Britisk cybertjeneste om kodeords-blokering i NemID-app: »Det er en dårlig idé«

Det er nok bare mig der ikke er så klog, men jeg blev ikke helt klar over om du mener at man også i fremtiden kan tvinges til at bruge NemID som eneste "Ja de må godt få adgang" mulighed, eller om det vil være en hindring. :)

Altså om man kan tvinges til at skulle bruge NemID første gang, eller om de skal tilbyde en anden måde at gøre det på også.

Er der noget om hvordan man definerer dette :</p>
<p>"En bank er forpligtet til at give en kontooplysningstjeneste adgang til brugerens betalingskonti, hvis brugeren giver sit udtrykkelige samtykke hertil."</p>
<p>Hvis den eneste måde at give "udtrykkelig samtygge" bliver med NemID så er man jo lige vidt.

Det er nok mere for at beskytte forbrugeren, så en installation af en app, ikke giver fuld adgang til forbrugerens konto, fordi det står med småt i "Betingelser for brug og salgsvilkår" Med at brugeren explicit skal have givet adgang, nok med et ."er du helt sikker på at du vil" og et enkelt NEM id login.

Efterfølgende vil application hente data ved banken, og det burde ikke foregå på brugerniveau, så NEM id har intet med dette at gøre, da loven jo netop siger at der skal være adgang til maskinrummet ved bankerne.

Som jeg forstår det, så var den første PSD lov, kravet om at dette så skulle se nogenlunde ens ud ved alle banker i EU

Er der noget om hvordan man definerer dette :

"En bank er forpligtet til at give en kontooplysningstjeneste adgang til brugerens betalingskonti, hvis brugeren giver sit udtrykkelige samtykke hertil."

Hvis den eneste måde at give "udtrykkelig samtygge" bliver med NemID så er man jo lige vidt.

Det er jo stærkt på vej, nok ikke den offentlige del. Der er nok for mange politiker som har købt aktier i NET.</p>
<p>Men på betalingsområdet, kan man snart fravælge sig bankerne helt*, der kommer nye direktiver og regler fra EU, som betyder at bankerne skal åbne op overfor andre udbyder. Det bliver slagtet nogle banker og institutioner, der lever af betalinger. Også fordi mange aktiv, vil fravælge de hovedet ansvarlig for finanskrisen. Det heder PSD2

Det vil jeg bestemt lige læse op på.

Har forsøgt mig med spiir men der skal man så alligevel lige bruge NemID til at give dem lov til at få adgang til mine bankoplysninger.

Logisk nok at der skal valideres på en måde men håber da at det kan gøres uden NemID fremadrettet.

Den dag der er en bank der lader deres kunder lave bankforretninger uden NemID er den dag jeg skifter til den bank.

Ja i bund og grund er det vi rent faktisk mangler noget konkurrence på området.

Men på betalingsområdet, kan man snart fravælge sig bankerne helt*, der kommer nye direktiver og regler fra EU, som betyder at bankerne skal åbne op overfor andre udbyder. Det bliver slagtet nogle banker og institutioner, der lever af betalinger. Også fordi mange aktiv, vil fravælge de hovedet ansvarlig for finanskrisen. Det heder PSD2

Tro mig bankerne er for øjeblikket ved at skide i bukserne, samtidig vil Facebook, Google og Apple ramme dem meget hårdt. Og som vi så med swift, de har meget svært ved at være innovative, da de kommer til at slagte gulvgåsen, hvis de vil det.

" PSD2 indebærer en betydelig økonomisk udfordring for bankerne. It-omkostningerne vil formentlig stige på grund af nye sikkerhedskrav og åbne API’er. 9 procent af indtægterne fra detailbetalinger forventes desuden at gå til PISP-tjenester i 20201. Og efterhånden som ikke bank-leverandører overtager interaktionen med kunderne, vil det blive sværere og sværere for bankerne at differentiere sig på långivermarkedet. "

"Det nye betalingstjenestedirektiv (direktiv (EU) 2015/2366) (PSD2) indfører nye regler, som gør det lettere for finansielle teknologivirksomheder at tilbyde deres betalingstjenester inden for EU.

De nye regler indebærer blandt andet, at banker er forpligtede til at give adgang til deres brugeres betalingskonti. Derudover indebærer PSD2, at de såkaldte tredjepartsudbydere får mulighed for at udbyde nye tjenester i form af betalingsinitieringstjenester og kontooplysningstjenester."

https://www.evry.com/da/news/artikler/psd2-the-directive-that-will-change-banking-as-we-know-it/

http://kammeradvokaten.dk/viden/alt-om-psd2/introduktion-til-psd2/

Enig, det er en langt mere elegant løsning end et papkort. Og så fjerner det afhængigheden af Post Danmark, hvilket er endnu et plus.

Ja det er også et stort plus.

Dog mangler de så stadigvæk en løsning som giver mig som bruger, mulighed for, selv at opbevare hele, eller dele af min digitale signatur og ikke som idag hvor det hele ligger på en norsk server, drevet af et amerikansk firma.

Altså en elegant løsning som virker både med netbank og OCES.

Ja i bund og grund er det vi rent faktisk mangler noget konkurrence på området. Monopoler har aldrig gjort noget godt.

De findes løsninger hvor man får en "øjebliks kode" som genereres i en ekstern device og koden er kun gyldig i ganske kort tid.

Enig, det er en langt mere elegant løsning end et papkort. Og så fjerner det afhængigheden af Post Danmark, hvilket er endnu et plus.

Men det er præcis den rolle, papkortet har - en fysisk ting, der ikke kan tilgås uden fysisk adgang.

Men hvad hjælper det så når folk tager billeder af kortet og lægger på deres computer eller mobil, simpelthen fordi et analogt stykke papir ikke passer ind i deres digitale verden.

Eller når Moster Oda får en mail fra "Tech-support" som beder hende om at sende et billede af hendes kort samt hendes brugernavn og adgangskode.

Det er jo her papkortet viser sin svaghed, altså ved at koderne er statiske og man får udleveret 50 af gangen.

Papkortet er dybt dybt forældet, den eneste måde hvorpå man kan sikre sig rimeligt imod misbrug er at lade kodegenereringen foregå i det øjeblik man rent faktisk skal bruge den og lade den løbe ud kort tid efter.

De findes løsninger hvor man får en "øjebliks kode" som genereres i en ekstern device og koden er kun gyldig i ganske kort tid.

På den måde bliver det sværere at udsende en masse mails og bede om koder og brugernavne og man forhindrer at folk kan lagre disse koder (Foto af papkort) på det device de bruger til at gennemføre transaktionen med.

Umiddelbart mener jeg ikke at sikkerheden behøver at være ringe hvis man skriver sit password på en seddel frem for at have det liggende i et word dokument. Sedlen er ikke nem at tilgå udefra, så det kræver fysisk adgang for at kunne misbruge det.

Men det er præcis den rolle, papkortet har - en fysisk ting, der ikke kan tilgås uden fysisk adgang.

Og hvis man får fysisk adgang til papkortet, er der ikke sket nogen skade, medmindre man også har adgang til adgangskoden - og det må man antages at have, hvis adgangskoden er skrevet på et stykke papir, der opbevares sammen med papkortet (tænk lommebøger, dametasker, skriveborde m.v.).

Man kan hævde, at sikkerheden under alle omstændigheder er kompromitteret, hvis angriberen har fysisk adgang - og det er jo rigtigt nok, hvis angriberen både kan aflure password og papkort, fx gennem USB-keyloggers og kopiering af papkort i et ubevogtet øjeblik. Men ved at adskille password og papkort, så kun papkortet findes i fysisk tilstand, kan man undgå, at en tilfældig kriminel får serveret begge dele på et sølvfad ved fx tasketyveri, indbrud i hjemmet o.l.

Men selv hvis man vurderer sandsynligheden for fysiske angreb som lav, berettiger det ikke, at man fjerner muligheden for copy-paste i password-feltet og derved sænker sikkerheden for alle.

Det virker som en af de gamle 90'er-doktriner, hvor et godt password var et, der var besværligt for mennesker at huske og skrive. Og på grund af Nets' og myndighedernes sædvanlige arrogance og tyrkertro på security by obscurity finder vi aldrig ud af, om der vitterligt er nogen som helst rationel tanke bag.

Empirien taler dog sit klare sprog om den sag.

Det ville da være naivt at tro. Ctrl-V, så husk lige at gemme clip board også.

Hvis keyloggeren også scraper dit clipboard så ja, men de fleste keyloggers gør jo netop det...."Logs keys".

Zoz nævner her at han ikke kunne forstå hvorfor han ingen passwords så.

https://www.youtube.com/watch?v=U4oB28ksiIo

Han kunne så dekryptere de passwords der var, fordi det var hans computer og passwords var krypteret med hans kode.

Videoen er rimelig sjov og se-værdig hvis du har tid.

Ved password managere eller klippe klistre passwords er at så kan en gut med en keylogger ikke logge dine passwords på den måde.

Ved password managere eller klippe klistre passwords er at så kan en gut med en keylogger ikke logge dine passwords på den måde.

Umiddelbart mener jeg ikke at sikkerheden behøver at være ringe hvis man skriver sit password på en seddel frem for at have det liggende i et word dokument. Sedlen er ikke nem at tilgå udefra, så det kræver fysisk adgang for at kunne misbruge det.

kodeordspraksissen, der altså blandt andet lader til at blive anvendt i NemID

Efter flere års sporadisk brug af password-manager gik jeg all-in for nogle måneder siden og har nu 150 nye passwords på hver 30 uhuskelige tegn. Det fungerer overraskende godt, både på pc og mobil.

Kun to services voldte problemer:

NemID, fordi paste var slået uløseligt fra på fx iOS. NemID var den eneste service ud af mine 150, hvor copy-paste var slået fra.

Og Rejsekortet, fordi passwords max må være 15 tegn lange og kun indeholde store og små bogstaver samt tal, hvilket giver en skidt score for kompleksiteten.

Jeg fik stor lyst til at ruske begge to.

For at kunne kopiere behøver password at findes på samme computer i elektronisk form. Min mor ville lægge en word fil med navnet "mine passwords.doc" i user Documents. Ved at forbyde copy and paste håber man at opnå at min mor istedet skriver dem på et stykke papir.

Hvis effekten er, at din mor skriver sit password på et stykke papir i stedet for at gemme det i en ukrypteret Word-fil, har man igen mindsket sikkerheden i stedet for at øge den.

Ideen med to-faktor authentication (password + kode fra fysisk papkort) er jo netop, at man skal adskille de to faktorer.

Hvis en tasketyv tager din mors Nem-ID-papkort og hendes gule lap med passwordet på, har han fuld adgang. Ligger passwordet derimod i en Word-fil, er sandsynligheden for at han både får fat i Word-filen OG papkortet væsentligt mindre.

I øvrigt er det tæt på ligegyldigt for sikkerheden, om din mor gemmer sit password i en Word-fil eller husker det i hovedet. Hvis hendes maskine bliver kompromitteret, kan passwordet aflures gennem en keylogger, og så er vi lige vidt.

Det værste ved Nets' og Digitaliseringsstyrelsens manglende forståelse for sikkerheden er næsten den arrogance, de samtidig udviser.

Opfordrede NemID ikke brugerne til at skifte deres passwords ud til 4 cifrede pinkoder for nogle måneder siden, fordi det skulle være lettere at bruge på mobilen? Samtidigt argumenterede de for at sikkerheden ikke blev ringere...

tillader, at pas"ordet" er 4 (fire) cifre - bigge security.

Skulle tvinges til at indtaste passwords med 15 tilfældige bogstaver/tegn på en mobil dagen lang.

Konsekvensen af at man ikke må paste er passwords som "password1234".

At blive tvunget til at indtaste password, gør det også nemmer til smugkigger og kameraer.

Er der iøvrigt nogle gode argumenter for at bruge f.eks. lastpass, 1password eller lignende frem for browserens indbyggede password-huske funktion?

Password-managere virker på alle dine browsere og andre programmer der har brug for autentifikation. Men fordelen af indbyggede password-huske funktioner er, at man ikke behøver at bruge clipboard'et.

Password-managere som bruger en virtuel tastatur (kan sandsynligvis ikke stoppes af SPP) er nok det bedste løsning.

Bruger personligt også en password manager til de fleste sites hvor login'et er vigtigt, men ikke til simple sites som version2.dk hvor der ikke rigtigt er det store på spil hvis ens login skulle blive gættet.

Min password manager (Password Safe) er dog ikke web/browser/extension baseret, det kører rent lokalt uden for browseren.

Rent personligt var mit valg på ovenstående, pga. jeg stoler på Bruce Schneier, og stoler på han ved hvad han laver når det kommer til kryptering. (Hvis du ikke ved hvem han er, så google ham, men han er nu en ret kendt/respekteret kryptograf).

Jeg stoler ikke på random zyz person der har lavet en password manager, eller en eller anden browser extension af et ukendt firma, eller noget someone at somewhere hosts at some cloud.

Mit "master" password er totalt random >30 tegn jeg har lært uden af, der er ingen ord eller mening bag det, men sådan er vi jo forskellig :)

Bruger heldigvis ikke nemid ret tit, man kan kun håbe de tænker ordentlig sikkerhed ind i den næste version, men tvivler, hvis det er the usual suspects der kommer til at stå for det.

Hvad med en Lego-robot, der taster passwords ind. Mindst lige så "sikkert" som "gule sedler" og falske telefonnumre i lommebogen. Men i smuk overensstemmelse med gældende dansk standard for fri adgang.

Realiteten er bare at det ikke er nogen garanti og at folk så i stedet vælge simple passwords som er nemme at huske eller skriver dem på gule sedler

Eller endnu værre; i et ukrypteret word-dokument

Er der iøvrigt nogle gode argumenter for at bruge f.eks. lastpass, 1password eller lignende frem for browserens indbyggede password-huske funktion?

så kan man opbevare sin password database på en removable USB, så den kun er i nærheden af internettet når det er nødvendigt.

Ja en password manager kan kompromiteres ligesom en gul seddel eller et word dokument. Pointen er at password managers gør det nemt at bruge komplekse passwords, som almindelige mennesker ikke vil kunne huske i hovedet og som ikke er sårbare overfor dictionary attacks. Desuden giver de mulighed for at bruge forskellige password for hvert site/tjeneste så hvis én tjeneste bliver kompromiteret (hvilket jo er sket adskillige gange over de sidste par år), så giver det ikke hackere adgang til alle dine tjenester.

Er jeg den eneste der savner et argument for at bruge SPP? Det eneste argument jeg kan se er at man tror man kan opdrage brugerne til ikke at gemme passwords i klartekst. Realiteten er bare at det ikke er nogen garanti og at folk så i stedet vælge simple passwords som er nemme at huske eller skriver dem på gule sedler

To sikre er bedre end en.

Og hvori præcis ligger sikkerheden ved at du taster kodeordet selv, eller om du bruger din password manager? Hvis det er fordi man frygter for at en password manager kan brydes el. lign., så kan man opbevare sin password database på en removable USB, så den kun er i nærheden af internettet når det er nødvendigt.

Jeg forstår ikke hvorfor alle folk er så vilde med at anbefale password managers...

https://www.troyhunt.com/only-secure-password-is-one-you-cant/

Og så lige spot on på artiklens emne og hvorfor NETS har misforstået noget:https://www.troyhunt.com/the-cobra-effect-that-is-disabling/

Jeg bruger password managers, og forsøger at bruge 15-20 tilfældige tegn på alle websider. Det giver mig ekstra sikkerhed, da jeg aldrig bruger samme password 2 steder, og et hack et sted vil kun kunne kompromitere det ene site, og crack af mit password vil være vanskeligt. Genbrug af password mellem mere eller mindre trustede sites er skod. Og hvis man skal taste, så vælger de fleste et kortere kodeord.

Jeg bruger 1password på tværs af mine devices. Den bruger DropBox som "delemedie". Jeg har 2-FA på min dropbox. Derudover bruger 1password 256-bit AES kryptering, og nøglen afledes af master password der kører 100.000 gange gennem PBKDF2. Så mit master password kan ikke brute forces, men er muligvis sårbart for mere intelligente angreb, såsom dictionary attacks kobineret med et regelsæt. Men det vil alligevel tage lang tid.

Men så kræver det også at de hugger dit nøglekort, hvilket er hvori den største sikkerhed ligger. Uanset om du paster dit password ind eller ej, så hvis din computer er inficeret kan du stadigvæk risikere at der er en keylogger der følger med, og så er det ligegyldigt om kodeordet kom fra hovedet eller f.eks. LastPass.

Om nogen skulle hugge min kode til Version2 er jeg rimeligt kold overfor. Men mit nemid og min bankkonto!!!

Men så kræver det også at de hugger dit nøglekort, hvilket er hvori den største sikkerhed ligger. Uanset om du paster dit password ind eller ej, så hvis din computer er inficeret kan du stadigvæk risikere at der er en keylogger der følger med, og så er det ligegyldigt om kodeordet kom fra hovedet eller f.eks. LastPass.

Jeg forstår ikke hvorfor alle folk er så vilde med at anbefale password managers. For mig lyder det som et oplagt mål for en hacker, hvis man kan skaffe sig adgang til en persons passwordmanager. Hvorfor anses det det for mere sikkert en en gul seddel gemt godt af vejen i en aflåst skuffe?

Jeg kan langt hen ad vejen følge logikken. Langt de fleste af mine passwords ligger i browseren, ud fra en betragtning om, at de egentligt ikke særligt vigtige. Nogen gange ryster jeg på hovedet af nogle inferiøre sites kræve både store bogstaver og tal.

Og så er der passwords som kun er et sted - i mit hovede. Det gælder f.eks. nemid og paypal.

Netop for nemid er det faktisk en god ide at man ikke kan gemme kodeordet elektronisk. Det er trods alt en så central og vigtig kode for alle danskere efterhånden, at man godt kan forvente den skille sig ud fra f.eks. koden til Version2.

Om nogen skulle hugge min kode til Version2 er jeg rimeligt kold overfor. Men mit nemid og min bankkonto!!!

De har en anti-paste funktion, men skelner ikke mellem store og små bogstaver. passwordene giraf1, giRaf1, giRaF1 osv. er det samme password. Heldigvis har min password manager en anti-anti-paste funktion. Så jeg bliver kun ramt hvis jeg manuelt forsøger at paste.

For at kunne kopiere behøver password at findes på samme computer i elektronisk form. Min mor ville lægge en word fil med navnet "mine passwords.doc" i user Documents. Ved at forbyde copy and paste håber man at opnå at min mor istedet skriver dem på et stykke papir.

Bare slet...

På baggrund af hvad vi har set fra Nets og Digitaliseringstyrelsen, så antager jeg klart at der ikke ligger et grundigt argument bag dette designvalg, som kan tåle at se dagens lys, og at det er derfor begrundelsen er hemmelig.

Det er samme som når folk/firmaer laver deres egne krypteringsalgoritmer og ikke vil sige noget nærmere. Hvis dit sikkerhedsinitiativ ikke kan tåle at komme frem i lyset, så er det ikke rigtig sikkerhed men security by obscurity,

De har sikkert tænkt - "meh, der er alligevel ikke så mange som skal bruge den funktion".

Jeg bruger selv Lastpass, men har hørt mange argumenter for og i mod brug af 'Kodeordshuskere'. Men der har lige været en artikel i et af tabloidaviserne, som påstår at danske unge er IT-dumme (måske var det ikke det ord de brugte), og dem får man næppe til at bruge noget ekstra software. For slet ikke at snakke om Hr. og Fru. Danmark.

Det virker som endnu et forsøg på 'Security through obscurity' (red. på dansk også kaldet Sikkerhed gennem uklarhed)

»De nærmere forhold og detaljer, der ligger bag vores valg af sikkerhedsforanstaltninger, kan vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen,« oplyser Digitaliseringsstyrelsen i et skriftligt svar, der skulle stamme fra en ikke nærmere specificeret kilde i Nets.

Jeg er efterhånden rigtig godt træt af Nets og Digitaliseringstyrelsen. NemID er fuld af åbenlyst defekte valg, og de kan/vil ikke forsvare dem. Så vi ender med "vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen" fra "en ikke nærmere specificeret kilde i Net".

På baggrund af hvad vi har set fra Nets og Digitaliseringstyrelsen, så antager jeg klart at der ikke ligger et grundigt argument bag dette designvalg, som kan tåle at se dagens lys, og at det er derfor begrundelsen er hemmelig.