DK Hostmaster overvejer NemID til forbedring af domæne-sikkerhed

For øjeblikket kræver det i udgangspunktet kun et brugernavn og et password at pege et helt domæne hen mod en ny, og måske ondsindet server. DK Hostmaster kigger blandt andet på, om login via NemID kunne være en måde at gøre login mere sikker på.

Det er faldet en Version2-læser for brystet, at det i princippet ikke kræver mere end et brugernavn og et password at logge ind på DK Hostmasters selvbetjening-panel, hvorfra trafikken til et helt domæne - eksempelvis en banks - vil kunne omdirigeres til en server, som en person med slet i sinde kontrollerer.

Ofte bliver der ved login til den slags systemer koblet et ekstra trin på, så det ikke bare er brugernavn og password, som kan opsnappes eller gættes. Et eksempel kunne være papkortet tilknyttet NemID. Og faktisk er netop NemID noget DK Hostmaster overvejer at koble til login. Det fortæller vicedirektør hos DK Hostmaster Lise Fuhr.

I udgangspunktet mener hun dog, DK Hostmaster allerede stiller høje krav i forbindelse med sikkerheden.

»F.eks. skal adgangskoden være mindst otte karaktere og indeholde mindst tre ud af fire forskellige kriterier, og du har kun fem login-forsøg pr. 24 timer. Desuden får man et unikt bruger-ID i stedet for, at registranterne f.eks. bruger email-adressen, der åbner op for andre risici,« skriver hun i en mail.

Lise Fuhr påpeger, at det også er muligt for at tilvælge den såkaldte VID-service, som en ekstra sikkerhedsforanstaltning, som situationen er i dag. VID står for very important domain name og betyder ifølge Lise Fuhr, at 'de fleste ændringer i Selvbetjeningen sker via anbefalet post med et unikt referencenummer.' Servicen koster ifølge DK Hostmasters hjemmeside 50 kroner om året. Dertil kommer det almindelige periode-gebyr på selve domænenavnet.

»Når det er sagt, så synes DK Hostmaster, at det er vigtigt hele tiden at opdatere sine sikkerhedsløsninger. Derfor er DK Hostmaster i gang med en større revision af både Selvbetjeningen og login-løsninger for at gøre vores services både endnu mere sikre og brugervenlige. I den forbindelse er både NemID, SMS-løsninger og flere e-mail-bekræftelser og notifikationer i spil i forbindelse med en endnu mere sikker login-løsning,« Lise Fuhr.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Milos Game

Nu kan jeg ikke på stående fod recitere DK Hostmaster's regler og andree gælende love på området, men der er nok en del udenlandske kunder hos DK Hostmaster, som jo ikke har NemID. Hvis man går over til at kræve NemID, vil man udelukke/afvise disse kunder, ellers skal man lave undtagelser for udenlandske kunder.

  • 19
  • 0
Per Gøtterup

Alt andet end SlemID, tak. DK-Hostmaster bør holde sig fra at være med til at udbrede den frygtlige fejltagelse som SlemID er.

De kalder den 'nem' men den har f.eks. gjort min login til min netbank noget mere besværlig, så allerede der går det galt. I stedet for besværlige lokale klienter, skrevet i det sikkerhedsmæssigt meget usikre java, papkort eller PIN-tokens, så burde man have lavet et simpelt single sign on (SSO) system hvor man ved login med brugernavn og password modtager en krypteret token, der så via en cookie eller lignende medsendes når man tilgår en beskyttet side, og den validerer så mod SSO-systemets server om det er en valid token og giver adgang hvis alt er ok.

På den måde skal man stadig kun bruge brugernavn og password, og kun en gang, og man har så adgang så længe den token er valid, hvilket f.eks. kunne være indtil man er idle i f.eks. 1 time uden at tilgå nye beskyttede ressourcer. Alle som har prøvet SlemID ved at man ikke skal hoppe meget rundt i f.eks. netbanken før man bliver smidt ud og skal logge ind igen (sådan er Nordeas netbank i hvert fald)

Tilsvarende SSO-systemer er allerede i dag meget udbredte i erhvervslivets it-løsninger og de er både nemme at bruge og meget diskrete så man undgår hyppige og besværlige logins.

Systemet kan let kombineres med et sekundært 'password', f.eks. data fra en biometrisk læser eller lignende, hvilket dermed vil gøre løsningen en størrelsesorden sikrere end SlemID.

  • 1
  • 12
Simon Moore Højer-Simonsen

Desuden får man et unikt bruger-ID i stedet for, at registranterne f.eks. bruger email-adressen, der åbner op for andre risici

Hvordan skal det højne sikkerheden ved login at man ikke bruger e-mailadresse, men i stedet et unikt id? Er det ikke nærmest tvært imod?

Det unikke brugerID bliver jo netop oplyst når man slår et domæne op, så man skal ikke engang gætte sig til det og kan nøjes med at knække password.

https://www.dk-hostmaster.dk/index.php?id=42&query=version2.dk

  • 3
  • 0
Christian Schmidt

VID står for very important domain name og betyder ifølge Lise Fuhr, at 'de fleste ændringer i Selvbetjeningen sker via anbefalet post med et unikt referencenummer.'

Der mangler vist et ord i den sætning? Kan nogen opklare, hvad der menes?

Betyder det bare, at man bliver orienteret pr. brevpost, efter ens konto er blevet kompromitteret? Det hjælper da ikke meget.

  • 2
  • 0
martin nyhjem

VID-domænenavn

Et ’VID-domænenavn’ giver øget service og ekstra sikkerhed

Et VID-domænenavn (juridisk kaldet et ’kvalificeret domænenavn’) er en service fra DK Hostmaster for dig, som ønsker øget sikkerhed og særligt varsel for dit domænenavn inden evt. suspendering og sletning.

Registranten eller fuldmægtigen bliver - ud over det almindelige varsel vi sender pr. brev - også varslet med anbefalet brev og får ekstra tidsfrister, inden vi suspenderer et domænenavn, fordi der ikke er betalt fornyelsesgebyr.

DK Hostmaster opdaterer med denne service desuden løbende registrantens eller den fuldmægtiges adresseoplysninger gennem CPR- eller CVR-registret.

For at kunne få et VID-domænenavn skal enten registrant eller fuldmægtig have bopæl i Danmark, og adressen skal være oplyst korrekt. Samtidig skal CPR- eller CVR-nummer inklusive relevant P-nummer oplyses.

Du kan gøre dit domænenavn til et VID-domænenavn under ’Selvbetjening’ under menupunktet ’VID-domænenavn’.

Pris

VID-service koster 50 kr. om året pr. domænenavn. Dertil kommer det almindelige periodegebyr på selve domænenavnet.

Hvis du bestiller VID-service i løbet af en brugsperiode, så betaler du et forholdsvist gebyr i den resterende periode frem til fornyelsen af selve domænenavnet.

VID-service betales forud. Opsiger registranten VID-service i løbet af en periode, bliver evt. forudbetalt gebyr ikke refunderet.

  • 2
  • 0
Christian Schmidt

I udgangspunktet mener hun dog, DK Hostmaster allerede stiller høje krav i forbindelse med sikkerheden.

Hvis man sammenligner med andre webtjenester som Facebook, så ja (måske ikke høje, men i hvert fald på samme niveau).

Set i forhold til, at DNS or domæner udgør en hjørnesten i ethvert firmas it-infrastruktur, så nej.

Det er vel nærmest at betragte som letsindigt, hvis man har sat sin server op, så man kan logge ind alene ved brug af en adgangskode. I banker og lign. skal man formentlig både have adgangskode, SSH-nøgle og befinde sig på bankens interne netværk for at kunne installere ny kode på serveren. Hvis man har sådan et setup, udgør DK Hostmaster en stor akilleshæl. Det er i hvert fald noget af en tilsnigelse at påstå, at DK Hostmaster har et højt sikkerhedsniveau.

  • 1
  • 0
martin nyhjem

Helt enig..
Jeg har sendt mange redelegerings forespørgsler afsted på vejne af kunder, og det er ofte sket at jeg ikke lige har fået det nævnt for kontor vedkomne som gerne står som fuldmægtig for domænet.
Stort set alle gange har vedkomne blot logget på og godkendt, og når man spørger ind til hvorfor de har gjort det, siger de næsten altid noget I retning af: "jamen en udbyder fra noget vi er kunde hos, skrev og bad mig om at logge ind og godkende noget".. så I princippet kunne det have været hvem som helst der overtog de domæner. I hvert fald indtil fejlen var blevet opdaget :)

  • 1
  • 0
Thomas Kjeldsen

Hvad med at gøre det muligt, for de kunder/brugere som ønsker det, at aktivere two-step verification.

Google har fx lavet en "Google Authenticator" app som brugerne kan anvende. Den virker fint med andre tjenester som fx Facebook, Digital Ocean mfl. Se http://en.wikipedia.org/wiki/Google_Authenticator#Usage

Så vidt jeg kan se kunne det være et fint match til DK Hostmaster.

  • 2
  • 0
Hans Schou

Kan vi ikke holde NemID ude af det her? Lav SMS koder eller hvad I nu har lyst til


Nu har jeg ikke NemID endnu, da jeg først får det andet kvartal 2014, eller når Christian Panton frigiver sin kode. Alligevel syntes jeg det er en god idé med NemID, da det giver en pæn høj sikkerhed.

Men så er der paranoide stakler som mig selv der ingen tillid har til staten og al dens væsen, og udlændinge som helt legimt gerne vil have et .dk domæne, men ikke har CVR-nr. Man kan nemt lave undtagelser med at man skal møde op i en bank og legitimere sig eller lignende, og bruger DKHM så som verifikation.

Alternativt kunne man bruge client certificate login, hvor brugeren selv generere sin private nøgle, og så på en eller anden måde overbringer den offentlige nøgle til DKHM. Og så stadig password til DKHM, og husk nu at have et andet password på dit client certificate i din key store.

  • 0
  • 0
Keld Simonsen

Jeg vil håbe at DIFO ikke vælger NemID pga. sikkerhedsproblemerne på brugerens PC.

Jeg håber at den nuværende løsning i hvert fald bibeholdes som alternativ.

Der findes mange andre løsninger. Måske kunne DIFO samarbejde med Rådet for Digital Sikkerhed om en løsning?

  • 0
  • 0
Brian Larholm

Selv hvis NemID var det letteste system i verden at bruge, havde NUL fejl og var det sikreste system opfundet, ville det være en tåbelig ide at skifte til login med NemID.

Ene og alene fordi der er udenlandske virksomheder (og personer) der også har behov for at kunne logge på.

International brug er også noget der skal overvejes hvis man kigger på SMS som en ekstra faktor ved login.

  • 1
  • 0
Laurids Pedersen

Det bedste er, hvis vi selv kan vælge, hvilket sikkerhedsniveau, vi ønsker, hvilket VID muligheden er et godt eksempel på. Kunden betaler ekstra for den ekstra service, og de, der et tilfredse med et alm login behøver ikke slås med en besværlig procedure. Lad os så se, hvor mange kunder, der vil betale for at få lov at bruge papkortet.

  • 1
  • 0
Log ind eller Opret konto for at kommentere