DanID: Ja, det er muligt at spærre andres NemID

Kender du andres CPR-nummer, kan du låse deres NemID med fem forkerte password-forsøg. DanID er på vej med forholdsregler, men mener ikke, det er et stort problem.

Version2's historie om passwords til NemID, som ikke skelner mellem store og små bogstaver, førte til en ny diskussion blandt V2-læserne: Når en NemID-konto bliver låst efter fem forkerte forsøg, må det da være nemt at låse andre folks NemID?

Og svaret fra DanID er ja - hvis man kender enten folks CPR-nummer, deres NemID-nummer eller deres selvvalgte brugernavn. Til gengæld er det ikke noget stort besvær at få låst en konto op igen, lyder det fra DanID.

**Læs også: **DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn

I første omgang vil kontoen være låst i otte timer og er derefter klar igen. Men bliver der igen brugt fem forkerte forsøg på at logge ind, kræver det en ny, midlertidig adgangskode. Har man tilknyttet et mobiltelefonnummer til sin NemID, kan man få adgangskoden med det samme. Ellers kan man gå ned i banken og få en, eller hvis det ikke haster, få en pr. brev.

»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID.

Bøvlet, men ikke kritisk
Firmaet bag NemID har ikke oplevet problemer i den retning i den nye digitale signaturs første måned, så foreløbigt er diskussionen rent teoretisk.

»Derfor kan vi ikke sige, om det er et problem. Det vil være bøvlet med den slags chikane, men det er ikke identitetstyveri. Der er ingen, som kommer ind og kan bruge andres NemID,« siger hun.

Fra september kommer en ny funktion, der kan dæmme op for eventuel chikane. Her kan folk nemlig vælge, at CPR-nummeret ikke skal kunne bruges i stedet for brugernavn. Er det ens NemID-nummer eller selvvalgte bruger-ID, der er havnet i forkerte hænder, vil der dog ikke være en stopknap for chikane.

»Det vil være nærtstående personer, der kender dit CPR-nummer eller brugernavn. Så chikanen vil formentlig kun kunne ske inden for små cirkler,« vurderer Jette Knudsen.

**Vil forhindre denial-of-service-angreb **
Et andet scenarie, hvor for eksempel hackere fra udlandet forsøger at logge ind på millioner af NemID-konti, og dermed får dem spærret efter fem forsøg, er der også taget forholdsregler imod. Men dem kan DanID ikke løfte sløret for.

»DanID har mekanismer, der skal forhindre denial-of-service-angreb. Af sikkerhedsmæssige grunde vil vi ikke fortælle, hvordan vi overvåger og imødegår denne type angreb. Og det er ikke et område, vi kan give nogle garantier på,« siger kommunikationschefen.

Sker den slags angreb, vil det rent juridisk heller ikke være i afdelingen drengestreger eller chikane, understreger hun.

»Det ville være kriminalitet i det helt store gear, som politiet ville efterforske og forsøge at få nogen straffet for. Sådan et angreb ville være en stor sag, som hvis man forsøgte at bryde ind i CPR-registret,« siger Jette Knudsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (83)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Ferré Jensen

Det er en udbredt misforståelse, at CPR-nummeret skal give adgang til noget som helst. CPR-nummeret er en entydig måde at finde en person, ja - men det er bestemt ikke identifikation. Sådan set vil det være rimeligt, at vi alle har CPR-nummeret stående på vores visitkort, netkonti og alle mulige andre steder, hvor vi også skriver vores navn og adresse.

Det er så sørgeligt, at CPR-nummeret rent faktisk kan give adgang. Det har diverse journalister gentagne gange påvist. At mennesker af uransalige årsager mener, at bare fordi der er hele ti cifre i et tal, så må det være mere tillidsvækkende end f.eks. at kunne stave et navn korrekt.

Gad vist om skat vil acceptere, at en selvangivelse indsendes for sent fordi NEMID har spærret min adgang til at logge ind? Eller om ansøgninger til uddannelser kan komme sjoskende et par dage for sent, fordi man lige skal have fat i Nordjyske Bank (hvis man bor i Tønder) for at få aktiveret sit spærrede NEMID.

Godt nok bliver jeg irriteret over paranoide sikkerhedsfolk - men det synes efterhånden som om NEMID burde have ansat nogle af dem til at gennemgå deres trusselsbillede.

Rene Madsen

»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID.

Spørgsmålet er om, der er nogle kriminelle som er interesseret i at chikanerer hele systemet?

Det vil med lidt snilde ikke tage ret lang tid at lave et script der logger, hvilke CPR numre der virker og prøver igen efter de 8 timer og lukker en kæmpe stor del af den danske befolkning ude af systemet.

Jan Ferré Jensen

Enkelte kommuner kræver cpr-numre a.h.t. tilskud, men de behøver ikke at være registrerede nogle steder.

Hver gang jeg skal have refunderet et udlæg på bare 10 kr skal jeg udfylde en seddel med bl.a. cpr-nummer. Denne seddel vil så ligge frit tilgængeligt indtil vores sekretær får tid til at registrere/behandle den.

CPR-nummeret er ingen hemmelighed!

Jan Ferré Jensen

Det vil med lidt snilde ikke tage ret lang tid at lave et script der logger, hvilke CPR numre der virker og prøver igen efter de 8 timer og lukker en kæmpe stor del af den danske befolkning ude af systemet.

Sådan set er det jo enkelt at 'vælge' rigtige cpr-numre - og så lave et brute-force angreb på NEMID. Med den snilde, der lægges for dagen til anvendelse af kompromiterede pcer, er dette absolut en mulighed.

Peter Makholm Blogger

Et er teori, et andet er virkelighed.

Det kan godt være at jeg i teorien kan blive spejderleder uden at min gruppeleder ser at jeg har udfyldt anmodningen om børneattest, så tror jeg at det de fleste steder er en fra gruppeledelsen der sender de udfyldte formulare videre i systemet.

Gruppelederen er iøvrigt den af de fire nævnte personer jeg har størst tillid til.

John Julian Hansen

Rene Madsen har allerede spurgt mit spørgsmål :)

Jeg ser også den der brute-force beskyttelse som en oplagt mulighed for en hacker: Det er jo super latterligt hvis man virkelig, med 1 computer og et script på 5 linier, kan lukke alle danskeres accounts hver 8. time?

Svar lige på den, DanID, tak ;>

Carsten Pedersen

Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer

Du kender formodentlig hans fødselsdato, og hans adresse er nok ikke svært at liste ud af personaleafdelingen. Med de informationer, internettet og lidt tålmodighed, kan du finde hans CPR nummer inden for en halv time.

Derfor kan vi ikke sige, om det er et problem. Det vil være bøvlet med den slags chikane, men det er ikke identitetstyveri

Er det bare "bøvlet" når man går glip af et hussalg fordi man kl. 15:30 indser at man ikke når at få sendt papirene inden i eftermiddag kl. 16:00 (som er købers deadline)?
Hvilken virkelighed er det, DanID lever i?

Thomas Watts

...er sjældent navngivne, kendte personer. Det er de store, anonyme masser der angribes, så man ikke føler samme form for skyld, som hvis naboen mister sit hus pga ens gerninger.

Netop derfor er det superproblematisk med risiko for brute force attacks mod NemID - det er SLET ikke et usandsynligt scenarie!

Thomas Watts

Du skal da bare autogenerere CPR-numre. Så triller det script og når det får et hit på et reelt nummer som DanID genkender, laver det fem login-forsøg.

Hvis jeg sætter en cpr-generator med parametre som skal overholdes op (f.eks. max. 100 å gammel....) og lader den spytte millioner af tilfældige talkombinationer ud, hvor mange tror du så rammer en dansker? En hel del... (og i øvrigt kan CPR-data købes på nettet, hvis man virkelig vil den slags. På linie med dankortnumre etc.)

Man skal IKKE nødvendigvis kende folks cpr for at kunne lave dette.

Peter Brodersen

Store dele af tilværelsen bygger på en kombination af tillid og sikkerhed. For eksempel giver det mening, at det er muligt at lukke et stjålet hævekort med beskedne oplysninger, selv om man ikke kan huske kortnummeret. Det samme gør sig gældende, hvis man vil spærre sit SIM-kort, når ens telefon bliver stjålet.

Jeg mindes at have set lignende debatter og tråde i den seneste håndfuld år. Men selv om vi kan betragte it som specielt, fordi der er mulighed for automatisering, så ser jeg ikke den store forskel her som i så mange andre processer.

Carsten Pedersen

så ser jeg ikke den store forskel her som i så mange andre processer.

Hævekort har en indbygget risiko. Det ved du, og derfor tager du (forhåbenligt) ikke til udlandet uden en vis mængde kontanter, evt. et alternativt hævekort, til at klare dagen og vejen. Og skulle det blive spærret mens du er herhjemme, har du sandsynligvis familie, venner eller naboer som kan stå dig bi et par dage. Risikoen for at gå glip af dagens indkøb i Føtex er til at overskue.

DanID er nøglen til alt, også de store kontrakter du skal indgå med billån, hussalg, skattevæsenet mv. Og til mange af de ting er der hårde deadlines som det kan koste dig ti eller hundrede tusinder kroner at glippe. Selvom processen er den samme, er der en kolosal forskel i risikoen.

Flemming Frandsen

Ikke helt, det er svært at lave en liste af alle dankort og meget sværere at få spærret dem alle sammen.

Det er trivielt at generere alle CPR numre og få alle NemID'er spærret.

Ja, selvfølgelig skal man i værste fald bruge en IP adresse til hvert forsøg, men man kan leje tid på et botnet til få dollars.

Helt godt bliver det hvis man får fat på zombier i .dk (med alle de windows maskiner bør det ikke være et problem), for så får man også DoS'et den rigtige bruger af zombien, så han ikke kan bruge sin NemID.

Bottom line er at NemID er designet med røven, ikke med tanke på sikkerhed, jeg forestiller mig at de har benyttet denne teknik: http://tinyurl.com/3x6kyb9

Maxx Frøstrup

Er bange for du har fuldkommen ret.

Som flere af de tunge drenge har sagt, så er det her jo bare et forum, og hvis der skal ske noget hedder det handling frem for tekst.

Men det er vel ligeså spændende at følge NemID's fødsel og videre liv som det er at følge Paradise Hotel.

Realiteten er at lukningen af NemID indenfor 5 år er forudsigelig og har været det i meget lang tid. Det spændende Se & Hør agtige i hele sagen ligger jo mere i hvornår og hvordan det sker.

Personligt tror jeg ikke der sker noget breaking på emnet inden nytår. alle venter på på at Danmark er tvangsoprettet, med eller uden OCES.

Thomas Watts

Jeg ved det, for jeg har lige oprettet det... bankmanden blev vildt forvirret da jeg bad om det, og kunne ikke umiddelbart huske, hvordan man gjorde.

Adgang til saldooversigter og pengeoverførsler formedelst en SMS' pris.

Fakturaer der ikke lige var med i PBS koster 6,- at betale hvis man kommer senest 3 dage før betalingsfristen (det vidste jeg ikke - troede altid det var 25,- for at gøre det i banken).

Ja jeg får et møginterface og mister noget fleksibilitet, men jeg er ikke på bankernes NemID.

Det var da en LILLE del af min personlige risikominimering fixet.

Next step hardware nøgle til den offentlige del i efteråret.

Så har jeg gjort hvad jeg sådan lige kan se, jeg personligt kan for at holde mig fra DanIDs idiotiske løsning. Suk.

Carsten Gehling

Som flere af de tunge drenge har sagt, så er det her jo bare et forum, og hvis der skal ske noget hedder det handling frem for tekst.

Well send budskabet til hende der sidder i toppen (lort falder som regel altid nedad):

1) Google Charlotte Sahl-Madsen for at finde hendes fødselsdato
2) Lav et script, som kan loope igennem de modulus-11 valide cpr-numre, der starter med hendes fødselsdato. For hver kombination: Log ind 5 gange på DanID.
3) Køb tid på et botnet til at køre dette script én gang i døgnet. :-)

-Carsten

Rasmus Rask

»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID.

»Det vil være nærtstående personer, der kender dit CPR-nummer eller brugernavn. Så chikanen vil formentlig kun kunne ske inden for små cirkler,« vurderer Jette Knudsen.

Nej, og ingen kan da finde på at stjæle min cykel, hvis jeg lader den stå ulåst. Face it, der findes kriminelle og der findes folk der vil chikanere.

For de kriminelles vedkommende, er det måske og måske ikke interessant hvem de rammer, men mere at man lammer vores digital infrastruktur. Ergo kan de være lige glade med hvilken persons NemID de rammer, bare de rammer mange.

Der findes også forsmåede mennesker som kan føle grund til at genere andre, eksemplvis ekskærester. Her er det oven i købet meget sandsynligt at de kender, eller let kan finde frem til, eksens CPR-nummer.

»Derfor kan vi ikke sige, om det er et problem. Det vil være bøvlet med den slags chikane, men det er ikke identitetstyveri. Der er ingen, som kommer ind og kan bruge andres NemID,« siger hun.

Nu er der vel heller ingen der har påstået at det var identitetstyveri, men muligheden for på simpel vis at lamme vores digital infrastruktur er må vel for pokker betegnes som lidt mere end "bøvlet"!?

»DanID har mekanismer, der skal forhindre denial-of-service-angreb. Af sikkerhedsmæssige grunde vil vi ikke fortælle, hvordan vi overvåger og imødegår denne type angreb. Og det er ikke et område, vi kan give nogle garantier på,« siger kommunikationschefen.

I call bullshit. Zombienetværk kan lejes for dollars og jeg antager man også kan vælge om man fx. kun vil leje zombier fra en bestemt region. Det ville være dumt og afslørende at forsøge sig med div. CPR-numre i numerisk rækkefølge, så det sker selvfølgelig ikke.

Et af salgspunkterne for NemID er at man skal kunne logge på overalt, så hvordan DanID vil fx kunne afgøre at forsøg X fra en ukendt IP-adresse et sted i Europa mod et CPR-nummer er del af et DDoS-angreb, men forsøg Y fra en anden ukendt IP-adresse et andet sted i Europa mod et andet CPR-nummer ikke er? Jeg tror ikke på det!

»Det ville være kriminalitet i det helt store gear, som politiet ville efterforske og forsøge at få nogen straffet for. Sådan et angreb ville være en stor sag, som hvis man forsøgte at bryde ind i CPR-registret,« siger Jette Knudsen.

Hvis det var så let at optrevle zombienetværk og finde de skyldige, var langt flere kriminelle nok blevet fanget. Jeg er derfor heller ikke overbevist om, at kriminelle der er villige til udføre et sådan angreb, lader sig skræmme af den beskedne/teoretiske mulighed for at blive afsløret (dvs. at zombinetværket oprevles).

Maxx Frøstrup

Nej da, det er ikke Charlotte du skal ramme. Hvis man endelig skulle/kunne.

Effekt maksimering ville være at gå efter hendes mand, børn eller anden nær familie. Måske hendes sekratær eller veninder. Som minister agere hun jo ikke som vi andre dødelige i denne verden. Hun har da folk til at tage sig at ting som at fixe sin netbank eller ordne sit billån, bare se Helle.

De bruger ikke samme kanaler som os andre. Men hvis en håndfuld af deres bekendte ofte fik det problem at ders NemID blev lukket, ville der ret hurtigt komme nogle tiltag for at dette ikke skete.

Men én ting er sikkert, jeg har hverken viden/evner eller behovet for at gøre noget ved sagen. Jeg er tålmodig, optimistisk og finder det egentlig mere spændende hvor langt samfundet som helhed bliver trukket rundt før systemet kollapser.

Jeg tror nu stadig ikke der sker noget før efter nytår, hvorefter der sker noget, om det er en der vil vise noget med Proof of concept eller en faktisk trussel der laver nummeret. Hvem ved, måske det hjælper at bede og der sker ingenting overhovedet før DanID begynder at opkræve for brugen af systemet jvf. dankortet :)

Thomas Watts

Hvis det ikke findes(?) burde man indstifte en årligt tilbagevendende white hat konference kun for statens systemer.

Fra officielt hånd at få sandkasse-hacket de kritiske systemer i det offentlige, så man kunne få syn for sagn og derved forhåbentlig blive klar over behovet for handling.

Jesper H. V. Lauritsen

"»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID."

Og onkel harry der røg 60 cigaretter om dagen døde ikke af lungekræft, derfor giver cigaretter ikke lungekræft. QED... .. .

Det er da trist når folk taler før de tænker!

Torben Lund

Endnu et eksempel på offentlig arrogance over for den almindelige borger. Hvis man læser alle de arrogante og nedladende svar der er kommet fra NemId med hensyn til sikkerhed og brugervenlighed må man tage sig til hovedet. Alle de problemer der har været nævnt i forbindelse med overgangen fra Digital Signatur til NemId er ikke aktuelle med DigSig. Men med bankernes støtte og et forvirret ministerium, ser vi endnu et eksempel på at fikse noget der virkede, med noget som har store ukendte risici for brugerne.

Henrik Biering Blogger

Det mest interessante i forklaringen er vel egentlig dette:

I første omgang vil kontoen være låst i otte timer og er derefter klar igen. Men bliver der igen brugt fem forkerte forsøg på at logge ind, kræver det en ny, midlertidig adgangskode. Har man tilknyttet et mobiltelefonnummer til sin NemID, kan man få adgangskoden med det samme.

Ved at stjæle det man har f.eks. en jakke eller taske med tegnebog (heri engangskodekort og sygesikringskort) og mobil kan en tyv altså få tilsendt en ny adgangskode (det man ellers vidste) og slippe let og elegant uden om den personlige adgangskode.

Maxx Frøstrup

Hvis man nøjes med at tage et billede af pap-kort og sygesikringsbevis, også bare stjæle telefonen. Så kan man jo hurtigt finde sig en netbook eller ligende, forsøge på at logge ind og da det ikke lykkes få tilsendt koden.

De fleste danskere vil jo højst sandsynligt få sin telefon spærret og ikke tænke meget mere over den sag før et par dage senere når ens konto er tømt og ejendomsmælgeren kommer for at sælge dit hus????

Hans Schou

Rene Madsen,

Spørgsmålet er om, der er nogle kriminelle som er interesseret i at chikanerer hele systemet?

Taleban?

Med lidt penge kan de købe nogle russiske programmøre og et lille bot-net. Så prøver man så automatisk en masse random CPR-nr for folk i alderen 20-40 år.

Jesper Mørch

EPIC FAIL!

Jeg glæder mig til vi en dag slipper for dumsmarte politikere som i fuld fart og med høj cigarføring forsøger at sende Danmark ud over afgrunden imens de klapper hinanden på skulderen og skamroser hinanden for at gavne landet...

Maxx Frøstrup

Ja det er ikke engang løgn.

Der er så mange ting i den FAQ der får mine alarmklokker til at ringe sindsygt.

Nu vi snakker om at spærre folks via cpr-nummer, for hvilket deres elegante løsning er at man slår login via CPR fra. jo jo, tror jeg vist vi alle gør nu.

Men du vil altid kunne lave login forsøg mod NemID nummeret som var på formen xxx-xxx-xxx, antager xxxxxxxxx format det er en meget lille milliard opslag. Hvordan er det nu med CPR, er det omkring 10 millioner valide?

Mega genialt man kan ringe ind og få sit nemid oplyst, så i praksis behøver man ikke engang lave research hvis man vil have det, man ringer bare ind efter det :)

Lidt ligesom, hvis du får din kode over telefon og den er sjålet, så logger du ind og spærre den? Jo jo det er sikkert muligt på en eller anden måde....

Egentlig er det faktisk ret sygt at der ikke er nogle ansvarlige der har trukket i bremsen. De har vel for travl med at bede ...

Nu jeg tænker over det har vi jo ikke hørt noget fra dem herinde et stykke tid, gad vide om de pludseligt fik mere travlt med at lappe sikkerhedshuller end med at fortælle os hvor godt systemet er?

Per Erik Rønne

Ja, der er rigtigt mange der har ens cpr-nummer. Ud over dem der er nævnt ovenfor kan jeg nævne:

  1. Nuværende og tidligere arbejdsgivere, og deres lønbogholdere.

  2. Firmaer der har modtaget en ansøgning fra én. Er det ikke kotume at sende kopier af ens kandidatbevis med til en ansøgning? Sådan et eksamensbevis indeholder ens cpr-nummer ...

Og ja, jeg har selv været ude for at en mig ubekendt person har bestilt en bunke ting i mit navn, på efterkrav. Og endda forsøgt at få mig ind i en 'gul' fagforening og dennes a-kasse. Vedkommende kendte nemlig mit cpr-nummer. Det varede op til et års tid ... men nu ligger jeg vist i forskellige databaser som gør at jeg ikke kan købe på efterkrav. Kun på mit visa-dankort eller mastercard.

Ja, cpr-nummeret udgør ingen sikkerhed; dertil kender alt, alt for mange det.

Nils Bøjden

Med tanke på at ARPA/DARPA oprindeligt var tiltænkt som en mulighed for decentral kommunikation, synes jeg at det er imponerende at DanID sammen med diverse ministerier har været i stand til at ødelægge hele ideen med internettet.

Jeg synes at alle i andre er alt for negative, og I tænker slet ikke på hvor stort arbejde der har været i at pervertere grundlaget for internettet.

Fy skam jer alle sammen sådan som i klandrer DanID for centralisering af et decentralt netværk. I burde alle være stolte over at DanID har været i stand til at præstere noget som måske ikke engang Kina eller Iran har haft success med.

Kai Birger Nielsen

På mit job har vi for nogle få år siden flettet flere institutters login-navne (mest for at kunne tilbyde et fælles kalendersystem). Der var mange sammenfald af brugernavne, mest af typen fornavnsinitial+efternavn, dvs bnielsen, kjensen osv. Hvordan håndterer DanID det?
Må der være to bnielsen'er eller får nummer to at vide at han/hun ikke må vælge det, fordi det allerede er taget?

Mit gæt er at et blik på folks emailadresse vil give et godt bud på hvad de vil vælge som nemid-loginalias.

Kai Birger Nielsen

Pointen er ikke at man kan vælge bnielsen1, bnielsen2, ...
Pointen er at hvis nogen får lyst at drille Jesper Kildebogaard (artiklens forfatter) ved at spærre hans nemid, så kunne det være et gæt at se om der var et nemid-login, der hed jek (det er der nok ikke for det ser ud til at skulle være mindst 5 tegn), men næste gæt ville være jek80 eller noget i den dur.

Mit spørgsmål går egentlig på om man på en eller anden måde kan se om et nemid-login allerede er taget eller om det er lavet så "smart" at alle brugerne må vælge "nemid" som nemid-login (nej, vel?).

Erik Bak Regueira

En stor bank her i landet har som formentlig bekendt en netbankløsning, hvor adgangskontrollen er baseret på nøglekort/papkort, fuldstændig svarende til NemID's. På netbankens logonside indtaster man først sit CPR-nr sammen med et nøglekortnummer, og så får man adgang til næste side hvor et tal fra nøglekortet+kodeordet skal indtastes.

Men hvis man på ved et uheld (!) nøjes med at indtaste et CPR-nr (og altså lader nøglekortnummerfeltet stå tomt), opstår der et par interessante muligheder:

  1. Hvis ejeren af CPR-nummeret IKKE ER kunde i banken, får man oplyst dette ('Bruger findes ikke').

  2. Hvis ejeren af CPR-nummeret derimod ER kunde i banken vil hans/hendes netbank blive spærret efter fire (4) forgæves logon-forsøg. Og først blive genåbnet efter henvendelse til bankfilialen.

Gad vide hvor ofte bankens kunder er udsat for chikane? Og må netbankens logonside overhovedet fortælle uvedkommende om jeg er kunde i banken eller ej?

En sådan brist er meget alvorlig når det drejer sig om en netbank, men mange gange værre når det gælder en generelt anvendelig nøgle som nemid.

Jeg er virkelig meget bekymret ved tanken om at vores fælles IT-infrastruktur skal beskyttes af et papkort.

Per Erik Rønne

@Thomas Bundgaard,

Ja, vi vil jo gerne vælge brugernavne [og løsener] som vi kan huske.

Alternativet vil for mange kontorfolk være at have en liste over brugernavne og løsener liggende i en udtræksskuffe på skrivebordet. For mig ville det være at registrere det i mSecure, som jeg har liggende på både min iPhone og min Mac, og hvis indhold synkroniseres mellem de to enheder.

Men selv det er jo mere besværligt end at kunne huske det i hovedet.

I øvrigt er det altid lettere at bruge mail-adresse som login-navn; mail-adressen er i hvert fald entydig.

Anonym

Diskussionen er meget præget af kortsigtede betragtninger.
Ser man blot en smule dybere i problemet, så er der 3 aspekter som bør fremhæves.

a) Genbrug af nøgler/identificers er selve kilden til sikkerhedsproblemer. En af hovedforudsætningen for at en servertransaktion kan være sikker for nogen af parterne er at den ikke kommer i nærheden af cpr-nummeret.

b) Vores hovedudfordring er at sikre klient-side kontrol med nøgler og identifiers. Dels fordi det er det som hele samfundet bygger på - sikkerhedsmæssigt, økonomisk og retsprincipielt (magt m.m.). Dels fordi gode løsninger skal trække andre gode løsninger.
Men det betyder ikke at sikkerhed skal være naiv - den skal bare starte med at beskytte det vigtigste.

c) Efterspørgsel, dvs. de individuelle valg, er forudsætningen for og det mest sårbare aspekt i samfundet. Samtidig det som nem-xx samtidig gør mest for at nedbryde.

Jeg har prøvet at udtrykke og uddybe disse aspekter i det sidste kapitel her.
http://www.taenk.dk/upl/cms/5/2645_Deovervaagede.pdf

Men det er et moving target med teknologiudviklingen. Alle vil om få år stå hovedrystende - ikke bare om NemId men hele nem-konstruktionen. Og alle vil have meget travlt med at afvikle de mange fejl mens man desparat forsøger at vaske hænder for ansvar.

Problemet er, at det er nu man ved rettidig omhu og glidende overgange kan minimere skaderne.

Hvis man vil bevare miljøet starter man ikke med at producere en masse toxisk affald og dumpe det midt på det mest sensitive del af økosystemet.

NemId dumpes som en logisk single-point-of-failure midt på den digitale hovedlandevej og ødelægger samtidig med at det forhindrer løsninger. Regningen skubbes foran samtidig med at den vokser eksponentielt.

Et samfund som agerer på denne måde er offer for den gamle lærdom. Store civilisationer erobres ikke udefra førend de er rådnet indefra.

Danmarks problem er at fællesskab er blevet til tvangsfællesskab og dermed det modsatte af det som gjorde os stærke engang - nu står vi midt i derouten og gentager bare de fejl som skabte problemerne.

Mere bureaukrati gør kun situationen værre.

Mikkel Meyer Andersen

Fx
http://www.google.com/search?q=filetype%3Axls+site%3Ahttp%3A%2F%2Fwww.pb...

Giver også fine ark med kontaktoplysninger om banker. Bl.a. navne og e-mails (om ikke andet så kan det i værste fald bruges til målrettet spam- eller social engineering-angreb).

Måske også:
http://www.google.com/search?hl=en&q=filetype%3Adoc+site%3Ahttp%3A%2F%2F...

Og sådan kan man jo blive ved.

Michael Mortensen

Lur mig, om ikke Version2 laver en opfølgning på de mange gode indlæg der har opsamlet sig på denne side. NemID er et isbjerg af problemer, og vi kan af gode grunde kun udforske overfladen.

Jeg savner faglig stolthed i projekter af denne størrelse!

Michael Rasmussen

Ja, den gode Jesper Lind Damkjær har da for tid og evighed ødelagt hans faglige renomme, og hans indspark i en debat om sikkerhed og kryptologi vil i min optik ikke have nogen nævneværdig vægt, da man aldrig ved, om hans bidrag af farvet af ussel mammon!

Penge siges ikke at lugte, men engang imellem kan de blive så beskidte, at man mistænker falskmøntneri.

Kim Garsdal Nielsen

Er der nogen der kan forklare mig, hvorfor en så gennemgribende infrastrukturproblematik sorterer under videnskabsministeriet og ikke f.eks. under transportministeriet? Førstnævnte skal vel sørge for, at vi er fremmest i udviklingen og betræder nyland, hvorimod sidstnævnte skal sørge for at infrastrukturen i landet fungerer. Her er der ingen grund til at betræde nyland. Det må vente til, der er en gennemprøvet løsning.

/Kim

Michael Nielsen

havde man brugt standard digital signature teknologien, som er vel over 25 år gammel og efter prøvet, var dette ikke et problem.

Suk, hvorfor hører man ikke på kritikerne, som har på peget utallige svagheder i DanID systemet, alle er blevet afvist med en "I aner ikke hvad i snakker om" slags svar fra DanID.

Lol... Spild af tid at nævne det, men over 1 milliard kunne være sparet, på at lave en ordenligt løsning baseret på digital signatur, i stedet for at genopfinde den dybe tallerken.

Danmark gør alting bedst ? I hvertfald er vi bedst til at spilde penge, og lukke sund fornuft uden for døren.

Michael Nielsen

af Nicolaj Rasmussen, 5. august 2010 13:32

Man burde kunne vælge at droppe lockout efter 5 forsøg, og i stedet kombinere sit NemID login (brugernavn/password) med billed-verificering a la CAPTCHA, måske billeder ligesom hos BoxKnox, eller bare en tredje kode inden man når ind kodekort-login'et.

En lappe løsning på et ufatteligt dårligt koncept, ok med capta, så gør jeg det bare manuelt - 5 gange hver 8. time, er jo nok til at blokere en jeg vi chikanere - route det igennem nogle servere på nettet så er det ufattelig svært at finde mig.

Nej løsningen skal skrottes, og vi skal havde en RIGTIG digital signatur - da en digital signatur er netop designed til at undgå samtlige af de svagheder som DanID har.

Per Michael Jensen

Der er knap 20.000.000 valide CPR numre og vi gætter på at NemID kan klare 100 forespørgseler/s.

20.000.000 [CPR numre]/(100 [forespørgsler/sek] * 3600[s/time])= 55,6 timer

Ved at fravælge årstal før 1937 og efter 1992 halveres antallet af valide CPR numre. Lidt mere tilskæring, og opgaven kan klares på 24 timer.

NemID hjælper muligvis med højere kapacitet. Men da de er forberedt på DOS angreb, skal der nok bruges et botnet eller lignende

Kai Birger Nielsen

Er der egentlig nogen grund til at forsøge at skjule sig, hvis man taster cpr-nummeret forkert en gang imellem?
Jeg har lidt svært ved at se politi/anklager køre en sag på at enelleranden taster noget forkert fem gange. Og det skal vel op på et vist niveau for at man kan hale navneoplysninger ud af en ISP?
Når jeg tænker på hvor mange gange jeg selv taster noget forkert, fordi det går lidt ofr strækt :-)

Klaus Seistrup

Et andet problem med NemID er at det ikke er muligt at logge fra i hvert fald androidtelefoner, da de — som NemID support siger — “ikke understøtter den fulde version af java”. Konsekevensen er at når min bank går over til udelukkende at benytte sig af NemID til login, vil jeg ikke længere være i stand til at homebanke via mobilen. Det er da et tilbageskridt der vil noget! :(

Asbjørn Næhr

kommunikationschef hos DanId Jette Knudsen manipulerer groft ved at svare på noget der ikke er spurgt til! Påstanden var/er, at de forskellige tilknyttede firmaer/banker kan snage i mine transaktioner når jeg er logget på - og svaret at de ikke kan foretage handlinger på min computer, hvilket er den rene voldtægt af spoget (Gøbbels længe leve!). Konklussionen må vel være, at det kan de godt, og at den kære Jette ikke tør indrømme denne mulighed for utidig overvågning/snagen.
Ellewr svar ordentligt.
P.S. Firmaet er totalt lukket og samme Jette ikke til at opdrive, ren envejskommunikation!

Jesper Rude Selknæs

"Bare for en ordens skyld: En gruppeleder i en spejdergruppe har ikke behov for at kende spejderes eller lederes cpr-numre. Sker denne registrering er det sandsynligvis en misforståelse. Enkelte kommuner kræver cpr-numre a.h.t. tilskud, men de behøver ikke at være registrerede nogle steder."

Det er ikke korrekt. Alle spejderledere skal have en såkaldt børneatest. Når man skal have en børneattest skal gruppelederen, formanden eller anden medlemsansvarlig indsende et stykke papir til rigspolitiet og i den forbindelse kommer lederens CPR nummer til den medlemsansvarliges kendskab.

Ligeledes gælder det at i forbindelse med tue og andet vil lederne ligge inde med sygesikringskortet på spejderne. Derfor kommer spejdernes CPR numre til lederens kendskab (under forudsætning af at spejderen faktisk deltager i spejderarbejde).

Jesper R. Selknæs, TL i DDS

Jesper Rude Selknæs

"Det kan godt være at jeg i teorien kan blive spejderleder uden at min gruppeleder ser at jeg har udfyldt anmodningen om børneattest, så tror jeg at det de fleste steder er en fra gruppeledelsen der sender de udfyldte formulare videre i systemet.

Gruppelederen er iøvrigt den af de fire nævnte personer jeg har størst tillid til."

Nogen i din gruppe ser den i ihvertfald, da der, så vidt jeg husker, skal skrives under af GL, formand eller medlemsansvarlig.

Også jeg betragter min GL som et af de mest troværdige menesker jeg kender. Jeg har bestemt ikke problemer med at mit CPR nummer kendes af mine spejderkammerater, det er trods alt et foretagende hvor vi stoler en del på hinanden (:

Per Erik Rønne

Måske skal man gøre opmærksom på at det ikke kun er ledere der skal aflevere børneattest. Det gælder også for menige medlemmer af roverklanen, for medlemmer af seniortroppen, ja, vel selv for de største i spejdertroppen. Og så er det vist afsløret at min spejderuniform er grøn ...

Da jeg sidst hørte om regelsættet gjalt det for alle spejdere, at de skulle underskrive når de fyldte 15; jeg vil gå ud fra at aldersgrænsen nu ligger på 14. Nu er der naturligvis børn der på deres 15 [14] års fødselsdag er dømt for pædofile forhold, men attesten gør også at politiet straks underretter i dette tilfælde spejdergruppen, når der sker noget. Så for gruppemedlemmer over 14 kan gruppen dårligt undgå ikke at kende cpr-numrene.

Dertil kommer at man i mange kommuner modtager en årlig medlemsliste fra spejdergrupper, idrætsforeninger og andre grupper med medlemmer under eksempelvis 21. Naturligvis forsynet med cpr-numre. Listen danner basis for det årlige tilskud til foreninger med børn og unge ... og her er det simpel nødvendighed at gruppen opbevarer medlemmernes cpr-numre i deres database.

Nicolaj Rasmussen

Bare lige ang. det med børneattester og personnummer.

Så vidt jeg ved, så er det kun personer der arbejder med, dvs. har en en form for ledelsesansvar overfor personer under 15 år, som er omfattet af kravet om indhentelse af børneattester. Det er jo ikke alderen på personen som børneattesten omhandler der er udløsende, det er alderen på de personer (børn) som personen arbejder med. Altså der skal kun indhentes børneattester på medlemmer af roverklanen, seniortroppen eller andre spejdere hvis de samtidig optræder som ledere for de yngre medlemmer.

Se f.eks. http://www.frivillighed.dk/Webnodes/B%F8rneattester/708#a6 eller http://www.spejdernet.dk/Ledere/tema/Misbrug/Attester.aspx.
Og desuden https://www.retsinformation.dk/Forms/R0710.aspx?id=11961.

I de foreninger jeg har været involveret i har det aldrig været nødvendigt at indhente eller opbevare CPR-numre, kun fødselsdatoen som dannede grundlag for udregningen af tilskuddet fra kommunen.
Som udgangspunkt må foreningerne slet ikke opbevare personnumrene, da datatilsynet anser det som værende personfølsomme oplysninger.
Ifm. indhentning af børneattester skal CPR-nummer selvfølgelig påføres, men der skal udpeges betroede personer til håndtering af de modtagne børneattester.

Når foreningen har indhentet samtykke og sendt anmodningen om børneattest til Rigspolitiet, modtager foreningen enten en blank (negativ) eller en positiv børneattest samt en vejledning om, hvordan I håndterer børneattesten. Kun den nederste del af blanketten må opbevares sammen med registret - resten skal af hensyn til persondatasikkerhed destrueres.
...

Foreningen skal udpege en person, der skal sørge for at beskytte oplysningerne i børneattesten. Uberettiget videregivelse af oplysninger straffes efter såvel straffeloven som persondataloven.

http://www.dgi.dk/nyheder/sp%C3%B8rgsm%C3%A5l_og_svar_om_overgreb_%5Ba10...

Persondataloven

§11
...
Stk. 2. Private må behandle oplysninger om personnummer, når
1) det følger af lov eller bestemmelser fastsat i henhold til lov,
2) den registrerede har givet sit udtrykkelige samtykke hertil eller
3) behandlingen alene finder sted til videnskabelige eller statistiske formål...
...

Stk. 3. Uanset bestemmelsen i stk. 2, nr. 3, må der ikke ske offentliggørelse af personnummer uden udtrykkeligt samtykke.

Fandt også lige
http://www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/datatilsynets...

Nu er udgangspunktet i denne tråd selvfølgelig, at vi ikke stoler på nogen som helst, så de forsk. regler for opbevaring, håndtering og tavshedspligt betyder selvfølgelig ikke noget som helst, da alle jo har ondt i sinde.

Per Erik Rønne

@Nokolaj Rasmussen,

For en god ordens skyld skal jeg understrege, at det jeg skrev ovenfor var hvad jeg mundtligt fik at vide i min gruppe. Jeg har ikke set dokumentation for at der var retslige krav i den retning. Men det var åbenbart sådan det blev administreret i gruppen.

I øvrigt vil de fleste 14-15 årige i en almindelig patrulje i dag have »ledelsesansvar«. Hvis de ikke skulle være patruljeledere vil de typisk være patruljeassistenter ...

Nicolaj Rasmussen

For øvrigt ang. at man kan spærre andres NemID konto ved at indtaste deres CPR-nummer og forkerte passwords, hvorfor gør man det ikke blot et krav at man udover brugernavn (fx. CPR-nr) og password også skal indtaste nøglekortets nummer?

Mit nøglekort er på formen A000-000-000 hvor A er et bogstav (som jeg dog ikke ved om varierer) og 0 er forskellige tal.
Ved et kendt CPR-nummer man vil chikanere, så skal man således stadig (hvis bogstavet varierer) gætte potentielt (25x10^9) gange for at låse det kendte CPR-nr. Idag skal man bare taste forkert 5 gange.

Hvis man vil låse mange / alle NemID, dvs. man ikke kender CPR-numrene, så er der jo tale om 2 ubekendte, og så skal man både gætte et korrekt CPR-nummer der hænger sammen med et korrekt nøglekort-nummer. Igen hvis bogstavet på nøglekortet varierer, så er det vel noget lign. (25x10^9 x 49^7) kombinationer (de 49 er taget fra Torben Mogensens regnestykke på http://www.version2.dk/artikel/15683-danid-afviser-password-kritik-ligeg...).

Forbeholdt for forkerte regnestykker, please correct me.

Da DanID jo har hemmelige våben der kan stoppe / håndtere DoS angreb, så vil jeg da sige, at sikkerheden (lige i denne henseegen ang. lockout) bliver meget bedre - og at det vil være en hel del sværere at låse et NemID hvis man inkluderer nøglekort-nummeret i verificeringen.

Som Erik Bak skriver længere oppe, så skal løsningen selvfølgelig IKKE accepterer noget som helst medmindre det hele er udfyldt, som lyder til at være tilfældet hos en anden bank med samme koncept til netbank (JB?).

Per Erik Rønne

Når man opdager at eksempelvis ens tegnebog med dankort er stjålet, ringer man til banken [døgnåbent når det er min bank, DDB] og præsenterer sig blot med cpr-nummer. Det er ikke altid man har andre oplysninger på sig; cpr-nummeret har man naturligvis i hovedet, og spærringen skal sættes i værk så hurtigt som overhovedet muligt.

Nicolaj Rasmussen

Ja, det er nok rigtig nok, om det indtil nu har været et problem ift. chikane ved jeg ikke, og om det samme gør sig gældende med NemID, altså at man bare kan ringe få det spærret ved oplysning af CPR-nr ved jeg ikke, for så er det jo selvfølgelig den nemmeste måde at chikanere på (når man kender CPR-nummeret).

https://www.nemid.nu/support/spaer_nemid/

Jeg synes stadig at angive nøglekortnummeret ifm. logon må kunne hjælp på de generelle problemer med lockout.

Maxx Frøstrup

Nicolaj, et eller andet sted i enten artiklen, en efterfølgende artikel, eller i et af debat indsparkene her, siges det at man KAN deaktivere login via CPR.
Det er som jeg forstår et lille flueben i opsætningen, Og jeg vil klart anbefale folk bruger den over én kam. Så hvis du hjælper nogen, så lær dem det.

Jeg mindes at have hørt/set at ens NemID nummer står på det famøse papkort, og dette nummer giver adgang på samme niveau som "brugernavn", ligegyldigt om Log-in via CPR er slået til eller fra.
Nem tilgængelig information for den rette ejer.

Ved eftertanke mener jeg at have fisket det ud af det interne Support regneark, men det er så simpelt og effektivt jeg ikke kan se hvorfor de skulle forlade dette design.

Jesper Rude Selknæs

"Så vidt jeg ved, så er det kun personer der arbejder med, dvs. har en en form for ledelsesansvar overfor personer under 15 år, som er omfattet af kravet om indhentelse af børneattester. Det er jo ikke alderen på personen som børneattesten omhandler der er udløsende, det er alderen på de personer (børn) som personen arbejder med. Altså der skal kun indhentes børneattester på medlemmer af roverklanen, seniortroppen eller andre spejdere hvis de samtidig optræder som ledere for de yngre medlemmer."

Det er sådan set rigtigt, men det ændre jo ikke ved at den "betroede" i grupperne kan opsamle CPR-numre og dermed misbruge dem. Som sagt har jeg ikke personligt noget problem med at mine spejderkammerater kender den salgs oplysninger, men det er i princippet muligt at lave et angreb af den vej. Tilsvarende problemer må man jo have i alle foreninger der arbejder med børn og unge menesker (bare for at komme lidt ud over spejdertråden).

Der er ydermere det sjove problem at jeg som leder får kendskab til mine spejderes CPR numre i forbindelse med ture, specialt de store ture, hvor der naturligvis skal være styr på deres sygesikringskort og hvis vi er i udlandet også deres pas.

Igen en tillidssag, men jeg regner med at hele spejder eksemplet er valgt her for at vise at CPR numre VIL slippe ud, i det nuværende system kan de simplehen ikke holdes hemmelige hvis vi ønsker at bruge som til at indetificere personer med.

Log ind eller Opret konto for at kommentere