It-sikkerhedsrådets forslag: 1 central hjemmeside til alle NemID-login

Brugerne skal have klarere retningslinjer for, hvordan man bruger NemID, mener formanden for Rådet for IT- og Persondatasikkerhed efter netbank-angreb.

Ifølge Ingrid Colding-Jørgensen, bestyrelsesmedlem i Dansk IT og formand for Rådet for IT- og Persondatasikkerhed, skal der en ekstra verificering til for at gøre NemID sikker. Udmeldingen kommer, efter at 8 Danske Bank-kunder i sidste uge fik stjålet for i alt 700.000 kroner i deres netbanker.

»Brugerne skal saftsusemig være sikre på, at det er NemID, der spørger, når nøglekortet skal frem,« siger Ingrid Coldning-Jørgensen til Version2.

Hun mener, der skal indføres en verificeringsmodel i stil med den, Visa benytter, hvor brugerne bliver sendt videre til en central hjemmeside for at indtaste en kode. På den måde skal brugerne kun lære at stole på en enkelt side, og det bliver nemmere for brugerne at opdage phishing-forsøg.

Læs også: Hård kritik fra IT-sikkerhedsråd: NemID skal forbedres

Ingrid Colding-Jørgensen hæfter sig ved, at de nylige hackerangreb på Danske Bank-kunder ikke er et direkte sikkerhedshul i NemID. Der er derimod tale om, at brugerne har fået malware ned på deres computere.

Derfor bør man få kommunikeret nogle klare retningslinjer ud til brugerne om, at de skal være på vagt, hvis de skal bruge nøglekortet mere end én gang, når de benytter NemID.

»Hvis man oplever noget usædvanligt, når man logger på netbanken, skal man reagere og kontakte sin bank,« siger Ingrid Colding-Jørgensen til Version2.

Kommentarer (31)

Thomas Bundgaard

"Hun mener, der skal indføres en verificeringsmodel i stil med den Visa benytter, hvor brugerne bliver sendt videre til en central hjemmeside for at indtaste en kode. På den måde skal brugerne kun lære at stole på en enkelt side, og det bliver nemmere for brugerne at opdage phishing-forsøg."

Hmm. Måske det bare er mig, men har VISA ikke også masser af problemer med phishing?

Thomas Hansen

Jep.

Man kan løse problemet ved, at man tilbyder selve identificeringen over et site.
Og krypteringen over Digital Signatur, eller tilsvarende.

Selve det at kunne identificerer sig, skal være en åben løsning, så man kan identificerer sig over for alle.

Det VED de også godt i forvejen. Men de VIL ikke.
De har fået det tilbudt for år siden, men de vil kun kigge på NemID- løsningen.

Christian Nobel

Det lader til hele diskussionen er druknet i en gang bank støj, men prøv lige at fokusere på det rigtigt farlige ved "NemID", nemlig at man propper det ned i halsen på befolkningen, og kalder det (i strid med loven) en digital signatur.

Så når ICJ skriver:

Hvis man oplever noget usædvanligt, når man logger på netbanken, skal man reagere og kontakte sin bank

er det jo kun en lille del af problemet (og måske den mindste, da penge kan tælles), men hvad nu hvis det er et teleselskab, en e-handelsshop, et dating site, eller (gys) en kommune (som man jo snart ikke mere kan kontakte på andre måder - catch 22), hvor man jo fra parnassets side mener alle skal bruge "NemID" som login løsning.

Er man sikker på at disse aktører kan håndtere problemet professionelt og på en betryggende måde?

Nikolaj Brinch Jørgensen
Christian Nobel

Du kan sikkert få døgnåbent - hvis du vil betale mere i skat!

Åh har du virkelig ikke noget bedre at bidrage med?

Prøv at løfte debat niveauet lidt, og så fokuser på det debatten går på, nemlig den mildest talt tvivlsomme sikkerhed i "NemID"

Når NBJ fremhæver Hørsholms åbningstider, så understreger det jo ret tydeligt hvilken vej kommunerne agter sig ind på, og i den sammenhæng vil digital selvbetjening blive mere og mere relevant.

Og at mange herinde har en kritisk indstilling til "NemID" er ikke det samme som at man ikke kan se fordele ved digital selvbetjening, det skal bare udføres sikkert, og ud fra borgerens behov - ikke omvendt.

Og hvor svært det end er for nogen at forstå, så er det offentlige altså til for borgerne!

Henrik Rathje

Er det bare mig, eller anbefaler det kære bestyrelsesmedlem virkelig at alle skal bruge samme side for at logge på!!?

Så når den ene side er nede, så virker intet... i forvejen er NemID jo bygget op som en stor fejl, men ligefrem at udbygge dette til en flaskehals omkring et enkelt site er sgu da ikke ligefrem klogt.. en sådan side vil da sandsynligvis kunne phises, og ikke mindst angribes med DOS attacks m.m...

men forhåbentligt misforstår jeg hendes udtalelse?

Henrik Mikael Kristensen

Er det bare mig, eller anbefaler det kære bestyrelsesmedlem virkelig at alle skal bruge samme side for at logge på!!?

Applet'en kommer vel fra og kommunikerer vel med forskellige sites med et andet single point of failure alligevel.

Men logger man ind fra en enkelt side, burde det jo være muligt at lave redundans og evt. et kontrollerbart kø-system til ekstreme situationer. Hjemmesider behøver ikke ligge på én server med én forbindelse, selvom man tilgår dem via det samme domæne.

Det kunne også hjælpe meget at reducere java applet'en i størrelse, da den jo skal loades hver gang.

(Evt. til nul bytes og så implementere login i noget andet...)

Henrik Rathje

mjoee... men appletten tilgås jo ikke direkte af brugere.. den køres jo i browserens sandbox runtime... (og ja, det er også tæt på single point of failure, hence min henvisning til fejlkonstrueret system), hvorimod et direkte site, jo kan bombes af brugere direkte..

der skal slet ikke VÆRE nogen applet, hvis de havde lavet en ordentlig løsning... nå, men det erjo vores gl. sang, sorry... er bare stadig frusteret over den l**** løsning.

Jakob Damkjær

Benyttes til offentlige sider specielt med medarbejder login (Det offentlige log-in-fællesskab – NemLog-in)hvor brugerene får valget om de vil logge på med NemID, nøglefil eller Digital Signatur.

Men hvorfor kan den side ikke forfalskes ? hvis din maskine er kompromiteret så kan man jo bare henvise til en falsk webside der ser ud som den centrale login side ? eller skal vi til at taste en ip addresse ind ? (som vel også kan fuskes med et hurtigt lille routing table ninja trick).

Hvis du vil se den så gå ind på sundhed.dk og tryk på "Log På".

Den desuden røver irriterende, a) fordi den kommer op med en popup der skal klikkes væk og b) fordi den eksistere.

Dobblet check (ie. ved log ind og ved handling og med kort timeout på begge) er muligt om kort tid og gør man in the middle meget mere besværligt.

Henrik Rathje

hmm?

på google rammer du ikke samme side, her forvardes tokens og returneres som good eller bad til sessionen... du besøger ikke en bestemt side for at logge på.. ok, måske hos google, hvor den iøvrigt er distribueret over mange sites.. men hvis du feks. bruger google eller facebook logon på dit eget site, så er det kun tokens der kommunikeres frem og tilbage.. intet andet.

så det er vel ikke helt det samme ?

Johannes Ulfkjær Jensen

What ?!

Jeg ved ikke helt hvor du finder snak om tokens eller login i min post.

Min pointe var at når google kan håndtere milliarder af søgninger igennem et domæne (f.eks. google.com eller google.dk).. Ja så må det også være muligt at lave en side (login.nemid.nu) der tjekker folks password uden at kapacitet er et problem. Det var et svar til:

Er det bare mig, eller anbefaler det kære bestyrelsesmedlem virkelig at alle skal bruge samme side for at logge på!!?

Henrik Rathje

det var ikke ment som at sige noget negativt om dig!..
men forslaget går på en descideret enkelt stående side(site) som alle skal tilgå fysisk via deres browser, for at logge på .. ikk?.. og det er ikke det samme som google logon.. i min optik i hvert fald.

måske vi bare misforstår hinanden.. diskussion på krot skriftlig form er aldrig optimal :-)

Rune Larsen

Udgangspunktet er, at brugerens maskine er fuldstændigt overtaget af hackeren, og han styrer 100% hvad brugeren ser. Derfor er det ligegyldigt hvilke hjemmesider der bruges - de kan altid efterlignes live af hackeren. Ligesom Platons skyggespil i hulen, vil brugeren tro, at den virkelighed han ser og reagerer på er den rigtige.

Den eneste forsvar mod MITM på signering af handlinger er, at den underskrivende part autentificerer, at den challenge han er ved at underskrive, svarer til den handling han ønsker at udføre. Medmindre brugeren er rigtig god til hovedregning, så kræver denne autentificering et sikret device, der er mere intelligent end papkort.

En midlertidig løsning kan være, at man får en SMS, hvor der står hvor mange penge man vil flytte til hvem, samt en kode man skal returnere, hvis dette er korrekt.

Mobiltelefoner kan naturligvis også overtages af en hacker, så Den Endelige Løsning(tm) kræver et bedre sikret device, som er i stand til at præsentere handling+challenge, verificere bankens signatur af sammenhængen mellem disse, samt generere en accept-kode til returnering til banken.

Nikolaj Brinch Jørgensen

Det er rigtigt Rune.

Jeg tror bare at det der opponeres kraftigt imod i hele den her NemId sag er, at konceptet med at den private nøgle opbevares hos DanId, er blevet forsvarret hele vejen igennem, med at det var så løsningen var sikret mod den angrebsvinkel hvor en hacker overtager klientcomputeren (altså kunne komme til nøglen).
Det har de fleste godt vidst, er en angrebsvinkel der er umådelig svær at beskytte imod, og at NemIds løsning på ingen måde er sikker imod dette.
Det er derfor svært at sluge nu, at vi både skal have en løsning der er sårbar overfor phising, trojanere og hacking af serveren (tyveri af nøgler hos DanId == identitetstyveri), og at årsagerne til de valg der er truffet viser sig ikke at holde overhovedet, og at der så samtidigt ikke gøres noget ved det.
Sagt på en anden måde: De angreb der er foretaget har vist at den totale sikkerhed vil blive bedre og antallet af agrebsvinkler mindsket, hvis folk selv kan få deres private nøgle og opbevare denne. Hvorfor rette vi så ikke denne fejl i designet med det samme?

Jørgen L. Sørensen

Mobiltelefoner kan naturligvis også overtages af en hacker, så Den Endelige Løsning(tm) kræver et bedre sikret device, som er i stand til at præsentere handling+challenge, verificere bankens signatur af sammenhængen mellem disse, samt generere en accept-kode til returnering til banken.

Og dermed er sms-bekræftelse vel egentlig en død sild? Jeg tænker på at mange efterhånden bruger smartphone til bank, facebook, surf, sms, mail mv. og hvis en del af systemet er inficeret af et skummelt program må man vel gå ud fra at hele systemet kan opføre sig skummelt. Nogen der har mere teknisk indsigt end mig der kan udtale sig?
Kan man lave en løsning som er 99,9 pct sikker?

Leif Neland

En midlertidig løsning kan være, at man får en SMS, hvor der står hvor mange penge man vil flytte til hvem, samt en kode man skal returnere, hvis dette er korrekt.

I den aktuelle sag har 8 personer fået overført ialt 700.000kr, dvs 87.000kr i gennemsnit. Der burde have være genereret en sms eller anden advarsel.

Eller en "Denne transaktion er usædvanlig, log ind igen om en time for at bekræfte".

Det er sjældent at en modtager ikke vil kunne vente så længe, og transaktioner til en anden bank sker alligevel først næste dag.

Men det løser jo kun problemet med banken, ikke problemet med identitetstyveri.

Thomas Hansen

Det passer ikke.

Man kan altid benytte en løsning, hvor den enkelte identitet tilspørges som den man er.
Det kan gøres på et rimeligt almindeligt site, under forudsætning af, at der overholdes en række enkle regler.

Da det ikke i forvejen kan vides, om der er opstået en identifikationssituation på et sådant site, så vil det ikke være muligt at "oprette" en falsk identifikation.
Det vil heller ikke være muligt at vide hvad der bliver tilspurgt med, og derfor vil det heller ikke være muligt at kende svaret.

I princippet det samme, som sker når du ringer til f.eks. banken, og de stiller spørgsmål til dig, som kun dig og banken kan kende svaret på.
Banken, eller andre, kan ikke vide om du ringer til dem og derfor ikke forudse om du vil identificeres.
Du kan ikke vide hvad der bliver spurgt om i de kontrolspørgsmål der stilles.
Du kan ikke engang vide, om de vil have svaret på telefon, eller om de siger du skal sende en sms eller en mail med svaret.

Det kan man sagtens gøre over nettet.

Selve krypteringen op mod de forskellige aktører, kan håndteres med Digital Signatur.
Når selve identiteten gensidigt er fastslået, kan de forskellige aktører vælge deres individuelle løsning, herunder Digital Signatur, som jeg anser som den mest sikre. Det har også den fordel, at det er rimeligt platform uafhængigt.

Ddos angreb, er ikke et stort problem.
De kan midlertidigt lukke af for selve identifikationsdelen, og måske også for selve den Digitale Signatur.
Men det er kun noget som udgør en chikane, ikke en egentlig kompromittering af person følsomme data.
Og alle Ddos angreb, får hurtigt ende ;)

Holder man ulemperne op, altså primært den trælse mulighed for Ddos, imod de fordele der ligger, herunder at kunne bekæmpe egentlig identitetstyveri, så ser jeg kun fordele ved at benytte en single-site-model i forbindelse med identifikationen.

Det er fordi, at man kan stjæle andres identitet, helt uden de forurettede har mulighed for at opdage det, at man oplever langt det meste kriminalitet på nettet.
Indfører man en løsning, hvor alle kan identificerer sig over for alle, så forsvinder ( reduceres ) denne mulighed for identitetstyverier.

Sat rigtigt sammen, vil det i øvrigt også kunne benyttes som aflastning for CPR eller CVR, hvor det er påkrævet med en egentlig sikker identifikation, men hvor det ikke er nødvendigt at man benytter CPR eller CVR.
F.eks. i forbindelse med Rejsekort, eller andre situationer, hvor man skal identificerer sig, men hvor man ikke identificere sig over for en myndighed.

Det kan laves, så man faktisk kan stå med 2 mobiltelefoner og kigge hinanden lidt over skulderen, imens man sikkert identificere sig selv / hinanden.
Man kan også bare stå i en butik, og blive tilspurgt på en sådan løsning, og bekræfte sin identitet via en mobiltelefon.
Eller identificerer sig selv, over for en bruger på et socialt site, hvis vedkommende mener man er en anden end den man udgiver sig for.

Igen, det er fordi der er helt åbent for identitetstyverier, at man ikke kan gøre nettet sikkert.
Hvem som helst, kan jo udgive sig for hvem som helst.
Men ingen, kan falsk udgive sig for at være en identitet, hvis den rigtige identitet kan tilspørges som den vedkommende er.

NemId, Digital signatur, eller tilsvarende løsninger, gør det ikke alene.
De indeholder ikke, i sig selv, en identifikationsløsning, derfor virker de ikke.

Man må holde op med at jappe tinene igennem.
Der findes løsninger på alle de opgaver der er med det Digitale samfund.
Men vælger man ensidigt, herunder uden redundans, så går det galt.

Man kommer ingen steder med pisk og tvang, slet ikke når den løsning man vælger, ikke virker som forventet og man allerede har skrottet den gamle løsning. Så er man låst, og kan ikke komme hverken frem eller tilbage.

Læste lige før, at der er op mod 190.000 mindre selvstændige, der ikke er klar til at indberette Digitalt.
Tsk tsk tsk.....
Med det der pt. foregår omkring NemID, så er der ikke engang belæg for at tvinge disse virksomheder til noget som helst. Selv Skat, aner ikke hvad de roder med, hvordan kan man så stille krav om at andre har deres på det rene ?

Ta det roligt, gør det rigtigt, det er i alles interesse.

Alle kæmper for at få det til at virke, undtagen DanID / Netz, som faktisk skal levere varen. De forekommer helt uberørte af egne fejl og andres kritik.

Jørgen L. Sørensen

Selve krypteringen op mod de forskellige aktører, kan håndteres med Digital Signatur.
Når selve identiteten gensidigt er fastslået, kan de forskellige aktører vælge deres individuelle løsning, herunder Digital Signatur, som jeg anser som den mest sikre. Det har også den fordel, at det er rimeligt platform uafhængigt.

Det her har jeg brug for at få skåret ud i pap og samlet sammen ...

Hvis jeg (X) tager kontakt til Y, hvordan:
a) ved Y at jeg virkelig er X?
b) ved jeg (X) at det nu også er Y jeg har fat i?
c) hvordan ved vi (X og Y) at Z ikke er med på en kigger-lytter og tiltusker sig noget?
d) hvorledes påvirkes forudgående spørgsmål (a,b og c) hvis X eller Y har fået malware/trojaner på computer/telefon?
e) hvor fejler NemID i forhold til det foregående?

Det er ikke fordi jeg vil klandre nogle (NemID), men jeg vil gerne prøve at forstå hvorledes tingene er skruet sammen.

Henrik Kramshøj

Det er altid sjovt at se hvordan farcen med Nem-ID udvikler sig.

Jeg bliver faktisk ikke engang overrasket over at de foreslår mere kompleksitet, med et SPOF tillige.

Det virker superfedt med Verified by VISA, 17 redirects over diverse sider og så kommer der en side hvor du skal taste noget ekstra. ... checker almindelige danskere den personlige oplysning der står? er det smart at vænne folk til at diverse redirects er godt? Virker det godt - jeg har jævnligt opgivet køb på sider med Verified by VISA for at finde en alternativ forhandler.

Endnu bedre hvis vi ALTID skal være afhængig af PBS eller lignende før alle de andre services virker, skønt.

Dernæst kommer der et væld af forslag om en central styring - og logning - yeah, tak for mere logning, jeg kan da næsten ikke få mine arme ned. </ironi>

http://en.wikipedia.org/wiki/Single_point_of_failure

Jeg har "opgivet" Nem-ID og bruger således meget sjældent netbank osv. Trist at gode fremskridt så hurtigt kan eroderes med ligegyldighed.

Jimmy Christiansen

Det virker superfedt med Verified by VISA, 17 redirects over diverse sider og så kommer der en side hvor du skal taste noget ekstra. .

Det er jo netop det der er problemet idag med Nem-ID.
Du ved ikke om det er rigtigt at forsikringsselvskabet er begyndt at bruge Nem-ID, om skat bruger loginfællesskabet og kommunen en tredie site til at have appletten på, eller bibloteket, datingsiden.......

Som vist her på Version2 er det umuligt at se på en side om den er ægte.
Men ved du at du absolut kun må indtaste dine engangskoder på https://login.nemid.nu
Så vil jeg mene at det er en god måde at rette op på problemerne, indtil der kommer en løsning der ikke er afhængig af et privat firma ( det bør ligge under et ministerie, det skal ikke generere overskud ).

Christian Nobel

Tror nu også mere at Jesper var lidt sarkastisk.

Under alle omstændigheder viser det jo meget godt DanIDs amatøragtige tilgang til sagen at de ikke før de gik i gang med projektet lige checkede om nu ikke deres ideer kom på tværs af noget allerede eksisterende.

Og at gå ind via et domæne der er registreret på en lille østat i Stillehavet (Niue) er jo ikke specielt befordrende for danskernes sikkerhedsforståelse.

Mon ikke de fleste ville undre sig hvis adgangen til banken gik via Cayman Islands?

Herudover som jeg har skrevet før, i tilfældet DDB var der tale om malware - kommer der snart noget offentlighed omkring hvilken malware der er tale om, eller er det hele bare et røgslør?

Jesper Frimann

Så også lige på mit papkort, at der står www.nemid.nu

Så .nu burde ikke give mere forvirring i sig selv :o)

Mon nu min gamle svigermor kan se forskel på www.nemid.nu og www.nemid.mu (mauritius)
Eller hvad med alle typosne..
www.memid.nu, www.nwmid.nu etc etc. Det er sådan set bare at kaste fiskenettet ud og så høste.

Du kan selv gå checke og se på http://www.nunames.nu/

Det er ikke specielt kløgtigt lavet.

// Jesper

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Kinas fremmarch i Europa

Hvornår: 2015-11-15 Hvor: Efter aftale Pris: kr. 31000.00

ISO 14001 miljø - kom godt i gang

Hvornår: 2015-09-09 Hvor: Storkøbenhavn Pris: kr. 1650.00

Developing Windows Communication Foundation Solutions with Visual Studio 2010 [10263]

Hvornår: 2015-10-05 Hvor: Storkøbenhavn Pris: kr. 11750.00

HD - enkeltfag

Hvornår: Hvor: Vestsjælland Pris: kr. Efter aftale

Accelereret MCSE Business Intelligence 20466 & 20467

Hvornår: 2015-10-05 Hvor: Storkøbenhavn Pris: kr. 18750.00