DanID: Du kan sagtens bruge NemID på MacOS X 10.5

Kun de ældste computere med styresystemet MacOS X 10.5 kan ikke bruge NemID. Alle Intel-baserede Mac'er kan bruge NemID - det er bare ikke alle, der kan få support, forklarer Nets DanID.

Langt de fleste Mac-brugere med det ældre styresystem MacOS X 10.5 Leopard kan ånde lettet op. De kan stadig bruge NemID til at logge på netbanken og til at kommunikere med det offentlige.

Det forklarer Nets DanID, efter at Version2 mandag fejlagtigt - hvilket vi beklager - gav indtryk af det modsatte. Forklaring følger:

Læs også: NemID sender Mac-styresystem fra 2009 ud i kulden

Det er korrekt, at Nets DanID ikke længere understøtter og yder support på MacOS X 10.5 Leopard, der var standard på Apple-computere frem til august 2009. Men det er kun Mac-ejere, der har en PowerPC-baseret maskine, der efter en Java-opdatering er ramt af NemID-problemer. PowerPC-baserede Mac'er udgik af produktion tilbage i 2006. Derfor er det er kun en meget lille del af befolkningen, der er ramt af problemet.

»Som udgangspunkt understøtter vi de nyeste versioner af de gængse styresystemer. I Apple-verdenen betyder det, at vi ikke understøtter versioner ældre end 10.6 med support - men det betyder ikke, at man ikke kan bruge dem til NemID,« siger pressechef i Nets Søren Winge til Version2.

Som en indikation på, hvor mange der reelt sidder med NemID-problemer som følge af ovenstående, viser Version2's egen brugerstatistik, at 0,4 promille af besøgene stammer fra brugere af MacOS X 10.5 eller tidligere versioner på PowerPC-baserede maskiner. Der skal dog tilføjes det forbehold, at Version2-læsere overordnet set har nyere it-udstyr end befolkningen generelt.

Søren Winge henviser til, at Nets DanID løbende kigger på, hvor mange der helt konkret bruger en bestemt kombination af styresystemer og hardware og træffer beslutninger om understøttelse på den baggrund.

»Vi er nødt til at fokusere på en vis kritisk masse, og vi har ikke oplevet det som et reelt problem, at vi ikke længere understøtter 10.5 på PowerPC-platformen,« siger Søren Winge til Version2.

Søren Winge påpeger i øvrigt også, at Mac OS 10.5 heller ikke længere sikkerhedsopdateres af Apple, og at dette i sig selv er et argument for at opgradere til en nyere version af styresystemet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Knudsen

"Inden NemID blev rullet ud, brugte jeg jyskebanks løsning med nøglekort, der virkede meget mere sikker og UDEN behov for Java i browseren. Jeg forstår simpelthen ikke hvorfor man ikke har kigget på hvad der var inden blev sat i søen. Det er de små forskelle, der gør det: 1) I den tidligere løsning fra JyskeBank skulle man bruge en ny nøgle for hver transaktion - ikke bare genbruge sit eget kodeord - på den måde kunne man praktisk talt forlade en session, der var logget ind på eks. biblioteket og ingen andre kunne udføre nye transaktioner - end ikke med keylogger, etc. 2) ved login skulle man først bruge personnummer + nøglekortnummer og så egen kode + unik kode fra kortet på side 2 .... Helt uden brug af Java applets"

Jeg kan godt forstå, at applets er nødvendige, hvis: 1. udviklerne på NemID er gamle mainframefolk, der kun kender til Java (fra COBOL -> J2EE konvertering) eller 2. hvis der virkelig er noget om snakken om at det er en bagdør for PET eller forsvaret.

Ellers: Kan en eller anden udvikler/projektansvarlig fra Nets give en god teknisk og eller politisk forklaring på hvorfor NemID er lavet med Applets når nu JyskeBank havde en bedre løsning, der virkede fra ALLE enheder?

  • 18
  • 3
Michael Rasmussen

»Vi er nødt til at fokusere på en vis kritisk masse, og vi har ikke oplevet det som et reelt problem, at vi ikke længere understøtter 10.5 på PowerPC-platformen,« siger Søren Winge til Version2.

Hvorledes hænger kritisk masse sammen med, at en borger i Danmark, såfremt denne borger ønsker at overholde landets love, er tvunget til at anvende NemID?

Bjarne Corydan, du må gerne svare offentligt i denne tråd!

  • 16
  • 1
Per Møller Olsen

Det er interessant med de meget forskellige udmeldinger fra NemID. Det var mig, der tippede historien til Version2 på baggrund af de svar hhv. NemID support og diverse bankers support gav til tre af mine kunder. De fik specifikt at vide, at de skulle opgradere til 10.6 eller 10.7.

  • 11
  • 0
Niels Elgaard Larsen

Betyder det, at NemID ikke kan virke, hvis de binære gif-filer ikke kan køre?

Dvs at NemID ikke kommer til at køre på ARM, powerpc, osv?

Altså at de har ofret Javas arkitekturafhængighed for at kunne spionere på vores PC'er?

  • 19
  • 0
Per Møller Olsen

Enig ... det er hovedrystende meget dårligere sikkerhed, end det vi var vant til tidligere. Ydermere så er det til daglig irritation, at man skal ind i NemID-loginboksen og trykke før man kan taste. Hvis jeg ikke kendte NemID, ville mine alarmklokker ringe - for det opfører sig mistænkeligt.

Jeg har diskuteret det med Jyske Banks support og de er lige så enige ... de synes NemID er noget skrammel i forhold til deres gamle login (de får garanteret også mange flere supporthenvendelser nu).

  • 9
  • 0
Per Møller Olsen

I øvrigt ... HVIS man lander på et phishing-site, der har lavet en overbevisende kopi af NemID-login. Så når man rent faktisk at afsløre sit password inden man skal taste engangsnøglen.

I det gamle Jyske Bank-system, skulle man taste sit brugernavn og en engangsnøgle INDEN man kom videre og skulle taste sit password. Det betød at systemet også var sikret mod phishing af password.

  • 11
  • 1
Per Møller Olsen

Forresten ... er der ikke andre, der har undret sig over den randomisering af nøgler, der er på NemID-kortene?

Jeg synes der er forbløffende mange nøgler, der ligger "mundret" ... f.eks. 181728, 227725, 563343 ... der er meget ofte gentagelser af talkombinationer eller samme slutciffer flere gange.

Hvis der ligger en algoritme bag, kan den vel analyseres og kopieres?

  • 3
  • 0
Rasmus Faber-Espensen

Er der nogen fra Jyske Bank herinde, der kan forklare processen?

Jeg er ikke fra Jyske Bank, men der er billeder her: Skærm 1 Skærm 2

Desværre kunne en angriber jo opsnappe kundenr. og nøglekortnr. først, sende det ind til Jyske Bank og med det samme få nøglenummeret, som han så kan præsentere for brugeren. Altså realtime phishing angreb, svarende til det, som NemID har været udsat for. Man kan betragte nøglekortnr. som et sekundært (svagt) password.

Jeg synes der er forbløffende mange nøgler, der ligger "mundret" ... f.eks. 181728, 227725, 563343 ... der er meget ofte gentagelser af talkombinationer eller samme slutciffer flere gange.

Sjovt nok ser ægte tilfældighed ikke tilfældigt ud for os mennesker. Vi er alt for gode til at finde mønstre. Én af metoderne til at detektere om folk har snydt i regnskaber, forsøgsresultater og lignende er at undersøge, hvor mange af sådanne mønstre, der er. Hvis folk har snydt, har de ikke lavet så mange mønstre, som der burde være, hvis det er ægte tilfældigt.

  • 5
  • 0
Thue Kristensen
  • 2
  • 0
Per Møller Olsen

I den gamle Jyske Bank skulle man taste kundenr. og nøglekortnr. Okay ... her kan man springe verificering over. Næste spørgsmål er om kodenr. nn.xx findes på nøglekortet. Svarede man nej, blev man stillet om til bestilling eller spærring (så vidt jeg husker).

Hvis så nr. nn.xx findes på kortet skal man taste nøglen ud for kode nr. nn.xx (ligesom i NemID).

Forskellen er jo, at det angriberen allerede inden man begynder på de avancerede ting med nøgler, får udleveret det password, som man efter login anvender til at verificere overførslerne.

I det gamle Jyske Bank, skulle der tastes ny nøgle for HVER eneste transaktion. Og de nøgler skulle passe til tal-bogstav-koden ud for. Som NemID er nu, skal man forbi login og så har man frie tøjler, hvis passwordet er afluret. I Jyske Banks gamle kunne man måske narre brugeren til en transaktion, men angriberen kunne ikke fortsætte med at tømme konti.

  • 2
  • 0
Andreas Bach Aaen

Ja DanID har kortsluttet Java's arkitektur uafhængighed ved at kræve, at de kan udføre en af deres "gif"-filer på de specifikke arkitekturer de gider at understøtte. Så der vil nok ikke længere være en "gif"-fil til PowerPC baserede Macs. På samme vis findes der heller ikke en "gif"-fil til PowerPC, x86_64 og ARM linux. Alt dette for at skabe et ID af maskinen til lognings-brug.

  • 3
  • 0
Per Møller Olsen

Og dermed har de også kortsluttet et af de midler, som jeg personligt har anvendt for at få den ældre generation med på IT-vognen: At overtage en udrangeret men stadig brugbar Mac.

Det er fuldstændigt sindssygt, at maskiner som stadig er fuldt funktionsdygtige skal kasseres fordi de ikke kan bruges til NemID.

  • 6
  • 2
Andreas Korsgaard

Jeg synes der er forbløffende mange nøgler, der ligger "mundret" ... f.eks. 181728, 227725, 563343 ... der er meget ofte gentagelser af talkombinationer eller samme slutciffer flere gange.

Det har været det samme på mine to nøglekort. Næsten alle mine koder giver en deja-vu fornemmelse, når jeg ser dem fordi det føles som om der er et eller andet mønster der går igen.

en klassiker er en kode i stil med 282868, som har et mønster jeg har oplevet flere gange (aba cdc-ish)

En stor del af koderne har dobbelt-cifre (00, 11 etc) i

Jeg lavede på et tidspunkt en hurtig optælling, der fx viste at ~20% af alle cifrene på mit ene kort var 7-tal. En af koderne var 777726.

(de koder der er remset op her er fra et gammelt kodekort der ikke bruges mere)

  • 5
  • 0
Thue Kristensen
  • 3
  • 0
Anders Conrad

Nem ID siger at

vi har ikke oplevet det som et reelt problem, at vi ikke længere understøtter 10.5 på PowerPC-platformen

. Nej, problemet er jo sjovt nok ikke deres, men mit og andre brugeres! DanID sender næppe penge til en ny Mac der understøtter deres java hokus-pokus...

  • 3
  • 0
Per Møller Olsen

Hvad ville der ske, hvis vi fik en besked som denne:

"Du må ikke længere anvende vejnettet, da din bil ikke længere lever op til de seneste krav til sikkerhed (minimum 5 EURO-NCAP-stjerner). Hvis din bil er mere end 6 år gammel, er den sikkert ikke udstyret med sideairbags og kan derfor ikke opnå de krævede 5 stjerner."

  • 4
  • 1
Jan Gundtofte-Bruun

I min bank, Nykredit, kræver de også en engangsnøgle per transaktion. At det virker anderledes i Jyske Bank er Jyske Bank eget valg, og ikke NemID's.

Jamen det er da fantastisk - så kan det jo lade sig gøre! (NB: Ingen sarkasme eller ironi her, det mener jeg.)

Men hvorfor giver DanId så stadig den enkelte portal (bank eller andet site) mulighed for dybest set at nedsætte sikkerheden ved at gøre som Danske Bank og Jyske Bank gør (nu), i stedet for "bare" at kræve engangskoder så tit som muligt? Det peger stadig ikke på fokus på fornuftig sikkerhed.

Set fra et bruger-perspektiv skal der indtastes en kode, om den kommer det ene eller andet sted fra gør meget lidt forskel i situationen -- alt dét vi diskuterer her er jo fordi vi ved noget om tingene, men den viden burde da for pokker være indbygget i systemet så "vi dumme brugere" ikke behøver at bekymre os om det.

  • 4
  • 0
Rasmus Faber-Espensen

en klassiker er en kode i stil med 282868, som har et mønster jeg har oplevet flere gange (aba cdc-ish)

1% af alle nøgler har den form, så der vil være ca. 2 koder af den form på et typisk nøglekort.

En stor del af koderne har dobbelt-cifre (00, 11 etc) i

Ca. 41% af nøglerne vil have dobbelt-cifre.

Jeg lavede på et tidspunkt en hurtig optælling, der fx viste at ~20% af alle cifrene på mit ene kort var 7-tal. En af koderne var 777726.

Det lyder til gengæld specielt. Husker du mere præcist hvad ~20% betyder? Har du stadig kortet? Hvis min sandsynlighedsteori er korrekt, vil ca. 10% af alle kortene have >12,5% ens cifre, 12 ud af en million vil have >15% ens cifre, mens sandsynligheden for at have >20% ens cifre er mindre end 1e-16.

4 ens cifre optræder i 7/2500 nøgler, så 40% af alle kort vil have sådan en nøgle.

  • 5
  • 0
Andreas Korsgaard

@rasmus

Et enkelt kort eller to er ikke bestemt ikke nogen stor mængde, og det er jeg da også klar over. Min post post gik mere på at der var en deja-vu fornemmelse, og at der var bestemte mønstre jeg lagde mærke til (mønstre som netop er ret sandsynlige).

Det er heller ikke fordi jeg orkede gøre noget stort statistisk arbejde ved det. Kortet har jeg nok ikke liggende længere, men burde stadig have det indtastede liggende et eller andet sted.

Nu kører jeg mest efter hukommelsen, men mener at det med abacdc mønstret havde jeg 4-5 af fordelt over 2 kort.

Hvad angår de 20%, så var det en simpel optælling af antallet af de forskellige tal. Jeg havde forventet en nogenlunde ligelig fordeling (så tæt på man nu kan komme med "tilfældige" tal og sandsynlighed), men 7-tallet lå omkring de nævnte ~20% mens 5-tallet lå lavest.

Det er ikke fordi jeg lægger det helt store i det. Det var bare for at understrege at Per Møller ikke var den eneste der havde deja-vu omkring koderne.

grunden til at jeg gad regne det ud, var netop fordi jeg for et godt stykke tid siden var stødt på en af de mange artikler omkring "redigerede" tal, som du selv har nævnt, hvor 7 vistnok netop var et af de mest "brugte" falske tal :)

  • 1
  • 0
Erik Jensen

Set fra et bruger-perspektiv skal der indtastes en kode, om den kommer det ene eller andet sted fra gør meget lidt forskel i situationen -- alt dét vi diskuterer her er jo fordi vi ved noget om tingene, men den viden burde da for pokker være indbygget i systemet så "vi dumme brugere" ikke behøver at bekymre os om det.

Lige I forhold til banker er det vel en simpel afvejning af brugervenlighed i forhold til sikkerhed. Set fra brugerens synspunkt, kan sikkerheden jo være ret ligegyldig, da det er banken som hæfter for tabet. Så hvis banken er villig til at tage et tab mod at levere bedre brugervenlighed, er det deres valg.

Der er nok lidt anderledes med anden brug af NemID, hvor det er knap så klart, hvem der hæfter for misbrug.

  • 0
  • 0
Frode Greisen

Jeg har en Mac Powerbook fra 2005 og kører MacOS 10.5.8. Jeg har altså ingen Intel cpu og kan ikke opgradere styresystemet. Men min adgang til både Jyske Bank og Danske Bank med nem-id virker fortsat som hidtil. Men det er da muligt at der ikke længere er support. Jeg kunne da godt købe en ny Mac men vil ikke gøre det for Danid eller bankerne skyld. Så hellere telefonere til dem....

  • 1
  • 0
Jakob Damkjær

Men hvorfor giver DanId så stadig den enkelte portal (bank eller andet site) mulighed for dybest set at nedsætte sikkerheden ved at gøre som Danske Bank og Jyske Bank gør (nu), i stedet for "bare" at kræve engangskoder så tit som muligt? Det peger stadig ikke på fokus på fornuftig sikkerhed.

Easy, i gamle dage med Jyske Bank systemet (som jeg også var fan af) var hver nøgleopslag en intern omkostning, der var ret lav da udgifts antallet for koder var "ET KODE KORT" ikke den enkelte kode op marginal driftsomkostningen på den enkelte kode var basalt set allerede betalt når man modtog kortet så om man skulle bruge en eller to koder eller tre koder for en betalingsomgang var meget lav da de fleste mennesker ikke brugte et kort op mere end et par gange om året.

Som det er nu vil jeg gætte på at bankerne betaler NETS per kode og derfor er prisen for 2 eller 3 kodeopslag 100% eller 200% højere marginalomkostning sammenlignet med det mere usikre system hvor man kun laver et NEMID kode opslag ved indlogning.

Samtidigt var det lidt uhandigt at man skulle finde en ny kode per enkelt transaktion så et mellemsystem ville være at foretrække hvor man kunne sætte transaktioner i kø og når man så ville iværksætte dem så skal man finde en kode frem igen.

Men det vil stadig være en 100% forøgelse i marginalomkostningerne for den interaktion med netbanksystemet...

  • 3
  • 1
Thue Kristensen

Men hvorfor giver DanId så stadig den enkelte portal (bank eller andet site) mulighed for dybest set at nedsætte sikkerheden ved at gøre som Danske Bank og Jyske Bank gør (nu), i stedet for "bare" at kræve engangskoder så tit som muligt? Det peger stadig ikke på fokus på fornuftig sikkerhed.

Det synes jeg egentligt er Jyske Bank's problem, ikke DanID. Jyske Bank er en voksen forretning, som selv burde kunne foretage sine sikkerhedsvalg, uden at de blev dikteret af DanID. Og Jyske Bank har jo netop ikke et monopol, så du har mulighed for at skifte til en anden bank hvis du er utilfreds.

Det kunne dog også være et spørgsmål om transaktionsomkostninger, som Jakob Damkjær siger.

  • 0
  • 0
Jimmy Christiansen
  • 0
  • 0
Log ind eller Opret konto for at kommentere