E-mails fra Skat punkterer DanID's forsvar for NemID-sikkerhed

Når Skat sender e-mails ud til borgerne med links til login med NemID, går det lodret imod, hvad DanID siger er praksis. Faktisk er det 'et godt koncept' for en it-kriminel, lyder DanID's vurdering.

Da Version2 og Ingeniøren med en videogennemgang af et fiktivt angreb på NemID satte fokus på sikkerheden i NemID, lød svaret fra DanID blandt andet, at det ikke er normalt at sende e-mails ud fra offentlige myndigheder med links til NemID-login.

Læs også: Video: Så let kan kriminelle franarre dig dit NemID

Dermed skulle borgerne ikke være så nemme at narre med en phishing-mail, som var udgangspunktet både i sagen om otte Nordea-kunder, der blev franarret NemID-koder, og i Ingeniørens video.

Men samtidig har det meste af Danmarks befolkning modtaget en e-mail fra Skat med en opfordring til at følge et link til Skats hjemmeside og logge ind med NemID.

Hvordan harmonerer det med DanID’s udsagn, som helt præcist lød ’NemID, banker og offentlige tjenester vil normalt aldrig sende en uopfordret e-mail med et link, hvor du skal logge ind med NemID’?

»Jeg har også fået den mail fra Skat, og den starter med ’Kære Jette Knudsen’. Den er personaliseret til dig. Så en it-kriminel vil have svært ved at sende en byge ud, der er personaliseret på den måde,« forklarer kommunikationschef hos DanID Jette Knudsen til Version2.

Læs også: DanID afviser kritikken: »Et teoretisk scenarie«

Men I skriver jo, at ’NemID, banker og offentlige myndigheder vil normalt aldrig sende uopfordrede e-mails ud med links.’ Det er jo forkert, når Skat gør det med forskudsopgørelsen.

»Det ’farlige’ link i den mail går til Tastselv-login og derefter Nemlogin. Så den it-kriminelle skal lave to forsider.«

Men det er jo kun vigtigt, hvis danskerne generelt er helt klar over, hvordan det skal se ud, når de følger linket. Hvis en it-kriminel havde sendt en mail ud i sidste uge, uden navn, og med et link direkte til NemID-login, så havde det jo også virket?

»Så havde de haft et godt koncept, ja. Men vi siger jo heller ikke, at de it-kriminelle ikke vil lave sådanne forsøg, eller ikke kan lave det. Det er klart, at de vil kunne snyde nogen med en Skat-lookalike.«

Skal vi så have Skat til at stoppe med at sende den slags mails ud?

»Her har borgeren jo en god chance for at vurdere, om det er rigtigt, når borgerens navn står i mailen.«

Men der behøves jo ikke at stå et navn, hvis det er en phishing-angreb, når e-mailen ellers ligner noget fra Skat, og borgerne ikke ved præcist, om der er navn eller ej, eller om de skal forbi Tastselv-login.

»Generelt vil der altid være nogen, som falder for den slags, hvis det er pænt pakket ind. Så jeg kan jo ikke afvise, at man kan snyde nogen.«

Hvorfor kalder I så det fiktive angreb, som Ingeniøren har lavet en video om, for et teoretisk scenarie?

»Det gør vi heller ikke. Det er brugen af herlev-bibliotek.dk, der er et teoretisk scenarie. Man skal have nogen ind på den hjemmeside, men der bliver ikke gjort rede for, hvordan man får folk derind. Det skal være nogen, der har lånt på Herlev Bibliotek. Og så skal den første, der kommer ind, ikke opdage noget og klikke på andre links, men gå direkte til login. Det er tungt at lave som it-kriminel fra Ukraine eller Hviderusland. Der er mange præmisser, der skal være opfyldt, før det bliver et succesfuldt angreb. Og bagefter skal man ind i den rigtige bank, og man har kun ét skud i bøssen. Det er en lang vej at gå.«

Så hvis Ingeniørens video havde handlet om et falsk side fra Skat, havde det ikke været et teoretisk scenarium?

»Så ligner det jo langt mere Nordea-sagen. I det angreb vidste de jo, at det er Nordea-kunder, fordi kun Nordeakunder reagerede på mailen, som var sendt bredt ud. Det gør man ikke, hvis det er gennem Skat, så man skal også have held til at vælge den rigtige bank at bruge sit log-in på. «

Skal Skat holde op med at sende e-mails ud på den måde?

»Det skal vi jo snakke med Skat om, ikke med Version2 om. Deres links kunne også gå til forsiden af Skat.dk, så ville det være sværere at efterligne.«

Men som sagt, de fleste borgere ved jo ikke, hvordan det præcist skal se ud, når man følger et link fra en e-mail fra Skat?

»Det er klart, at man kan lave en lækker forskudsopgørelse-lookalike-mail, og det vil nogle kunne falde for. Vi er jo oppe mod it-kriminelle. Så det handler om at skærpe opmærksomheden over for denne slags angreb.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (57)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Lars Sommer

Her har borgeren jo en god chance for at vurdere, om det er rigtigt, når borgerens navn står i mailen.

Ah, ok. Så når der står "Dear sir/madam Lars Sommer. I am a rich guy from Nigeria" så kan jeg godt stole på at mailen er troværdig, fordi IT-kriminelle ikke kan indsætte navne i emails?

  • 24
  • 0
#6 Claus Wøbbe

som kommunikationschefen taler uden om, i stedet for at erkende, at man bør ændre praksis, så man aldrig har links i emails fra Skat. Det offentliges brug af NemID burde tilrettelægges sådan, at man KUN og ALTID skal igennem www.borger.dk eller lign. centralt site for at benytte NemID-understøttede services.

  • 18
  • 1
#10 Thue Kristensen

Hvorfor kalder I så det fiktive angreb, som Ingeniøren har lavet en video om, for et teoretisk scenarie?

»Det gør vi heller ikke. Det er brugen af herlev-bibliotek.dk, der er et teoretisk scenarie. Man skal have nogle ind på den hjemmeside, men der bliver ikke gjort rede for, hvordan man får folk derind. Det skal være nogen, der har lånt på Herlev Bibliotek. Og så skal den første, der kommer ind, ikke opdage noget og klikke på andre links, men gå direkte til login. Det er tungt at lave som it-kriminel fra Ukraine eller Hviderusland. Der er mange præmisser, der skal være opfyldt, før det bliver et succesfyldt angreb. Og bagefter skal man ind i den rigtige bank, og man har kun ét skud i bøssen. Det er en lang vej at gå.«

Så fordi der ikke er set et ikke-demonstrations-angreb på lige præcis herlev-bibliotek.dk, som brugt i eksemplet, så er det et "teoretisk scenarie"? Da er da noget af det mest ynkeligt talen-uden-om jeg nogensinde har hørt i sikkerheds-sammenhæng.

Og nej, det er ikke tungt at lave som IT-kriminel. Man laver bare en proxy-server, som viser de rigtige sider fra biblioteket, indtil man prøver at logge ind.

  • 15
  • 1
#11 Martin Jensen

som kommunikationschefen taler uden om, i stedet for at erkende, at man bør ændre praksis, så man aldrig har links i emails fra Skat. Det offentliges brug af NemID burde tilrettelægges sådan, at man KUN og ALTID skal igennem www.borger.dk eller lign. centralt site for at benytte NemID-understøttede services.

Det vil aldrig komme på tale - det vil jo betyde, at modellen for "korrekt" brug af NemID er, at den skal bruges fra centralt site og 'ud' - hvilket vil underminere deres vision om at den (gyse) skal bruges "overalt".

Og vi skal jo ikke øgelægge NemID-visionen for borgernes sikkerheds skyld.

  • 5
  • 0
#12 Morten Hattesen

Der er to måder at få DanID og andre problem-fornægtere til at erkende, at truslen er reel og væsentlig er:

  1. Afvente, at et phishing angreb lykkes med væsentlig økonomisk tab til følge.
  2. At Ingeniøren/Version2 laver en ny video, hvor de viser hvor simpelt det er at phishe med links, fornavn (genereret fra email adressen), og hele to "Skat" look-alike sider.

Hvilken måde vil DanID foretrække?

  • 9
  • 0
#14 Erik Jensen

Har hele tiden haft tillid til DanID, og har det for så vidt stadig. Men må indrømme, at det er lidt uheldigt, at de sætter en til at udtale sig, som ikke har den nødvendigt tekniske vidnen. Det er lidt sjovt, at man skal stole på en mail, bare fordi den indeholder ens navn. Det gør det meste spam man modtager jo allerede. Og hvis angriberen går efter en specifik person, hvor han f.eks. gerne vil læse dennes skatteoplysninger, så kender man jo navnet.

Jeg synes dog, at der er en meget valid pointe i, at man kun har "et skud i bøssen". Så angriber man på denne måde, har jeg lidt svært i at se, hvordan man skal lave et meget omsiggribende identitetstyveri, som mange er bange for.

  • 2
  • 3
#15 Jon Linde

»Jeg har også fået den mail fra Skat, og den starter med ’Kære Jette Knudsen’. Den er personaliseret til dig. Så en it-kriminel vil have svært ved at sende en byge ud, der er personaliseret på den måde,«

Erhm... Hvorfor er det lige at det er svært? Kære Jeanette, har du nogensinde kigget i et spamfilter?

  • 8
  • 0
#16 Ove Andersen

Jeg har ikke flere hår tilbage på hovedet - har lige revet dem ud af bare frustration.

Interviewet minder jo så meget om en studerende der er oppe til en teoretisk eksamen, hvor den studerende bliver grillet og prøver at komme igennem/udenom ved at svare ved siden af og gentage sine forkerte svar.

Argh....

Men godt arbejde, V2!

  • 18
  • 0
#17 Thomas Hjorslev

Jeg vil tilslutte mig "godt arbejde, V2!".

Det er pinligt, grænsende til det tåkrummende, at læse det her interview - det er så åbentlyst dårlig sikkerhed, at man ikke ligefrem behøver være ekspert for at se det.

På sin egen måde, er det nu også lidt betryggende, altså - de har i hvert tilfælde ikke hyret professionelle spindoktorer endnu :-) (jeg håber ikke at jeg inspirerede nogen der...)

  • 7
  • 0
#18 Jens Schumacher

Come on!!!! seriøst!!! Jeg må spørge igen. Va fuck ryger de hos DanID og hvorfor vil de ikke dele med os andre? Det er ikke phishing hvis dit navn står i mailen??? WTF?????

Har DanID tjekket deres egen spam mappe før de kom med den retarderede udtalelse??? Et hurtigt tjek viser at 11 ud af de 25 første spam mails i min gmail spam folder indeholder mit navn i SUBJECT (der er sikkert flere hvis jeg gad at læse selve spam mailen). Så 11 ud af 25 spam mails er lige så legitime som skat og derfor kan vi føle os vildt sikre???

Listen med e-mail adresser som skal spammes kommer jo for helvede ikke ud af den blå luft. De er typisk indsamlet med en crawler eller stjålet/solgt fra et eller andet site hvor folk har registreret sig (med navn).

  • 10
  • 1
#19 Jens Schumacher

Her kommer forresten lige en mail fra danske bank

Der er kommet ny post til dig i din Danske Netbank. Du skal logge på Danske Netbank for at læse posten.

Link til Danske Bank, hvor du kan logge på netbanken.

Med venlig hilsen Danske Bank.

INGEN NAVN!!! (heller ikke i subject)

  • 10
  • 0
#21 Frej Soya

Det kan også bare være at Kommunikationschefen ikke er sit job voksen. Det er en klassisk benægt benægt benægt, og den er nem at falde tilbage på når du ikke forstår det faglige område, og kan få det vendt til noget positivt fordi du har overblikket.

  • 5
  • 0
#22 Ulrik Suhr

100% enig. Da de ikke har medansvar kan man jo ikke klandre dem for deres "tekniske forklaring" (læs: teoretiske volapyk). Som altid mangler journalister at stille det rigtige spørgsmål og spørgsmålet er "konsekvens"! Sikkerhedsfirmaet RSA Security hacket burde være et vink med en vognstang om hvad der sker hvis det går galt! hvad sker der i DK efter Ing.dk beviser en brist i sikkerheden? Ikke noget andet end volapyk fra firmaet side. Nordea bliver hacket og hvad sker der? Endnu mere volapyk og politikere vil "tjekke op på sikkerheden" (læs: forstår stadig ikke hvad sikkerhed er)

DET ER BEVIST. DET ER SKET og hvad er konsekvensen?

Det frygtelige ved denne sag er ikke deres udsagn eller de forventelige fremtidige kæmpe tab og skandaler.

Det frygtelige er at vide det vil ske og ikke kunne gøre noget ved det!

Så nyt lovforslag. 1. sikkerheden for nationen skal være så sikker så en politikers pension afhænger af det. dvs. Alt tab på baggrund af nemIT hack skal kompenseres af politikernes pension. Alle er glade! Politikerne fordi deres sikkerhed er jo efter deres egen mund er sikkerheden selv. Sikkerhedsfirmaet fordi de ikke kan se nogle svagheder & borgerne få deres tab erstattet af politikerne personligt hvis det utænkelige skulle ske.

Det er en ren win win for politikerne så sæt i værk!

  • 4
  • 0
#23 Anders N. Christensen

Der er ny digital post til dig fra:

Region Hovedstaden - Lønseddel

Du kan se din post ved at logge på Digital Post på www.borger.dk ( <- direkte link, red.) eller andre offentlige internetportaler.

Du modtager denne mail, fordi du har tilmeldt dig besked om ny digital post fra det offentlige med e-mail-adressen X@X.dk

Med venlig hilsen e-Boks A/S

  • 9
  • 0
#24 Christian Dahl

Vil lige starte med at sige at jeg IKKE er ansat ved danid! Er blot en almindelig bruger af version2, som er træt af at folk lader medierne bestemme hvad de skal mene.

Ved nu ikke hvor godt arbejde det er. Hvis man lige stopper op og tænker over tingene så er det jo egentlig ikke så slemt det hele. Medierne elsker jo en god historie og alt den her nemid halløj er jo guld værd for dem. Alle danskere er jo en del af målgruppen hvis en artikel om nemid udgives. Som så mange andre nyheder, så får man flest læsere hvis historien har en negativ karater. Prøv at forestil hvordan nemid ville fremstå hvis medierne gad at fokusere på de positive aspekter?? SÅ ville man se hvor god en sikkerhed det egentlig er. Men det sælger jo ikke aviser...

Personligt så kan jeg bedst lide at danne mine egne meninger og vil ikke lade medierne bestemme hvilke argumenter jeg vil vælge at høre og huske. Istedet forsøger jeg at finde mine egne svar og se tingene fra flere vinkler. Noget som de fleste læser nok burde gøre...

Mht nemid så er princippet med den sikkerhed der bruges noget af det mest sikre der findes. Det er der ingen tvivl om. Spørg enhver person med ekspertise indenfor dechifrering. Hvor mange mennesker har oplevet at deres netbank er blevet hacket efter nemid? Ingen! Hvor mange penge blevet stjålet fra danske netbanker i 2009, altså FØR nemid? 6,5 millioner kr.!

Det tilfælde med Nordea har intet hackning at gøre. Det handler blot om at en person har været dum nok til at give sin personlige oplysninger ud til en fremmede. Man kan gardere sig til op over begge ører, men menneskelig dumhed kan man intet stille op imod... Der er et ordsprog: "Artificial intelligence is no match for natural stupidity!"

Med nemid er den eneste mulighed at stjæle penge, at håbe på folk er dumme nok til at "samarbejde", f.eks. ved at udlevere koderne. Før nemid var det ikke den eneste mulighed. Da kunne de kriminelle benytte et hav af muligheder. Med nemid er de kriminelles muligheder blevet gjort betydeligt mindre! Er det måske ikke godt??? Hvorfor roses danid ikke for det??

Danid har lavet en god vurdereing af det nuværende trusselbillede og lavet en løsning der virker rigtig godt. Som danid selv siger, så er sikkerhed et løbende arbejde og aldrig noget der stopper. Man bliver jo nød til at opveje sikkerhed mod brugervenlighed. Systemet kunne uden tvivl gøres 100% sikkert, men så vil det kræve så meget ekstra arbejde af brugeren, at overskrifterne på version2 (og andre medier) ville handle om hvor besværligt det. Overskrifterne ville formentlig ikke handle om at sikkerheden er 100%, selvom det åbenbart pt er det helt store problem. Medierne elsker at lave en "bad guy" ud af hvem som helst. Synes ikke det er fair over for danid den behandling de får i medierne. Hvis nemid f.eks. er nede i 30 min så kan man straks se overskrifterne "Nemid nede IGEN IGEN"... Come on!!! Hvor slemt er det lige? Fakta er, at Nemid har en oppetid der er yderst imponerende! Men det får man jo ikke læsere af at skrive...

  • 1
  • 25
#25 Thue Kristensen

Jeg synes dog, at der er en meget valid pointe i, at man kun har "et skud i bøssen". Så angriber man på denne måde, har jeg lidt svært i at se, hvordan man skal lave et meget omsiggribende identitetstyveri, som mange er bange for.

Alle har jo en konto på skat.dk, så der kan man jo ikke ramme ved siden af. Det samme gælder vel rigtig mange andre offentlige sider

Og jeg synes at huske, at 33% af danskerne har en konto i Danske Bank. Så IT-kriminelle kan jo bare prøve der - de kriminelle er jo sikkert godt tilfreds med en success-rate på 33%, når nu hvert angreb ikke rigtig koster dem noget.

  • 7
  • 0
#26 Morten Piil

Hvad forhindrer mig i at lave forsiden der napper folks cpr nr og adgangskode. Derefter forsøger jeg at logge ind på samtlige danske netbanker med denne information - derefter tager jeg blot den netbank der gav mig adgang og tømmer kontoen, dette giver så et NemID challenge som jeg får bruger på fake siden til at løse for mig. Så er den ged barberet. Kun et skud i bøssen - min bare...

  • 5
  • 0
#27 Thue Kristensen

Hvad forhindrer mig i at lave forsiden der napper folks cpr nr og adgangskode. Derefter forsøger jeg at logge ind på samtlige danske netbanker med denne information - derefter tager jeg blot den netbank der gav mig adgang og tømmer kontoen, dette giver så et NemID challenge som jeg får bruger på fake siden til at løse for mig. Så er den ged barberet.

Det er lidt forskelligt fra bank til bank. Nogle banker (fx Nordea) kræver en 2faktor-kode ved login, og ingen 2faktor ved transaktioner. Andre (fx Nykredit) kræver ingen 2faktor ved login, men en 2faktor ved hver transaktion.

Men det er en rigtig god pointe du har, at den IT-kriminelle har mulighed for at prøve i alle de banker som ikke kræver 2faktor ved login.

Plus selvfølgelig at den IT-kriminelle kan sende en "fejl - prøv igen" tilbage til offeret, og på den måde få 2-3 forsøg med en 2faktor-kode.

Det kommer selvfølgelig også an på, hvad NemID har af overvågning. En bruger som prøver at logge sig ind i en forkert netbank bør få alle alarmklokker til at ringe hos DanID.

  • 1
  • 0
#28 Erik Jensen

Det kommer selvfølgelig også an på, hvad NemID har af overvågning. En bruger som prøver at logge sig ind i en forkert netbank bør få alle alarmklokker til at ringe hos DanID.

Ja, og mon ikke den ringer højere, hvis en bruger forsøger at logge sig ind hos samtlige banker med samme brugernavn? Mange login på kort tid til forskellige valide tjenester er nok også en af de ting, som overvåges.

Men det forhindrer selvfølgelig ikke, at angriberen kan gå efter en specifik tjeneste.

  • 1
  • 0
#29 Henrik Schmidt

Personligt så kan jeg bedst lide at danne mine egne meninger og vil ikke lade medierne bestemme hvilke argumenter jeg vil vælge at høre og huske. Istedet forsøger jeg at finde mine egne svar og se tingene fra flere vinkler. Noget som de fleste læser nok burde gøre...

Jeg er enig i, at NemId faktisk er en temmelig sikker løsningen, men en meget stor del af DanIds problemer er, at de er temmeligt dårlige til at kommunikere med pressen, og deres svar vidner om at være fuldstændigt uigennemtænkte.

Der var ikke tale om et teoretisk scenarie. Det var blevet brugt. Det er forkert, at der ikke bliver sendt mails ud med links til login-sider. Man kan ikke verificere at en mail er i orden, fordi der står navn øverst. E-boks sender i øvrigt mails ud uden navn. Et skud i bøssen er ikke noget problem, hvis man har fat i nok brugere. etc.

Det er en lille opsummering af ovenstående kommentarer, og det er jo nok ikke fordi folk har været oppe hele natten for at finde huller i forklaringen.

Folk ville nok hyle op alligevel, hvis Jette Knudsen fremstod som om hun tog sikkerhedsudfordingerne og spørgsmålene alvorligt, men nogle af os er mere nuancerede og læser også Version2. Direktørens reaktion den anden dag var en del mere sober og velovervejet.

  • 4
  • 0
#30 Michael Thomsen

Skal Skat holde op med at sende e-mails ud på den måde?

»Det skal vi jo snakke med Skat om, ikke med Version2 om. Deres links kunne også gå til forsiden af Skat.dk, så ville det være sværere at efterligne.«

Jeg kan til nød gå med til at man som bank kan sige "vi sender aldrig mail ud med links til sider hvor du skal udfylde din pinkode".

Men at sige, at man skal kunne linke til forsiden på skat.dk men ikke direkte til login-siden, at sige, at man ikke kan auto-spamme med fornavn og/eller efternavn, at sige, at v2's demo er teoretisk, at benytte et .nu domæne - disse ting bevidner i mine øjne, at man ikke er opgaven voksen.

Jeg venter spændt på hvornår alle danske nemid key-pairs ligger på piratebay. Med DanID's kompetanceniveau kan der ikke gå ret længe.

  • 6
  • 0
#32 Christian Dahl

Som jeg ser det så er det en balancegang fra danids side. Deres arbejde er SIKKERHED! Hvor meget info tror i de er villige til at give om deres arbejde? Hvis de bare blabre løs om deres sikkerhedsløsning i detajer, hvor sikkert ville det så være? De kan jo ikke sige mere end de allerede har gjort. Alt andet ville jo kunne udgøre en sikkerhedsrisiko. Det er jo logisk! Så længe sikkerheden ikke er i fare (som medierne gerne vil have os til at tro) så tror jeg danid holder kortene tæt til kroppen. Jeg stoler på danid og lader mig ikke forføre af mediernes hetz mod danid.

  • 0
  • 19
#33 Henrik Schmidt
  • 4
  • 0
#34 Thue Kristensen

Som jeg ser det så er det en balancegang fra danids side. Deres arbejde er SIKKERHED! Hvor meget info tror i de er villige til at give om deres arbejde? Hvis de bare blabre løs om deres sikkerhedsløsning i detajer, hvor sikkert ville det så være? De kan jo ikke sige mere end de allerede har gjort. Alt andet ville jo kunne udgøre en sikkerhedsrisiko. Det er jo logisk! Så længe sikkerheden ikke er i fare (som medierne gerne vil have os til at tro) så tror jeg danid holder kortene tæt til kroppen. Jeg stoler på danid og lader mig ikke forføre af mediernes hetz mod danid.

Problemet er at 1) Deres løsning ser unødvendigt usikker ud, som demonstreret af version2s demo. Der har også været andre kritikpunkter. 2) Hver gang de åbner munden, så siger de de mest håbløse ting. 3) De kontrol-instanser, så som ITST, som bør kontrollere NemID fatter åbenlyst ingenting (jeg har selv prøvet at klage over NemID-hullet som version2 demostrerede til ITST).

Så på hvilket tidspunkt bliver det tilladt at kritisere DanID, hvis ikke nu?

  • 15
  • 1
#35 Christian Dahl

Vil gerne give dig ret i at de svar der er givet i artiklen kunne være lidt bedre :) Men i bund og grund handler det stadig om, at sikkerheden kun kan brydes hvis folk ikke tænker sig om bare en lille smule. Naive dumme folk kan altid snydes. Gå f.eks. en tur ned af strøget om sommeren og se alle dem der bliver snydt af de berygtede gadesvindlere. "Find dronningen og vind 500 kr"... Jesus christ altså!! På trods af at der i aviser og tv hvert eneste år bliver advaret mod det, så er der alligevel folk som hopper på den.

  • 1
  • 10
#36 Christian Dahl

FØR nemid var det muligt at hacke en netbank på flere forskellige måder, men da var det åbenbart ikke interessant for medierne. Efter nemid er den tilbageværende ene mulighed for at stjæle penge blevet belyst. Denne mulighed eksisterede også FØR nemid, men blev aldrig omtalt. Hvorfor brokkede folk sig ikke over det i tiden før nemid? Nemid har ellimineret en masse trusler mod sikkerheden i vores netbanker. Den sidste trussel (folks dumhed og naivitet) er rimelig svær at få bugt med.

  • 2
  • 6
#37 Thomas Hjorslev

Naive dumme folk kan altid snydes. Gå f.eks. en tur ned af strøget om sommeren og se alle dem der bliver snydt af de berygtede gadesvindlere. "Find dronningen og vind 500 kr"... Jesus christ altså!! På trods af at der i aviser og tv hvert eneste år bliver advaret mod det, så er der alligevel folk som hopper på den.

Hvis nu medarbejdere fra Danske Bank jævnligt stod på strøget, med en konkurrence hvor man kunne vinde 500 kr ved at finde dronningen, mon så ikke endnu flere ville hoppe på den? Hvis man samtidigt ikke kunne forhindre, at svindlerne havde autentiske navneskilte, skilte, etc fra Danske Bank, så tror jeg at vi snakker om flertallet.

Bemærk, at selvom jeg er kritisk over for NemID, synes jeg at det er SKAT, Danske Bank, etc, der er den største synder her.

  • 2
  • 0
#38 Claus Nielsen

"Korrekt. Men der skal vel mere end adgang til Skat til at lave et identitetstyveri - eller hvad?"

Nej - det skal der ikke. Hvis du har logget ind på een offentlig tjeneste er du også logget ind på alle de andre. Det er dog ikke NemID's skyld - sådan var det også med den gamle digitale signatur.

Man generelt vil de nok hellere stjæle dine penge end din identitet, så de prøver nok at bruge oplysningerne fra dit login hos skat til at åbne din bank i stedet.

Læg derfor mærke til at du faktisk godt kan vælge at have forskellige seperate logins til bank og til det offentlige. Klart en god ide, men til gengæld lidt ekstrta besvær med 2 sæt nøglekort mm.

  • 3
  • 0
#39 Christian Dahl

Men stadig: Der advares mod svindlere på gågaden hvert eneste år, men alligevel er der folk som lader sig svindle, på trods af at alle advarselslamper er blevet tændt. Så er man selv uden om at man mister nogle penge. Nok udenoms snak om svindlere i gågaden :) Vil give dig ret i at de største syndere er de virksomheder som benytter nemid løsningen. For at beskytte sig mod phisning bør man ikke benytte samme redskab som de kriminielle (mail med links til specifikke sider). Som der tidligere er blevet nævnt så bør man ikke linke direkte til login. Her bør man være bedre til at kunne skabe en større forskel på de rigtige mails der bliver sendt ud, sammenlignet med de mails it kriminelle vil sende.

  • 1
  • 5
#41 Erik Jensen

Hvis du har logget ind på een offentlig tjeneste er du også logget ind på alle de andre.

Ok, men det lyder da mere som at det offentlige, har valgt at implementere NemId på en usikker måde, end at det er NemId som er usikker?

Man generelt vil de nok hellere stjæle dine penge end din identitet

Skal man tro debatten her inde, så er det identitetstyveriet, der er det farlige, da jeg vil blive kompenseret for mit tab af banken.

så de prøver nok at bruge oplysningerne fra dit login hos skat til at åbne din bank i stedet.

Hmm... så de skal læse mine skattepapirer igennem, for at finde ud af hvilken bank, jeg bruger, for der efter at logge ind på banken. Og det skal så ske, ved at jeg indtaster to NemID koder med et passende tidsrum i mellem? Ikke umuligt, men hvis jeg var kriminel, ville jeg nok stjæle et Dankort i stedet. Det er da meget lettere.

  • 2
  • 2
#42 Per Bau

Hmm... så de skal læse mine skattepapirer igennem, for at finde ud af hvilken bank, jeg bruger, for der efter at logge ind på banken. Og det skal så ske, ved at jeg indtaster to NemID koder med et passende tidsrum i mellem? Ikke umuligt, men hvis jeg var kriminel, ville jeg nok stjæle et Dankort i stedet. Det er da meget lettere.

Hvis du er med på at give 2 koder fra dig, så kan den kreative jo logge ind på nemkonto.dk første gang, og der se hvilken bank du har din nemkonto hos. Derefter kan man jo gå målrettet mod den rigtige bank. Dette vil så heller ikke give forsøg på at logge på en forkert bank, der burde rejse et flag hos nemid.

  • 5
  • 0
#44 Per Bau

Hvis man giver 2 koder fra sig er man også selv ude om det. Så er alt andet sikkerhed jo ligegyldigt. Man kan lige så godt give sine husnøgler til en fremmede.

Så du mener at hvis jeg sender en mail ud til 'alle danskere' den dag hvor skat offentliggør selvangivelserne, og at jeg efter at du har logget ind på den falske side, beder dig om at bekræfte at den konto jeg lige har hentet, er den du gerne vil have sat din overskydende skat ind på, så er der ikke en enkelt eller to der ville hoppe i fælden?

Mit gæt er at det lige den dag ville være rigtigt mange!

  • 7
  • 1
#45 Henrik Madsen

Men i bund og grund handler det stadig om, at sikkerheden kun kan brydes hvis folk ikke tænker sig om bare en lille smule. Naive dumme folk kan altid snydes.

Den kommentar er simpelthen for dum når man tænker på at DanID's begrundelse for at tage vores lokalt opbevarede digitale signatur og opbevare den centralt netop var at der var for mange dumme brugere som ikke formåede at passe på deres nøgle.

Kan du ikke se at det virker forkert først at tage min digitale signatur fra mig og opbevare den centralt fordi jeg ikke magter at beskytte den for bagefter at sige "Jamen vi kan ikke beskytte os mod dumme brugere".

Hvis de alligevel ikke kan finde ud af at lave et system som netop forhindrer den dumme bruger i at give tyveknægtene adgang så er det da tåbeligt overhovedet at lave systemet om.

Henrik Madsen

  • 11
  • 0
#46 Erik Jensen

Den kommentar er simpelthen for dum når man tænker på at DanID's begrundelse for at tage vores lokalt opbevarede digitale signatur og opbevare den centralt netop var at der var for mange dumme brugere som ikke formåede at passe på deres nøgle.

Er det ikke to forskellige ting du sammenligner?

Et er, at folk har en digital signatur liggende ubeskyttet, som andre kan kopiere og (med det rette password), anvende uendelig mange gange rundt omkring.

Noget andet er, at have en digital signatur liggende på en server, hvor den er beskyttet af engangsnøgler, og dermed kun kan bruges de relativt få gange man må formode, der lykkes angriberen at lokke engangskoder ud af brugeren.

(antaget at det ikke lykkes noget at kopiere alle signaturer ud af DanId, for så er jeg enig i, at det ikke er sikkert)

  • 1
  • 2
#48 Henrik Madsen

Er det ikke to forskellige ting du sammenligner?

Nej det syntes jeg sådan set ikke..

De siger jeg er for dum og uvidende en bruger til at kunne tage vare på min egen nøgle og så siges der nu at når folk er dumme så vil der altid kunne begå's indbrud.

Om jeg er så dum at jeg lader min maskine inficere eller jeg er så dum at jeg overlader mine NemID koder til en hacker giver jo ret beset samme resultat.

Ja eller det gør det jo ikke engang for før i tiden kunne de kun "stjæle" mine penge, nu kan de stjæle min identitet og derfor burde sikkerheden være MEGET større ...

Alt det tager er een til 2 koder så er min postadresse lavet om og "jeg" har bestilt et nyt kodekort til min nye adresse som så kan bruges til alt muligt og jeg opdager det ikke.

Henrik Madsen

  • 3
  • 0
#49 Finn Aarup Nielsen

Det er ikke blot nu i forbindelse med Version2's demonstration at Nets DanID har påstået at links i myndighedernes email ikke forekommer. Som jeg skrev i en kommentar i september

http://www.version2.dk/artikel/nemid-phishing-nordea-netbank-otte-kunder...

så har Nets DanID sendt pressemeddelelse ud hvor de skriver dette: "Der er ingen, hverken banker eller offentlige myndigheder, der på noget tidspunkt vil sende en mail ud med et link til log ind med NemID." og jeg skrev at jeg jo normalt modtager e-boks meddelelser med links.

Jeg tror desuden at de fleste af os ikke lægger mærke til om vores navn står der eller ikke. E-boks har navn i subject, men ikke i brødtekst. Hvis der blot stod "Post i e-Boks" i subject ville jeg ikke studse.

Hvis Nets DanID fortsætter med at kalde demonstrationen et "teoretisk scenarie", betyder det så at Version2 har "lov" til at lave en rigtig praktisk demonstration? :)

  • 4
  • 0
#50 Per Hansen

NemID har ikke løst noget i form af sikkerhed, og der var ikke flere gennemførte angreb med bankernes forrige login system (NetID), end der har været med NemID.

Yderligere ville det netop gennemførte angreb på Nordea ikke kunne have lavet sig gøre med den gamle løsning, hvor der lå en nøglefil på brugerens pc, som hackeren også skulle have fat i (den havde så nogle andre ulemper, men også en del fordele fremfor NemID).

  • 6
  • 0
#51 Per Hansen

Hvis man giver 2 koder fra sig er man også selv ude om det. Så er alt andet sikkerhed jo ligegyldigt. Man kan lige så godt give sine husnøgler til en fremmede.

HVIS brugeren ikke opdager at vedkommende er endt på en phising side, og siden fortæller ham at han har tastet den første kode forkert ind, vil 99,9% (incl. dig og mig), bare forsøge at taste den næste kode ind uden videre.

Men bortset fra det har du en pointe. NemID er et stykke hen af vejen, som at give sine husnøgler til en fremmed. Dog er det ikke husnøglerne, men universalnøglerne til alt i dit liv, og det er DanID der er den fremmede.

  • 9
  • 0
#52 Finn Aarup Nielsen

Forøvrigt har Nets DanID og myndigheder bidraget til forvirring omkring domæner, - nok særligt ved at benyttet nu-domænet. For folk der har fulgt NemID sagerne burde vide hvilke der er rigtige og "forkerte" NemID domæner her:

http://nets.dk/ http://www.nets-danid.dk/ http://nemid.dk http://www.nemid.nu/

Man kan eventuelt prøve at gætte her: http://www.nemid.eu http://virk.nu/ http://4344to.testserver.nu

Måske skulle man have haft et gov.dk domæne.

  • 5
  • 0
#55 Michael Lykke

Det er da den ringeste kommunikation der længe er set fra en såkaldt kommunikationschef. Det er mig en gåde hvordan Jette Knudsen kan besidde det job med den himmelråbende inkompetence hun demonstrere gang på gang!

Jette, forstå nu at din troværdighed er HELT i bund og ingen tager dig seriøs - Måske det er på tide at skifte taktik, sæt dig ind i problemstillinger, undlad at kalde reelle trusler for teoretiske og udvis en forståelse og bekymring over situation og udvis herefter handlekraft - Det er den slags der skaber tillid!

Det er en skændsel at så inkompetente folk kan blive betroet at varetage en så vigtig opgave som NemID er!

  • 5
  • 1
#56 Michael Lykke

Systemet kunne uden tvivl gøres 100%

Nej det kunne det ikke!

Christian du har gentagene gange udvist en komplet manglende forståelse for sikkerhed og for problemerne i henhold til NemID. Dine gentagene forsøg på at fortælle os hvor godt NemID er får det ærlig talt til at se ud som om du ER ansat hos DanID.

Hvis nemid f.eks. er nede i 30 min så kan man straks se overskrifterne "Nemid nede IGEN IGEN"... Come on!!! Hvor slemt er det lige? Fakta er, at Nemid har en oppetid der er yderst imponerende!

Christian, for fanden... Prøv nu lige at tænk dig om en ekstra gang. Start med at kig tilbage på deres historie med utallige nedbrud(Og mange flere nedbrud end de selv informere om) og prøv så derefter at tænk på hvor mange mennesker der påvirker når vi snakker et centralt login system til banker og offentlige myndigheder... Der betyder selv 2 minutters nedetid RIGTIG RIGTIG meget! Men du opdager vel nok selv problemet den dag du står og skal betale en regning, indgive en selvangivelse eller andet og du ikke kan nå det til tiden pga. nedetid - Så mærker du konksekvenser på egen krop bagefter. Dertil kommer at i takt med at NemID bliver det eneste login på alle offentlige services og mange private så bliver problemerne og konvsekvenserne endnu mere omfattende. Du kan så samtidigt prøve at regne lidt på tabt arbejdsfortjeneste hvis hundredetusindevis af mennesker sidder og ikke kan udføre en lang række opgaver fordi NemID er nede.

Det er på tide du tager skyklapperne af og prøver at forstå sikkerhed inden du kommer med flere påstande om total sikkerhed og andet misforstået ævl. DanID får "tæsk" lige pt. og det er mere end velfortjent med det ringe system de har indført, med deres lallende inkompetence i alt lige fra systemets udførsel til deres kommunikation med omverdenen!

Det sidste vi har brug for er at folk bare lader som om der ikke er nogen problemer!

  • 4
  • 2
Log ind eller Opret konto for at kommentere