000.000 mennesker ikke kan få rent hvad.

Tsk tsk.

Re: Jeg forstår ikke rigtigt ...

Jesper Nielsen:

Hvordan den kriminelle kan få en økonomisk vinding på metoden, med mindre hans hjemmeside er en kopi af en banks?

Koden er en engangskode, og ved at foregive, at man er et bibliotek eller solarium osv, får man jo ikke bankoplysninger med.

Til login i banken bruges kun CPR og så nøglekortets nummer. Ud fra CPR ved banken hvilke konti man har adgang til.

I gamle dage hos Jyske Bank, var det sådan at for hver transaktion, så skulle man bruge en ny engangskode. Sådan er det ikke mere, så når først man-in-the-middle er blevet logget kan han gennemføre én transaktion, uden at skulle bede ofret om endnu en kode.

Så siden ofret præsenteres for, kunne sagtens være en biblioteksside, men koderne bliver brugt til en bank. Eller sygehuset. Eller noget tredje.

Hvis man virkelig gad, burde det ikke være det store i at programmere noget så det foregår automatisk, uden "the man" behøver at sidde og taste samtidigt med ofret.

Angående det med at lave en hjemmeside der "næsten" ligner en anden, men hvor enkelte filer er skiftet ud, er ikke noget større problem. Klik først på dette link https://www.google.com/search?...oven hvor der søges efter "persondataloven". Klik på øverste link bemærk at det går til en hjemmeside der minder om "retsinformation". Bemærk dog at baggrundsfarven ser højst besynderlig ud (jeg har selv designet den), men resten er en en direkte kopi fra den rigtige retsinformation. Teknikken er en "Proxy Pass Through" og ReWrite med Apache. Formålet med min side er at give søgerobotter en anden robots.txt end retsinfo gør, så alt bliver indekseret., Baggrundsfarven er ændret med vilje for at gøre opmærksom på at "noget er underligt".

Endnu et søm i NemID kisten

Jeg har lavet et lille program til at gøre det nemmere at logge på med NemID. Det gør det ikke mere sikkert, og man skal bl.a. bryde reglen med ikke at måtte tage billede af sit NemID kort (som dog kan slettes igen). Men der er efter min erfaring en del som ignorerer denne regel og det har jo ikke forårsaget misbrug (MITM angreb er jo de eneste angreb som er lykkedes pt.).

Jeg har lavet programmet fordi mange jeg snakkede med var trætte af det kort og ville have noget nemmere.

Man kan læse mere om programmet (som er gratis) her:

http://ege.cc

Programmet har ingen trojaner eller andet skjult, men source-koden deler jeg ikke ud. Jeg vil dog gerne tillade en tredjepart at kigge den igennem hvis ellers folk vil stole på den tredje part.

Og den eneste måde jeg som bruger af NemID kan vide at jeg logger på en ægte NemID session er jo ved at give mig/min pc forhåndsviden om at jeg snakker med den rigtige server. Og den information skal komme før jeg logger på. Jeg har prøvet at lure lidt i browser informationen med Spy++ (et VS2010 tool) men der er ingen måde at se URL'en fra hverken browser eller Java vinduet, ellers ville jeg have inkluderet et check for dette i programmet.

Re: Jeg forstår ikke rigtigt ...

Et privat ejet aktieselskab kan aldrig drivs mere sikkert end en offentligt virksomheder. Aktieselskaber skal tjene penge! De skal have et overskud. Derfor prøver de alt for at sparer på omkostninger her og der, bl. andet ved at outsource arbejdet til udlandet, som vi har set flere eksempler på. Desuden er aktieselskaber ikke demokratiske. Den der har fleste aktie har fleste stemmer.

Ved en privat virksomhed deles tilsyn og virksomhed tydeligt op i to funktioner. Dette er mindre tydeligt, hvis det er en offentlig virksomhed, som sættes til at "kontrolere sig selv". Men at virksomheden er privat, kan så give sikkerhedsproblemer på andre måder. Jeg mener, at kontrolfunktionen er meget vigtigt, også internt i det offentlige, og er den god nok, så er nok ikke gevindst, ved at placere den del der kontroleres, i en privat virksomhed.
Det mindsker samtidigt ikke kontrolfunktionens opgave. Tværtimod.

Indenfor medicinalbranchen, har vi set at kontrolfunktionen ligefrem aflønnes af medicinalbranchen, således at staten kun betaler et meget lille beløb til kontrolfunktionen, i forhold til det medicinalbranchen betaler. Her kan man måske også diskutere, om dette aflønningsforhold, kan medføre produkter godkendes, der ikke burde godkendes, fordi det giver større indtægter til "kontrolfunktionen".