Danskernes brugernavne fosser stadig ud af MitID

Plus19. januar kl. 14:5114
Mitid
Koden vi brugte under forsøget var stort set identisk med den kode, Version2 testede MitID med for fire måneder siden i samarbejde med de to softwareingeniører Lukas Hundt Petersen og Anders Sparrevohn. Trods et forsøg på at dæmme op for denne slags angreb, fandt vi endnu flere brugernavne denne gang. Illustration: Nanna Skytte.
Digitaliseringsministeren ser med alvor på, at man fortsat kan manipulere og blokere MitID. Myndighederne er sløve i optrækket, lyder det fra ekspert.
Artiklen er ældre end 30 dage

I en ny undersøgelse af sikkerheden i MitID er det lykkedes Version2 at gætte 18.000 brugernavne med et af de mest simple digitale kneb, der findes, et såkaldt brute force-angreb.

Det tog kun 12 timer at gå 40.000 oplagte brugernavne igennem – hvorefter systemet hjælpsomt svarer, hvilke der findes i systemet, og hvilke der ikke gør.

Gratis adgang i 30 dage

Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Ing.dk, Version2 og Radar, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement
remove_circle
Har du allerede et PLUS-abonnement eller klip?
close

Velkommen til PLUS

Da du er ved at tilmelde dig en gratis prøve beder vi dig hjælpe os med at gøre vores indhold mere relevant for dig, ved at vælge et eller flere emner der interesserer dig.

Vælg mindst et emne *
Du skal vælge en adgangskode til når du fremover skal logge ind på din brugerkonto.
visibility
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Ing.dk, Version2 og Radar
Fuld digital adgang til PLUS-indhold på Ing.dk, Version2 og Radar, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
14 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
25. januar kl. 00:38

»Best practice med den her slags systemer er, at man ikke får at vide, om et brugernavn findes, når man gætter. Det er det, man ser på alle mulige hjemmesider, i mailsystemer og så videre. Derfor undrer det mig, at MitID fungerer på en anden måde,« siger Jacob Herbst.

Mon ikke MitID blot har skelet til bl.a. Google og Microsoft, der i adskillige år har ført an med den både usikre og GDPR-stridige model med opdeling af indtastningen, hvor man først indtaster og får bekræftet/afvist brugernavn (typisk email eller telefonnummer) og først derefter skal levere hemmeligheden (adgangskode, besiddelse eller biometri).

10
24. januar kl. 18:37

I afsnittet "Sådan gjorde vi" nævnes at angriberen kan få adgang til ofrets bank, hvis ofret "swiper". Kræves det ikke derudover at ofret skriver sin pin-kode?

13
26. januar kl. 13:17

I afsnittet "Sådan gjorde vi" nævnes at angriberen kan få adgang til ofrets bank, hvis ofret "swiper". Kræves det ikke derudover at ofret skriver sin pin-kode?

Pin-kode, biometrisk login eller hvad offeret nu har valgt - men hvis de bare gør det, når app'en siger de skal swipe, så er det lige vidt.

12
25. januar kl. 13:20

I afsnittet "Sådan gjorde vi" nævnes at angriberen kan få adgang til ofrets bank, hvis ofret "swiper". Kræves det ikke derudover at ofret skriver sin pin-kode?

Du swiper efter enten ansigtsgenkendelse el.lign. eller 6 cifret pinkode. Du kan ikke se, hvad der beder om adgang før. Jeg vil tro, en del kører med ansigtsgenkendelse, og så swiper uden at læse, hvis man er i gang med at logge ind et andet sted

8
23. januar kl. 16:10

Jeg mener ikke findes stærke bruger-navne. Et bruger navn, burde ikke kunne tillægges nogen form for reel sikkerhedsværdi. Det kan jo være alt fra Kingo til OleLarsen123, som man kender fra Facebook, Instagram, osv. Det er først når man kommer over til password eller adgangskode, at man reelt bør snakke om svage eller stærke koder.

14
8. februar kl. 14:13

Et bruger navn, burde ikke kunne tillægges nogen form for reel sikkerhedsværdi.

Det er jo så endnu mere absurd, at websiden tilbyder at huske dit bruger ID ... det give jo ingen mening, hvis man bør holde det åhh så hemmeligt ... suk

9
24. januar kl. 01:10

Enig, men i den knold og tot løsning MitID er, har man valgt at spørge om brugernavn først uden at validere det med et password. Dvs. at man let kan høste brugernavne og dermed nemt lave et denial-of-service mod en bruger, så hyn bliver lockoutet og ikke kan bruge MitID. I det tossede design bliver man så nød til at lave sit brugernavn som et password, så det ikke let kan gættes :-(

7
23. januar kl. 00:40

Der er altså nogle generelle tankegange og tilgange tror jeg, der er gået tabt ved "opdragelsen" af de nye generationer af arkitekter og udviklere. Ved at universiteter mm. stort set har set bort fra og ignoreret de gamle mainframefolk og den teknologi er der viden og know-how opbygget gennem de sidste 60 år der bare ikke er givet videre. Der er utroligt meget der genopfindes på "Mickey Mouse" systemerne som er grundlaget for meget af den centrale infrastruktur.

6
22. januar kl. 10:08

"Stærkt brugernavn" + stærkt password + oplæst 6-ciffer pinkode == sikkerhed?

Nu viser det sig, at "alm mennesker" ikke gider huske 'koder' (stærke eller ej), hvor efterlader det os?

5
21. januar kl. 14:10

Hvis mitid nu bare erkendte, at (smart) login uden password ikke virker, og de ændrede mitid til at kræve både id og password, før der reageres på noget (lige som andre logins), så var den sag fixet. Det er simpelthen såååå dumt.

3
20. januar kl. 12:58

Hvis en arkitekt havde tegnet en storebæltsbro, hvor han havde udeladt en bropille, så ville alle nok kunne se, at den bro vil ikke kunne bære.

Det afhænger nok. Hvis broen er asymmetrisk så ja. Er broen symmetrisk med kun en pylon i midten og "fagpersonen" påstår den kan bære, så vil kunden tage det for gode vare.

2
20. januar kl. 08:49

MitID er et sikkerhedsmæssigt problem, både i forhold til den enkelte bruger og som samfundskritisk infrastruktur.

Anbefalingen om at man " vælger et stærkt brugernavn" er ikke en løsning men et nødråb. Hvad er i øvrigt et "stærkt" brugernavn?

Jens Lyn, Batman, Superman, Chili Claus - det er da ret stærkt, men er indlysende ikke det der menes. Når man opfinder et nyt ord som "stærkt brugernavn", kræver det en vis forklaring. Måske "stærkt brugernavn" ligefrem bliver kandidat til optagelse i Den Danske Ordbog.

Det bliver så ikke bedre af, at der findes adskillige misvisende vejledninger på nettet. Denne her fra Frederiksberg bibliotek er et godt (dvs. dårligt) eksempel på hvordan man skal oprette en brugerkode.

Og denne vejledning fra Legal Desk må vist betegnes som direkte forkert. Den siger: " Dit bruger-ID må ikke være dit CPR-nummer, men derudover kan du vælge frit." - ah, helt frit næppe, og dit navn må kun bruges hvis det er stærkt, så?

JydskeBanks video vejledning er også tvivlsom. Her bruger man "OleLarsen" som eksempel på et godt brugerID. Det er i hvert fald ikke et stærkt navn - og da slet ikke uden mellemrum.

Vejle Biblioteks vejledning er også "sjov": "Lav gerne en godt brugernavn på forhånd, som er fx 12+ tegn langt og nemt at skrive". Jo, det nærmer sig, men 13-14 tegn i et brugernavn kan vel ikke betegnes som nemt?

Listen over sjove, vildledende og misvisende vejledninger er sikkert meget længere, og rejser følgende spørgsmål: Hvad gør man, hvis man bliver hacket efter at have fulgt en af disse forkerte vejledninger? Har ophavsmanden til den forkerte vejledning et ansvar?

1
20. januar kl. 07:12

Jeg tror, at en kerne i problemerne stadig er, hvor abstrakt IT er for "lægfolk" - og at alle i det besluttende led netop er lægfolk i IT sammenhæng.

Hvis en arkitekt havde tegnet en storebæltsbro, hvor han havde udeladt en bropille, så ville alle nok kunne se, at den bro vil ikke kunne bære.

Computere og deres software er desværre bare ikke nær så åbenlyst at gennemskue, men det bliver fremstillet som værende enkelt. I virkeligheden burde al offentlig IT - især kritisk infrastruktur - betragtes på samme kompleksitetsniveau som medicin eller atomkraftværker.

4
20. januar kl. 13:57

Hvis en arkitekt havde tegnet en storebæltsbro, hvor han havde udeladt en bropille, så ville alle nok kunne se, at den bro vil ikke kunne bære.

Ikke nødvendigvis, det ER faktisk kompliceret. Med et halvt øje duer ikke til ret meget.