DF kræver ministersvar på sikkerhedsproblem for NemID

Finansministeren skal forholde sig til, hvordan man-in-the-middle angreb mod NemID kan undgås. Det mener Dansk Folkepartis datamatiker-uddannede it-ordfører efter at have set Ingeniørens NemID-video.

Efter at have set Ingeniørens videodemonstration af et simpelt man-in-the-middle-angreb mod NemID, vil Dansk Folkepartis it-ordfører Dennis Flydtkjær nu have finansministeren til at forholde sig til, hvordan risikoen for den slags angreb kan mindskes.

Se også: Video: Så let kan kriminelle franarre dig dit NemID

»Problemet i det er jo, at folk skal have tillid til den offentlige service. Skal man bruge digitalisering, og skal man logge ind på Skat og ind på sine sundhedsoplysninger og så videre, så skal folk jo også have tillid til, at det ikke kan misbruges,« siger han.

Dennis Flydtkjær, der er uddannet datamatiker, er overbevist om, at det angreb, Ingeniørens NemID-video demonstrerer i simpel form, vil kunne automatiseres, og dermed gøres endnu mere effekttivt. Og han finder det bekymrende, at et angreb, som det, der er demonstreret på videoen, overhovedet kan lade sig gøre så forholdsvist simpelt, som tilfældet er.

»Jeg synes, man skulle prøve at kigge på, om man ikke kan lave en mere sikker løsning,« siger Flydtkjær.

Læs også: Pærelet at narre NemID fra dig med klonede hjemmesider

Som de eksperter, Ingeniøren har talt med påpeger, mistænker Dennis Flydtkjær også, at angreb mod NemID vil blive mere udbredte i takt med, at selve løsningen bliver mere udbredt, da brugerne i stadig stigende grad vil være vant til at se et NemID-login vindue på diverse hjemmesider. Og dermed vil brugerne også være mere tilbøjelige til at indtaste deres oplysninger på en hjemmeside, som en it-kriminel i virkeligheden har kontrol over.

»Når man bruger det mere og mere, så vil folk jo ikke synes, der er noget underligt i, at man skal bruge sit NemID for at logge ind,« siger han.

Dennis Flydtkjær vil nu stille et såkaldt paragraf 20 spørgsmål til finansministeren, som NemID sorterer under.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Gram Mygind

Jeg har lidt svært ved at se hvilken ny viden omkring sikkerheden af NemID videodemonstrationen giver. Helt enig i at det bliver/er overordentligt svært for brugeren at gennemskue om man er på det rigtige site. url'en er det eneste man reelt kan kigge på og hvem ved om der findes en bindestreg i url'en på det rigtige site eller ej.

En nem løsning synes ikke at være ligefor. Hvis man kunne logge ind på et centralt sted fremfor på de enkelte sites - måske?

  • 3
  • 0
Stig Klüver

Jeg er enig med Pascal, at droppe java ville være en god idé. Men hvis man virkelig vil forbedre sikkerheden, er det nødvendig, med to forskellige måder at identificere sig - en til login - og en til at udføre en handling. Den nemmeste måde, at lave det på, er at bruge brugernavn/password til login, og så bruge nøglekortet, når man udfører en handling. Det vil være nemt, brugervenligt - og klart mere sikkert, end den løsning man har nu. \stig

  • 0
  • 0
Morten Borg

Som andre nævner har jeg ikke helt forstået logikken i at man skal logge ind på de enkelte sites via en applet. Det ville være langt mere enkelt, også ud fra et brugsmæssigt syndspunkt, at alle sites der benytter NemID gør brug af et login site som NemID udbyder.

Selv som IT-kyndig ville jeg føle mig mere tryg ved den løsning fordi man netop ikke kan gennemskue gyldigheden af et 3. parts site der udbyder en login formular.

  • 4
  • 0
Bent Jensen

dvs. går ind på et forkert site, kan det kun sikres tæt på 100% ved at man skal have en chip som så kan læses i PC'en. Som chippen på et dankort. Eller biometri........!

En anden mulighed er at koden forespørges via SMS, men for at det er mere sikkert og ikke kun forlængende´, skal man tjekke brugerlogins placering (IPadresse) op mod mobilplacering. Det vil nok være langsommeligt......

  • 0
  • 1
Lars Hallum

Din glimrende ide med at sammenligne IP-adresse med ens mobils placering er på sin vis genial, men jeg bruger fx tit mit fjernskrivebord, og så dur den løsning jo desværre ikke mere.

Som du er inde på, så har jeg også altid pladderet for, at sende en kontrakoden via en sekundær kanal, fx ens mobiltelefon via en sms? (eller en token med timekey) Det er hvis noget af det første vi opdager, hvis andre har beriget sig vores mobiltelefon – og den skal vi nok få blokeret???

Lars Hallum

  • 0
  • 0
Bent Jensen

Hvis det bare er at man får #nøglen via SMS vil det kun forsinke forbryderen en anelse, brugeren vil jo stadig taste koden ind på den falske hjemmeside...... Eller har jeg misforstået dig?

En anden mulighed kunne være at kun registrerede IP adresser kan godkendes, dvs. før du kan logge på via NemID, skal din IP-adresse registreres på NemID.nu og være på din personlige liste over godkendte IP adresser. Godt nok kører mange udbydere i dag med gebyrer for at give en fast IP, (fatter ikke hvorfor, ud over kronerne) men sammenligning burde alligevel være mulig via ISP'eren.

PS. Hvor mange bruger fjernskrivebord. Det er jo i sig selv en risiko, og hvis mange benyttede dette ville forbryderne bruge kræfterne til at hacke her.

  • 1
  • 2
Jesper Lund

En anden mulighed kunne være at kun registrerede IP adresser kan godkendes, dvs. før du kan logge på via NemID, skal din IP-adresse registreres på NemID.nu og være på din personlige liste over godkendte IP adresser.

Det vil blive meget upopulært for NemID brugere med mobilt bredbånd. Min erfaring med Oister og Fullrate (TDC) er at du altid får en ny IP adresse når modemet forbinder sig til mobilnettet.

  • 4
  • 0
Jesper Lund

Jeg har engang (med nogle fra IT-Politisk Forening) lavet et forslag til hvordan man kan løse problemet. Løsningen er iøvrigt java-applet fri :-) http://dhermilly.dk/pascal/nemid/

Forslaget er en klar forbedring fordi du har mulighed for at verificere SSL certifikatet for den side hvor du indtaster dit NemID brugernavn/password og modtager OTP challenge. Men der er ikke anden sikkerhed end den som SSL giver dig, og vi har inden for det sidste år desværre ser en række grimme eksempler på at "nogen" har fået udstedt SSL certifikater til andres domæner (det som ikke må ske hvis tilliden til SSL skal opretholdes).

Jeg vil meget hellere have en rigtig digital signatur, gerne token-baseret hvor den private nøgle aldrig forlader mit token.

  • 3
  • 0
Christian Thoudahl

På facebook har man mulighed for at få notifikationer hver gang der bliver logget på profilen fra et nyt sted. Hvordan det præcis foregår ved jeg ikke, men jeg gætter på at der formentlig er tale om en kombination af IP-adresse, MAC-adresse og kage rpå computeren.

Jeg tænker at en sådan løsning må kunne kopieres. Dog skal man på sin nemID løsning ikke blot give besked om at 'nogen' har logget på fra et nyt sted. Det skal selvfølgelig tillades at 'nogen' logger på fra dette nye sted.

Det kunne eksempelvis gøres ved at man på nemID.nu kan trykke på en lille knap med "Giv mig tilladelse til at bruge nemID her fra" (Sammen med brugernavn og adgangskode), og der så bliver sendt en e-mail til brugeren hvor man skal bekræfte at der gerne må logges på fra denne nye lokation.

Mon det kan bruges?

  • 0
  • 0
Log ind eller Opret konto for at kommentere