Snigpremiere: Sådan får du NemID-nøgleviseren

Husk at slette i sidste billede også selvom den måske ikke er så hemmelig...

Er der ingen mulighed for at springe over papkortet, dvs. blive oprettet og få nøgleviseren istedet for papkortet ?

Hvis du følger linket og klikker på ofte stillede spørgsmål - finder du svaret.

Nope, det er der pt ikke mulighed for.. Du må igennem papkortet, også ved rekvirering af ny om 3 år, som det er nu :(

Jeg har allerede en dims; min mobiltelefon. Jeg gider ikke bære rundt på flere.

Fidusen er, at "dimsen" skal være permanent off-line. Hvis man lægger nøgleapplikationen på mobilen, vil den potentielt kunne hackes via internet.

Ja, samtidig med at min pc skal hackes.... Det korte af det lange er: Denne dims løser ikke noget betydningsfuldt problem. Jeg springer over.

Jeg har d. 03-10-2011 stillet NEMID support et spørgsmål. Her er et uddrag samt svar.

Grundet det fornyelige NEMID MITM angreb og NEMIDs tydelige sårbarhed over for hacking via phishing, forlanger jeg at få lov til at installere min egen privat NEMID nøgle på min computer og dermed have en ÆGTE PKI login løsning til rådighed.

Svar:

Hej Tue

Tak for din henvendelse.

På et tidspunkt, sikkert først næste år, vil det være muligt at få en krypteret enhed med hele certifikatet på. På nuværende tidspunkt kan dette dog ikke lade sig gøre.

Når det så er sagt, vil det ikke gøre en forskel på sikkerheden i forbindelse med Phishing, da det svarer til at give en anden person de oplysninger der skal til for at logge på.

Man må sige at i det øjeblik at certifikatet er på en lokal fysisk enhed, er den også lettere at komme til. Det eneste der så kræves er nemlig din kode.

På nuværende tidspunkt at dit certifikat beskyttet både med din egen kode og en ny engangskode i form af nøglekort, hvilket gør det langt mere sikkert.

Hvis du vil føle sig sikker skal du holde dig fra at benytte links fra mails og uautoriserede sider, så vil dit NemID stadig være intakt.

Venlig hilsen

David

ServiceDesk / Technical Responsible

De skriver altså På nuværende tidspunkt at dit certifikat beskyttet både med din egen kode og en ny engangskode i form af nøglekort, hvilket gør det langt mere sikkert.

Hermed indrømmer DANID blankt at den nye nøgleløsning er mindre sikker, og ikke løser phishing problemet.

NEMID er præcist lige så let at hakke med et tilfældeligt link på en hjemmeside eller via en mail som hidtil.

Hvad er det så for noget skramme de forsøget at prakke os på?

Hvad skal Danmark med endnu en NEMID løsning, som er baseret på en forfejlet teknologi, der ikke giver brugeren en ægte digital signatur, og ikke tilføjer løsningen nogen en forbedret sikkerhed...og altså i følge NEMID support..nærmere det modsatte?

Jeg undres uendeligt meget over hvordan det er kommet så vidt?

Jeg forstå den ny nøgleløsning som et alternativ for "papkortet" og ikke som mere sikkert, som er i øvrigt lige så "sikkert" som papkortet.

Mvh.

"Hermed indrømmer DANID blankt at den nye nøgleløsning er mindre sikker [..]"

Hvordan kan du konkludere det? De skriver bare at 2-faktor login er mere sikkert en 1-faktor, og nævner slet ikke nøgleviseren, der også kun vil være halvdelen af den 2-faktor sikkerhedsmodel der allerede bruges af NemID.

"[..] og ikke løser phishing problemet."

Ja det er det logisk, eftersom nøgleviseren kun erstatter dit papkort, og altså ikke kan forhindre dig i at fortælle dens hemmeligheder til de forkerte personer.

Det er faldet mig ind at den løsning som NEMID support måske henviser til, ikke er den nye "nøgleviser" men endnu en kommende løsning hvor den private nøgle er installeret på en lokal enhed.

Uanset så ser det hverken ud til at den nye "nøgleviser" eller en kommende løsning, vil ændre på det faktum at grundstrukturen i NEMID er let at hakke..og så snart web-sider med NEMID login vil tage om sig, og folk får paraderne lidt med, vi phishing angrebene tage til i et omfang som vil undermimere hele konceptet.

Et phishet NEMID login til den lokale børnehavesommerfest tilmeldingside...giver med stor sandsynlighed også adgang til din netbank! Eneste krav et at du evt. oplyser hvilken bank du vil bruge..når tilmeldingen skal betales..og 5 sec. senere er du hakket uden at vide det og mens du sidder og ser på en "sorry siden er nede" besked bliver din konto tømt.

Man er ikke bare "dum" eller "uforsigtig" hvis man kommer ind på en phishing side...normale mennesker kan ikke se forskel på et kompliceret url til en bank login side hvor måske kun et punktum gør forskellen!

Jeg ser kun en udvej...lav NEMID fuldstændigt om og følg PKI standarded til fulde, så kun en krypteret forbindelse mellem DANID og brugeren samt en unik token / lokalt certifikat, kan verificere et login eller understøtte en digital signatur.

NEMID - WARNING THERE BE DRAGONS INSIDE!

På nuværende tidspunkt at dit certifikat beskyttet både med din egen kode og en ny engangskode i form af nøglekort, hvilket gør det langt mere sikkert.

Der skal nok stå: ".. tidspunkt ER dit ...".

Det er nu en skam, at den nye NemID nøgleviser ikke blev en løsning udarbejdet til mobiltelefoner. Det ville have gjort det nemt for de fleste og sikkerhedsudfordringen i forhold til Smart-Phones kunne man have fundet en løsning på. Men nu vel - dejligt med et alternativ til papkort.

Hvor er det rart at min personlige oplysninger kan få samme sikkerhed som min blizzard konto til at spille starcraft og world of warcraft: http://eu.blizzard.com/store/details.xml?id=221004517 Og den koster nu mindre. Men dog finder jeg det ironisk det tog dem så lang tid at få styr på denne løsning.

Det tager ikke mange sekunder at tage et billede af papkortet - så er nøglerne pludselig på mobilen... :)

og sikkerhedsudfordringen i forhold til Smart-Phones kunne man have fundet en løsning på.

Det lyder som om vi har en frivillig. Jeg er sikker på at det ikke vil tage dig lang tid at komme med et forslag til hvordan et stykke software på en evt. kompromiteret telefon skal kunne danne nøgler og vise til brugeren som ingen med root-adgang (eller ækv.) til telefonen vil kunne få adgang til.

Jeg havde engang en sådan dims til Danske Bank. Da jeg skiftede batteriet gik alt i koks. Jeg skulle have ladet Danske Bank skifte batteriet ;-) God fornøjelse

Kan man få version2.dk journalisten til at udspørge DanID om man på forhånd har udelukket alle der ikke har de nævnte kort? og samt hvorfor?

Jeg vil også gerne have svar på om det er muligt at betale med en bank overførsel - for DanID burde kunne finde af hvem det er der har betalt 99,- kr helt automatisk(=pr computer bogføre at 1 enhed er betalt så snart den ser 99,- kr indbetalt på en bestemt konto, betalt fra en bestemt konto, der tilhører en fysisk person, som de kender folkeregisteradressen på.)

Evt. kan man gøre som Statens Administration, og bruge (gys!) CPR nummer, som tekst til betalingen.

1) Folk kan have flere forskellige NemID, så person-identifikation er ikke nok. 2) Gud og hver mand kender dit CPR-nummer, så ud fra dit forslag vil mange forskellige mennesker kunne bestille en nøglepind i dit navn. Det virker ikke særlig hensigtmæssigt.

ad 1) Når nu en person kan have flere forskellige NemID, så kan man bare få udleveret et tal fra DanID, der bruges som identifikation for en betaling.

Betaler man for mere end 1 enhed i en betaling adskiller man bare tallene i teksten til betalingen med et komma.

Simpelt.

ad 2)

Gud og hver mand kender dit CPR-nummer, så ud fra dit forslag vil mange forskellige mennesker kunne bestille en nøglepind i dit navn. Det virker ikke særlig hensigtmæssigt.

Nej de kan ikke. Forklar mig venligst hvordan "Gud og hver mand kender dit CPR-nummer, så ud fra dit forslag vil mange forskellige mennesker kunne bestille en nøglepind i dit navn", når de ikke kender mine pap-kort NemID koder, som skal bruges for at komme ned til betalingsdelen på nøglepindsbestillingswebsiden.

Bemærk at jeg skriver kun om betalingsidentifikation, når man har været forbi nøglepindsbestillingswebsiden.

Indrømmet det er ikke tydeligt, men først skriver jeg om at der kun er mulighed for kort betalinger, hvilket jeg ikke er tilfreds med.

https://www.nets-danid.dk/produkter/nemid_til_private/nemid_noegleviser/...

Hej Tue Tak for din henvendelse. På et tidspunkt, sikkert først næste år, vil det være muligt at få en krypteret enhed med hele certifikatet på. På nuværende tidspunkt kan dette dog ikke lade sig gøre. Når det så er sagt, vil det ikke gøre en forskel på sikkerheden i forbindelse med Phishing, da det svarer til at give en anden person de oplysninger der skal til for at logge på. Man må sige at i det øjeblik at certifikatet er på en lokal fysisk enhed, er den også lettere at komme til. Det eneste der så kræves er nemlig din kode. På nuværende tidspunkt at dit certifikat beskyttet både med din egen kode og en ny engangskode i form af nøglekort, hvilket gør det langt mere sikkert. Hvis du vil føle sig sikker skal du holde dig fra at benytte links fra mails og uautoriserede sider, så vil dit NemID stadig være intakt.

Der er to interessante ting i det helpdesk svar

1) Den decentrale nøgleløsning er åbenbart blevet udsat til 2012. DanID havde oprindeligt lovet den til december 2010, hvilket senere blev til Q1 2011, derefter Q2 2011, og senest julen 2011 hvor DanID så sent som i juni (godt nok under lettere pres) udtalte at "nu skulle den være helt sikker.." http://www.version2.dk/artikel/privat-decentral-noegle-til-nemid-er-paa-...

Den decentrale nøgleløsning er noget som DanID er kontraktligt forpligtet til at levere til os, mens nøgleviseren er et frivilligt projekt fra DanIDs side. Endnu en gang kan man undre sig over DanIDs prioritering af udviklingsarbejdet, men det skyldes måske at de ikke betaler dagbøder til staten for de gentagne forsinkelser af den decentrale nøgleløsning?

2) Mere besynderligt er det at den tekniske ansvarlige hos DanID helpdesk ikke har forstået hvad den decentrale nøgleløsning går ud på, når han siger at certifikatet er lettere at komme til når de ligger på en lokal enhed. Meningen er ikke at certifikatet skal læses fra enheden (det skulle meget gerne være umuligt!), men at privatnøgle operationen skal ske på enheden. På den måde er du sikker på at du taler med DanIDs servere, modsat OTP modellen (der låser op for en centralt placeret "privat" nøgle) som er pivåben overfor man-in-the-middle angreb,

I forhold til netbank vil det dog ikke gøre nogen forskel, da OCES delen med privatnøgle ikke bruges i denne sammenhæng, og den decentrale nøgleløsning (hvis/når den kommer...) vil slet ikke kunne bruges til netbank.

Nu er jeg ikke inde i markedsføringsloven, men burde der ikke stå 100,10 kroner fremfor 99 kroner? Det er jo da vist ikke muligt at betale 99 kroner på nogen måde.

"§ 13. Ved erhvervsmæssigt udbud af varer til forbrugerne, dog ikke salg af varer ved auktionssalg, skal der ved mærkning, skiltning eller på anden måde tydeligt oplyses om den samlede pris for varen inklusive gebyrer, ..."

og umiddelbart ingen ben i brugen. Ved login i netbanken kunne jeg skifte mellem brug af nøglekort eller nøgleviser. Valgte nøgleviser, trykkede på nøgleviserens eneste knap, koden vist på nøgleviseren indtastes. Nøgleviseren er en anelse mindre min RSA SecurID.

Nu har jeg leget lidt med den nye nøgleviser. Nemt at bruge. Men som der er givetudtryk for andet sted så er det endnu en gadgets at slæbe rundt på. Den virker også fint i bankernes apps udgave. (Prøvet på en android)