DanID: Ja, det er muligt at spærre andres NemID

Mine nærtstående personer inkluderer altså bibliotekaren på mit kommunebibliotek, sygeplejesken på skadestuen, gruppelederen i min spejdergruppe, samt ham der stjal min pung for en måned siden...

CPR-nummere er og bliver ikke en hemmelighed!

Bare for en ordens skyld: En gruppeleder i en spejdergruppe har ikke behov for at kende spejderes eller lederes cpr-numre. Sker denne registrering er det sandsynligvis en misforståelse. Enkelte kommuner kræver cpr-numre a.h.t. tilskud, men de behøver ikke at være registrerede nogle steder.

Det er en udbredt misforståelse, at CPR-nummeret skal give adgang til noget som helst. CPR-nummeret er en entydig måde at finde en person, ja - men det er bestemt ikke identifikation. Sådan set vil det være rimeligt, at vi alle har CPR-nummeret stående på vores visitkort, netkonti og alle mulige andre steder, hvor vi også skriver vores navn og adresse.

Det er så sørgeligt, at CPR-nummeret rent faktisk kan give adgang. Det har diverse journalister gentagne gange påvist. At mennesker af uransalige årsager mener, at bare fordi der er hele ti cifre i et tal, så må det være mere tillidsvækkende end f.eks. at kunne stave et navn korrekt.

Gad vist om skat vil acceptere, at en selvangivelse indsendes for sent fordi NEMID har spærret min adgang til at logge ind? Eller om ansøgninger til uddannelser kan komme sjoskende et par dage for sent, fordi man lige skal have fat i Nordjyske Bank (hvis man bor i Tønder) for at få aktiveret sit spærrede NEMID.

Godt nok bliver jeg irriteret over paranoide sikkerhedsfolk - men det synes efterhånden som om NEMID burde have ansat nogle af dem til at gennemgå deres trusselsbillede.

»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID.

Spørgsmålet er om, der er nogle kriminelle som er interesseret i at chikanerer hele systemet?

Det vil med lidt snilde ikke tage ret lang tid at lave et script der logger, hvilke CPR numre der virker og prøver igen efter de 8 timer og lukker en kæmpe stor del af den danske befolkning ude af systemet.

Enkelte kommuner kræver cpr-numre a.h.t. tilskud, men de behøver ikke at være registrerede nogle steder.

Hver gang jeg skal have refunderet et udlæg på bare 10 kr skal jeg udfylde en seddel med bl.a. cpr-nummer. Denne seddel vil så ligge frit tilgængeligt indtil vores sekretær får tid til at registrere/behandle den.

CPR-nummeret er ingen hemmelighed!

Det vil med lidt snilde ikke tage ret lang tid at lave et script der logger, hvilke CPR numre der virker og prøver igen efter de 8 timer og lukker en kæmpe stor del af den danske befolkning ude af systemet.

Sådan set er det jo enkelt at 'vælge' rigtige cpr-numre - og så lave et brute-force angreb på NEMID. Med den snilde, der lægges for dagen til anvendelse af kompromiterede pcer, er dette absolut en mulighed.

Et er teori, et andet er virkelighed.

Det kan godt være at jeg i teorien kan blive spejderleder uden at min gruppeleder ser at jeg har udfyldt anmodningen om børneattest, så tror jeg at det de fleste steder er en fra gruppeledelsen der sender de udfyldte formulare videre i systemet.

Gruppelederen er iøvrigt den af de fire nævnte personer jeg har størst tillid til.

Rene Madsen har allerede spurgt mit spørgsmål :)

Jeg ser også den der brute-force beskyttelse som en oplagt mulighed for en hacker: Det er jo super latterligt hvis man virkelig, med 1 computer og et script på 5 linier, kan lukke alle danskeres accounts hver 8. time?

Svar lige på den, DanID, tak ;>

Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer

Du kender formodentlig hans fødselsdato, og hans adresse er nok ikke svært at liste ud af personaleafdelingen. Med de informationer, internettet og lidt tålmodighed, kan du finde hans CPR nummer inden for en halv time.

Derfor kan vi ikke sige, om det er et problem. Det vil være bøvlet med den slags chikane, men det er ikke identitetstyveri

Er det bare "bøvlet" når man går glip af et hussalg fordi man kl. 15:30 indser at man ikke når at få sendt papirene inden i eftermiddag kl. 16:00 (som er købers deadline)?
Hvilken virkelighed er det, DanID lever i?

Hvem finder først cpr-numre på de ansvarlige og sætter en pc til at brute-force lukke dem konsekvent hver 8. time?

...er sjældent navngivne, kendte personer. Det er de store, anonyme masser der angribes, så man ikke føler samme form for skyld, som hvis naboen mister sit hus pga ens gerninger.

Netop derfor er det superproblematisk med risiko for brute force attacks mod NemID - det er SLET ikke et usandsynligt scenarie!

Du skal da bare autogenerere CPR-numre. Så triller det script og når det får et hit på et reelt nummer som DanID genkender, laver det fem login-forsøg.

Hvis jeg sætter en cpr-generator med parametre som skal overholdes op (f.eks. max. 100 å gammel....) og lader den spytte millioner af tilfældige talkombinationer ud, hvor mange tror du så rammer en dansker? En hel del... (og i øvrigt kan CPR-data købes på nettet, hvis man virkelig vil den slags. På linie med dankortnumre etc.)

Man skal IKKE nødvendigvis kende folks cpr for at kunne lave dette.

der er også risikoen for afpresning fra "russiske hackere": "betal os 1 million eller vi chikanerer jeres brugere med ddos angreb"

når adgangen til så mange vitale systemer er samlet et sted, er det et godt mål...

Det er da den Digitale Tinglysning, der sørger for, at dit hussalg går i fisk... det behøver NemID SLET ikke hjælpe til med ;)

Store dele af tilværelsen bygger på en kombination af tillid og sikkerhed. For eksempel giver det mening, at det er muligt at lukke et stjålet hævekort med beskedne oplysninger, selv om man ikke kan huske kortnummeret. Det samme gør sig gældende, hvis man vil spærre sit SIM-kort, når ens telefon bliver stjålet.

Jeg mindes at have set lignende debatter og tråde i den seneste håndfuld år. Men selv om vi kan betragte it som specielt, fordi der er mulighed for automatisering, så ser jeg ikke den store forskel her som i så mange andre processer.

... kommer til at være noget i stil med:

Ja $exploit er muligt, men DanID mener ikke det er noget problem.

Vi har allerede set masser af tåbelige designfejl i NemID påpeget, blot for at DanID trækker på skuldrene og siger at det ikke betyder noget.

Det er godt nok dejligt med sådan et bankmonopol.

så ser jeg ikke den store forskel her som i så mange andre processer.

Hævekort har en indbygget risiko. Det ved du, og derfor tager du (forhåbenligt) ikke til udlandet uden en vis mængde kontanter, evt. et alternativt hævekort, til at klare dagen og vejen. Og skulle det blive spærret mens du er herhjemme, har du sandsynligvis familie, venner eller naboer som kan stå dig bi et par dage. Risikoen for at gå glip af dagens indkøb i Føtex er til at overskue.

DanID er nøglen til alt, også de store kontrakter du skal indgå med billån, hussalg, skattevæsenet mv. Og til mange af de ting er der hårde deadlines som det kan koste dig ti eller hundrede tusinder kroner at glippe. Selvom processen er den samme, er der en kolosal forskel i risikoen.

Ikke helt, det er svært at lave en liste af alle dankort og meget sværere at få spærret dem alle sammen.

Det er trivielt at generere alle CPR numre og få alle NemID'er spærret.

Ja, selvfølgelig skal man i værste fald bruge en IP adresse til hvert forsøg, men man kan leje tid på et botnet til få dollars.

Helt godt bliver det hvis man får fat på zombier i .dk (med alle de windows maskiner bør det ikke være et problem), for så får man også DoS'et den rigtige bruger af zombien, så han ikke kan bruge sin NemID.

Bottom line er at NemID er designet med røven, ikke med tanke på sikkerhed, jeg forestiller mig at de har benyttet denne teknik: http://tinyurl.com/3x6kyb9

Er bange for du har fuldkommen ret.

Som flere af de tunge drenge har sagt, så er det her jo bare et forum, og hvis der skal ske noget hedder det handling frem for tekst.

Men det er vel ligeså spændende at følge NemID's fødsel og videre liv som det er at følge Paradise Hotel.

Realiteten er at lukningen af NemID indenfor 5 år er forudsigelig og har været det i meget lang tid. Det spændende Se & Hør agtige i hele sagen ligger jo mere i hvornår og hvordan det sker.

Personligt tror jeg ikke der sker noget breaking på emnet inden nytår. alle venter på på at Danmark er tvangsoprettet, med eller uden OCES.

Jeg ved det, for jeg har lige oprettet det... bankmanden blev vildt forvirret da jeg bad om det, og kunne ikke umiddelbart huske, hvordan man gjorde.

Adgang til saldooversigter og pengeoverførsler formedelst en SMS' pris.

Fakturaer der ikke lige var med i PBS koster 6,- at betale hvis man kommer senest 3 dage før betalingsfristen (det vidste jeg ikke - troede altid det var 25,- for at gøre det i banken).

Ja jeg får et møginterface og mister noget fleksibilitet, men jeg er ikke på bankernes NemID.

Det var da en LILLE del af min personlige risikominimering fixet.

Next step hardware nøgle til den offentlige del i efteråret.

Så har jeg gjort hvad jeg sådan lige kan se, jeg personligt kan for at holde mig fra DanIDs idiotiske løsning. Suk.

Som flere af de tunge drenge har sagt, så er det her jo bare et forum, og hvis der skal ske noget hedder det handling frem for tekst.

Well send budskabet til hende der sidder i toppen (lort falder som regel altid nedad):

1) Google Charlotte Sahl-Madsen for at finde hendes fødselsdato
2) Lav et script, som kan loope igennem de modulus-11 valide cpr-numre, der starter med hendes fødselsdato. For hver kombination: Log ind 5 gange på DanID.
3) Køb tid på et botnet til at køre dette script én gang i døgnet. :-)

-Carsten

Well send budskabet til hende der sidder i toppen (lort falder som regel altid nedad):

Heldigvis, men tror bare at de laver et fix, som gør det lidt mere bøvlet og ikke afskaffer NemID helt, men så må der jo "bare" et nyt script til...

»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID.

»Det vil være nærtstående personer, der kender dit CPR-nummer eller brugernavn. Så chikanen vil formentlig kun kunne ske inden for små cirkler,« vurderer Jette Knudsen.

Nej, og ingen kan da finde på at stjæle min cykel, hvis jeg lader den stå ulåst. Face it, der findes kriminelle og der findes folk der vil chikanere.

For de kriminelles vedkommende, er det måske og måske ikke interessant hvem de rammer, men mere at man lammer vores digital infrastruktur. Ergo kan de være lige glade med hvilken persons NemID de rammer, bare de rammer mange.

Der findes også forsmåede mennesker som kan føle grund til at genere andre, eksemplvis ekskærester. Her er det oven i købet meget sandsynligt at de kender, eller let kan finde frem til, eksens CPR-nummer.

»Derfor kan vi ikke sige, om det er et problem. Det vil være bøvlet med den slags chikane, men det er ikke identitetstyveri. Der er ingen, som kommer ind og kan bruge andres NemID,« siger hun.

Nu er der vel heller ingen der har påstået at det var identitetstyveri, men muligheden for på simpel vis at lamme vores digital infrastruktur er må vel for pokker betegnes som lidt mere end "bøvlet"!?

»DanID har mekanismer, der skal forhindre denial-of-service-angreb. Af sikkerhedsmæssige grunde vil vi ikke fortælle, hvordan vi overvåger og imødegår denne type angreb. Og det er ikke et område, vi kan give nogle garantier på,« siger kommunikationschefen.

I call bullshit. Zombienetværk kan lejes for dollars og jeg antager man også kan vælge om man fx. kun vil leje zombier fra en bestemt region. Det ville være dumt og afslørende at forsøge sig med div. CPR-numre i numerisk rækkefølge, så det sker selvfølgelig ikke.

Et af salgspunkterne for NemID er at man skal kunne logge på overalt, så hvordan DanID vil fx kunne afgøre at forsøg X fra en ukendt IP-adresse et sted i Europa mod et CPR-nummer er del af et DDoS-angreb, men forsøg Y fra en anden ukendt IP-adresse et andet sted i Europa mod et andet CPR-nummer ikke er? Jeg tror ikke på det!

»Det ville være kriminalitet i det helt store gear, som politiet ville efterforske og forsøge at få nogen straffet for. Sådan et angreb ville være en stor sag, som hvis man forsøgte at bryde ind i CPR-registret,« siger Jette Knudsen.

Hvis det var så let at optrevle zombienetværk og finde de skyldige, var langt flere kriminelle nok blevet fanget. Jeg er derfor heller ikke overbevist om, at kriminelle der er villige til udføre et sådan angreb, lader sig skræmme af den beskedne/teoretiske mulighed for at blive afsløret (dvs. at zombinetværket oprevles).

Nej da, det er ikke Charlotte du skal ramme. Hvis man endelig skulle/kunne.

Effekt maksimering ville være at gå efter hendes mand, børn eller anden nær familie. Måske hendes sekratær eller veninder. Som minister agere hun jo ikke som vi andre dødelige i denne verden. Hun har da folk til at tage sig at ting som at fixe sin netbank eller ordne sit billån, bare se Helle.

De bruger ikke samme kanaler som os andre. Men hvis en håndfuld af deres bekendte ofte fik det problem at ders NemID blev lukket, ville der ret hurtigt komme nogle tiltag for at dette ikke skete.

Men én ting er sikkert, jeg har hverken viden/evner eller behovet for at gøre noget ved sagen. Jeg er tålmodig, optimistisk og finder det egentlig mere spændende hvor langt samfundet som helhed bliver trukket rundt før systemet kollapser.

Jeg tror nu stadig ikke der sker noget før efter nytår, hvorefter der sker noget, om det er en der vil vise noget med Proof of concept eller en faktisk trussel der laver nummeret. Hvem ved, måske det hjælper at bede og der sker ingenting overhovedet før DanID begynder at opkræve for brugen af systemet jvf. dankortet :)

Hvis det ikke findes(?) burde man indstifte en årligt tilbagevendende white hat konference kun for statens systemer.

Fra officielt hånd at få sandkasse-hacket de kritiske systemer i det offentlige, så man kunne få syn for sagn og derved forhåbentlig blive klar over behovet for handling.

"»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID."

Og onkel harry der røg 60 cigaretter om dagen døde ikke af lungekræft, derfor giver cigaretter ikke lungekræft. QED... .. .

Det er da trist når folk taler før de tænker!

Endnu et eksempel på offentlig arrogance over for den almindelige borger. Hvis man læser alle de arrogante og nedladende svar der er kommet fra NemId med hensyn til sikkerhed og brugervenlighed må man tage sig til hovedet. Alle de problemer der har været nævnt i forbindelse med overgangen fra Digital Signatur til NemId er ikke aktuelle med DigSig. Men med bankernes støtte og et forvirret ministerium, ser vi endnu et eksempel på at fikse noget der virkede, med noget som har store ukendte risici for brugerne.

Hmm det godt nok ikke smart!

Hvis der er noget i ikke ved men som i vil vide kan i søge i denne her fil! :-)

http://www.pbs.dk/da/omraader/bank-og-finans/pi-materialer/sikkerhedloes...

Det mest interessante i forklaringen er vel egentlig dette:

I første omgang vil kontoen være låst i otte timer og er derefter klar igen. Men bliver der igen brugt fem forkerte forsøg på at logge ind, kræver det en ny, midlertidig adgangskode. Har man tilknyttet et mobiltelefonnummer til sin NemID, kan man få adgangskoden med det samme.

Ved at stjæle det man har f.eks. en jakke eller taske med tegnebog (heri engangskodekort og sygesikringskort) og mobil kan en tyv altså få tilsendt en ny adgangskode (det man ellers vidste) og slippe let og elegant uden om den personlige adgangskode.

Godt set - desværre.

Ok en sjov leg: Hvem finder først på noget, der faktisk VIRKER i NemID og som ikke kan komprommiteres på 55 minutter af en dement bæver?

Jeg giver op på forhånd.

Hvis man nøjes med at tage et billede af pap-kort og sygesikringsbevis, også bare stjæle telefonen. Så kan man jo hurtigt finde sig en netbook eller ligende, forsøge på at logge ind og da det ikke lykkes få tilsendt koden.

De fleste danskere vil jo højst sandsynligt få sin telefon spærret og ikke tænke meget mere over den sag før et par dage senere når ens konto er tømt og ejendomsmælgeren kommer for at sælge dit hus????

Et regneark... :-(

Og alle de oplysninger der burde være skjulte er det slet ikke.

Alt hvad man skal vide forud for scriptet er lige til at plukke ud.

EPIC FAIL!

Rene Madsen,

Spørgsmålet er om, der er nogle kriminelle som er interesseret i at chikanerer hele systemet?

Taleban?

Med lidt penge kan de købe nogle russiske programmøre og et lille bot-net. Så prøver man så automatisk en masse random CPR-nr for folk i alderen 20-40 år.

EPIC FAIL!

Jeg glæder mig til vi en dag slipper for dumsmarte politikere som i fuld fart og med høj cigarføring forsøger at sende Danmark ud over afgrunden imens de klapper hinanden på skulderen og skamroser hinanden for at gavne landet...

Hvordan kan man låse en konto efter 5 forsøg med forkert bruger-id?

"Nogen skal lave noget! -der forklarer hvor sikker NemID er"

Ja det er ikke engang løgn.

Der er så mange ting i den FAQ der får mine alarmklokker til at ringe sindsygt.

Nu vi snakker om at spærre folks via cpr-nummer, for hvilket deres elegante løsning er at man slår login via CPR fra. jo jo, tror jeg vist vi alle gør nu.

Men du vil altid kunne lave login forsøg mod NemID nummeret som var på formen xxx-xxx-xxx, antager xxxxxxxxx format det er en meget lille milliard opslag. Hvordan er det nu med CPR, er det omkring 10 millioner valide?

Mega genialt man kan ringe ind og få sit nemid oplyst, så i praksis behøver man ikke engang lave research hvis man vil have det, man ringer bare ind efter det :)

Lidt ligesom, hvis du får din kode over telefon og den er sjålet, så logger du ind og spærre den? Jo jo det er sikkert muligt på en eller anden måde....

Egentlig er det faktisk ret sygt at der ikke er nogle ansvarlige der har trukket i bremsen. De har vel for travl med at bede ...

Nu jeg tænker over det har vi jo ikke hørt noget fra dem herinde et stykke tid, gad vide om de pludseligt fik mere travlt med at lappe sikkerhedshuller end med at fortælle os hvor godt systemet er?

Ja, der er rigtigt mange der har ens cpr-nummer. Ud over dem der er nævnt ovenfor kan jeg nævne:

1. Nuværende og tidligere arbejdsgivere, og deres lønbogholdere.

2. Firmaer der har modtaget en ansøgning fra én. Er det ikke kotume at sende kopier af ens kandidatbevis med til en ansøgning? Sådan et eksamensbevis indeholder ens cpr-nummer ...

Og ja, jeg har selv været ude for at en mig ubekendt person har bestilt en bunke ting i mit navn, på efterkrav. Og endda forsøgt at få mig ind i en 'gul' fagforening og dennes a-kasse. Vedkommende kendte nemlig mit cpr-nummer. Det varede op til et års tid ... men nu ligger jeg vist i forskellige databaser som gør at jeg ikke kan købe på efterkrav. Kun på mit visa-dankort eller mastercard.

Ja, cpr-nummeret udgør ingen sikkerhed; dertil kender alt, alt for mange det.

Det er intet problem at skaffe CPR-numre.
Folk holder det nemlig IKKE sikkert!
Du kan Google efter dem, rode i skraldespande eller bare ringe til folk og spørge efter den.

Med tanke på at ARPA/DARPA oprindeligt var tiltænkt som en mulighed for decentral kommunikation, synes jeg at det er imponerende at DanID sammen med diverse ministerier har været i stand til at ødelægge hele ideen med internettet.

Jeg synes at alle i andre er alt for negative, og I tænker slet ikke på hvor stort arbejde der har været i at pervertere grundlaget for internettet.

Fy skam jer alle sammen sådan som i klandrer DanID for centralisering af et decentralt netværk. I burde alle være stolte over at DanID har været i stand til at præstere noget som måske ikke engang Kina eller Iran har haft success med.

Hvis man bruger tilfældige CPR-numre kan man jo lægge hele systemet ned på et øjeblik, det er et MEGET stort problem.
Faktisk burde det være nok til at stoppe hele systemet her og nu.

Søren: Dem der er ansvarlige for NemID bruger det sgu da ik selv ;)

På mit job har vi for nogle få år siden flettet flere institutters login-navne (mest for at kunne tilbyde et fælles kalendersystem). Der var mange sammenfald af brugernavne, mest af typen fornavnsinitial+efternavn, dvs bnielsen, kjensen osv. Hvordan håndterer DanID det?
Må der være to bnielsen'er eller får nummer to at vide at han/hun ikke må vælge det, fordi det allerede er taget?

Mit gæt er at et blik på folks emailadresse vil give et godt bud på hvad de vil vælge som nemid-loginalias.

Ellers kan man vel begynde med bnielsen1, bnielsen2, bnielsen142 osv.

Men jeg er helt enig Kai. Folk er ufattelig lidt kreative, når det kommer til brugernavne. Det kender man jo forøvrigt fra sig selv, desværre.

Pointen er ikke at man kan vælge bnielsen1, bnielsen2, ...
Pointen er at hvis nogen får lyst at drille Jesper Kildebogaard (artiklens forfatter) ved at spærre hans nemid, så kunne det være et gæt at se om der var et nemid-login, der hed jek (det er der nok ikke for det ser ud til at skulle være mindst 5 tegn), men næste gæt ville være jek80 eller noget i den dur.

Mit spørgsmål går egentlig på om man på en eller anden måde kan se om et nemid-login allerede er taget eller om det er lavet så "smart" at alle brugerne må vælge "nemid" som nemid-login (nej, vel?).

En stor bank her i landet har som formentlig bekendt en netbankløsning, hvor adgangskontrollen er baseret på nøglekort/papkort, fuldstændig svarende til NemID's. På netbankens logonside indtaster man først sit CPR-nr sammen med et nøglekortnummer, og så får man adgang til næste side hvor et tal fra nøglekortet+kodeordet skal indtastes.

Men hvis man på ved et uheld (!) nøjes med at indtaste et CPR-nr (og altså lader nøglekortnummerfeltet stå tomt), opstår der et par interessante muligheder:

1. Hvis ejeren af CPR-nummeret IKKE ER kunde i banken, får man oplyst dette ('Bruger findes ikke').

2. Hvis ejeren af CPR-nummeret derimod ER kunde i banken vil hans/hendes netbank blive spærret efter fire (4) forgæves logon-forsøg. Og først blive genåbnet efter henvendelse til bankfilialen.

Gad vide hvor ofte bankens kunder er udsat for chikane? Og må netbankens logonside overhovedet fortælle uvedkommende om jeg er kunde i banken eller ej?

En sådan brist er meget alvorlig når det drejer sig om en netbank, men mange gange værre når det gælder en generelt anvendelig nøgle som nemid.

Jeg er virkelig meget bekymret ved tanken om at vores fælles IT-infrastruktur skal beskyttes af et papkort.

@Thomas Bundgaard,

Ja, vi vil jo gerne vælge brugernavne [og løsener] som vi kan huske.

Alternativet vil for mange kontorfolk være at have en liste over brugernavne og løsener liggende i en udtræksskuffe på skrivebordet. For mig ville det være at registrere det i mSecure, som jeg har liggende på både min iPhone og min Mac, og hvis indhold synkroniseres mellem de to enheder.

Men selv det er jo mere besværligt end at kunne huske det i hovedet.

I øvrigt er det altid lettere at bruge mail-adresse som login-navn; mail-adressen er i hvert fald entydig.

Diskussionen er meget præget af kortsigtede betragtninger.
Ser man blot en smule dybere i problemet, så er der 3 aspekter som bør fremhæves.

a) Genbrug af nøgler/identificers er selve kilden til sikkerhedsproblemer. En af hovedforudsætningen for at en servertransaktion kan være sikker for nogen af parterne er at den ikke kommer i nærheden af cpr-nummeret.

b) Vores hovedudfordring er at sikre klient-side kontrol med nøgler og identifiers. Dels fordi det er det som hele samfundet bygger på - sikkerhedsmæssigt, økonomisk og retsprincipielt (magt m.m.). Dels fordi gode løsninger skal trække andre gode løsninger.
Men det betyder ikke at sikkerhed skal være naiv - den skal bare starte med at beskytte det vigtigste.

c) Efterspørgsel, dvs. de individuelle valg, er forudsætningen for og det mest sårbare aspekt i samfundet. Samtidig det som nem-xx samtidig gør mest for at nedbryde.

Jeg har prøvet at udtrykke og uddybe disse aspekter i det sidste kapitel her.
http://www.taenk.dk/upl/cms/5/2645_Deovervaagede.pdf

Men det er et moving target med teknologiudviklingen. Alle vil om få år stå hovedrystende - ikke bare om NemId men hele nem-konstruktionen. Og alle vil have meget travlt med at afvikle de mange fejl mens man desparat forsøger at vaske hænder for ansvar.

Problemet er, at det er nu man ved rettidig omhu og glidende overgange kan minimere skaderne.

Hvis man vil bevare miljøet starter man ikke med at producere en masse toxisk affald og dumpe det midt på det mest sensitive del af økosystemet.

NemId dumpes som en logisk single-point-of-failure midt på den digitale hovedlandevej og ødelægger samtidig med at det forhindrer løsninger. Regningen skubbes foran samtidig med at den vokser eksponentielt.

Et samfund som agerer på denne måde er offer for den gamle lærdom. Store civilisationer erobres ikke udefra førend de er rådnet indefra.

Danmarks problem er at fællesskab er blevet til tvangsfællesskab og dermed det modsatte af det som gjorde os stærke engang - nu står vi midt i derouten og gentager bare de fejl som skabte problemerne.

Mere bureaukrati gør kun situationen værre.

Samme jeg tænkter her!

Fandt filen ved en simpel google søgning, tror faktisk ikke det er meningen at den skal være offentlig når jeg tænker mig om!

Der kræves nemlig kode for at komme ind på
http://www.pbs.dk/da/omraader/bank-og-finans/pi-materialer/sikkerhedloes...

Men ikke hvis man linker til filen... damn.

Skræmmende - at de skal varetage hele Danmarks juridiske sikkerhed, men ikke engang formår at sikre en simpel webserver...

Fx
http://www.google.com/search?q=filetype%3Axls+site%3Ahttp%3A%2F%2Fwww.pb...

Giver også fine ark med kontaktoplysninger om banker. Bl.a. navne og e-mails (om ikke andet så kan det i værste fald bruges til målrettet spam- eller social engineering-angreb).

Måske også:
http://www.google.com/search?hl=en&q=filetype%3Adoc+site%3Ahttp%3A%2F%2F...

Og sådan kan man jo blive ved.

Lur mig, om ikke Version2 laver en opfølgning på de mange gode indlæg der har opsamlet sig på denne side. NemID er et isbjerg af problemer, og vi kan af gode grunde kun udforske overfladen.

Jeg savner faglig stolthed i projekter af denne størrelse!

Jeg savner faglig stolthed i projekter af denne størrelse!

Jeg er bange for at den er byttet væk for en hurtigere bil og et større sommerhus...

Ja, den gode Jesper Lind Damkjær har da for tid og evighed ødelagt hans faglige renomme, og hans indspark i en debat om sikkerhed og kryptologi vil i min optik ikke have nogen nævneværdig vægt, da man aldrig ved, om hans bidrag af farvet af ussel mammon!

Penge siges ikke at lugte, men engang imellem kan de blive så beskidte, at man mistænker falskmøntneri.

Argh, Beklager hvis Jesper Mørch føler sig ramt:-)
s/Jesper/Peter/

Er der nogen der kan forklare mig, hvorfor en så gennemgribende infrastrukturproblematik sorterer under videnskabsministeriet og ikke f.eks. under transportministeriet? Førstnævnte skal vel sørge for, at vi er fremmest i udviklingen og betræder nyland, hvorimod sidstnævnte skal sørge for at infrastrukturen i landet fungerer. Her er der ingen grund til at betræde nyland. Det må vente til, der er en gennemprøvet løsning.

/Kim

Efter at have læst support-arket (måtte finde det i Googles arkiv) står det klart, at Bruce Schnier har ret i at hvem som helst kan designe noget krypto-hejs, de ikke selv kan knække.

Hvilket arkiv søger du i, hvor du kan finde xls'en stadigvæk?

Man burde kunne vælge at droppe lockout efter 5 forsøg, og i stedet kombinere sit NemID login (brugernavn/password) med billed-verificering a la CAPTCHA, måske billeder ligesom hos BoxKnox, eller bare en tredje kode inden man når ind kodekort-login'et.

Så kan jeg anbefale at læse Niels E. Nielsens roman "Troldmandens sværd".

@Nils Bøjden:

Hvor det klares ved at hugge den relevante finger af - og bruge den som id ...

Jeg Googlede linket og valgte 'vis som HTML'.

havde man brugt standard digital signature teknologien, som er vel over 25 år gammel og efter prøvet, var dette ikke et problem.

Suk, hvorfor hører man ikke på kritikerne, som har på peget utallige svagheder i DanID systemet, alle er blevet afvist med en "I aner ikke hvad i snakker om" slags svar fra DanID.

Lol... Spild af tid at nævne det, men over 1 milliard kunne være sparet, på at lave en ordenligt løsning baseret på digital signatur, i stedet for at genopfinde den dybe tallerken.

Danmark gør alting bedst ? I hvertfald er vi bedst til at spilde penge, og lukke sund fornuft uden for døren.

af Nicolaj Rasmussen, 5. august 2010 13:32

Man burde kunne vælge at droppe lockout efter 5 forsøg, og i stedet kombinere sit NemID login (brugernavn/password) med billed-verificering a la CAPTCHA, måske billeder ligesom hos BoxKnox, eller bare en tredje kode inden man når ind kodekort-login'et.

En lappe løsning på et ufatteligt dårligt koncept, ok med capta, så gør jeg det bare manuelt - 5 gange hver 8. time, er jo nok til at blokere en jeg vi chikanere - route det igennem nogle servere på nettet så er det ufattelig svært at finde mig.

Nej løsningen skal skrottes, og vi skal havde en RIGTIG digital signatur - da en digital signatur er netop designed til at undgå samtlige af de svagheder som DanID har.

Hvor lang tid vil det tage, at afprøve alle CPR numre, så hele systemet går ned i 24 timer?

Der er knap 20.000.000 valide CPR numre og vi gætter på at NemID kan klare 100 forespørgseler/s.

20.000.000 [CPR numre]/(100 [forespørgsler/sek] * 3600[s/time])= 55,6 timer

Ved at fravælge årstal før 1937 og efter 1992 halveres antallet af valide CPR numre. Lidt mere tilskæring, og opgaven kan klares på 24 timer.

NemID hjælper muligvis med højere kapacitet. Men da de er forberedt på DOS angreb, skal der nok bruges et botnet eller lignende

UPS! Glemte at gange med antal forsøg!

Det bliver så 5-6 døgn.

Er der egentlig nogen grund til at forsøge at skjule sig, hvis man taster cpr-nummeret forkert en gang imellem?
Jeg har lidt svært ved at se politi/anklager køre en sag på at enelleranden taster noget forkert fem gange. Og det skal vel op på et vist niveau for at man kan hale navneoplysninger ud af en ISP?
Når jeg tænker på hvor mange gange jeg selv taster noget forkert, fordi det går lidt ofr strækt :-)

Et andet problem med NemID er at det ikke er muligt at logge fra i hvert fald androidtelefoner, da de — som NemID support siger — “ikke understøtter den fulde version af java”. Konsekevensen er at når min bank går over til udelukkende at benytte sig af NemID til login, vil jeg ikke længere være i stand til at homebanke via mobilen. Det er da et tilbageskridt der vil noget! :(

kommunikationschef hos DanId Jette Knudsen manipulerer groft ved at svare på noget der ikke er spurgt til! Påstanden var/er, at de forskellige tilknyttede firmaer/banker kan snage i mine transaktioner når jeg er logget på - og svaret at de ikke kan foretage handlinger på min computer, hvilket er den rene voldtægt af spoget (Gøbbels længe leve!). Konklussionen må vel være, at det kan de godt, og at den kære Jette ikke tør indrømme denne mulighed for utidig overvågning/snagen.
Ellewr svar ordentligt.
P.S. Firmaet er totalt lukket og samme Jette ikke til at opdrive, ren envejskommunikation!

"Bare for en ordens skyld: En gruppeleder i en spejdergruppe har ikke behov for at kende spejderes eller lederes cpr-numre. Sker denne registrering er det sandsynligvis en misforståelse. Enkelte kommuner kræver cpr-numre a.h.t. tilskud, men de behøver ikke at være registrerede nogle steder."

Det er ikke korrekt. Alle spejderledere skal have en såkaldt børneatest. Når man skal have en børneattest skal gruppelederen, formanden eller anden medlemsansvarlig indsende et stykke papir til rigspolitiet og i den forbindelse kommer lederens CPR nummer til den medlemsansvarliges kendskab.

Ligeledes gælder det at i forbindelse med tue og andet vil lederne ligge inde med sygesikringskortet på spejderne. Derfor kommer spejdernes CPR numre til lederens kendskab (under forudsætning af at spejderen faktisk deltager i spejderarbejde).

Jesper R. Selknæs, TL i DDS

"Det kan godt være at jeg i teorien kan blive spejderleder uden at min gruppeleder ser at jeg har udfyldt anmodningen om børneattest, så tror jeg at det de fleste steder er en fra gruppeledelsen der sender de udfyldte formulare videre i systemet.

Gruppelederen er iøvrigt den af de fire nævnte personer jeg har størst tillid til."

Nogen i din gruppe ser den i ihvertfald, da der, så vidt jeg husker, skal skrives under af GL, formand eller medlemsansvarlig.

Også jeg betragter min GL som et af de mest troværdige menesker jeg kender. Jeg har bestemt ikke problemer med at mit CPR nummer kendes af mine spejderkammerater, det er trods alt et foretagende hvor vi stoler en del på hinanden (:

haha - ja, den er god.
Sæt et script op der blot bomber gyldige CPR numre med tilfældige adgangskoder og luk alle ude??
Der er proxy'er nok derude.... nå nej - "det har vi sikret os mod, men vi vil ikke sige hvordan".

Måske skal man gøre opmærksom på at det ikke kun er ledere der skal aflevere børneattest. Det gælder også for menige medlemmer af roverklanen, for medlemmer af seniortroppen, ja, vel selv for de største i spejdertroppen. Og så er det vist afsløret at min spejderuniform er grøn ...

Da jeg sidst hørte om regelsættet gjalt det for alle spejdere, at de skulle underskrive når de fyldte 15; jeg vil gå ud fra at aldersgrænsen nu ligger på 14. Nu er der naturligvis børn der på deres 15 [14] års fødselsdag er dømt for pædofile forhold, men attesten gør også at politiet straks underretter i dette tilfælde spejdergruppen, når der sker noget. Så for gruppemedlemmer over 14 kan gruppen dårligt undgå ikke at kende cpr-numrene.

Dertil kommer at man i mange kommuner modtager en årlig medlemsliste fra spejdergrupper, idrætsforeninger og andre grupper med medlemmer under eksempelvis 21. Naturligvis forsynet med cpr-numre. Listen danner basis for det årlige tilskud til foreninger med børn og unge ... og her er det simpel nødvendighed at gruppen opbevarer medlemmernes cpr-numre i deres database.

Bare lige ang. det med børneattester og personnummer.

Så vidt jeg ved, så er det kun personer der arbejder med, dvs. har en en form for ledelsesansvar overfor personer under 15 år, som er omfattet af kravet om indhentelse af børneattester. Det er jo ikke alderen på personen som børneattesten omhandler der er udløsende, det er alderen på de personer (børn) som personen arbejder med. Altså der skal kun indhentes børneattester på medlemmer af roverklanen, seniortroppen eller andre spejdere hvis de samtidig optræder som ledere for de yngre medlemmer.

Se f.eks. http://www.frivillighed.dk/Webnodes/B%F8rneattester/708#a6 eller http://www.spejdernet.dk/Ledere/tema/Misbrug/Attester.aspx.
Og desuden https://www.retsinformation.dk/Forms/R0710.aspx?id=11961.

I de foreninger jeg har været involveret i har det aldrig været nødvendigt at indhente eller opbevare CPR-numre, kun fødselsdatoen som dannede grundlag for udregningen af tilskuddet fra kommunen.
Som udgangspunkt må foreningerne slet ikke opbevare personnumrene, da datatilsynet anser det som værende personfølsomme oplysninger.
Ifm. indhentning af børneattester skal CPR-nummer selvfølgelig påføres, men der skal udpeges betroede personer til håndtering af de modtagne børneattester.

Når foreningen har indhentet samtykke og sendt anmodningen om børneattest til Rigspolitiet, modtager foreningen enten en blank (negativ) eller en positiv børneattest samt en vejledning om, hvordan I håndterer børneattesten. Kun den nederste del af blanketten må opbevares sammen med registret - resten skal af hensyn til persondatasikkerhed destrueres.
...

http://www.dgi.dk/nyheder/sp%C3%B8rgsm%C3%A5l_og_svar_om_overgreb_%5Ba10...

Persondataloven

§11
...
Stk. 2. Private må behandle oplysninger om personnummer, når
1) det følger af lov eller bestemmelser fastsat i henhold til lov,
2) den registrerede har givet sit udtrykkelige samtykke hertil eller
3) behandlingen alene finder sted til videnskabelige eller statistiske formål...
...

Fandt også lige
http://www.datatilsynet.dk/nyheder/seneste-nyheder/artikel/datatilsynets...

Nu er udgangspunktet i denne tråd selvfølgelig, at vi ikke stoler på nogen som helst, så de forsk. regler for opbevaring, håndtering og tavshedspligt betyder selvfølgelig ikke noget som helst, da alle jo har ondt i sinde.

@Nokolaj Rasmussen,

For en god ordens skyld skal jeg understrege, at det jeg skrev ovenfor var hvad jeg mundtligt fik at vide i min gruppe. Jeg har ikke set dokumentation for at der var retslige krav i den retning. Men det var åbenbart sådan det blev administreret i gruppen.

I øvrigt vil de fleste 14-15 årige i en almindelig patrulje i dag have »ledelsesansvar«. Hvis de ikke skulle være patruljeledere vil de typisk være patruljeassistenter ...

For øvrigt ang. at man kan spærre andres NemID konto ved at indtaste deres CPR-nummer og forkerte passwords, hvorfor gør man det ikke blot et krav at man udover brugernavn (fx. CPR-nr) og password også skal indtaste nøglekortets nummer?

Mit nøglekort er på formen A000-000-000 hvor A er et bogstav (som jeg dog ikke ved om varierer) og 0 er forskellige tal.
Ved et kendt CPR-nummer man vil chikanere, så skal man således stadig (hvis bogstavet varierer) gætte potentielt (25x10^9) gange for at låse det kendte CPR-nr. Idag skal man bare taste forkert 5 gange.

Hvis man vil låse mange / alle NemID, dvs. man ikke kender CPR-numrene, så er der jo tale om 2 ubekendte, og så skal man både gætte et korrekt CPR-nummer der hænger sammen med et korrekt nøglekort-nummer. Igen hvis bogstavet på nøglekortet varierer, så er det vel noget lign. (25x10^9 x 49^7) kombinationer (de 49 er taget fra Torben Mogensens regnestykke på http://www.version2.dk/artikel/15683-danid-afviser-password-kritik-ligeg...).

Forbeholdt for forkerte regnestykker, please correct me.

Da DanID jo har hemmelige våben der kan stoppe / håndtere DoS angreb, så vil jeg da sige, at sikkerheden (lige i denne henseegen ang. lockout) bliver meget bedre - og at det vil være en hel del sværere at låse et NemID hvis man inkluderer nøglekort-nummeret i verificeringen.

Som Erik Bak skriver længere oppe, så skal løsningen selvfølgelig IKKE accepterer noget som helst medmindre det hele er udfyldt, som lyder til at være tilfældet hos en anden bank med samme koncept til netbank (JB?).

Når man opdager at eksempelvis ens tegnebog med dankort er stjålet, ringer man til banken [døgnåbent når det er min bank, DDB] og præsenterer sig blot med cpr-nummer. Det er ikke altid man har andre oplysninger på sig; cpr-nummeret har man naturligvis i hovedet, og spærringen skal sættes i værk så hurtigt som overhovedet muligt.

Ja, det er nok rigtig nok, om det indtil nu har været et problem ift. chikane ved jeg ikke, og om det samme gør sig gældende med NemID, altså at man bare kan ringe få det spærret ved oplysning af CPR-nr ved jeg ikke, for så er det jo selvfølgelig den nemmeste måde at chikanere på (når man kender CPR-nummeret).

https://www.nemid.nu/support/spaer_nemid/

Jeg synes stadig at angive nøglekortnummeret ifm. logon må kunne hjælp på de generelle problemer med lockout.

• og hvis det er for meget forlangt at folk skal taste nøglekortnummeret hver eneste gang, så kan man jo nøjes med at forlange det efter den første forkerte indtastning af koden.

Nicolaj, et eller andet sted i enten artiklen, en efterfølgende artikel, eller i et af debat indsparkene her, siges det at man KAN deaktivere login via CPR.
Det er som jeg forstår et lille flueben i opsætningen, Og jeg vil klart anbefale folk bruger den over én kam. Så hvis du hjælper nogen, så lær dem det.

Jeg mindes at have hørt/set at ens NemID nummer står på det famøse papkort, og dette nummer giver adgang på samme niveau som "brugernavn", ligegyldigt om Log-in via CPR er slået til eller fra.
Nem tilgængelig information for den rette ejer.

Ved eftertanke mener jeg at have fisket det ud af det interne Support regneark, men det er så simpelt og effektivt jeg ikke kan se hvorfor de skulle forlade dette design.

"Så vidt jeg ved, så er det kun personer der arbejder med, dvs. har en en form for ledelsesansvar overfor personer under 15 år, som er omfattet af kravet om indhentelse af børneattester. Det er jo ikke alderen på personen som børneattesten omhandler der er udløsende, det er alderen på de personer (børn) som personen arbejder med. Altså der skal kun indhentes børneattester på medlemmer af roverklanen, seniortroppen eller andre spejdere hvis de samtidig optræder som ledere for de yngre medlemmer."

Det er sådan set rigtigt, men det ændre jo ikke ved at den "betroede" i grupperne kan opsamle CPR-numre og dermed misbruge dem. Som sagt har jeg ikke personligt noget problem med at mine spejderkammerater kender den salgs oplysninger, men det er i princippet muligt at lave et angreb af den vej. Tilsvarende problemer må man jo have i alle foreninger der arbejder med børn og unge menesker (bare for at komme lidt ud over spejdertråden).

Der er ydermere det sjove problem at jeg som leder får kendskab til mine spejderes CPR numre i forbindelse med ture, specialt de store ture, hvor der naturligvis skal være styr på deres sygesikringskort og hvis vi er i udlandet også deres pas.

Igen en tillidssag, men jeg regner med at hele spejder eksemplet er valgt her for at vise at CPR numre VIL slippe ud, i det nuværende system kan de simplehen ikke holdes hemmelige hvis vi ønsker at bruge som til at indetificere personer med.

Jeg synes stadig at angive nøglekortnummeret ifm. logon må kunne hjælp på de generelle problemer med lockout.

Da du kan have flere nøglekort, er nøglekortnummeret opgivet når du skal logge ind.