DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn

Peter Lind Damkjær: Hvorfor har I så krav om, at passwordet skal indeholde tal, når I ikke skelner mellem store og små bogstaver? For at sikre mod, at folk blot vælger navne eller ...?

Ellers kan du jo ikke bruge

password01
password02
password03

når du skal ændre det :-)

password_et
password_to
Password_tre

;-D

Er du sikker på at man må bruge _ ? :-)

Når man ser dette, og de tidligere problemer DanID har haft med Version2s læsere, ligner det lidt at de har taget et fint whitepaper med best practice, og så fået placeret det i bunken med "sådan skal man IKKE gøre det!" ...

Giver det ikke bare et endnu dårligere signal til brugerne om hvordan man bør håndtere passwords på en god måde, f.eks. til ens email eller facebook, når nu noget så VIGTIGT som ens digitale identitet ikke engang behøver noget godt kodeord; thi DanID har jo selv sagt at kodeord er lige meget.

Jeg er enig i, at det ikke betyder det store, om man skelner mellem store og små bogstaver, hvis bare der er nok tegn. Seks tegn er lidt i underkanten, men hvis der kun er fem forsøg, kan det sagtens gå. Men jeg ville nu foretrække, at man ikke satte nogen krav overhovedet til tegnsammensætningen (dvs. ikke krav om både bogstaver og tal), men til gengæld satte minimumslængden op til f.eks. otte tegn.

Hvis man vil undgå ordbogsangreb, så bør udbyderen lave en (krypteret) Googlesøgning på det foreslåede kodeord, og afvise det, hvis der er mere end 10 hits.

Med den planlagte tilslutning er der snart 1 million brugere eller mere.

Så det er oplagt at benytte det samme password på forskellige brugernavne istedet for.

Med et botnet i baghånden burde man oven i købet kunne skifte ip adresse rimeligt ofte.

Det har de formentlig tænkt over.

:-)

Det er jo en gammel debat; hvorvidt højere entropi (flere kombinationer) går lige op med dummere vaner (f.eks. nedskrivning af passwords).

Man kan jo også gå skridtet viddere og spørge om specialtegn ikke også skal incl. (f.eks. #$%&!+) der jo ligeledes forhøjer entropien.

Der vil altid være en balance imellem sikkerhed og convenience, men den primære fordel ved at kræve caps er at brute-force angreb bliver umulig i praksis. Men det lyder til at de har tænkt sig at beskytte sig imod dette.

Så DanID's praksis kan altid ikke helt få mit pis i kog, med et min-længde på 8 cifre snakker vi stadig > trillion kombinationer.

Jeg synes ikke helt det hænger sammen, er god password-skik ikke at følge det vi herinde kender som normal praksis? Sådan som jeg læser det her, så opgiver de helt at benytte god password-skik (samt fjerner muligheden for os andre at bruge det) fordi nogle brugere har svært ved at lære det, mens de samtidig påstår at de forsøger at oplyse os omkring det som de lige har skrottet.

"Men at droppe den skelnen, som ellers er normal praksis mange andre steder, er ikke noget problem for sikkerheden i den samlede løsning, siger Peter Lind Damkjær, kryptologi-ekspert hos DanID, som står bag NemID."

"Erfaringen fra supportopkald til netbank og den tidligere digitale signatur viser, at mange brugere kløjes i, om det er store eller små bogstaver, og om caps lock er slået til ved en fejl, lyder begrundelsen."

"Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik."

Derudover at sammenligne vil jeg ikke mene at man kan sammenligne med det mere fysiske Dankort.

Har de bevist fjernet MULIGHEDEN for at lave et mere sikkert password? Jeebus! Har de hyret en projektleder fra Digital Tinglysning?

Sidder her på jobbet og kigger på min RSA-token og bliver mere og mere træt af det sammenfoldede nøglekort i tegnebogen...

Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik. »Vi kan aldrig være 100 procent sikre på at sortere oplagte ord fra. Så vil vi hellere gå ud og plædere for sikre passwords gennem for eksempel Netsikker nu-kampagnen. Det er bedre at uddanne folk i, at de skal være opmærksomme,« siger Peter Lind Damkjær.

Så brugerne skal uddannes, men de skal ikke uddannes i at bruge kodeord med store/små bogstaver?

så indrømmer de vel også at den "uddannelse" kun er til deres system, og ikke en "almen uddannelse af god kodeords-skik hos brugerne".

Det lader til at sålænge man bare laver løsninger med laveste fællesnævner, så er alle glade. Hvorfor overhovedet have et password, vi har da CPR nummeret vi kan bruge og det er der jo ingen der kender (sarkasme kan forekomme).

Jeg er imponeret over den middelmåddighed denne single sign on løsning er et udtryk for - lad VENLIGST være med at kalde det for en digital signatur - det er en hån!

Mvh
Morten

Har de bevist fjernet MULIGHEDEN for at lave et mere sikkert password?

Nej. Som nævnt i artiklen, tillader de op til 40 tegn og visse specialtegn. Bare et ekstra tegn giver flere bit end muligheden for at skelne mellem små og store bogstaver: Seks tegn med store og små bogstaver, cifre og 10 mulige specialtegn = 78^6 = 225199600704 svarende til 37.7 bit. Syv tegn med kun små bogstaver, cifre og specialtegn = 49^7 = 678223072849 svarende til 39.3 bit.

Selv om man kun tillader små bogstaver i kodeord, skal man "kun" op på 8 tegn for at få bedre sikkerhed end 6 tegn med "det hele".

Folk har det generelt med at overvurdere effekten af flere mulige tegn i kodeord og undervurdere effekten af længere kodeord.

Det er jeg klar over - men MULIGHEDEN for at bruge både store og små bogstaver ville så give yderligere sikkerhed. Jeg begriber ikke at de har fjernet den og da SLET ikke deres "det ville forvirre brugerne" argument. Hvordan vil de uddanne brugerne til at bruge bedre passwords når de samtidig fjerner en af de "nemme" muligheder for at forbedre sit password?

Hvis man vil undgå ordbogsangreb, så bør udbyderen lave en (krypteret) Googlesøgning på det foreslåede kodeord, og afvise det, hvis der er mere end 10 hits.

På den måde får Google en database med passwords. Det synes jeg ikke særligt smart. Men et opslag i en lokal database med kendte passwords (køb en hos de kriminelle!) vil være en god ide.

Andet kan der ikke siges om DanID's latterlige tilgang til elementær sikkerhed.
Sandheden er, at de ikke evner at opsættes deres egne systemer, så de kan håndteres små/store tegn !

Det er jo en gammel debat; hvorvidt højere entropi (flere kombinationer) går lige op med dummere vaner (f.eks. nedskrivning af passwords).

+1

DanID's udfordring er jo, at de først og fremmest skal bestå "the Mom-test". ALLE i Danmark skal kunne forstå og benytte denne løsning. Det i sig selv er en udfordring, der godt kunne få mig til at ryste i bukserne, hvis jeg sad som systemarkitekt.

Sammenligningen med Dankortet holder dog ikke helt. Man har ikke selv lov til at vælge sin pinkode på dankortet. Blandt andet derfor er 4 cifre nok.

Jeg tror de er godt sikret ved at spærre signaturen efter 5 forsøg. Du kan ikke brute-force på 5 forsøg, og du kan ikke snyde dig til flere forsøg ved distribuerede angreb, da forsøgene bliver logget pr. signatur.

• Carsten

Ja det skulle man jo tro?
Jeg sad netop og oprettede min konto i går aftes, og sad også snakkede for mig selv "Det mener de da ikke?".
Men ganske rigtigt, jeg tastede min lidt komplekse adgangskode ind som jeg normalt gør, og til sidst bekræftede jeg den uden at skelne mellem store og små bogstaver. Og det acceptere formularen.

Slutbrugeren går glip af rigtig mange komplekse adgangskoder, og jeg kan ikke forstå hvorfor de har valgt ikke at skelne.

Noget helt andet er jeg synes deres verifikationskode papir er lidt til grin.
Det havde da været lidt nice med en token til x antal kr.
Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret :)

Sandheden er, at de ikke evner at opsættes deres egne systemer, så de kan håndteres små/store tegn !

@Ib: Det er dig, der udviser et arrogant brugersyn. Det er jo ikke bare it-folk og personer, der til daglig arbejder foran en computer, der skal bruge NemID. Det skal min svigermor også.

• Carsten

En generel kommentar angående danskere passwordbrug: Jeg synes at man alt for sjældent advarer danskere mod at bruge æ, ø, å og tegn som ½ og § i passwords. Det virker sikker fint fra et dansk tastatur, men ve den stakkel der en dag sidder på et hotel i udlandet og prøver at logge ind på en bankkonto, og så opdager at tegnene mangler på tastaturet.

Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret

Så håber jeg for dig at du har krypteret det indscannede billede.

Hvordan kan du mene at du vil miste papiret men ikke et token?

Det her er helt til grin. Så vil jeg sgu hellere vælge digitaliseringen helt fra.

Min token til battle.net ved jeg lige præcis hvor er. Mit seneste feriekort er jeg lidt i tvivl om hvor befinder sig.

Papir er papir er papir. Skal det bruges ofte, men ikke hver dag, så ender det i en stak som senere bliver arkiveret og så er det enkelte ark væk.

En token har man sammen med nøglerne, sammen med musen eller på en krog uner skrivebordet.

Det er lettere at give en ting en fast plads.

DanID står for sikkerheden, men har intet ansvar... herligt!

Jeg forstår slet ikke hvad kritikerne snakker om. Så længe man kun har 5 forsøg, kan det vel aldrig blive et problem.

Her er en lille opgave. Jeg har lavet mig et password bestående af 1 til 4 bogstaver/tal. Hvem vil prøve at gættet det? Hver gang jeg modtager 5 gæt, skifter jeg password.

Jeg tror de er godt sikret ved at spærre signaturen efter 5 forsøg. Du kan ikke brute-force på 5 forsøg, og du kan ikke snyde dig til flere forsøg ved distribuerede angreb, da forsøgene bliver logget pr. signatur.

Det lyder da lidt skummelt. Vil det sige at man kan lave (D)DoS-angreb på andres NemID, fx et script der forsøger en lang række kombinationer af gyldige/sandsynlige CPR-numre og 5 x forkerte koder - hvis man da kan gætte "forkert" ;-).

Hvis det er sandt er det da et interessant problem!

Så håber jeg for dig at du har krypteret det indscannede billede

Hvorfor? Papiret i sig selv er ikke "krypteret", men kan tabes/stjæles i den pung det sikkert befinder sig i. Ligeledes kan et scannet eksemplar, hvis det ligger på en laptop man har med sig. Ligger det kun på en desktop, vil jeg mene sikkerheden er højere, end ved at rende rundt med papiret.

@Rasmus Rask

Det store sikkerhedsproblem med den tidligere Digitale Signatur var, at når it-kriminelle havde fået lusket malware ind på din computer, så de kunne opsnuse dine tastaturtryk samt have kontrol over den nøglefil, der lå på maskinen, var du 'owned'.

Derfor valgte man med NemID at have engangskoder, der var helt adskilt fra computeren (2-faktor-sikkerhed). Når du scanner dem ind og ligger billedet på harddisken, har du ødelagt hele sikkerheden ved NemID og gjort det nemt for it-kriminelle at overtage din identitet.

vh.

Jesper
Version2

Nu læste jeg lige den sidste artikel med at virksomheder er ved at byde ind. Ja ja.

Jeg håber da så sandeligt at folk der er smart nok til at scanne sit papkort ind, også er smarte nok til at lægge det på et externt medie (USB nøgle eller lignede).....

(D)DoS truslen lidt længere oppe virker faktisk meget spændende. Gad vide om nogen inden årets udgang finder på at fyre sådan en kode af. Resultatet ville jo være katastrofalt egentlig, forudsat det ville virke.

Det begynder altså at se mere og mere desperat ud at man bare SKAL have det her implementeret, hvilket giver indtryk af at der ligger et ret tungt ansvar et sted. Men ja ja, lad os nu se hvordan det ser ud efter nytår, jeg antager at prøven kommer med når folk vil rette i deres skatteopgørelse.
Til den tid er bankerne jo færdige med at uddele for deres netbanker.

Gad egentlig vide om der er en plan B?

@Jesper Kildebogaard

Ja, klart. Hvis computeren "ownes" og de kriminelle gætter/finder ud af hvor dit kodepapir ligger (forhåbentlig ikke "nemid-engangskoder.jpg" ;)), så er det noget skidt.

Alternativt kan man jo som en anden foreslog (i en anden NemID-debat), lægge billedet på mobilen.

Det potentielle (D)DoS-problem kunne det være rart at få afkræftet af DanID.

Det lyder da lidt skummelt. Vil det sige at man kan lave (D)DoS-angreb på andres NemID, fx et script der forsøger en lang række kombinationer af gyldige/sandsynlige CPR-numre og 5 x forkerte koder - hvis man da kan gætte "forkert" ;-).

Ikke med tilfældige cpr numre. Du skal bruge certifikatet, for det pågældende cpr-nummer.

• Carsten

@Carsten Gehling:

Ikke med tilfældige cpr numre. Du skal bruge certifikatet, for det pågældende cpr-nummer.

Nu har jeg ikke selv noget NemID, men jeg mente bare at have læst at man logger ind med CPR-nummer, din selvvalgte kode og én engangskode.

I modsat fald, går jeg udfra at man logger på med sit offentlige certifikat, eftersom en stor del af kritikken går på at din private nøgle ligger hos DanID. Men dit offentlige certifikat er vel i en eller anden grad... offentligt?

Du opretter en million konti med 1 til 4 bogstaver og tal.

Hr. Evil smider et password en gang mod alle dine en million konti, som opfylder kriteriet.

Chancen for at ramme en af dine kombinationer er, skal vi sige rimelige.

Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret :)

Det er dog det dummeste man kan gøre.
Mangfoldiggørelse af nøglekort er at kraftigt kompromittere sikkerheden fra din side.
Jeg ved at i min bank som har haft en ligene løsning i mange år betyder et kopi af nøglekortet at der ikke dækkes en eneste øre hvis der er misbrug. Desuden kan man jo huske hvor ens kort er hvis man lægger det er sted man kan huske, som fx tegnebogen.

Hvis jeg var dig fik jeg spæret min id med det samme da du jo offentligt med navn har oplyst at det er nok at bryde ind på din maskine og kikke sig omkring og installere en key logger

Betyder det så at alle der kender mit CPR nummer kan blokere min adgang til bank, skat, etc?
Det eneste de skal gøre er at taste 5 gange forkert? Eller skal man også have tallet fra nøglekortet for at det tæller som en forkert indtastning?

Til diskussionen om scanning af nøglekort:

Der står højt og tydeligt i reglerne for anvendelse af NemID:

§3.2: Du skal være opmærksom på, at du ... ikke må scanne dit nøglekort, indtaste dine nøgler eller på anden måde digitalisere eller kopiere nøglerne.

Hvis man derfor scanner nøglekortet ind (uanset om man mener at det er sikkert at gøre det eller ej), har man brudt reglerne for NemID. Hvad det så betyder for de forskellige parters erstatningsansvar, ved jeg ikke.

Ens brugernavn kan være enten det NemID-nummer, man får tildelt, et man selv vælger, eller CPR-nummer.

Man kan altså bruge alle tre på skift, om man vil - så ja, dit CPR-nummer vil altid kunne bruges som brugernavn.

Jeg kan prøve at bore i, om det giver mulighed for at andre, der kender dit CPR-nummer, så kan "Ddos'se" dig med fem forsøg.

vh.

Jesper
Version2

@Jesper

Ens brugernavn kan være enten det NemID-nummer, man får tildelt, et man selv vælger, eller CPR-nummer. Man kan altså bruge alle tre på skift, om man vil - så ja, dit CPR-nummer vil altid kunne bruges som brugernavn.

Jeg gætter på at de fleste ikke selv vælger deres NemID-nummer, men er de automatisk tildelte numre så fortløbende? Det ville jo i så fald være skræmmende let at forsøge "på deres vegne".

Der gælder en del regler for CPR-numre som begrænser mulighederne, såsom antallet af dage pr. måned, måneder på et år og (for de fleste CPR-numre) en checksum der skal stemme. Uden dog at have praktisk erfaring, siger det mig at det vil indsnævre listen over CPR-numre man forsøger sig med betydeligt.

Jeg kan prøve at bore i, om det giver mulighed for at andre, der kender dit CPR-nummer, så kan "Ddos'se" dig med fem forsøg.

Ja tak! :)

Samtidig KAN du ikke hemmeligholde papkortet - et kamera er alt der skal til at bryde sikkerheden og du kan ikke vide om det er sket eller bevise at det er sket, dvs. at en given handling IKKE var dig.

Kan vi blive enige om at i Frank Andersens tilfælde har han erkendt sig skyldig.

Når nemid bliver brugt i banksammenhæng er der ikke tale om signatur men kun sign on.

Men vigtigst af alt har man indgået en frivillig aftale med banken hvor banken står inde for sikkerheden og erstatter tab hvis brugeren har fulgt reglerne. Kan det bevises at man har brudt reglerne må man acceptere tab, hvor meget er alt efter hvad man har gjort eller ikke gjort. Frank Andersen har erkendt offentligt at han har brugt reglerne og må leve med et tab hvis han bliver bestjålet, altså hvis hans nemid er koblet på hans netbank

"NemID er beskyttet mod brute force-angreb ved, at man kun får fem forsøg, før den låser"

Det bliver interessant hvornår en eller anden prankster foretager et brute force angreb på NemID, således at alle danskeres NemID konti bliver lukket.

Lidt løkker , en asymetrisk timer og en del IP-spoofing skulle kunne gøre det.

Der har længe været angreb der kan omgå 2-faktor-sikkerhed, f.eks. http://blog.threatexpert.com/2008/11/one-tricky-banking-trojan.html

Så mon ikke de kriminelle her 1.5 år senere kan lave en kopi af den java-applet der bruges til login når de derved kan ramme ALLE danskere?

Og hvis man tror folk er for dumme til at bruge store og små bogstaver skal man da slet ikke regne med at de kan holde deres computer virus fri.

Erfaringen viser, at op mod 50% af alle supportopkald vedr. password handler om, at der er sket en tastefejl mht. store og små bogstaver. Det er vel at mærke en fejl, som BÅDE eksperter såvel som de mest uerfarne computerbrugere laver. Sikkerhed er ligesom så meget andet en afvejning mellem fordele og ulemper. Her er helt sikkert truffet det rette valg, da det I PRAKSIS ikke betyder noget. Det viser sig da også i andre undersøgelser, at folk i løbet af det sidste årti allerede er blevet temmelige gode til at vælge sikre adgangskoder i forhold til det, der skal beskyttes.

"Det bliver interessant hvornår en eller anden prankster foretager et brute force angreb på NemID, således at alle danskeres NemID konti bliver lukket."

Det er jeg nu ikke så nervøs for. Hvis alle får spærret deres adgang så vil det jo være klart for folkene bag NemID at der er noget galt. Derfor vil de være tvunget til at finde en løsning.

Men hvis det derimod er ganske få personer der bliver chikaneret så står de med håret i postkassen. For vil NemID ændre deres procedurer på baggrund af nogle få personer der har problemer?
(Jeg antager her at man kan spærre adgang udelukkende ved at kende folks CPR nummer.)

@Tobias

Det er selvfølgelig sørgeligt at enkelt individer får smadret deres liv, men dette problem blegner dog i sammenligning med scenariet, hvor 50% af danskernes adgang til centrale services (læge, sygehus, bibliotek, skat, banker, forsikring, politi, tinglysning osv) er blokeret i kortere eller længere tid, for at blive gentaget igen senere.

Dvs. at man ved at angribe en central funktion kan lamme store dele af samfundet.

Hvordan er det forøvrigt med offentlige forvaltningers adgang til andre forvaltninger. Foregår dette også via NemID?

Er NemID IPv6 venlig? ingen dual-stack, men ren IPv6 fra A til B.

På den måde får Google en database med passwords. Det synes jeg ikke særligt smart. Men et opslag i en lokal database med kendte passwords (køb en hos de kriminelle!) vil være en god ide.

Hvordan sikrer man at man har købt de kriminelles fulde viden om usikre passwords? Du har jo ikke lyst til at fortælle dem hvilken halvdel af deres ordlister de ikke behøver tjekke (de er trods alt kriminelle).

Men en måde man kunne implementere forslaget, hvis man virkelig vil, er at søge på Google efter md5-hashet af det ønskede password. Eksempel:

'nisser' skal afvises som et dårligt password, idet der er hits på "282256df3b307fa94d019e67d6f3ab04".

Men det frasorterer selvfølgelig en del færre dårlige passwords (der er ingen hits for nisser12).

Nu skal man slæbe rundt på hele stabler af papir, bare for at komme på netbank. jeg har set meget crap indenfor IT, dette er det værste jeg endnu har set!

@Jesper Kildebogaard

Lige for at rette en udbredt misforståelse - den "gamle" signatur VAR two-factor - du have en nøgle og du vidste noget (dit kodeord).

Samt at det var/er en signatur.

http://www.version2.dk/artikel/15599-minister-om-nemid-struktur-bedst-fo...

Lad os alle grine - og forlade den danske bank - amen!

Født 26. august 1964. Hmm hvor mange cpr-numre mon der er delt ud den dag. Det overholder sikkert modulus 11 reglen og ender på et lige ciffer og de sidste fire cifre danner sikkert et tal under 5000. Dvs ca 250 mulige cpr-numre * 5 forsøg = max 1250 forsøg.
Nå. Hun bruger nok ikke netbank eller den slags. Eller også har DanID allerede sat hendes grænse lidt højere (skal vi gætte på 10?).
[Suk!]

Nu skal man slæbe rundt på hele stabler af papir, bare for at komme på netbank. jeg har set meget crap indenfor IT, dette er det værste jeg endnu har set!

Ja, det er til at græde over.

Jeg kan prøve at bore i, om det giver mulighed for at andre, der kender dit CPR-nummer, så kan "Ddos'se" dig med fem forsøg.

Det tror jeg mange (undertegnede inklusive) ville sætte stor pris på. :-)

• Carsten

(...) ve den stakkel der en dag sidder på et hotel i udlandet og (...) opdager at [æ, ø og å]mangler på tastaturet.

Så kopierer man dem bare fra tegnopsætningen (character map/charmap). Ellers skal der på den danske loginside nok være nogle ord med æ, ø og/eller å, hvorfra tegnene kan kopieres. ;)

Så kopierer man dem bare fra tegnopsætningen (character map/charmap).

Kender du dens placering på et givent OS.

Jada, Jesper. Det er min erfaring at hoteller og netcaféer kun operer med Windows, og så går man bare ind i Start > Tilbehør > Tegnopsætning (Start > Accessories > Character Map).

Ellers bare ind på første bedste dansksprogede webside og kopiere dérfra. :o)

nopes 40 forskellige cpr numre får jeg det til...

["260819645808","260819645818","260819645828","260819645838","260819645848",
"260819645858","260819645868","260819645878","260819645888","260819645898",
"260819646606","260819646616","260819646626","260819646636","260819646646",
"260819646656","260819646666","260819646676","260819646686","260819646696",
"260819647404","260819647414","260819647424","260819647434","260819647444",
"260819647454","260819647464","260819647474","260819647484","260819647494",
"260819648202","260819648212","260819648222","260819648232","260819648242",
"260819648252","260819648262","260819648272","260819648282","260819648292"]

Update: Så var det vi lærte at versions cms ikke breaker linjerne :-)

Har du testet dette program med dit eget CPR-nr og kom det så ud? :S

Der er 136 muligheder når man medtager kravet om køn (sidste ciffer skal være lige) samt århundredet (det 7. ciffer må ikke være ml. 5-8 inkl.). Det ser ud som om du har anvendt det omvendte kriterium for århundrede, men selv dette kan ikke forklare dine 40, da man herved burde få 94. Jeg kan også bemærke at -5808, det første på din liste, ikke er et gyldigt CPR-nr for den givne dato, så der er også fejl i dit modulus 11 check.

Når jeg kigger nærmere efter kan jeg se dit program starter med -5808 og herefter blot lægger 10 til successivt indtil det wrapper rundt, og det kan jo umuligt være rigtigt, idet det at lægge 10 til øger den vægtede sum med "3" så man kan ikke have et gyldigt nummer både før og efter.

hmm jeg har ellers testet det med andre, men jeg må lige kigge på det igen så. Tak for bug reporten :-)

Velbekomme ;)

Se de sidste 5 minutter

http://itst.media.netamia.net/digitaliser2010/video.php?tab=demand&autol...

Pssst... der er ikke modulus-check på cpr-nummer længere ;)

(selvom langt de fleste cpr-numre dog overholder modulus 11)

Det ved jeg, men i det der er for alle der har fået et cpr nummer før 2003? så syntes jeg det var sjovere at finde deres, i det de fleste der har et med modulus check har nemid eller lignende :-)

og fejlen er rettet, men jo der var så lidt flere muligheder end lige at man kunne paste her, man kan så argumentere for at hvis man antager at der bliver født ca 40 pigebørn om dagen og de får fortløbende numre, så behøver man kun de første 40 numre :-)

@David

Det ved jeg, men i det der er for alle der har fået et cpr nummer før 2003?

Jo, langt hen af vejen, men der er folk født i udlandet, der får dansk statsborgerskab. Deres CPR-numre vil ikke nødvendigvis (eller helt sikkert ikke?) overholde modulus 11.

Det er dog nok en forsvindende lille mængde alt i alt, så jeg vil mene du godt kan gå ud fra at "ældre" CPR-numre skal overholde modulus 11.

Der er da kun 10 cifre i CPR-numre. Århundrede, f.ex. 19, har aldrig været en del af det.

som jeg har skrevet så er problemet løst.

og @Per Hansen, i følge cprs dokumentation er der 270 (jeg har fået det til 272) numre for kvinde født mellem 1900-2000.

Århundrede har fremgået indirekte af løbenummeret (1. ciffer mener jeg)

ve den stakkel der en dag sidder på et hotel i udlandet og prøver at logge ind på en bankkonto, og så opdager at tegnene mangler på tastaturet

Omvendt kan det da gå helt galt, hvis det lykkes at logge ind fra en terminal, som man ikke selv har kontrol over:

Du ønsker at betale en regning, og din internetbank ser helt fin ud mens du indtaster beløb, modtager og diverse koder.

Men en kriminel har total kontrol med terminalen, så browseren er falsk og bruger under overfladen din (engangs)kode til at tømme din konto.

Så hvis man vil i banken i udlandet, så skal det ske med egen hardware - eller måske til nød med boot fra en medbragt live-CD/USB.

Det fremgår af løbenumret. Wikipedia har en god artikel om CPR. http://da.wikipedia.org/wiki/CPR-nummer inkl. link til dokumentation om CPR, hvor der står at der er 270 numre per dag for kvinder i den periode at ministeren er fra.

Ja, men i de 270 er ikke indregnet det dér med århundredet. Så jeg står stadigvæk bag at der er 136 muligheder for ministerens nummer :)

http://www.cpr.dk/publikationer/pnr-notat ny skrift.htm#Kapacitet

Der står ellers at:

Personer født i 1937 til og med 1999: Med kontrolciffer 270 personnumre pr. fødselsdato til kvinder. Uden det kendte kontrolciffer 2.730 personnumre pr. fødselsdato til kvinder. Med kontrolciffer 270 personnumre pr. fødselsdato til mænd. Uden det kendte kontrolciffer 2.730 personnumre pr. fødselsdato til mænd. I alt 6.000 personnumre pr. fødselsdato

Men igen, ingen siger at dokumentationen er korrekt.

• kan man vel sige det er mere usikkert end de eksisterende systemer, alene det at man er nødt til at slæbe rundt med sine kodeord er ikke særligt smart, særligt ikke da de fleste også har et sygesikringskort i tegnebogen.

Det er direkte antibrugervenligt, underligt forøvrigt, bliver der slet ikke undervist i brugervenlighed på diverse edb-skoler?

Alle skal købe en ny tegnebog, som der passer i størrelsen det alt det papir man skal slæbe rundt med, udviklerne har jo ikke engang kunnet finde ud af at lave papirstakkene i betalingskort format, lige som de ikke engang har lavet hverken magnetstribe eller stregkode.

Nogen burde anmelde nem-ID for at bruge et navn der ikke passer sammen med produktet, det burde hedde besværlig-ID eller usikker-ID!

CrapID. Slet og ret.

Apropos længden... :)

"Herhjemme anbefaler statens it-varslingscenter DK Cert derfor, at man sammensætter password af minimum 12 tegn."

"For hvert ekstra tegn, et password indeholder, øges sikkerheden 95 gange."

...fortæller Shehzad Ahmad (DK-Cert).

http://elektronik.guide.dk/Computer/Brancheinfo/Sikkerhed/S%C3%A5_mange_...

Men 6 tegn er da RIGELIGT, NemID beskytter jo ikke noget særlig vigtigt. Eller...

https://www.cert.dk/artikler/artikler/000999A023.shtml

På den ene side kan man måske argumentere for at OTP delen kan retfærdiggøre et kortere password.

Men der er en lille finte her: dit password bruges også til at kryptere din "private" nøgle, så DanID kan hævde at du er den eneste som kan bruge den.

Hvis du vil sikre dig mod brute-force angreb mod din private nøgle hos DanID, skal du vælge et meget langt password med høj entropi, som mange mennesker vil have svært ved at huske.

Java appletten til NemID blokerer for copy-paste, så det er ikke en mulighed at lade pwgen el.lign. generere et tilfældigt password med maksimal længde (vist 48 tegn) og lade din password manager huske det.

Opbevarer NemID overhovedet folks passwords? (Jeg havde forstået det sådan at passwordet, efter noget hash, bliver brugt til at kryptere den private nøgle, men kan nu ikke finde en kilde til det.)

Hvis ikke, hvordan kan de så håndhæve reglen om de 5 forsøg? Det kan lade sig gøre hvis man er sikker på at alle bruger Java-appletten, men hvad hvis en angriber rekonstruerer protokollen og snakker direkte med serveren i stedet for at bruge appletten?

Det kan måske lade sig gøre hvis passwordet bliver sendt i “klartekst” (men altså stadig krypteret over SSL) til NemID, men det var bare mit indtryk at det ikke er tilfældet.