Snigpremiere: Sådan får du NemID-nøgleviseren

Version2 har bestilt en testversion af DanID's nye 'elektroniske papkort', nøgleviseren. Se med, hvad der venter dig.

NemID-papkortet lever og har det godt. Men derfor kan man jo godt være teknologisk frontløber og være med til at afprøve DanID's elektroniske tilbud til dem, der synes NemID-papkortet er for gammeldags: nøgleviseren.

Version2 har som nogle af de første fået lov at være med til smugpremieren på DanID's nøgleviser og har tirsdag morgen bestilt et eksemplar via et 'hemmeligt' link til DanID's bestillingsportal. Portalen åbner officielt mandag den 24. oktober.

Det første, man mødes af på siden, er en præsentation af fordelene ved nøgleviseren frem for papkortet. DanID fremhæver, at man frit kan skifte mellem nøgleviseren og papkortet, og at man med nøgleviseren ikke risikerer at løbe tør for nøgler. Naturligvis undtaget den situation, hvor nøgleviseren løber tør for batteri - men DanID garanterer, at batteriet holder minimum tre år. Når batteriet løber tør, kan nøgleviseren ikke længere bruges, og DanID giver herefter mulighed for, at man kan købe en ny.

Herefter skal man vælge, om man vil have nøgleviseren i sort eller hvid.

Det næste skærmbillede beder dig om et samtykke til, at DanID må bruge de personlige personlige oplysninger, du har givet din bank eller det offentlige, til at identificere, hvor nøgleviseren skal sendes hen. Jeg sætter det nødvendige flueben og klikker næste.

Nu er tiden kommet til at logge på med NemID, så jeg indtaster mit brugernavn og password, fisker papkortet frem fra tegnebogen og indtaster den krævede kode.

DanID præsenterer mig nu for de oplysninger, de har gravet frem af NemID-løsningen, nemlig mit navn, min adresse og min e-mail-adresse.

Samtidig bliver jeg bedt om at acceptere DanID's handelsbetingelser, hvor man blandt andet kan læse, at købet kan fortrydes i op til 14 dage efter modtagelsen – og at prisen på 99 kroner er inklusive forsendelse i Danmark, eksklusive Færøerne og Grønland.

Jeg accepterer betingelserne og præsenteres nu for det forestående køb af en NemID-nøgleviser i sort. Jeg klikker BETAL.
DanID har valgt at benytte modelselskabet Nets' egen betalingsløsning Netaxept til overførslen af penge. Afhængigt af, hvilket betalingskort der benyttes, betyder det et gebyr på mellem 1,10 og 1,24 kroner. Jeg vælger den billigste, Dankort …

… og indtaster mine kortoplysninger, så det samlede beløb på 100 kroner og 10 øre kan blive trukket på min konto.

Og vupti, inden tre hverdage skulle postbudet gerne komme med den nyerhvervede nøgleviser hjemme i privaten. Vær vis på, at Version2 til den tid vil teste 'det elektroniske papkort'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
tue kyndal

Jeg har d. 03-10-2011 stillet NEMID support et spørgsmål. Her er et uddrag samt svar.

Grundet det fornyelige NEMID MITM angreb og NEMIDs tydelige sårbarhed over for hacking via phishing, forlanger jeg at få lov til at installere min egen privat NEMID nøgle på min computer og dermed have en ÆGTE PKI login løsning til rådighed.

Svar:

Hej Tue

Tak for din henvendelse.

På et tidspunkt, sikkert først næste år, vil det være muligt at få en krypteret enhed med hele certifikatet på. På nuværende tidspunkt kan dette dog ikke lade sig gøre.

Når det så er sagt, vil det ikke gøre en forskel på sikkerheden i forbindelse med Phishing, da det svarer til at give en anden person de oplysninger der skal til for at logge på.

Man må sige at i det øjeblik at certifikatet er på en lokal fysisk enhed, er den også lettere at komme til. Det eneste der så kræves er nemlig din kode.

På nuværende tidspunkt at dit certifikat beskyttet både med din egen kode og en ny engangskode i form af nøglekort, hvilket gør det langt mere sikkert.

Hvis du vil føle sig sikker skal du holde dig fra at benytte links fra mails og uautoriserede sider, så vil dit NemID stadig være intakt.

Venlig hilsen

David

ServiceDesk / Technical Responsible

De skriver altså På nuværende tidspunkt at dit certifikat beskyttet både med din egen kode og en ny engangskode i form af nøglekort, hvilket gør det langt mere sikkert.

Hermed indrømmer DANID blankt at den nye nøgleløsning er mindre sikker, og ikke løser phishing problemet.

NEMID er præcist lige så let at hakke med et tilfældeligt link på en hjemmeside eller via en mail som hidtil.

Hvad er det så for noget skramme de forsøget at prakke os på?

Hvad skal Danmark med endnu en NEMID løsning, som er baseret på en forfejlet teknologi, der ikke giver brugeren en ægte digital signatur, og ikke tilføjer løsningen nogen en forbedret sikkerhed...og altså i følge NEMID support..nærmere det modsatte?

Jeg undres uendeligt meget over hvordan det er kommet så vidt?

  • 5
  • 9
Adam Tulinius

"Hermed indrømmer DANID blankt at den nye nøgleløsning er mindre sikker [..]"

Hvordan kan du konkludere det? De skriver bare at 2-faktor login er mere sikkert en 1-faktor, og nævner slet ikke nøgleviseren, der også kun vil være halvdelen af den 2-faktor sikkerhedsmodel der allerede bruges af NemID.

"[..] og ikke løser phishing problemet."

Ja det er det logisk, eftersom nøgleviseren kun erstatter dit papkort, og altså ikke kan forhindre dig i at fortælle dens hemmeligheder til de forkerte personer.

  • 10
  • 0
tue kyndal

Det er faldet mig ind at den løsning som NEMID support måske henviser til, ikke er den nye "nøgleviser" men endnu en kommende løsning hvor den private nøgle er installeret på en lokal enhed.

Uanset så ser det hverken ud til at den nye "nøgleviser" eller en kommende løsning, vil ændre på det faktum at grundstrukturen i NEMID er let at hakke..og så snart web-sider med NEMID login vil tage om sig, og folk får paraderne lidt med, vi phishing angrebene tage til i et omfang som vil undermimere hele konceptet.

Et phishet NEMID login til den lokale børnehavesommerfest tilmeldingside...giver med stor sandsynlighed også adgang til din netbank! Eneste krav et at du evt. oplyser hvilken bank du vil bruge..når tilmeldingen skal betales..og 5 sec. senere er du hakket uden at vide det og mens du sidder og ser på en "sorry siden er nede" besked bliver din konto tømt.

Man er ikke bare "dum" eller "uforsigtig" hvis man kommer ind på en phishing side...normale mennesker kan ikke se forskel på et kompliceret url til en bank login side hvor måske kun et punktum gør forskellen!

Jeg ser kun en udvej...lav NEMID fuldstændigt om og følg PKI standarded til fulde, så kun en krypteret forbindelse mellem DANID og brugeren samt en unik token / lokalt certifikat, kan verificere et login eller understøtte en digital signatur.

NEMID - WARNING THERE BE DRAGONS INSIDE!

  • 2
  • 4
Peter Mogensen

og sikkerhedsudfordringen i forhold til Smart-Phones kunne man have fundet en løsning på.

Det lyder som om vi har en frivillig.
Jeg er sikker på at det ikke vil tage dig lang tid at komme med et forslag til hvordan et stykke software på en evt. kompromiteret telefon skal kunne danne nøgler og vise til brugeren som ingen med root-adgang (eller ækv.) til telefonen vil kunne få adgang til.

  • 6
  • 0
Lars Tørnes Hansen

Kan man få version2.dk journalisten til at udspørge DanID om man på forhånd har udelukket alle der ikke har de nævnte kort? og samt hvorfor?

Jeg vil også gerne have svar på om det er muligt at betale med en bank overførsel - for DanID burde kunne finde af hvem det er der har betalt 99,- kr helt automatisk(=pr computer bogføre at 1 enhed er betalt så snart den ser 99,- kr indbetalt på en bestemt konto, betalt fra en bestemt konto, der tilhører en fysisk person, som de kender folkeregisteradressen på.)

Evt. kan man gøre som Statens Administration, og bruge (gys!) CPR nummer, som tekst til betalingen.

  • 0
  • 2
Lars Tørnes Hansen

ad 1)
Når nu en person kan have flere forskellige NemID, så kan man bare få udleveret et tal fra DanID, der bruges som identifikation for en betaling.

Betaler man for mere end 1 enhed i en betaling adskiller man bare tallene i teksten til betalingen med et komma.

Simpelt.

ad 2)

Gud og hver mand kender dit CPR-nummer, så ud fra dit forslag vil mange forskellige mennesker kunne bestille en nøglepind i dit navn. Det virker ikke særlig hensigtmæssigt.

Nej de kan ikke.
Forklar mig venligst hvordan "Gud og hver mand kender dit CPR-nummer, så ud fra dit forslag vil mange forskellige mennesker kunne bestille en nøglepind i dit navn", når de ikke kender mine pap-kort NemID koder, som skal bruges for at komme ned til betalingsdelen på nøglepindsbestillingswebsiden.

Bemærk at jeg skriver kun om betalingsidentifikation, når man har været forbi nøglepindsbestillingswebsiden.

Indrømmet det er ikke tydeligt, men først skriver jeg om at der kun er mulighed for kort betalinger, hvilket jeg ikke er tilfreds med.

  • 0
  • 1
Jesper Lund

Hej Tue Tak for din henvendelse. På et tidspunkt, sikkert først næste år, vil det være muligt at få en krypteret enhed med hele certifikatet på. På nuværende tidspunkt kan dette dog ikke lade sig gøre. Når det så er sagt, vil det ikke gøre en forskel på sikkerheden i forbindelse med Phishing, da det svarer til at give en anden person de oplysninger der skal til for at logge på. Man må sige at i det øjeblik at certifikatet er på en lokal fysisk enhed, er den også lettere at komme til. Det eneste der så kræves er nemlig din kode. På nuværende tidspunkt at dit certifikat beskyttet både med din egen kode og en ny engangskode i form af nøglekort, hvilket gør det langt mere sikkert. Hvis du vil føle sig sikker skal du holde dig fra at benytte links fra mails og uautoriserede sider, så vil dit NemID stadig være intakt.

Der er to interessante ting i det helpdesk svar

1) Den decentrale nøgleløsning er åbenbart blevet udsat til 2012. DanID havde oprindeligt lovet den til december 2010, hvilket senere blev til Q1 2011, derefter Q2 2011, og senest julen 2011 hvor DanID så sent som i juni (godt nok under lettere pres) udtalte at "nu skulle den være helt sikker.."
http://www.version2.dk/artikel/privat-decentral-noegle-til-nemid-er-paa-...

Den decentrale nøgleløsning er noget som DanID er kontraktligt forpligtet til at levere til os, mens nøgleviseren er et frivilligt projekt fra DanIDs side. Endnu en gang kan man undre sig over DanIDs prioritering af udviklingsarbejdet, men det skyldes måske at de ikke betaler dagbøder til staten for de gentagne forsinkelser af den decentrale nøgleløsning?

2) Mere besynderligt er det at den tekniske ansvarlige hos DanID helpdesk ikke har forstået hvad den decentrale nøgleløsning går ud på, når han siger at certifikatet er lettere at komme til når de ligger på en lokal enhed. Meningen er ikke at certifikatet skal læses fra enheden (det skulle meget gerne være umuligt!), men at privatnøgle operationen skal ske på enheden. På den måde er du sikker på at du taler med DanIDs servere, modsat OTP modellen (der låser op for en centralt placeret "privat" nøgle) som er pivåben overfor man-in-the-middle angreb,

I forhold til netbank vil det dog ikke gøre nogen forskel, da OCES delen med privatnøgle ikke bruges i denne sammenhæng, og den decentrale nøgleløsning (hvis/når den kommer...) vil slet ikke kunne bruges til netbank.

  • 3
  • 0
Finn Aarup Nielsen

Nu er jeg ikke inde i markedsføringsloven, men burde der ikke stå 100,10 kroner fremfor 99 kroner? Det er jo da vist ikke muligt at betale 99 kroner på nogen måde.

"§ 13. Ved erhvervsmæssigt udbud af varer til forbrugerne, dog ikke salg af varer ved auktionssalg, skal der ved mærkning, skiltning eller på anden måde tydeligt oplyses om den samlede pris for varen inklusive gebyrer, ..."

  • 2
  • 0
Lasse Vinther Tyron

og umiddelbart ingen ben i brugen. Ved login i netbanken kunne jeg skifte mellem brug af nøglekort eller nøgleviser. Valgte nøgleviser, trykkede på nøgleviserens eneste knap, koden vist på nøgleviseren indtastes. Nøgleviseren er en anelse mindre min RSA SecurID.

  • 0
  • 0
Log ind eller Opret konto for at kommentere