Digitaliseringsstyrelsen efter groft misbrug: »NemID er en meget sikker løsning«

Når man godkender en internet-betaling via 3-D Secure med NemID, kan man ikke længere bruge papkortet pga. nye EU-betalingskrav – kun NemID app eller sms-kode:

Det er ærgerligt at den ene ting i NemId der var velgennemtænkt ryger ud med badevandet...

Når noget bliver besluttede værende sikker, "fordi vi siger det" og alle anmærkninger omkring det ikke er sikkert, bliver afvist med "det er sikkert", så ved man det ikke er sikkert...

Jeg er spændt på, hvordan basis-"noget, du har"-delen af NemID kan påstås at være mindre sikker i henhold til PSD2, end de afledte "noget, du har"-dele. Måske den bare ikke har nok information, og er et eksempel på at lovgivning (PSD2 er fra 2015) overhaler teknologi?

I "Lov om betalinger" (en del af den danske implementering af PSD2) defineres:

"§ 7. 30) Stærk kundeautentifikation: En autentifikation, som er baseret på anvendelsen af to eller flere elementer, der er kategoriseret som viden, besiddelse og iboende egenskab, der er uafhængige, så brud på et element ikke svækker pålideligheden af de andre elementer, og er designet på en sådan måde, at fortroligheden af autentifikationsdata beskyttes."

Dvs. at NemID papkortet er stærk kundeautentificering, og kan derfor benyttes til at logge ind mm. Sikkerhedsmæssigt er NemID med papkort derfor ikke mindre sikker end NemID med app eller nøgleviser.

Herefter dette (der, som tidligere omtalt her i tråden, placerer ansvaret i tilfælde af misbrug): "§ 100. Betalerens udbyder af betalingstjenester hæfter i forhold til betaleren for tab som følge af andres uberettigede anvendelse af en betalingstjeneste, medmindre andet følger af stk. 2-5. Betaleren hæfter kun efter stk. 3-5, hvis transaktionen er korrekt registreret og bogført, jf. dog stk. 2. [...] Stk. 7. Uanset stk. 3-5 hæfter betalerens udbyder tillige, hvis udbyderen ikke kræver stærk kundeautentifikation, medmindre betaleren har handlet svigagtigt. Betalingsmodtageren eller dennes udbyder skal godtgøre de tab, der er påført betalerens udbyder, hvis betalingsmodtageren eller dennes udbyder har undladt at anvende stærk kundeautentifikation. 1. og 2. pkt. finder ikke anvendelse på tjenester omfattet af § 1, stk. 5, og § 5, nr. 14-16."

Måske er det det her, som spænder ben?

"§ 128. En udbyder af betalingstjenester skal anvende stærk kundeautentifikation, medmindre andet følger af forordninger og regler udstedt af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, når en bruger

1. tilgår sin betalingskonto online,
2. iværksætter en elektronisk betalingstransaktion eller
3. udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.

Stk. 2. Ved iværksættelse af elektroniske betalinger, jf. stk. 1, nr. 2, via en enhed til fjernkommunikation skal udbyderen sikre, at der anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager."

Jeg tror kodeordet her er dynamisk. Nøgleviseren er hermed ok, men er imod fortolkningen i PSD2, betragtning 95 (og også ovenstående citat afhængig af fortolkning):

"Betalingstjenester, der udbydes på internettet eller via andre fjernkanaler, og hvis funktion ikke afhænger af, hvor den anordning, der anvendes til at initiere betalingstransaktionen, eller det anvendte betalingsinstrument er fysisk placeret, bør derfor omfatte autentifikation af transaktioner med dynamiske koder, med henblik på, at brugeren hele tiden er klar over beløbet og betalingsmodtageren for den transaktion, som brugeren giver tilladelse til."

EU går tilsyneladende et ekstra skridt for at gøre det bedre for forbrugerne; dvs. at vi som udgangspunkt skal kunne se hvad vi godkender. (At det så ikke bruges optimalt i alle implementeringer, og at f.eks. login til coronaprover.dk identificerer sig som "Velkommen til Web-Patient" er så en anden sag og bliver forhåbentligt ændret i MitID).

<a href="https://www.nets.eu/dk-da/digital-sikkerhed/Pages/Verified-by-Visa-og-M…;.

Når man godkender en internet-betaling via 3-D Secure med NemID, kan man ikke længere bruge papkortet pga. nye EU-betalingskrav – kun NemID app eller sms-kode:

Bemærk: Du kan ikke længere anvende NemID papkortet, til godkendelse af køb på nettet. På grund af ny lovgivning kan du alene bruge NemID app eller NemID nøgleviser, hvis du bruger NemID til at godkende dit køb.

https://www.nets.eu/dk-da/digital-sikkerhed/Pages/Verified-by-Visa-og-MasterCard-Secure-Code.aspx

Vi mangler i særklasse at se man-in-the-middle angreb ...

Det hedder at være serviceminded. Folk vil så nødigt være uhøflige over for en kunde eller en højtstående chef. Hvis "kunden" så lyder tilpas fortvivlet, så BINGO!

"at banken ikke spurgte svindlerne om legitimation"

Det skriger til himlen: **Sjusk! Sjusk! Sjusk! Sjusk! Sjusk! **

Sikkerhed for hvem, og i hvilke trusselsscenarier?

De firmaer der vælger at betale for at benytte NemId, som logIn løsning. De betaler DanId for dette.

I normale tilfælde vil firmaet være dataansvarlig og DanId databehandler,. Det vil sige at ved svig, så er det firmaet der står med ansvaret for loginet, da de er dataansvarlig. Derved kan du som bruger/kunde kun hæfte for sviget, hvis det kan dokumenteres at du har handlet på en måde som er groft uansvarlig. På grund af NemId's særlige konstruktion, så flyttes dataansvaret over på dig, som indehaver af det pågældende login. Du indtræder som dataansvarlig for NemId, da det rent juridisk er dig der har indgået en aftale med NemId, og derfor er dataansvarlig.

Men samtidig fortæller han, at man endnu ikke har lavet en adviserings-løsning, der skal advare borgere om, at der for eksempel er blevet bestilt et nyt nøglekort i ens navn hos banken.

Snart kan de samkøre oplysniger fra ANPG med sundhedsoplysniger, SKAT, banken og alt det andet for at dukke op på din adresse og andholde dig da du med stor sandsynlighed snart vil købe en ordentlig bunken ammoniumnitrat, men at fortælle dig om nogen har bestilt et nyt identitetsbevis-materiale igennem din bank, "narj, så langt er vi ikke lige nået, men næste år, når vi skal snakke om telelogningen igen kan vi lige kigge på det"

Jo mere man bliver oplyst, des mere klart bliver det at det ikke handler om tekniske mulighder/planer/omstændigheder, men om prioriteringer - og borgerne, hvordan er det nu lige de bliver prioriteret?

Du betaler med at give firmaet bag lov til at sælge bekræftelsen af din identitet til de firmer der måtte være interesseret, uden at du har mulighed for at sige fra.

Den tror jeg lige jeg skal have forklaret - hvilke firmaer er der tale om, og hvilke oplysninger er det reelt de får?

»Alle advarslerne er blevet håndteret, og vi har ændret flere af de ting, der påpeges som usikkerheder de seneste år. For eksempel har vi sørget for, at man ikke kan se, hvor mange nøgler der er tilbage på kortet,« siger Adam Lebech.

Men lige så snart der er et nyt papkort på vej kommer der "tag nyt nøglekort i brug" link. Hvis svindlerne checker dagligt, er det tydeligt at se når de skal ud og overvåge en given postkasse.

Så jeg kan ikke se, at foringelsen i, at man ikke længere kan se antal resterende nøgler giver ret meget mening. Ellers skal linket til nyt nøglekort være vist hele tiden - uanset om der er et nyt (på vej)

NemId er en fejlkonstruktion fra starten af. Som almindelig borger påføres man en urimelig stor risiko ved misbrug.

Det hævedes at det er gratis. Det er en stor løgn. Du betaler med at give firmaet bag lov til at sælge bekræftelsen af din identitet til de firmer der måtte være interesseret, uden at du har mulighed for at sige fra. For de firmaer der benytter NemId er det dejligt, da du ved at have NemId indtræder som dataansvarlig, hvilket mimimere firmaets risiko ved svig, da du har indgået en aftale med NemId om de må bekræfte din identitet. Konsekvens står nævnt i artiklen.

"Dengang kunne vi i detaljer beskrive, hvordan det kostede en ung skolelærer, Ronja Larsen, 270.000 kroner, at banken ikke spurgte svindlerne om legitimation, men blot kompromitterede hendes NemID uden tøven." Det er bare . ærgerligt, at dit NemId er blevet kompromitteret.

At de ansvarlige politikere og Digitaliseringsstyrelsen ikke har ret op på det misfoster, som NemId er videne om den despekt, der er for almindelig menneskers datasikkerhed trods skåletalerne om det modsatte.

I nuværende NemId løsning, præsenteres man for en iframe på det site man ønsker at authentikere fra.

Det betyder at enhver webshop/site kan høste brugernavn og password til NemId ved at vise en falsk NemId login boks.

Hvorfor har man valgt den løsning, istedet for altid at redirecte til et domæne man kan stole på?

Log ind på nemid.nu under selvbetjening, vælg mitNemId og se Hændelseslog</p>
<p>Den har været tilgængelig der i mange år.

Tak for at gøre mig opmærksom på muligheden, håber det bliver brugbart en dag!

En ting jeg gerne ville have som "tilføjelse" til mit nemid er en log. En log der siger hvor og hvornår mit nemid har været anvendt. Og med adgang helt udenom nemid (brugernavn, adgangskode, evt tofaktor).</p>
<p>

Den har været tilgængelig der i mange år.

Det har altid været en hændelseslog, og er det stadigvæk på NenID

Hvordan kan man forsvare at have en løsning, hvor andre kan bestille NemID i ens navn? ? (Det står han jo citeret for i teksten.)

Tak, Adam Lebech. Godt du i det mindste har indsigt nok til at udstille , at I altså ikke rigtig er nået længere end slangebøsserne i det du selv kalder et våbenkapløb.

Men læg mærke til at det de beskrevne angreb intet har at gøre med selv nemid infrastrukturen. De handler udelukkende om hvordan man kommunikerer når man ikke har et NemID.

Vi mangler i særklasse at se man-in-the-middle angreb ... måske har de ikke været så nemme at gennemføre hidtil. Det bliver nok nemmere nu hvor NemID også bruges til authentikering ifbm. e-handel. Det vil være ret nemt at lave en fake onlineshop og så opsamle brugerens nemid detaljer ifbm. betaling. Heldigvis vil det stadigvæk være svært at bruge til så meget.

En ting jeg gerne ville have som "tilføjelse" til mit nemid er en log.

Helt enig. Ethvert system der authentikerer brugeren, bør præsentere brugeren med en log hver gang han overdrager credentials.

Den største sikkerhedsbrist synes, ifølge artiklen, at være udsendelsen af nøglekortet. Hvilken overraskelse ......? Enhver, som har læst bare lidt om "koder" ved, at det ALTID vil være de svage punkt.

Også pas og kørekort, som sendes med posten, er "bortkommet".

Måske skulle afhentning bare være en standard mulighed - istedet for disse hovedløse "postkasser".

Jeg er ikke nødvendigvis klogere end myndighederne, men det er da bemærkelsesværdigt at NemId-kodekortet er et ihændehaver-dokument. Bare indtast kortnummeret, så er du igang med NemId (jo, også en kode fra keyboard-loggeren, men aligevel). Modsat bank- og kreditkort, som trods alt skal aktiveres - og det kræver jo uafhængige dokumenter / logon.

Tak, Adam Lebech. Godt du i det mindste har indsigt nok til at udstille , at I altså ikke rigtig er nået længere end slangebøsserne i det du selv kalder et våbenkapløb.

En ting jeg gerne ville have som "tilføjelse" til mit nemid er en log. En log der siger hvor og hvornår mit nemid har været anvendt. Og med adgang helt udenom nemid (brugernavn, adgangskode, evt tofaktor).