350.000 danskere rammes særligt hårdt af MitID-hack

He, he... det er hvad der sker, når man detekterer formularændringer via keyUp/Down istedet for onChange...

Ikke sikker på jeg forstår kommentaren.

Men hvis nogen har gættet dit bruger-ID og nu forsøger at gætte dit kodeord og fejler de første 3 gange. Så får du besked via de kontaktoplysninger (mail og/eller telfnr.) man har opsat på MitID kontoen. Når angriberen har ventet og forsøger igen, og fejler tre gange igen. Så får du igen en besked. Og kontoen bliver spærret.

Her kan man så, udover at gå ned i borgerservice for at åbne adgangen igen, ringe ind og få hjælp af MitID support. Man ringer ind og så skal man vælge de rigtige trin i telefonopkaldet. Derefter skal man svare på ca. 5 spørgsmål om oplysninger MitID support kan se fra CPR-registretet. Det er f.eks. ens fars fødeår og hvornår man flyttede til nuværende adresse og etc..

Det står dog ikke særlig klart, at denne mulighed eksisterer. Jeg nævner ikke dette for at forsvare den muværende brugervenlighed eller sikkerhed ved MitID. Men kun for at oplyse, at denne mulighed også eksisterer.

Der er også muligheden for at ringe til MitID-support, selvom deres trin ikke er helt klart fornumeret. https://www.mitid.dk/hjaelp/hjaelpeunivers/mitid-adgangskode/faa-en-ny-mitid-adgangskode/

Men det er hvis man glemmer sin adgangskode, ikke hvis en kodeviser eller chip er blevet deaktiveret.

Jeg forstår heller ikke hvorfor man har undladt kodeord bare fordi man bruger app - det må da forringe sikkerheden, for brugernavnet har V2 jo vist at de kunne gætte en del af jo

Man kan også ganske nemt gætte/beregne tilfældige brugernavne til NemID. NemID bruger som standard dit CPR-nummer som brugernavn - og du skal selv gøre dig anstrengelser, hvis du ikke ønsker dette: (1) Du skal selv logge ind at lave et selvvalgt brugernavn, OG (2) derefter deaktiverer du CPR-login. Det kan du ikke længere med MitID, hvor du ikke kan benytte CPR som brugernavn.

Det er ikke særlig svært at gætte et CPR-nummer, for det er baseret på en matematisk beregning (der er fuldt offentligt tilgængelig). Så du kan bare skrive et eller andet "tilfældigt" tal som brugernavn i NemID og så bare gå i gang med at skrive tilfældige koder. Vupti, så har du også spærret en tilfældig persons NemID permanent.

Ved MitID får du kun lov at taste en kode, hvis personen benytter en nøgleviser. Det er dermed "kun" 250,000 personer, man kan spærre permanent på denne måde.

Med NemID kan man bruge samme teknik og spærre op mod 4,800,000 personer (antal personer i Danmark ≥15 år).

Så ja, jeg synes faktisk Version2's kritik bare er en stor overskrift uden reelt indhold, for MitID er - i dette tilfælde, som netop dokumenteret - en kraftig forbedring ift. MitID. Som andre så har luftet, så virker det dog meget underligt, at man vælger at spærre nøgleviseren permanent, i stedet for at fx tillade oplåsning ved at skanne pas, o.lign.

Baggrund:

Du ved, at CPR-nummeret ser således ud: ddmmyynnnn

dd kan kun være et tal mellem 01 og 28–31 (afhængigt af måned) mm kan kun være 01 til 12 yy kan være 00 til 99 nnnn - kan du beregne

Der er kun 540 kombinationer af "nnnn" pr. dato, hvis man er født før 2007. "nnnn" tildeles fortløbende nedefra. Hvis man er enddog rigtig interesseret, så kender vi også daglige fødselstal fra Danmarks Statistik. Derfor ved vi også, nøjagtigt hvor mange kombinationer af "nnnn" vi har for hver enkelt dato, hvis vi gerne vil være meget målrettede.

Ergo: Det er ligetil at finde på tilfældige tal, og er vi rigtig interesserede kan vi beregne os frem til næsten alle danskeres CPR-numre, og for at hacke dit NemID behøver vi derfor ikke gøre andet end strategisk at udvælge nogle CPR-numre (vi kunne fx vælge kun at gå efter "yy" i intervallet 40–60).

Jeg har ingen idé mht MitID chip, men bliver kodeviseren spærret så gælder følgende/nuværende regler vel stadig:

De første tre kodevisere er gratis. Herefter koster den 41,76 kroner. Kodeviseren kan bestilles på MitID.dk

"Med denne opdatering behøver man ikke at gå i Borgerservice, hvis ens kodeviser bliver spærret – har man et gyldigt pas og adgang til en smartphone, der kan scanne passet, vil mange kunne gøre det hjemmefra."

Så må man da håbe betalings løsningen for at få en ny kodeviser IKKE kræver MitID på nogen måde :ø)

Hej Rasmus - tak for at læse med! Har du også en kode, inden du skal bruge chippen? Har ikke haft lejlighed til at teste dén løsning endnu.

Er der nogen der ved om det samme gør sig gældende for os der har MitID Chip? Det vil ikke kun være besværret med borgerservice, man også ca. 150 kr (omend borgerservice er den værste del).

Meger relevant spørgsmål som jeg også godt kunne tænke mig at få svar på. Har både chip og kodeviser. Men mon ikke de blokerer begge typer. Det giver ikke mening, at de kun blokerer kodeviser og kodeoplæser, men ikke chip.

Og at lave det så man kan bestille en ny nøgleviser inde fra app'en - så er vi jo lige vidt, for nogen af dem der har nøgleviser, har jo nok gjort det fordi de ikke har en smartfone og dermed kan de jo ikke installere app'en.

Personligt har jeg fravalgt at have app'en, fordi det ikke overholder 2-faktor ordentligt syntes jeg, så hvis min bliver blokeret, har jeg bare ikke MitID indtil borgerservice måtte have tid.

De fleste der benytter en kodeviser (eller chip) må antages at gøre det, fordi de 1) enten ikke har en smartphone der er kompatibel med MitID app'en, eller 2) fordi de ønsker en højere sikkerhed. Jeg har personligt både app, kodeviser og chip, og skulle sådan set af med app'en efter at have fået chip og kodeviser, men tør næsten ikke slette app'en, hvis jeg risikerer at blive lukket ude med en spærret kodeviser og chip.