DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn

Der er ingen forskel på små og store bogstaver i det selvvalgte kodeord til NemID. Folk ville bare blive forvirrede, siger DanID, der mener, at passwordet er sikkert nok.

Både tal og små og store bogstaver. Sådan lyder en efterhånden meget udbredt konvention for sikre passwords, men til kodeordet for den nye nationale digitale signatur, NemID, er det anderledes.

Her kan brugerne vælge et kodeord med kun små bogstaver og tal, for der bliver ikke skelnet mellem store og små bogstaver. Det har fået mange Version2-læsere og andre it-professionelle til at undre sig eller ligefrem dumpe løsningen.

Men at droppe den skelnen, som ellers er normal praksis mange andre steder, er ikke noget problem for sikkerheden i den samlede løsning, siger Peter Lind Damkjær, kryptologi-ekspert hos DanID, som står bag NemID.

»NemID er beskyttet mod brute force-angreb ved, at man kun får fem forsøg, før den låser. Med den gamle digitale signatur kunne du forsøge alle de gange, du ville, når man havde kontrol over nøglefilen. Så sikkerheden i NemID er god nok,« siger han.

Han sammenligner med Dankortet, som bankerne står bag og løbende vurderer sikkerheden i.

»Med et Dankort lukkes kontoen efter tre forsøg. Men der er det sikkert nok at bruge fire tal som password, og vi går så et skridt videre, når vi kræver seks tegn og både tal og bogstaver,« siger han.

Sammenlignet med Dankortets pinkode kommer der med NemID også et ekstra lag beskyttelse, nemlig de engangskoder, som bliver sendt ud til brugerne på små kort.

Brugerne bliver forvirrede af store og små bogstaver
Erfaringen fra supportopkald til netbank og den tidligere digitale signatur viser, at mange brugere kløjes i, om det er store eller små bogstaver, og om caps lock er slået til ved en fejl, lyder begrundelsen.

Så selvom man fra NemID's side med lidt javascript nemt kan registrere, om folk har caps lock aktiveret, når de forsøger at logge ind, har man altså helt fravalgt at skelne mellem store og små bogstaver, forklarer Peter Lind Damkjær.

Den beslutning blev taget i en arbejdsgruppe med repræsentanter fra IT- og Telestyrelsen, bankerne og DanID, dengang hele løsningen blev designet.

Ønsker man et bomstærkt kodeord, er der rig mulighed for det, siger Peter Lind Damkjær. Man kan bruge visse specialtegn i sit kodeord og gøre det op til 40 tegn langt.

Frygter ikke indlysende passwords

DanID er heller ikke bekymret for, om nogle danskere vælger et kodeord, der er alt for indlysende.

Der bliver i hvert fald ikke tjekket for ord som eksempelvis 'password1'. Eneste krav er, at kodeordet ikke rummer cpr-nummer eller brugernavn, og at der ikke er fire ens tegn i træk.

»Vi sammenligner ikke med typiske dictionary attacks. Det vil normalt også være kontekstafhængigt, hvad der er et oplagt ord for folk, for eksempel konens tidligere efternavn, og det ville være uhyre svært for os at sikre os imod,« siger Peter Lind Damkjær.

Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik.

»Vi kan aldrig være 100 procent sikre på at sortere oplagte ord fra. Så vil vi hellere gå ud og plædere for sikre passwords gennem for eksempel Netsikker nu-kampagnen. Det er bedre at uddanne folk i, at de skal være opmærksomme,« siger Peter Lind Damkjær.

NemID er Danmarks nye digitale signatur og blev lanceret 1. juli.

Løsningen har været kritiseret for at samle de private nøgler, som hver borger får tildelt, på en central server, i modsætning til den tidligere løsning, hvor nøglerne lå lokalt på borgerens computer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (81)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rune Broberg

Når man ser dette, og de tidligere problemer DanID har haft med Version2s læsere, ligner det lidt at de har taget et fint whitepaper med best practice, og så fået placeret det i bunken med "sådan skal man IKKE gøre det!" ...

Giver det ikke bare et endnu dårligere signal til brugerne om hvordan man bør håndtere passwords på en god måde, f.eks. til ens email eller facebook, når nu noget så VIGTIGT som ens digitale identitet ikke engang behøver noget godt kodeord; thi DanID har jo selv sagt at kodeord er lige meget.

Torben Mogensen Blogger

Jeg er enig i, at det ikke betyder det store, om man skelner mellem store og små bogstaver, hvis bare der er nok tegn. Seks tegn er lidt i underkanten, men hvis der kun er fem forsøg, kan det sagtens gå. Men jeg ville nu foretrække, at man ikke satte nogen krav overhovedet til tegnsammensætningen (dvs. ikke krav om både bogstaver og tal), men til gengæld satte minimumslængden op til f.eks. otte tegn.

Hvis man vil undgå ordbogsangreb, så bør udbyderen lave en (krypteret) Googlesøgning på det foreslåede kodeord, og afvise det, hvis der er mere end 10 hits.

Per Laursen

Med den planlagte tilslutning er der snart 1 million brugere eller mere.

Så det er oplagt at benytte det samme password på forskellige brugernavne istedet for.

Med et botnet i baghånden burde man oven i købet kunne skifte ip adresse rimeligt ofte.

Det har de formentlig tænkt over.

:-)

Casper Bang

Det er jo en gammel debat; hvorvidt højere entropi (flere kombinationer) går lige op med dummere vaner (f.eks. nedskrivning af passwords).

Man kan jo også gå skridtet viddere og spørge om specialtegn ikke også skal incl. (f.eks. #$%&!+) der jo ligeledes forhøjer entropien.

Der vil altid være en balance imellem sikkerhed og convenience, men den primære fordel ved at kræve caps er at brute-force angreb bliver umulig i praksis. Men det lyder til at de har tænkt sig at beskytte sig imod dette.

Så DanID's praksis kan altid ikke helt få mit pis i kog, med et min-længde på 8 cifre snakker vi stadig > trillion kombinationer.

Jesper Sandberg

Jeg synes ikke helt det hænger sammen, er god password-skik ikke at følge det vi herinde kender som normal praksis? Sådan som jeg læser det her, så opgiver de helt at benytte god password-skik (samt fjerner muligheden for os andre at bruge det) fordi nogle brugere har svært ved at lære det, mens de samtidig påstår at de forsøger at oplyse os omkring det som de lige har skrottet.

"Men at droppe den skelnen, som ellers er normal praksis mange andre steder, er ikke noget problem for sikkerheden i den samlede løsning, siger Peter Lind Damkjær, kryptologi-ekspert hos DanID, som står bag NemID."

"Erfaringen fra supportopkald til netbank og den tidligere digitale signatur viser, at mange brugere kløjes i, om det er store eller små bogstaver, og om caps lock er slået til ved en fejl, lyder begrundelsen."

"Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik."

Derudover at sammenligne vil jeg ikke mene at man kan sammenligne med det mere fysiske Dankort.

Andreas Korsgaard

Strategien lyder, at det er bedre at forsøge at oplyse danskerne om god password-skik.

»Vi kan aldrig være 100 procent sikre på at sortere oplagte ord fra. Så vil vi hellere gå ud og plædere for sikre passwords gennem for eksempel Netsikker nu-kampagnen. Det er bedre at uddanne folk i, at de skal være opmærksomme,« siger Peter Lind Damkjær.

Så brugerne skal uddannes, men de skal ikke uddannes i at bruge kodeord med store/små bogstaver?

så indrømmer de vel også at den "uddannelse" kun er til deres system, og ikke en "almen uddannelse af god kodeords-skik hos brugerne".

Morten Bulskov

Det lader til at sålænge man bare laver løsninger med laveste fællesnævner, så er alle glade. Hvorfor overhovedet have et password, vi har da CPR nummeret vi kan bruge og det er der jo ingen der kender (sarkasme kan forekomme).

Jeg er imponeret over den middelmåddighed denne single sign on løsning er et udtryk for - lad VENLIGST være med at kalde det for en digital signatur - det er en hån!

Mvh
Morten

Torben Mogensen Blogger

Har de bevist fjernet MULIGHEDEN for at lave et mere sikkert password?

Nej. Som nævnt i artiklen, tillader de op til 40 tegn og visse specialtegn. Bare et ekstra tegn giver flere bit end muligheden for at skelne mellem små og store bogstaver: Seks tegn med store og små bogstaver, cifre og 10 mulige specialtegn = 78^6 = 225199600704 svarende til 37.7 bit. Syv tegn med kun små bogstaver, cifre og specialtegn = 49^7 = 678223072849 svarende til 39.3 bit.

Selv om man kun tillader små bogstaver i kodeord, skal man "kun" op på 8 tegn for at få bedre sikkerhed end 6 tegn med "det hele".

Folk har det generelt med at overvurdere effekten af flere mulige tegn i kodeord og undervurdere effekten af længere kodeord.

Søren S. Nielsen

Det er jeg klar over - men MULIGHEDEN for at bruge både store og små bogstaver ville så give yderligere sikkerhed. Jeg begriber ikke at de har fjernet den og da SLET ikke deres "det ville forvirre brugerne" argument. Hvordan vil de uddanne brugerne til at bruge bedre passwords når de samtidig fjerner en af de "nemme" muligheder for at forbedre sit password?

Jesper Lund

Hvis man vil undgå ordbogsangreb, så bør udbyderen lave en (krypteret) Googlesøgning på det foreslåede kodeord, og afvise det, hvis der er mere end 10 hits.

På den måde får Google en database med passwords. Det synes jeg ikke særligt smart. Men et opslag i en lokal database med kendte passwords (køb en hos de kriminelle!) vil være en god ide.

Carsten Gehling

Det er jo en gammel debat; hvorvidt højere entropi (flere kombinationer) går lige op med dummere vaner (f.eks. nedskrivning af passwords).

+1

DanID's udfordring er jo, at de først og fremmest skal bestå "the Mom-test". ALLE i Danmark skal kunne forstå og benytte denne løsning. Det i sig selv er en udfordring, der godt kunne få mig til at ryste i bukserne, hvis jeg sad som systemarkitekt.

Sammenligningen med Dankortet holder dog ikke helt. Man har ikke selv lov til at vælge sin pinkode på dankortet. Blandt andet derfor er 4 cifre nok.

Jeg tror de er godt sikret ved at spærre signaturen efter 5 forsøg. Du kan ikke brute-force på 5 forsøg, og du kan ikke snyde dig til flere forsøg ved distribuerede angreb, da forsøgene bliver logget pr. signatur.

  • Carsten
Frank Andersen

Ja det skulle man jo tro?
Jeg sad netop og oprettede min konto i går aftes, og sad også snakkede for mig selv "Det mener de da ikke?".
Men ganske rigtigt, jeg tastede min lidt komplekse adgangskode ind som jeg normalt gør, og til sidst bekræftede jeg den uden at skelne mellem store og små bogstaver. Og det acceptere formularen.

Slutbrugeren går glip af rigtig mange komplekse adgangskoder, og jeg kan ikke forstå hvorfor de har valgt ikke at skelne.

Noget helt andet er jeg synes deres verifikationskode papir er lidt til grin.
Det havde da været lidt nice med en token til x antal kr.
Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret :)

Carsten Gehling

Sandheden er, at de ikke evner at opsættes deres egne systemer, så de kan håndteres små/store tegn !

@Ib: Det er dig, der udviser et arrogant brugersyn. Det er jo ikke bare it-folk og personer, der til daglig arbejder foran en computer, der skal bruge NemID. Det skal min svigermor også.

  • Carsten
Claus Tøndering

En generel kommentar angående danskere passwordbrug: Jeg synes at man alt for sjældent advarer danskere mod at bruge æ, ø, å og tegn som ½ og § i passwords. Det virker sikker fint fra et dansk tastatur, men ve den stakkel der en dag sidder på et hotel i udlandet og prøver at logge ind på en bankkonto, og så opdager at tegnene mangler på tastaturet.

Jesper Poulsen

Min token til battle.net ved jeg lige præcis hvor er. Mit seneste feriekort er jeg lidt i tvivl om hvor befinder sig.

Papir er papir er papir. Skal det bruges ofte, men ikke hver dag, så ender det i en stak som senere bliver arkiveret og så er det enkelte ark væk.

En token har man sammen med nøglerne, sammen med musen eller på en krog uner skrivebordet.

Det er lettere at give en ting en fast plads.

Brian Vraamark

Jeg forstår slet ikke hvad kritikerne snakker om. Så længe man kun har 5 forsøg, kan det vel aldrig blive et problem.

Her er en lille opgave. Jeg har lavet mig et password bestående af 1 til 4 bogstaver/tal. Hvem vil prøve at gættet det? Hver gang jeg modtager 5 gæt, skifter jeg password.

Rasmus Rask

Jeg tror de er godt sikret ved at spærre signaturen efter 5 forsøg. Du kan ikke brute-force på 5 forsøg, og du kan ikke snyde dig til flere forsøg ved distribuerede angreb, da forsøgene bliver logget pr. signatur.

Det lyder da lidt skummelt. Vil det sige at man kan lave (D)DoS-angreb på andres NemID, fx et script der forsøger en lang række kombinationer af gyldige/sandsynlige CPR-numre og 5 x forkerte koder - hvis man da kan gætte "forkert" ;-).

Hvis det er sandt er det da et interessant problem!

Så håber jeg for dig at du har krypteret det indscannede billede

Hvorfor? Papiret i sig selv er ikke "krypteret", men kan tabes/stjæles i den pung det sikkert befinder sig i. Ligeledes kan et scannet eksemplar, hvis det ligger på en laptop man har med sig. Ligger det kun på en desktop, vil jeg mene sikkerheden er højere, end ved at rende rundt med papiret.

Jesper Kildebogaard

@Rasmus Rask

Det store sikkerhedsproblem med den tidligere Digitale Signatur var, at når it-kriminelle havde fået lusket malware ind på din computer, så de kunne opsnuse dine tastaturtryk samt have kontrol over den nøglefil, der lå på maskinen, var du 'owned'.

Derfor valgte man med NemID at have engangskoder, der var helt adskilt fra computeren (2-faktor-sikkerhed). Når du scanner dem ind og ligger billedet på harddisken, har du ødelagt hele sikkerheden ved NemID og gjort det nemt for it-kriminelle at overtage din identitet.

vh.

Jesper
Version2

Maxx Frøstrup

Nu læste jeg lige den sidste artikel med at virksomheder er ved at byde ind. Ja ja.

Jeg håber da så sandeligt at folk der er smart nok til at scanne sit papkort ind, også er smarte nok til at lægge det på et externt medie (USB nøgle eller lignede).....

(D)DoS truslen lidt længere oppe virker faktisk meget spændende. Gad vide om nogen inden årets udgang finder på at fyre sådan en kode af. Resultatet ville jo være katastrofalt egentlig, forudsat det ville virke.

Det begynder altså at se mere og mere desperat ud at man bare SKAL have det her implementeret, hvilket giver indtryk af at der ligger et ret tungt ansvar et sted. Men ja ja, lad os nu se hvordan det ser ud efter nytår, jeg antager at prøven kommer med når folk vil rette i deres skatteopgørelse.
Til den tid er bankerne jo færdige med at uddele for deres netbanker.

Gad egentlig vide om der er en plan B?

Rasmus Rask

@Jesper Kildebogaard

Ja, klart. Hvis computeren "ownes" og de kriminelle gætter/finder ud af hvor dit kodepapir ligger (forhåbentlig ikke "nemid-engangskoder.jpg" ;)), så er det noget skidt.

Alternativt kan man jo som en anden foreslog (i en anden NemID-debat), lægge billedet på mobilen.

Det potentielle (D)DoS-problem kunne det være rart at få afkræftet af DanID.

Carsten Gehling

Det lyder da lidt skummelt. Vil det sige at man kan lave (D)DoS-angreb på andres NemID, fx et script der forsøger en lang række kombinationer af gyldige/sandsynlige CPR-numre og 5 x forkerte koder - hvis man da kan gætte "forkert" ;-).

Ikke med tilfældige cpr numre. Du skal bruge certifikatet, for det pågældende cpr-nummer.

  • Carsten
Rasmus Rask

@Carsten Gehling:

Ikke med tilfældige cpr numre. Du skal bruge certifikatet, for det pågældende cpr-nummer.

Nu har jeg ikke selv noget NemID, men jeg mente bare at have læst at man logger ind med CPR-nummer, din selvvalgte kode og én engangskode.

I modsat fald, går jeg udfra at man logger på med sit offentlige certifikat, eftersom en stor del af kritikken går på at din private nøgle ligger hos DanID. Men dit offentlige certifikat er vel i en eller anden grad... offentligt?

Per Laursen

Du opretter en million konti med 1 til 4 bogstaver og tal.

Hr. Evil smider et password en gang mod alle dine en million konti, som opfylder kriteriet.

Chancen for at ramme en af dine kombinationer er, skal vi sige rimelige.

Jan Friberg

Jeg har scannet mit papir ind så det ligger på min computer, for jeg ved at jeg mister papiret :)

Det er dog det dummeste man kan gøre.
Mangfoldiggørelse af nøglekort er at kraftigt kompromittere sikkerheden fra din side.
Jeg ved at i min bank som har haft en ligene løsning i mange år betyder et kopi af nøglekortet at der ikke dækkes en eneste øre hvis der er misbrug. Desuden kan man jo huske hvor ens kort er hvis man lægger det er sted man kan huske, som fx tegnebogen.

Hvis jeg var dig fik jeg spæret min id med det samme da du jo offentligt med navn har oplyst at det er nok at bryde ind på din maskine og kikke sig omkring og installere en key logger

Claus Tøndering

Til diskussionen om scanning af nøglekort:

Der står højt og tydeligt i reglerne for anvendelse af NemID:

§3.2: Du skal være opmærksom på, at du ... ikke må scanne dit nøglekort, indtaste dine nøgler eller på anden måde digitalisere eller kopiere nøglerne.

Hvis man derfor scanner nøglekortet ind (uanset om man mener at det er sikkert at gøre det eller ej), har man brudt reglerne for NemID. Hvad det så betyder for de forskellige parters erstatningsansvar, ved jeg ikke.

Anonym

Det er dog det dummeste man kan gøre.
Mangfoldiggørelse af nøglekort er at kraftigt kompromittere sikkerheden fra din side.

Faktum er måske nok desværre at det forholder sig stik modsat.

Dit primære sikkerhedsproblem er at din sikkerhed allerede er kompromiteret - af NemId.

Samtidig KAN du ikke hemmeligholde papkortet - et kamera er alt der skal til at bryde sikkerheden og du kan ikke vide om det er sket eller bevise at det er sket, dvs. at en given handling IKKE var dig.

De fakto er du i den situation at Nemid ansvarliggør dig for noget du ikke kan beskytte og staten/bankkartellet påtvinger dig noget som du ikke kan kontrollere.

Den eneste måde hvorpå du kan stille dig bedre i en retsag er faktisk at publicere kortet og afvise enhver ansvarlighed overfor brug af nøglerne - dvs. at negere den påtvungne ansvarliggørelse.

Det er det sikkerhedsprincip som man kalder probable deniability, dvs. at du forebygger kravet om omvendt bevisbyrde (at bevise din uskyld) ved at eliminere antagelsen af dårlig sikkerhed er god sikkerhed.

Vi havde lignende problemer for et par år siden da bilproducenterne påstod at de trådløse bilnøgler ikke kunne hackes og hvor en person blev anklaget for forsøg på forsikringssvindel fordi han havde begge nøgler til en sjålet bil. Det var først da man påviste at de ikke var sikre at han blev frikendt - kunne man ikke det, ville han formentlig være ramt af kravet om omvendt bevisbyrde og uskyldig dømt for forsikringssvindel.

Med andre ord - det eneste du med rettidig omhu kan gøre, faktisk er at sikre at du kan bevise at du IKKE er den eneste som kan have haft adgang til det pågældende nøglekort. Fordi det beviseligt set IKKE er en sikker løsning.

Med andre ord - i princippet burde du publicere papkortet fordi det kun fungerer som NemIds måde at tørre liability af på andre af deres kontrol med dig og din nøgle.

Trist men sandt.

Jesper Kildebogaard

Ens brugernavn kan være enten det NemID-nummer, man får tildelt, et man selv vælger, eller CPR-nummer.

Man kan altså bruge alle tre på skift, om man vil - så ja, dit CPR-nummer vil altid kunne bruges som brugernavn.

Jeg kan prøve at bore i, om det giver mulighed for at andre, der kender dit CPR-nummer, så kan "Ddos'se" dig med fem forsøg.

vh.

Jesper
Version2

Rasmus Rask

@Jesper

Ens brugernavn kan være enten det NemID-nummer, man får tildelt, et man selv vælger, eller CPR-nummer.

Man kan altså bruge alle tre på skift, om man vil - så ja, dit CPR-nummer vil altid kunne bruges som brugernavn.

Jeg gætter på at de fleste ikke selv vælger deres NemID-nummer, men er de automatisk tildelte numre så fortløbende? Det ville jo i så fald være skræmmende let at forsøge "på deres vegne".

Der gælder en del regler for CPR-numre som begrænser mulighederne, såsom antallet af dage pr. måned, måneder på et år og (for de fleste CPR-numre) en checksum der skal stemme. Uden dog at have praktisk erfaring, siger det mig at det vil indsnævre listen over CPR-numre man forsøger sig med betydeligt.

Jeg kan prøve at bore i, om det giver mulighed for at andre, der kender dit CPR-nummer, så kan "Ddos'se" dig med fem forsøg.

Ja tak! :)

Jan Friberg

Samtidig KAN du ikke hemmeligholde papkortet - et kamera er alt der skal til at bryde sikkerheden og du kan ikke vide om det er sket eller bevise at det er sket, dvs. at en given handling IKKE var dig.

Kan vi blive enige om at i Frank Andersens tilfælde har han erkendt sig skyldig.

Når nemid bliver brugt i banksammenhæng er der ikke tale om signatur men kun sign on.

Men vigtigst af alt har man indgået en frivillig aftale med banken hvor banken står inde for sikkerheden og erstatter tab hvis brugeren har fulgt reglerne. Kan det bevises at man har brudt reglerne må man acceptere tab, hvor meget er alt efter hvad man har gjort eller ikke gjort. Frank Andersen har erkendt offentligt at han har brugt reglerne og må leve med et tab hvis han bliver bestjålet, altså hvis hans nemid er koblet på hans netbank

Nils Bøjden

"NemID er beskyttet mod brute force-angreb ved, at man kun får fem forsøg, før den låser"

Det bliver interessant hvornår en eller anden prankster foretager et brute force angreb på NemID, således at alle danskeres NemID konti bliver lukket.

Lidt løkker , en asymetrisk timer og en del IP-spoofing skulle kunne gøre det.

Sune Buur

Der har længe været angreb der kan omgå 2-faktor-sikkerhed, f.eks. http://blog.threatexpert.com/2008/11/one-tricky-banking-trojan.html

Så mon ikke de kriminelle her 1.5 år senere kan lave en kopi af den java-applet der bruges til login når de derved kan ramme ALLE danskere?

Og hvis man tror folk er for dumme til at bruge store og små bogstaver skal man da slet ikke regne med at de kan holde deres computer virus fri.

Anonym

Her taler vi ikke om indestående på en bankkonto, men adgang til alt og påstanden om at man kan ansvarliggøres som om det er en digital signatur.

Endda i en model som afpresses ned over hovedet på dig med hele vægten fra offentlige institutioner og bankkartellet.

Risikoen er uendelig. Reelt burde Finanstilsynet kræve at risikoen belaster banksoliditeten eftersom det i sidste ende er banken som står bag identifikationen og dermed også misbruget.

Det er en dårlig variant af EMV-kartellets betalingskort hvor man overpriser risiko som man skaber for at sikre gatekeeperkontrollen og dermed kunstig knaphed.

Jeg er generelt pro-marked - men dette er noget af det værste kartel- og magtmisbrug, vi har set siden Rockefeller.
http://en.wikipedia.org/wiki/South_Improvement_Company
http://en.wikipedia.org/wiki/Standard_Oil

Vi skal tilbage til stavnsbåndet og feudalismen for at finde noget som bare ligner.

Dennis Decker Jensen

Erfaringen viser, at op mod 50% af alle supportopkald vedr. password handler om, at der er sket en tastefejl mht. store og små bogstaver. Det er vel at mærke en fejl, som BÅDE eksperter såvel som de mest uerfarne computerbrugere laver. Sikkerhed er ligesom så meget andet en afvejning mellem fordele og ulemper. Her er helt sikkert truffet det rette valg, da det I PRAKSIS ikke betyder noget. Det viser sig da også i andre undersøgelser, at folk i løbet af det sidste årti allerede er blevet temmelige gode til at vælge sikre adgangskoder i forhold til det, der skal beskyttes.

Tobias Tobiasen

"Det bliver interessant hvornår en eller anden prankster foretager et brute force angreb på NemID, således at alle danskeres NemID konti bliver lukket."

Det er jeg nu ikke så nervøs for. Hvis alle får spærret deres adgang så vil det jo være klart for folkene bag NemID at der er noget galt. Derfor vil de være tvunget til at finde en løsning.

Men hvis det derimod er ganske få personer der bliver chikaneret så står de med håret i postkassen. For vil NemID ændre deres procedurer på baggrund af nogle få personer der har problemer?
(Jeg antager her at man kan spærre adgang udelukkende ved at kende folks CPR nummer.)

Nils Bøjden

@Tobias

Det er selvfølgelig sørgeligt at enkelt individer får smadret deres liv, men dette problem blegner dog i sammenligning med scenariet, hvor 50% af danskernes adgang til centrale services (læge, sygehus, bibliotek, skat, banker, forsikring, politi, tinglysning osv) er blokeret i kortere eller længere tid, for at blive gentaget igen senere.

Dvs. at man ved at angribe en central funktion kan lamme store dele af samfundet.

Hvordan er det forøvrigt med offentlige forvaltningers adgang til andre forvaltninger. Foregår dette også via NemID?

Dennis Jørgensen

På den måde får Google en database med passwords. Det synes jeg ikke særligt smart. Men et opslag i en lokal database med kendte passwords (køb en hos de kriminelle!) vil være en god ide.

Hvordan sikrer man at man har købt de kriminelles fulde viden om usikre passwords? Du har jo ikke lyst til at fortælle dem hvilken halvdel af deres ordlister de ikke behøver tjekke (de er trods alt kriminelle).

Men en måde man kunne implementere forslaget, hvis man virkelig vil, er at søge på Google efter md5-hashet af det ønskede password. Eksempel:

'nisser' skal afvises som et dårligt password, idet der er hits på "282256df3b307fa94d019e67d6f3ab04".

Men det frasorterer selvfølgelig en del færre dårlige passwords (der er ingen hits for nisser12).

Kai Birger Nielsen

Født 26. august 1964. Hmm hvor mange cpr-numre mon der er delt ud den dag. Det overholder sikkert modulus 11 reglen og ender på et lige ciffer og de sidste fire cifre danner sikkert et tal under 5000. Dvs ca 250 mulige cpr-numre * 5 forsøg = max 1250 forsøg.
Nå. Hun bruger nok ikke netbank eller den slags. Eller også har DanID allerede sat hendes grænse lidt højere (skal vi gætte på 10?).
[Suk!]

Anonym

På den måde får Google en database med passwords.

Hmm. jeg ved ikke om vi snakker om det samme, men hvis man f.eks. snakker om MD5 eller SHA-x 'krypterede' kodeord, så prøv at lave en søgning på rainbow tables.

Jeg tror ikke Google behøver at lave sin egen database, da der tilsyneladende findes masser af den slags.

  • just my 0.02€
Daniel Ringby

(...) ve den stakkel der en dag sidder på et hotel i udlandet og (...) opdager at [æ, ø og å]mangler på tastaturet.

Så kopierer man dem bare fra tegnopsætningen (character map/charmap). Ellers skal der på den danske loginside nok være nogle ord med æ, ø og/eller å, hvorfra tegnene kan kopieres. ;)

David Askirk Fotel

nopes 40 forskellige cpr numre får jeg det til...

["260819645808","260819645818","260819645828","260819645838","260819645848",
"260819645858","260819645868","260819645878","260819645888","260819645898",
"260819646606","260819646616","260819646626","260819646636","260819646646",
"260819646656","260819646666","260819646676","260819646686","260819646696",
"260819647404","260819647414","260819647424","260819647434","260819647444",
"260819647454","260819647464","260819647474","260819647484","260819647494",
"260819648202","260819648212","260819648222","260819648232","260819648242",
"260819648252","260819648262","260819648272","260819648282","260819648292"]

Update: Så var det vi lærte at versions cms ikke breaker linjerne :-)

Morten Andersen

Har du testet dette program med dit eget CPR-nr og kom det så ud? :S

Der er 136 muligheder når man medtager kravet om køn (sidste ciffer skal være lige) samt århundredet (det 7. ciffer må ikke være ml. 5-8 inkl.). Det ser ud som om du har anvendt det omvendte kriterium for århundrede, men selv dette kan ikke forklare dine 40, da man herved burde få 94. Jeg kan også bemærke at -5808, det første på din liste, ikke er et gyldigt CPR-nr for den givne dato, så der er også fejl i dit modulus 11 check.

Når jeg kigger nærmere efter kan jeg se dit program starter med -5808 og herefter blot lægger 10 til successivt indtil det wrapper rundt, og det kan jo umuligt være rigtigt, idet det at lægge 10 til øger den vægtede sum med "3" så man kan ikke have et gyldigt nummer både før og efter.

David Askirk Fotel

Det ved jeg, men i det der er for alle der har fået et cpr nummer før 2003? så syntes jeg det var sjovere at finde deres, i det de fleste der har et med modulus check har nemid eller lignende :-)

og fejlen er rettet, men jo der var så lidt flere muligheder end lige at man kunne paste her, man kan så argumentere for at hvis man antager at der bliver født ca 40 pigebørn om dagen og de får fortløbende numre, så behøver man kun de første 40 numre :-)

Rasmus Rask

@David

Det ved jeg, men i det der er for alle der har fået et cpr nummer før 2003?

Jo, langt hen af vejen, men der er folk født i udlandet, der får dansk statsborgerskab. Deres CPR-numre vil ikke nødvendigvis (eller helt sikkert ikke?) overholde modulus 11.

Det er dog nok en forsvindende lille mængde alt i alt, så jeg vil mene du godt kan gå ud fra at "ældre" CPR-numre skal overholde modulus 11.

Anonym

Århundrede har fremgået indirekte af løbenummeret (1. ciffer mener jeg)

Det har du ret i.

Jeg arbejdede (bla) selv med 'elektronificering' af livsforsikringer i slut '70-erne, og her var det netop 5 der var skillepunktet.

Løbenummer < 5xxx = samme (19xx) århundrede, og >= 5 var 18xx.

Hvilke regler der gælder i dag har jeg dog ikke sat mig ind i.

Dog synes jeg det er lidt tåbeligt at 'afskaffe' modulus 11 reglen (aht fejlindtastninger).

Problemet med modulus var vist noget med at alle 'indvandrere' fik ente 1/1 eller 1/7 som fødselsdato, hvilket underminerer antallet af mulige CPR-numre.

Lars Lundin

ve den stakkel der en dag sidder på et hotel i udlandet og prøver at logge ind på en bankkonto, og så opdager at tegnene mangler på tastaturet

Omvendt kan det da gå helt galt, hvis det lykkes at logge ind fra en terminal, som man ikke selv har kontrol over:

Du ønsker at betale en regning, og din internetbank ser helt fin ud mens du indtaster beløb, modtager og diverse koder.

Men en kriminel har total kontrol med terminalen, så browseren er falsk og bruger under overfladen din (engangs)kode til at tømme din konto.

Så hvis man vil i banken i udlandet, så skal det ske med egen hardware - eller måske til nød med boot fra en medbragt live-CD/USB.

David Askirk Fotel

http://www.cpr.dk/publikationer/pnr-notat ny skrift.htm#Kapacitet

Der står ellers at:

Personer født i 1937 til og med 1999:

Med kontrolciffer 270 personnumre pr. fødselsdato til kvinder.

Uden det kendte kontrolciffer 2.730 personnumre pr. fødselsdato til kvinder.

Med kontrolciffer 270 personnumre pr. fødselsdato til mænd.

Uden det kendte kontrolciffer 2.730 personnumre pr. fødselsdato til mænd.

I alt 6.000 personnumre pr. fødselsdato

Men igen, ingen siger at dokumentationen er korrekt.

John Vedsegaard
  • kan man vel sige det er mere usikkert end de eksisterende systemer, alene det at man er nødt til at slæbe rundt med sine kodeord er ikke særligt smart, særligt ikke da de fleste også har et sygesikringskort i tegnebogen.

Det er direkte antibrugervenligt, underligt forøvrigt, bliver der slet ikke undervist i brugervenlighed på diverse edb-skoler?

Alle skal købe en ny tegnebog, som der passer i størrelsen det alt det papir man skal slæbe rundt med, udviklerne har jo ikke engang kunnet finde ud af at lave papirstakkene i betalingskort format, lige som de ikke engang har lavet hverken magnetstribe eller stregkode.

Nogen burde anmelde nem-ID for at bruge et navn der ikke passer sammen med produktet, det burde hedde besværlig-ID eller usikker-ID!

Nicolaj Rasmussen

Apropos længden... :)

"Herhjemme anbefaler statens it-varslingscenter DK Cert derfor, at man sammensætter password af minimum 12 tegn."

"For hvert ekstra tegn, et password indeholder, øges sikkerheden 95 gange."

...fortæller Shehzad Ahmad (DK-Cert).

http://elektronik.guide.dk/Computer/Brancheinfo/Sikkerhed/S%C3%A5_mange_...

Men 6 tegn er da RIGELIGT, NemID beskytter jo ikke noget særlig vigtigt. Eller...

https://www.cert.dk/artikler/artikler/000999A023.shtml

Jesper Lund

På den ene side kan man måske argumentere for at OTP delen kan retfærdiggøre et kortere password.

Men der er en lille finte her: dit password bruges også til at kryptere din "private" nøgle, så DanID kan hævde at du er den eneste som kan bruge den.

Hvis du vil sikre dig mod brute-force angreb mod din private nøgle hos DanID, skal du vælge et meget langt password med høj entropi, som mange mennesker vil have svært ved at huske.

Java appletten til NemID blokerer for copy-paste, så det er ikke en mulighed at lade pwgen el.lign. generere et tilfældigt password med maksimal længde (vist 48 tegn) og lade din password manager huske det.

Anonym

Er selv temmelig bevidst om pasword, og hvor de bruges - og specielt sikre at de ikke genbruges på andre hjemmesider....det burde der oplyses mere om - GENBRUG ikke dit NemID kodeord andre steder - mange stedder liger de i klar tekst i en hjemstrikket Database som ikke er beskyttet tilstrækkeligt.
6 alfanumeriske tegn kombineret med 5 forsøg og en engangs kode er fuld tilstrækkeligt for at jeg føler mig tryg.
Og at scanne keykortet ind og ligge på samme computer som man logger ind kan kun tilrådes folk som har gæld frem for formue...skal det partu ind elektronisk så læg det på mobilen.

Guan Yang

Opbevarer NemID overhovedet folks passwords? (Jeg havde forstået det sådan at passwordet, efter noget hash, bliver brugt til at kryptere den private nøgle, men kan nu ikke finde en kilde til det.)

Hvis ikke, hvordan kan de så håndhæve reglen om de 5 forsøg? Det kan lade sig gøre hvis man er sikker på at alle bruger Java-appletten, men hvad hvis en angriber rekonstruerer protokollen og snakker direkte med serveren i stedet for at bruge appletten?

Det kan måske lade sig gøre hvis passwordet bliver sendt i “klartekst” (men altså stadig krypteret over SSL) til NemID, men det var bare mit indtryk at det ikke er tilfældet.

Log ind eller Opret konto for at kommentere