Netbank-login uden NemID-papkort får høvl af it-sikkerhedschef

Som om, vi ikke har diskuteret den ringe sikkerhed omkring NemID nok, her på V2.

Nu underminerer Bankerne også NemID, på noget så basalt som sikkerheden.

Hvad skulle Netz / DanID overhovedet ind i den løsning for, hvis ikke de selv holder sig til deres egen løsning.

Er der tale om endnu en POL-itisk sag, der er under opsejling, eller er der vilje til at løse opgaven, inden det løber helt af sporet ?

Når lavinen skal rulle, kan den lige så godt rulle ordenligt!

Hvor er det godt, at der endelig kommer fokus på dette problem. Jeg har længe forsøgt at overbevise Lån&Spar (som var den første, der udsatte mig for dette) om at det er en skidt ide; men de var og er fuldstændig ligeglade, og det er tilsyneladende IKKE noget jeg som kunde har mulighed for at slå til igen.

På det seneste ser det ud til at rigtig mange andre banker også er begyndt på det samme stunt.

Der er dog een ting i det nuværende setup, som er endnu værre: Når man først har godkendt den første betaling skal man ikke bruge pap-kortet mere, nu kan man overføre penge udelukkende med kodeordet!

Bemærk at de ting som sikkerheden bliver sænket for er oplysninger, og ikke penge som banken skal erstatte. Det tror jeg ikke er noget tilfælde :).

Nykredit har altid tilladt login uden token, for resten. Hvorfra man så kunne få adgang til sin e-boks uden at logge ind igen.

Så længe at brugeren har mulighed for at vælge det til/fra, så synes jeg egenligt at at det er fint nok - så er det jo brugeren selv som kan afveje risiko vs besvær.

Og hvordan ville hun få fat i de oplysninger? For at få dem via netbanken skal "hackeren" have følgende:

• hendes selvvalgte brugerid, hendes cpr nummer eller nemid nummer.
• hendes adgangskode.

Det mest plausible er i hendes tilfælde nok at hackeren har det selvvalgte brugerid og adgangskoden. Når hackeren allerede har de 2 oplysninger er spillet tabt. Hvad har hackeren så ikke? Hendes private emailadresse via nemid portalen og hvad ellers?

Version2 har da tydeligvis en agenda her, men lad os nu lige få lidt saglighed på banen.

En keylogger på maskinen, så er de oplysninger hjemme. Dernæst er det bare at logge ind uden papkort, så er alle økonomiske oplysninger til rådighed. Det kan der laves et kæmpemæssigt scam på.

Pointen er jo at bankerne fandt på nemid fordi de antager at brugerens pc ikke er sikker. Hvis man køber den antagelse, burde det ikke give mening at logge folk ind uden oplysninger fra pap-kortet, så jeg er enig med Michael Thomsen i et og alt.

Fint scenarie, men hvad har hackeren så ellers ikke haft snuset sig frem til med keyloggeren? Kontonumre, arbejdsmails kodeord osv osv.

Det synes jeg er misvisende. NemID blev frem for alt lanceret for at samle digital signatur og netbank logon og derved gøre det lettere for brugeren at logge på offentlige tjenester og netbank.

endnu en begmand til alle dem, der åd joken om at NemID konstruktionen havde til formål at øge sikkerheden for brugerne. Hvis det havde været tilfældet, var det nok lavet på en anden måde (læs: på den rigtige måde).

Det er der ikke så meget gevinst i, som at lave et identitetstyveri. Og et identitetstyveri kræver blot de oplysninger der ligger frit tilgængelige på netbanken, selv når der ikke er brugt papkort.

Selv uden brug af nøglekort kan jeg se mit CPR-nummer, mit navn og min postadresse. Mere skal der ikke til for at stjæle min identitet.

NemID er bare ikke en digital signatur. Det er et Single Sign On. Det og intet andet.

Nej, men min pointe var at i det scenarie er sikkerheden allerede tabt, når keyloggeren er på systemet. Uden NemID er et identitetstyveri stadig muligt.

Vi er enige om at det nye tiltag er en forringelse af sikkerheden, men alle de scenarier jeg har læst indtil videre er ikke en konsekvens af det nye tiltag.

Ja, enig, det er desværre rigtig nok. Digital Signatur blev desværre stadig udfaset til fordel for NemID uden signaturdelen klar.

Men langt mere besværligt.

Digital Signatur blev desværre stadig udfaset til fordel for NemID uden signaturdelen klar.

NemID bliver aldrig en digital signatur. Uanset hvor meget der bygges på og bygges til bliver det aldrig en digital signatur.

Hvis jeg nu skal på forældreintra, og ikke selv har PC, så går jeg på biblioteket. Der kan nemt være nogen der har sat en keylogger på, men det var jo ikke et rigtig stort problem, så længe man også skulle have papkortet....

Men nu kan keyloggeren så fange information hvor man kan gå ind og se på min netbank?

Det bør afgjort være noget brugeren aktivt skal vælge til!

Ja, det er muligt at gøre de samme ting som med papkortet, undtagen naturligvis at lave ændringer. Ændringer er nemlig det eneste papkortet skal bruges til.

Faktisk vil folkene bag ForældreIntra meget gerne have lov at bruge NemID uden engangskoder:

http://www.version2.dk/artikel/danske-firmaer-giv-os-nemid-login-uden-en...

Det sagde de til en konference om digital signatur i november, og DanID-direktøren forholdt sig også til det paradoksale i, at man kan logge på netbank uden papkort, men ikke på langt mere uskyldige tjenester.

vh.

Jesper,
Version2

Virkelig? Hele scenariet er jo allerede mega hypotetisk, hvis der er en keylogger, hvad så med screendumps?

Pointen jeg forsøger at komme frem til er at udgangspunktet i en keylogger installeret på systemet, allerede er gameover set i sikkerhedsøjemed.

Haha, ja det er jo svært at argumentere imod. Der ligger allerede public/private key i NemID, at DanID så pt. har den private kan man så diskutere det logiske i, men det ligger da i kortene at det bliver muligt.

Der er mange kræfter i NemID, et er hvad DanID-direktøren mener - noget andet er hvad bankerne mener.

Ja, virkelig. Du har alt serveret på et sølvfad. Det bliver ikke nemmere.

Hele scenariet er jo allerede mega hypotetisk, hvis der er en keylogger,

Nej, det er ikke specielt hypotetisk - kun for den naive.

Hvis det var en konference om digital signatur, så var DanID-direktøren vel kun til stede som tilhører?

Det kan frygtes at man ikke er så kræsen med hvilke computere og i hvilke omgivelser man bruger sit nemID når man ikke logger rigtigt ind, men kun benytter sig af en læse rettighed.

Og det kan jo så føre til bedre forhold for de kriminelle.

Hackeren smugler et stykke hjemmestrikket software ind på maskinen.

Programmet finder via foretrukne, oversigt over besøgte hjemmesider osv ud af hvilken bank vedkommende er kunde i.

Så ændres hosts filen til at besøg på www.nordea.dk bliver directed til www.myfavoritehackersite.com som har en kopi af nordea's site, keylogger delen sender så oplysningerne i realtid til en server og når man har user og pass så bruger man det til at logge ind på banken som kunden, så laver man hurtigt en overførsel til sin udenlandske cayman konto og beder om den korrekte NemId nøgle....

Når så visse af bankerne lader en lave flere transaktioner med een nøgle så er det nemt at køre på indtil kontoen bliver lukket.

Hvis man hellere vil så kan man bruge user/pass til at logge ind og aktivere OCES delen på folk's nemID og bruge den passende NemID papkort nøgle og når man er inde der så kan man lige lave adresseændring og få tilsendt et nyt pas, kørekort og et nyt PapID kort.

Summa summarum, systemet er nemt hackbart og vil man kun have folks user pass så man kan logge ind og lave social engineering med de oplysninger man får fra folks konti så kan man nu nøjes med en keylogger og vi er dermed tilbage ved square one.

Sjovt nok var Papkortet NemID's største selling point dengang de forklarede hvad det lige var vi skulle bruge lortet til....

Henrik Madsen

Ja når jeg tænker over det så behøver man jo ikke engang vide hvilken bank de har, man kan bare redirecte alle de banker man vil angribe til deres respektive hacker variant sider.

Hypotetisk, var det ikke det som NemID kaldte det angreb på Nordea kunder for nytligt?

Som Kai Birger Nielsen skriver, giver et ingen mening, at man først laver pap-kort løsningen, og senere helt selv undlader at benytte den.

@ Preben Andersen.
Derfor giver dit svar til Kai Birger Nielsen heller ikke nogen mening.
Om NemID anvendes til logon det ene eller det andet sted, er helt underordnet.
Systemet er bygget op omkring en procedure, der skal overholdes, for at systemet fungerer.
Så hjælper det ikke, at man vælger en del af proceduren fra, når det anvendes i forbindelse med f.eks. Bank forretning.
Springer man ud af procedure, så underminerer man sikkerheden af hele NemID systemet.

For mig at se, fremgår det tydeligt, at NemID udelukkende er til for at beskytte Netz, altså finanssektoren, i mod at andre aktører frit kan drive forretning på det marked der hører under Dansk lov.

Der er ikke tale om at man vil sikre identifikationen af den enkelte bruger, eller på anden måde vil tilgodese brugernes retsstilling.
Man er udelukkende ude efter at sikre et finansmarked.
Man ønsker ikke engang at benytte den sikkerhed der er i NemID systemet.

Tilbage står brugerne, uden nogen væsentlig sikkerhed, og Staten, med en finanssektor, som underminerer det system, som Staten har betalt for at få udviklet.
For ikke at snakke om alle andre private virksomheder, der fortsat ikke kan beskytte sig mod identitetstyve og andre svindlere.

De er helt som forventet. En ny POL-litisk skandale under opsejling. Springer som troll op af en æske, så snart der er kommet en ny regering.

Det er ikke kun Ingrid Colding-Jørgensen, der bør være bekymret.
Der er en he del politikere, der bør tænke alvorligt over, om det Digitale Samfund, har det rigtige grundlag at bygge på.
Allerede nu, er der over 120.000 identitetstyverier bare inden for det sidste år. Det beskytter NemID ikke imod.
NemID beskytter KUN et finansmarked, intet andet.

Når man ikke kan leve op til reglerne for kvalificerede signaturer, så kan man jo forsøge at lave reglerne om:

Finansrådet tilslutter sig konklusionen om behovet for at revidere modellen
for kvalificerede signaturer, ikke mindst fordi det er væsentligt for bankerne,
at den danske regering arbejder frem imod et resultat, som sikrer, at
Danmark kan bevare den infrastruktur, der allerede er opbygget omkring
NemID, og som ikke bygger på kvalificerede certifikater i direktivets forstand.

Det er Finansrådets høringssvar til EU-Kommisionen om e-signatur i det digitale indre marked. Se: http://www.finansraadet.dk/politik/hoeringssvar/hoeringssvar/2011/eu-kom...

Ministeriets endelige konklusion er også ganske underholdende: Fordi Danmark har indført NemId som ikke overholder direktivet, så har direktivet ikke fungeret tilfredsstillende !!!

Altså - ikke hvis jeg går ind på eBoks direkte, men hvis jeg logger på min netbank, som ikke kræver NemID før jeg skal betale noget. Der kan jeg helt stille og roligt trykke "Start eboks", og så er jeg derinde. Meget bekvemt, men det giver så lige adgang til ENDNU flere personlige oplysninger.

Uden pap?
Ja, jeg har det ikke selv fordi, jeg er talblind. Bare jeg skal taste koder ind for at tage købt software i brug, sveder jeg.

Jeg kan ikke engang mit eget telefonnummer!
Så at taste meningsløse engangskoder- de vil aldrig blive rigtige i første hug.

Findes der en handikapvenlig NemID?

Mvh
Tine

Det giver et muligt man-in-the-middle angreb lidt flere muligheder, at kunne starte en pap-løs session med banken og samtidig foregøgle offeret at vedkommende skal logge ind med kort. Om det har nogen praktisk betydning, kan jeg dog ikke bedømme.

Mvh
Erik

Danmark har jo solgt løsningen til private banker, og deres interesse er at undgå tab på kundernes konto (udgift for banken). Dit privatliv - oplysninger, data - er sekundært for deres forretning - så vi får, som vi har redt desværre.

1 - Selvfølgelig bør banken ikke automatisk gøre dette, men bør blot give kunderne muligheden.

2 - Der er INGEN pointe i nemID koderne, når man logger på hjemmefra. Det er udelukkende til besvær.

Jeg logger udelukkende på netbank hjemmefra. Derfor er det komplet huld i hovedet, at jeg skal sidde og finde en kode på et latterligt papkort hver eneste gang.

NemID kunne selv have lavet det, så man havde en mulighed for, hjemmefra fra samme computer, ikke at skulle bruge en kode fra papkortet hver gang.

Før i tiden tjekkede jeg min netbank ofte. Nu gider jeg slet ikke, og der går ofte over en uge, fordi det bare er for besværligt.

Samtidig skal man nu også bruge det til f.eks. at spille lotto. Plus også til alt hvad der har med det offentlige at gøre, som eboks, skat, osv. Så får man hurtigt brugt sådan et kort. Sikke en gang spild på papir og porto, når de skal sende de kort.

Skal man lige tjekke sin eboks, sin skat, og netbank, og måske lige spille lotto, så er det 4 gange man skal gennem det login hysteri. De har selvfølgelig ikke lavet det, så man bare skal logge ind en gang, og derfra kan gå videre til de andre sider.

NemID er for meget besvær, i forhold til fordelene.

3 - Problemet med identitetstyveri har intet med dette at gøre. Det er en helt anden sag, hvor det virkelig problem er at visse myndigheder og firmaer, gør alt for lidt for at tjekke folks identitet. Et CPR nummer bør ikke bruges som om det var hemmeligt, for det er det ikke. Ingen skal kunne stjæle nogens identitet, bare fordi de har deres CPR nummer. Det giver for fanden da sig selv, da det er et nummer man går og vifter omkring sig overalt.

Jeg synes det er en rigtig god idé at fjerne papkortet ved første login. Papkortet giver brugerne en falsk tryghed. NEMID er stadig ikke sikret ordentligt (fx mangler den private nøgle at være privat og JAVA giver stadig væsentlige sikkerhedshuller for alle der ikke er it-kyndige). Det er meget bedre at lære folk at tænke sig om og forholde sig til sikkerheden end at lulle folk i søvn og lade dem tro at blot fordi der er et gråt papkort så er man bedre sikret end kronjuvelerne. Lær folk at bruge hovedet: 1 - Brug aldrig den samme login (brugernavn og password) mere end ét sted. 2 - Læg mærke til sikkerhedscertifikater. 3 - Indtast aldrig dit password med mindre du ved hvem der modtager det.

Det behøver da slet ikke være så højteknologisk at finde CPR-numre. Bare rod i naboernes skraldespand - der er helt sikkert bid før man får set sig om. Numrene står jo alle steder - de er ikke en skid hemmelig - nemmelig.

Nej Tine, der findes ikke en handicap venlig version af NemID.

Du kan få en telefonløsning, så vidt jeg er bekendt, men kun hvis du er egentlig handicappet.

Gamle, handicappede, eller bare folk der er lidt tilbagestående over for IT, er man helt ligeglade med.

Der findes en alternativ metode til at identificerer, men den vil Staten ikke kigge på.
Man vil kun kigge på hvad Finansrådet beslutter, uanset hvor usammenhængende det så end er.
Det er Finansrådet der har magten i Danmark, ikke politikere. Det skal man bare indrette sig efter.

Er der nogen, der kender til banker, der stadig har bare lidt sikkerhed på netbanksfronten?

Netbank er en nødvendighed i et travlt liv, og der samles mere og mere via det, bl.a. e-boks som også nævnt i diskussionen hér, så endnu lavere sikkerhed med NemID (hvem havde troet det muligt...) er en deal-breaker for mig. Håber, der endnu findes banker med lidt sikkerhed derude.

Fuldstændigt enig. Hvis folk kan komme så tæt på min computer at de kan installere en keylogger, har jeg betydeligt større problemer end at de kan tilgå min bankkonto - her vil jeg trods alt kunne sandsynliggøre hvad der er sket, og få rullet mine betalinger tilbage. Mht identitetstyveri ville jeg være meget mere bekymret for, at folk får fat i mine mails. Og de er kun beskyttet af et brugernavn og et password.

Jeg er også LSB kunde, jeg er faktisk godt tilfreds med at jeg kan logge på uden at bruge mit papkort/token. Men nok ok det

Når jeg logger på uden at bruge papkortet, så får jeg ikke lov til at lave mere end én transaktion per kode jeg indtaster. Er du sikker på at du ikke har logget på med papkortet da du observerede den opførsel?

Nu er det kun ca. 5 banker (bl.a. Danske Bank og Nordea) som selv driver deres netbank, resten kører enten på BECs eller SDCs webbank.

".........så hvis du lige giver mig din kreditkort-oplysninger, skal jeg sørge for at tilbageføre beløbet'. Det løber mig koldt ned ad ryggen, for selv som it-sikkerhedskyndig kunne jeg sagtens være røget i den fælde,« siger Ingrid Colding-Jørgensen"

Det lyder vanvittigt, at hun kunne bare drømme om, at udlevere kreditkort oplysningerne på anfordring af en ukendt.

Nu er hverken CPR-numemr eller kontonummer specielt hemmelige, da det er identifikationsnumre man uddeler som en naturlig del af en mængde transaktioner.

Jeg giver i hvert fald rask væk mit kontonummer til folk der skylder mig penge og betaler lige så vel lystigt skyldige beløb via min netbank hvor modtager vist kan se afsenderkontoen. Og CPR-nummeret bliver også lystigt delt ud til foreninger jeg er aktive i eller almennyttige foreninger jeg støtter.

Adgang til e-Boks er selvfølgelig noget helt andet, da det stort set er en blanko-adgang til oplysninger af temlig forskellig karakter.

Men pointen er at det efter min mening er naturligt at arbejde med forskellige sikkerhedsniveauer for adgang til rene identifikationsoplysninger (CPR-nummer, kontonummer, kundenummer), transaktionsoplysninger og endelig til at foretage transaktioner.

Det første er stort set ligegyldigt, det andet er en ubahaglig krænkelse af mit privatliv, det tredje kan have direkte skadelige konseklvenser.

Det man normalt forstår ved kreditkort oplysninger er ikke kontonummer og cprnummer.

Det kræver at du er fysisk tilstede på en given adresse.

Keyloggeren virker fra Kina eller Australien eller Rusland eller et kredsløb om Jorden.

Der er ingen her der skriver noget om kreditkortoplysninger - udover dig. De er så rivende irrelevante i denne problemstilling.
Hvad der derimod ikke er irrelevant er muligheden for at aflure oplysninger der kan føre til identitetstyveri.

Har du personfølsomme oplysninger liggende i klartekst i dine mails?

Det er ikke nødvendigt at være blind for at få voice-response løsningen, og hvis Tine er talblind, er løsningen netop rettet mod hende, så det er bare at ringe til nemid og få det ændret. Tine skal dog være klar foran en computer og hun skal taste en nemid-kode ind før at de kan ændre det.

Ingrid Colding-Jørgensen, hvis indlæg er skyld i hele debatten.
Jeg er enig i at det er irrelevant som debatten har udviklet sig, men jeg undrede mig bare over at en IT kyndig kunne skrive sådan.

Min bank har også fjernet nøglekort funktionen, og er total ligeglade jvf flg:
Kender I til banker der har beholdt nøglekortet? Der er mulighed for at erobre kunder...

Bankernes EDB Central (BEC) og dermed også BANKEN har i lighed med mange andre banker ændret logon til Netbank. Det betyder, at brugeren kun skal bruge sit Bruger-ID (Cpr-nr., NemID-nr. eller selvvalgt Bruger-ID) og adgangskode, når der logges på Netbank. Formålet er, at gøre det lettere og hurtigere for brugeren at logge på Netbank. Fremover behøver brugeren fx ikke sit NemID nøglekort for bare at se saldi o.lign.

Brugeren skal kun benytte nøglekortet ved første godkendelse. Det kan fx være når første betaling, første budgetpost, første betalingskuvert eller andet skal godkendes. Det kan også være, hvis brugeren skal viderestilles til e-Boks.

Når nøglekortet først har været i brug, vil efterfølgende godkendelser ske uden brug af nøglekort.

Da nøglekortet fortsat skal bruges – når der skal foretages en overførsel eller anden forpligtende transaktion – er det bankens opfattelse – at der ikke er ændret i den sikkerhed – som der tilbydes med NemID i Netbank.