350.000 danskere rammes særligt hårdt af MitID-hack

Plus13. oktober kl. 04:0039
Nøgleviser
Illustration: Nanna skytte.
Den sårbare sikkerhedsmekanisme rammer allerede MitID-brugere og skaber ekstra problemer for en voksende gruppe borgere, der bruger kodeviser som et alternativ til MitID-appen.
Artiklen er ældre end 30 dage

I teorien burde det være ekstra sikkert at have et kodeord ud over den almindelige sikkerhed i MitID, som det er tilfældet for de brugere, der ikke har MitID-appen men i stedet bliver logget ind med en kodeviser eller SMS. 

Læs også: Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip? Log ind east
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
39 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
27
14. oktober kl. 20:26

Skifter man sit MitID brugernavn til en lang kompleks kombination af bogstaver/tal/tegn og bruger en passwordmanger til at udfylde det, så får man et nyt problem: når det bliver autoudfyldt, bliver det ikke registret, at det er udfyldt. Man skal slette sidste tegn og skrive det igen, før loginknappen bliver aktiv.

28
15. oktober kl. 09:57

He, he... det er hvad der sker, når man detekterer formularændringer via keyUp/Down istedet for onChange...

26
14. oktober kl. 19:39

Så hvis jeg forstår det her cirkus korrekt er man faktisk nødt til at installere deres app nu selvom man har valgt både viser og chip.

25
14. oktober kl. 16:36

Kodeviseren modtager ingenting, du kan antagelig bare ikke bruge den

30
15. oktober kl. 11:42

Ikke sikker på jeg forstår kommentaren.

Men hvis nogen har gættet dit bruger-ID og nu forsøger at gætte dit kodeord og fejler de første 3 gange. Så får du besked via de kontaktoplysninger (mail og/eller telfnr.) man har opsat på MitID kontoen. Når angriberen har ventet og forsøger igen, og fejler tre gange igen. Så får du igen en besked. Og kontoen bliver spærret.

Her kan man så, udover at gå ned i borgerservice for at åbne adgangen igen, ringe ind og få hjælp af MitID support. Man ringer ind og så skal man vælge de rigtige trin i telefonopkaldet. Derefter skal man svare på ca. 5 spørgsmål om oplysninger MitID support kan se fra CPR-registretet. Det er f.eks. ens fars fødeår og hvornår man flyttede til nuværende adresse og etc..

Det står dog ikke særlig klart, at denne mulighed eksisterer. Jeg nævner ikke dette for at forsvare den muværende brugervenlighed eller sikkerhed ved MitID. Men kun for at oplyse, at denne mulighed også eksisterer.

31
17. oktober kl. 09:53

Jeg sad en aften, med min farmor på 82, og måtte igennem møllen. Jeg forsøgte at ringe til MitID support 5 gange, hvor jeg gik gennem den danske tastemenu - hvor jeg hver gang blev afsluttet med "læs på hjemmesiden", eller andet nonsens. Hjemmesiden sendte os videre til support, så vi kørte ret meget i ring.

Jeg tog beslutning at prøve telefonkøen på engelsk, i et febrilsk håb om at komme igennem til kød og blod, fremfor en telefonrobot der blot afsluttede opkaldet automatisk. Det lykkedes! Det tog så godt 2 timer (hvis ikke det var 3), hvor vi med en hvis berettigelse blev mødt af skepsis, da barnebarnet sad og snakkede i telefonen, mens min farmor svarede på kontrolspørgsmålene. Men hvad filan skulle vi ellers gøre i situationen? (Det virkede på medarbejderen, som at han var af samme holdning som os, men var bundet af bureaukratiet)

Det tog for øvrigt kun ca. 5 minutter, da først vi kom igennem til den søde support medarbejder.

MitID mangler telefontast "mit MitID er spærret, tag et nummer i køen til et rigtigt menneske".

Derudover bør MitID først forsøge at validere et login, når brugernavn og adgangskode er angivet. Så kunne en politik være: Efter 3 forsøg, spær for IP-adressen i x tid Efter 3 gange af ovenstående, eller 5 fejlede forsøg indenfor en time, spær for login i x tid. Efter y omgange med ovenstående, så tillad opløsning telefonisk - men det kræver at det tydeligt fremgår af telefonsystemet, hvordan man kommer der til!

29
15. oktober kl. 11:30

Jo, det gælder også når kodeviser spærres fordi adgangenskoden er blevet indtastet forkert - altså først tre gange forkert. Så vente og indtaste forkert tre gange igen.

Man ringer ind og så skal man vælge de rigtige trin i telefonopkaldet. Derefter skal man svare på ca. 5 spørgsmål om oplysninger MitID support kan se fra CPR-registretet. Det er f.eks. ens fars fødesdato og hvornår man flyttede til nuværende adresse og etc.

Det står dog ikke særlig klart, at denne mulighed eksisterer.

24
14. oktober kl. 14:14

ikke hvis en kodeviser eller chip er blevet deaktiveret.

Hvordan foregår den deaktivering? Bliver der sendt en dødsmessage til kodeviseren (og hvordan)? Eller er den deaktiveret i et eller andet centralt system, hvor den kunne reaktiveres (med en eller anden gennemtænkt kontrol)?

18
13. oktober kl. 20:57

Det ville være lettere (for borgerservice), hvis alle banker havde implementeret NemID/MitID korrekt, som vist i denne video fra MitID.dk;

Få MitID med NemID

Læg mærke til uploaddatoen under videoen,

14
13. oktober kl. 16:21

Som udlandsdansker følger jeg "spændt" med i hvad der sker - for min families vedkommende vil det være overordentligt besværligt at skulle i borgersevice (eller til en ambassade), for en sådan ligger ikke lige i nærheden... men nu havde jeg heldigvis valgt et kodeords-lignende brugernavn fra starten, da sikkerheds-problematikken har været kendt ganske længe.

MitID er en farce, især når nu NemID fungerede overraskende godt - selv med papkort, som jeg fik tilsendt 3 af ad gangen, halvvejs rundt om jorden :)

11
13. oktober kl. 14:06

Jeg forstår heller ikke hvorfor man har undladt kodeord bare fordi man bruger app - det må da forringe sikkerheden, for brugernavnet har V2 jo vist at de kunne gætte en del af jo

19
13. oktober kl. 20:59

Jeg forstår heller ikke hvorfor man har undladt kodeord bare fordi man bruger app - det må da forringe sikkerheden, for brugernavnet har V2 jo vist at de kunne gætte en del af jo

Man kan også ganske nemt gætte/beregne tilfældige brugernavne til NemID. NemID bruger som standard dit CPR-nummer som brugernavn - og du skal selv gøre dig anstrengelser, hvis du ikke ønsker dette: (1) Du skal selv logge ind at lave et selvvalgt brugernavn, OG (2) derefter deaktiverer du CPR-login. Det kan du ikke længere med MitID, hvor du ikke kan benytte CPR som brugernavn.

Det er ikke særlig svært at gætte et CPR-nummer, for det er baseret på en matematisk beregning (der er fuldt offentligt tilgængelig). Så du kan bare skrive et eller andet "tilfældigt" tal som brugernavn i NemID og så bare gå i gang med at skrive tilfældige koder. Vupti, så har du også spærret en tilfældig persons NemID permanent.

Ved MitID får du kun lov at taste en kode, hvis personen benytter en nøgleviser. Det er dermed "kun" 250,000 personer, man kan spærre permanent på denne måde.

Med NemID kan man bruge samme teknik og spærre op mod 4,800,000 personer (antal personer i Danmark ≥15 år).

Så ja, jeg synes faktisk Version2's kritik bare er en stor overskrift uden reelt indhold, for MitID er - i dette tilfælde, som netop dokumenteret - en kraftig forbedring ift. MitID. Som andre så har luftet, så virker det dog meget underligt, at man vælger at spærre nøgleviseren permanent, i stedet for at fx tillade oplåsning ved at skanne pas, o.lign.


Baggrund:

Du ved, at CPR-nummeret ser således ud: ddmmyynnnn

dd kan kun være et tal mellem 01 og 28–31 (afhængigt af måned) mm kan kun være 01 til 12 yy kan være 00 til 99 nnnn - kan du beregne

Der er kun 540 kombinationer af "nnnn" pr. dato, hvis man er født før 2007. "nnnn" tildeles fortløbende nedefra. Hvis man er enddog rigtig interesseret, så kender vi også daglige fødselstal fra Danmarks Statistik. Derfor ved vi også, nøjagtigt hvor mange kombinationer af "nnnn" vi har for hver enkelt dato, hvis vi gerne vil være meget målrettede.

Ergo: Det er ligetil at finde på tilfældige tal, og er vi rigtig interesserede kan vi beregne os frem til næsten alle danskeres CPR-numre, og for at hacke dit NemID behøver vi derfor ikke gøre andet end strategisk at udvælge nogle CPR-numre (vi kunne fx vælge kun at gå efter "yy" i intervallet 40–60).

9
13. oktober kl. 12:42

Et godt forslag: Når endnu en kodeviser bliver spærret, fordi man ikke har et brugernavn på 32 tilfældige tegn fra 3 forskellige alfabeter, så skal en medarbejder fra skrammelfirmaet cykle ud med en ny kodeviser. Cykle! Og man begynder øverst i hierarkiet.

8
13. oktober kl. 12:38

Er brugernavnet et kodeord

Hvis nu bare ALLE skulle bruge både brugernavn OG password, før et login blev valideret (ligesom med NemId), så ved man ikke om brugernavnet findes før man har gættet det rigtige password.

Og derefter kunne tofaktor være app, chip, nøgleviser, whatever.

4
13. oktober kl. 10:02

Er der nogen der ved om det samme gør sig gældende for os der har MitID Chip? Det vil ikke kun være besværret med borgerservice, man også ca. 150 kr (omend borgerservice er den værste del).

12
13. oktober kl. 14:22

Jeg har ingen idé mht MitID chip, men bliver kodeviseren spærret så gælder følgende/nuværende regler vel stadig:

De første tre kodevisere er gratis. Herefter koster den 41,76 kroner. Kodeviseren kan bestilles på MitID.dk

"Med denne opdatering behøver man ikke at gå i Borgerservice, hvis ens kodeviser bliver spærret – har man et gyldigt pas og adgang til en smartphone, der kan scanne passet, vil mange kunne gøre det hjemmefra."

Så må man da håbe betalings løsningen for at få en ny kodeviser IKKE kræver MitID på nogen måde :ø)

13
13. oktober kl. 14:41

Så må man da håbe betalings løsningen for at få en ny kodeviser IKKE kræver MitID på nogen måde

Af samme grund har jeg valgt at bruge sms/kode og bruger IKKE MitID/NemID - MitID validering af online betalinger fungerer så slet ikke i øjeblikket, så det er så let med det ;)

15
13. oktober kl. 16:28

Tilmeld dit betalingskort til 3-D Secure. Ved tilmeldingen knytter du vha. NemID dit telefonnummer sammen med dit betalingskort. Du modtager en engangskode på SMS fra Nets ved tilmelding.

Hvor længe mon den løsning holder - var der ikke noget med at NemID skulle stoppe den 31. oktober, nej - det var bankernes understøttelse. Så lidt googling og: NemID lukker endeligt den 30. juni 2023

Til den tid kan man vel nå at have opbrugt 3 brugernavne og 3 kodevisere ;ø) ... eller nogle fornuftige har valgt/krævet at ændre spærrings kriterierne, så der ikke gives positiv feedback under brugerid(+kodeord) login'et.

21
14. oktober kl. 09:47

Tilmeld dit betalingskort til 3-D Secure

Det er det jeg har gjort - og der kan man vælge at bruge kodeord + at få tilsendt en kode på SMS - så er man ikke afhængig af om NemID/MitID er oppe :)

23
14. oktober kl. 11:53

Tilmeld dit betalingskort til 3-D Secure

Det er det jeg har gjort - og der kan man vælge at bruge kodeord + at få tilsendt en kode på SMS - så er man ikke afhængig af om NemID/MitID er oppe :)

Ved tilmeldingen knytter du vha. NemID dit telefonnummer sammen med dit betalingskort.

Så dem der ikke har tilmeldt sig inden NemID meget snart lukker ned, og som senere får behov for erstatningen til NemID (MitID?) under tilmeldings processen, vil have problemer (som jeg ser det) med at tilmelde sig 3-D Secure.

Hvad vil du gøre når/hvis dit kort udløber/spærres og MitID er spærret/nede i fremtiden?

  • jeg kan næsten garantere at det vil ske for mindst én uheldig person der er under digital angreb.
32
17. oktober kl. 09:57

Ved tilmeldingen knytter du vha. NemID dit telefonnummer sammen med dit betalingskort.

Sjovt nok har jeg så sent som i sidste uge tilmeldt et af mine kort til det med sms/adgangskode uden overhovedet at skulle bruge NemID/MitID

33
17. oktober kl. 15:25

Ved tilmeldingen knytter du vha. NemID dit telefonnummer sammen med dit betalingskort.

Sjovt nok har jeg så sent som i sidste uge tilmeldt et af mine kort til det med sms/adgangskode uden overhovedet at skulle bruge NemID/MitID

Kan du fortælle mig hvordan du så nemt slap udenom trin 4 eller 5

https://www.nets.eu/dk-da/digital-sikkerhed/Pages/saadan-opretter-du-et-kodeord-mitid.aspx

https://www.nets.eu/dk-da/digital-sikkerhed/Pages/saadan-opretter-du-et-kodeord.aspx

Nets side giver ikke andre muligheder, ikke jeg kan se:https://www.nets.eu/dk-da/digital-sikkerhed/Pages/Verified-by-Visa-og-MasterCard-Secure-Code.aspx

34
18. oktober kl. 08:53

https://enroll.3dsecure.no/nets-nemid-enroller/EnrollSite?langda - angive kortnr, mobilnr og kodeord i de efterfølgende sider helt uden at anvende MitID og NemID. Og det er så let med det, for MitID fungerer ikke på de sider og min NemID er en hardware dongle som, heller ikke er understøttet, så jeg har rent praktisk ikke kunne bruge nogen af dem ;)

35
18. oktober kl. 09:13

Det harmonerer ikke helt med, at der nederst på første side står "Vær opmærksom på du skal bruge NemID eller MitID for at gennemføre resten af processen." -- men der er vel en frivillig, der kan prøve processen?

37
18. oktober kl. 11:06

men der er vel en frivillig, der kan prøve processen?

Jeg gjorde det i sidste uge på en af mine kort som jeg ikke havde fået gjort det på - så jeg kan stå inde for at man kan komme igennem uden at bruge NemID/MitID :)

38
18. oktober kl. 12:27

Men det kan du så ikke nu

39
19. oktober kl. 08:19

Men det kan du så ikke nu

Kan se de har ændret det siden sidste uge - testede lige og nu skal man bruge Nem/MitID for at ændre fx kodeord - det andet var nu også noget rod, for hvem som helst der havde opsnappet mit kortnr, kunne jo egentlig gå ind og blokere online handel ved at tilmelde vedkommendes eget mobilnr til godkendelse

36
18. oktober kl. 10:28

Det harmonerer ikke helt med, at der nederst på første side står "Vær opmærksom på du skal bruge NemID eller MitID for at gennemføre resten af processen." -- men der er vel en frivillig, der kan prøve processen?

Går man ind på 3dsecure.no er siden 'parked' og whois info siger:

Domenenavn 3dsecure.no Registrert: 19-01-2022 Sist oppdatert: 18-10-2022 Abonnent NETS BRANCH NORWAY Organisasjonsnummer 996345734

Haavard Martinsens vei 54 NO-0978 OSLO Norge

Additional information: Created: 2022-01-19 Last updated: 2022-10-18

Siden er 'relativ' ny, og sikkert derfor at ID valideringen ikke fungerer. Spørgsmålet jeg stiller mig er - hvornår får de fixet det, så tilmeldingen kræver MitID

Men, tak for link Jan - rart at vide

16
13. oktober kl. 16:52

Så lidt googling og: NemID lukker endeligt den 30. juni 2023

Gælder det også bankerne? For det er vel deres frist, som gælder ift. 3-D secure?

17
13. oktober kl. 17:38

Så lidt googling og: NemID lukker endeligt den 30. juni 2023

Gælder det også bankerne? For det er vel deres frist, som gælder ift. 3-D secure?

Alle NemID-brugere, der har behov for også fremadrettet at kunne benytte deres banks selvbetjeningsløsninger, skal overgå til MitID senest den 31. oktober 2022. Efter denne dato vil man ikke længere kunne bruge NemID til fx net- og mobilbankløsninger.

Udgivet 1 måned siden på:https://digst.dk/nyheder/nyhedsarkiv/2022/september/nu-bliver-mitid-standardvalget-naar-du-skal-logge-paa-offentlige-hjemmesider/

Så jo, mon ikke 'net- og mobilbankløsninger' også indebærer kreditkort betalinger, og dermed 3-D secure - det tænker jeg.

Men, en anden bekymrende ting for folk uden NemID og/eller MitID appen er:

Har du været vant til at bruge NemID nøglekortet i pap, kan du være nødt til at skifte til NemID nøgleappen på smartphone eller tablet allerede fra den 30. juni. Det skyldes, at nøglekortet i pap ikke lever op til de europæiske regler for sikkerhed på onlinebetalinger. Nogle er dog undtaget og ** kan fortsætte med Nøglekortet i pap indtil den 30. oktober 2022.**

7
Journalist -
13. oktober kl. 11:06
Journalist

Hej Rasmus - tak for at læse med! Har du også en kode, inden du skal bruge chippen? Har ikke haft lejlighed til at teste dén løsning endnu.

10
13. oktober kl. 13:38

Hej Mads, Jeg har både kodeviser og chip, og de kræver begge kode. De har samme kode, jeg kan vælge at bruge den ene eller anden efter koden er valideret.

5
13. oktober kl. 10:29

Er der nogen der ved om det samme gør sig gældende for os der har MitID Chip? Det vil ikke kun være besværret med borgerservice, man også ca. 150 kr (omend borgerservice er den værste del).

Meger relevant spørgsmål som jeg også godt kunne tænke mig at få svar på. Har både chip og kodeviser. Men mon ikke de blokerer begge typer. Det giver ikke mening, at de kun blokerer kodeviser og kodeoplæser, men ikke chip.

3
13. oktober kl. 09:53

Det kan jo heller ikke være rigtigt at man skal tvinges ti at indvestere i en ny smartphone fordi appen ikke kan installeres fordi at operativsystemet er for gammelt. Hvorfor skal borgerne tvinges til at skrotte velfungerende elektronik, bare for at please en app udvikler. Gad vide hvor meget overflødigt elektronikskrot denne ovregang til MitID har medført, og hvilken operativsystemversion skal vi have efter næste opdatering af appen? Er der nogen der er i lommen på Apple & Co.

2
13. oktober kl. 09:39

man bør behandle det som en fortrolig oplysning ligesom CPR-nummeret

Suk! Er der nogen der kan forklare den mand, at man ikke kan bygge sikkerhed på en "fortrolig oplysning", der er nem at gætte.

CPR-nummeret er (ligesom er brugernavn) alene en primærnøgle, og er designet til at være nemt for mennesker at huske. Det oplyses i flæng over usikre kanaler.

Det bør ikke betragtes som fortroligt.

1
13. oktober kl. 08:22

Og hvad er begrundelsen egentlig for at spærre nøgleviseren ??

Lige netop når man har en sådan, skal man jo - modsat hvis man har app'en - jo angive BÅDE et brugernavn OG en kode, før man i det hele taget kommer frem til at bede de 6 tal fra nøgleviseren.

Og at lave det så man kan bestille en ny nøgleviser inde fra app'en - så er vi jo lige vidt, for nogen af dem der har nøgleviser, har jo nok gjort det fordi de ikke har en smartfone og dermed kan de jo ikke installere app'en.

Personligt har jeg fravalgt at have app'en, fordi det ikke overholder 2-faktor ordentligt syntes jeg, så hvis min bliver blokeret, har jeg bare ikke MitID indtil borgerservice måtte have tid.

6
13. oktober kl. 10:35

Og at lave det så man kan bestille en ny nøgleviser inde fra app'en - så er vi jo lige vidt, for nogen af dem der har nøgleviser, har jo nok gjort det fordi de ikke har en smartfone og dermed kan de jo ikke installere app'en.

Personligt har jeg fravalgt at have app'en, fordi det ikke overholder 2-faktor ordentligt syntes jeg, så hvis min bliver blokeret, har jeg bare ikke MitID indtil borgerservice måtte have tid.

De fleste der benytter en kodeviser (eller chip) må antages at gøre det, fordi de 1) enten ikke har en smartphone der er kompatibel med MitID app'en, eller 2) fordi de ønsker en højere sikkerhed. Jeg har personligt både app, kodeviser og chip, og skulle sådan set af med app'en efter at have fået chip og kodeviser, men tør næsten ikke slette app'en, hvis jeg risikerer at blive lukket ude med en spærret kodeviser og chip.