Eksperter sår tvivl om sikkerheden bag MitID-login

En bruger får MitID, brugeren er en alm. dk. Han vælger et brugernavn, som er "hemmeligt", som anbefalet. Bruger installerer MitID appen og tilknytter sit fingeraftryk, for han stoler på sin telefons sikkerhed. Først gang han logger på sin netbank, sætter han flueben ved "Husk mit brugernavn".

Brugeren er ude og spise, men ups, han mangler sin telefon og hans vinglas.

Hvis en ondsindet bruger har adgang til hans telefon via hans fingeraftryk, har han også adgang til brugerens bankkonto, ejerskifte på hans hus mv.

Så som jeg opfatter MitID's sikkerhed, er det svageste led telefons implementering af fingeraftryk. Kompromitteres dette er der frit spil.

Hvordan med bevisbyrden? Hvis brugeren alligevel finder sin telefon på vej hjem fra restauranten, bliver det svært at bevise sin uskyld?

Er det ikke et spørgsmål om de forskellige sikkerhedsnivauer?

uden tvivl, og helt ok, som sådan en god ide, men skaber en uklar tilgang, hvorfor skal jeg nu gøre noget andet end jeg lige gjorde et andet sted

at man skulle tro vi boede i en bananrepublik.

Gør vi da ikke det ?

Når jeg på skat.dk vælger nummerviser, så bliver jeg bedt om at indtaste password før jeg kommer til at kunne indtaste de 6 tal; hvis jeg logger ind på alka.dk og der vælger at bruge nummerviser, så kommer jeg direkte til at kunne indtaste de 6 tal, der spørges ikke om password, til gengæld kan jeg der vælge om jeg vil bruge app, nummerviser eller kodeord Svend

Når jeg på skat.dk vælger nummerviser, så bliver jeg bedt om at indtaste password før jeg kommer til at kunne indtaste de 6 tal; hvis jeg logger ind på alka.dk og der vælger at bruge nummerviser, så kommer jeg direkte til at kunne indtaste de 6 tal, der spørges ikke om password, til gengæld kan jeg der vælge om jeg vil bruge app, nummerviser eller kodeord Svend

Hvis jeg vil logge ind på en private hjemmeside sendes jeg til <a href="https://nemlog-in.xyx.dk/">https://nemlog-in.xyx.dk/</a&gt; eller <a href="https://nemlog-in.abc.dk/">https://nemlog-in.abc.dk/</a&gt;. Så bliver hjemmesiden hacket og sender nu en til <a href="https://nemlog-in.good-guy.support/">https://nemlog-in.good-guy.support…; for at scrape data. Hvor mange mon vil falde i fælden?

Det gør det så ikke. MitID login skal ske på en separat webside hos den "broker", der håndterer login for dig.

Ja, men kender jeg alle de forskellige brokere som der vil komme?

Det er jo ikke mig som bruger der vælger broker, men hjemmesiden / appen som bestemmer hvor jeg skal logge ind.

Hvis jeg vælget om jeg vil logge ing på en hjemme side med github, facebook eller linkedin sendes jeg til den pågældende service, for at logge ind. Det kan jeg se i adresse-linien, hvis jeg kigger efter.

Når jeg skal logge ind med MitID hos det offentlige sendes jeg til https://nemlog-in.mitid.dk/ - det kan jeg også se i adresse-linien.

Hvis jeg vil logge ind på en private hjemmeside sendes jeg til https://nemlog-in.xyx.dk/ eller https://nemlog-in.abc.dk/. Så bliver hjemmesiden hacket og sender nu en til https://nemlog-in.good-guy.support/ for at scrape data. Hvor mange mon vil falde i fælden?

/Henning

Hvis jeg ikke er ved at logge ind i netbank/eboks/whatever, så har jeg jo ingen grund til at åbne app'en.

Næ, men hvis nu der ringer en venlig sjæl fra Digitaliseringsstyrelsen og beder dig gå ind i app'en og godkende? Han kan endda fortælle dig, hvad dit brugernavn er fordi han har gættet på "kimbjorntiedemann". Og de har brug for, at du bekræfter dit mitid før at du kan bruge det igen.

Det er nok ikke så usandsynligt at social engineering vil virke her...

I den nuværende NemId løsning skulle de gætte både brugernavn og adgangskode for at igangsætte en autentifikation.

Men det er et problem hvis man kan spamme brugeren med requests, og få ham til at godkende ved en fejl/for at fjerne dialogen.

Det tror jeg ikke man kan. App'en giver ikke nogen notifikation om at der ligger noget til godkendelse - man skal selv aktivt åbne MitID app'en for at godkende et login. Hvis jeg ikke er ved at logge ind i netbank/eboks/whatever, så har jeg jo ingen grund til at åbne app'en.

Og hvis MitId login implementeres via iframes, så er det endnu værre.

Det gør det så ikke. MitID login skal ske på en separat webside hos den "broker", der håndterer login for dig.

Det er noget der giver nogle udfordringer de mange steder, hvor man blot har iframe't NemID login boksen. Men sikkerhedsmæssigt en klar forbedring.

Det kan du jo have en pointe i.

Måske man blot skulle kalde det et "unikt kodeord" og droppe brugernavnet? :)

Begge dele er alligevel noget browseren husker for os...

Har man ikke tænkt på, at folk (som brugere) er blevet trænet til, at bruger-id/bruger-navn/id/login (kært barn har mange navne) er noget man generelt oplyser til enhver support org. man ringer til. At det ofte også indgår i din mail adresse.. at... det netop IKKE er noget hemligt.

Så vi har trænet mindre IT-kyndige i årevis i, at et bruger-id ikke er noget hemligt. Og så skal vi pludselig til at ændre den 'læring' for en hel befolkning, hvoraf langt de fleste ikke er specielt IT-kyndige.

Det viser jo total mangel på forståelse for forandrings ledelse.

// Jesper

Password er vel blot en forlængengelse af brugernavet.

CPR som id er i hvertfald ikke nogen god løsning. Men jeg holder megert af de case insensitive passwords, da jeg ikke kan fjerne alle {caps lock] fra alle keybords ... :)

Så hvis man indtaster det nye brugernavn i et password felt, kan jeg ikke se den store forskel? Bare du kan skifte brugernavn, når du vil, og at der ikke er dumme begrænsninger på navnet.

Argumentet er at man ved at flytte pinkode / kodeord fra login-siden til app så minimeres risikoen for angreb med keylogger.

I dag kræves der både password ved login, og selvvalgt pinkode / fingeraftryk og swipe i appen.

Hvordan kan det minimere chancen for angreb med keylogger da brugernavn + password giver adgang til ingenting?

Det er da netop en forringelse af sikkerheden at brugernavn nu kan bruteforces, hvor det, du hidtil skulle kompromittere en enhed for, nu kan gættes.

Derudover antages det at login ikke sker fra samme enhed. Kompromitteres telefonen, som i alt sin beskedenhed jo bare er en mobil computer der kan hackes, så er løbet kørt.

Relevante dele af NSIS ("National Standard for Identiteters Sikringsniveauer 2.0", via <a href="https://www.digitaliser.dk/resource/4397607">https://www.digitaliser.dk…;) herunder.

Og, som jeg også savner svar på, skal vi stadigvæk en tur ind og vende Nets' HSM modul?

hhhm

i app skal authentificere dig med en 6 cifret pindekode (måske med Touch ID / Face ID) inden du kan swipe.

Tjaa så kan drug rapes da også krydres med en tom konto - hvis face ID/touch Id virker ..

Det er ikke korrekt. Først og fremmest er "høj" endnu ikke implementeret, så vi kender faktisk ikke den endelige detaljer for "høj"</p>
<p>"Lav" kræver ikke den store identitekssikring, men "betydelig" som bruges de fleste steder kræver identitetssikring.

Relevante dele af NSIS ("National Standard for Identiteters Sikringsniveauer 2.0", via https://www.digitaliser.dk/resource/4397607) herunder. Jeg beklager for den ringe opsætning af tabellerne.

Afsnit 3.1.2:

Det er interessant at hverken pas eller kørekort er krævet (punkt 4) for "Betydelig".

Afsnit 3.2.2:

Uanset om login forløber med brugernavn eller brugernavn+password, så kan loginboksen phishes eller keylogges.

Phishede credentials kan benyttes til at sende spoofede 2FA til app'en.

Uden password kan usernames gættes via bruteforce

Uden password kan man sende spoofede 2FA til app'en via gættede usernames.

Så snart man swiper på anmodningen i 2FA appen, så har man foretaget en juridisk bindende handling.

Det kan være et login i et system som hacker vil ind i.

Det kan være salg af ejendom.

Det kan være skift af ejer i virksomheder.

Det kan være godkendelse af køb af pizza til 75kr.

Det kunne pege på at der er behov for at differentiere UI ift. hvad man authentikerer.

Måske særlige typer af authentikering skulle kræve en checkbox eller "Skriv 'JA' for at bekræfte skift af juridisk ejer af virksomheden ACME til Ond Mand"

Og så bør alle disse services samles så de tilgåes via ET! permanent domæne, som man kan stole på. Jeg foreslår i flæng mitid.borger.dk og stoler på borger.dk.

Jeg har ikke mulighed for at afgøre om mitid.nemid.dk login.mit.id.dk mit.id eller mitid.dk er nogen jeg kan stole på.

Og hvis MitId login implementeres via iframes, så er det endnu værre.

Der er kommet øgede krav til identifikation ifm. MitID. MitID kommer delvist pga. et direktiv fra EU. Det er bl.a. pga. den nye NSIS-standard og LoA at vores identitet skal bindes bedre op mod MitID end NemID. Til det sikkerhedsniveau som hedder "Betydelig", som svarer til NemID, er det ikke nødvendigt at scanne pas. Men til "Høj" er det nødvendigt.

Det er ikke korrekt. Først og fremmest er "høj" endnu ikke implementeret, så vi kender faktisk ikke den endelige detaljer for "høj"

"Lav" kræver ikke den store identitekssikring, men "betydelig" som bruges de fleste steder kræver identitetssikring. Enten via pas --> telefon (hvis man har hardware og pas som understøtter dette) alternativt via fysisk fremmøde, og anden fremvisning af gyldig legitimation på borgerservice, eller de banker som understøtter dette..

Se evt. https://www.mitid.dk/hjaelp/hjaelpeunivers/mitid-bruger-id/legitimation-og-dokumenter/

Til det sikkerhedsniveau som hedder "Betydelig", som svarer til NemID, er det ikke nødvendigt at scanne pas. Men til "Høj" er det nødvendigt.

Gad vide om tegnene er maskeret som ved password, ellers skal der blot shoulder surfing til at få informationen.
[quote id=433671]
Det er ikke maskeret. Du kan se det ved at gå ind på <a href="https://www.borger.dk/mitoverblik">https://www.borger.dk/mitoverblik</a…; og når du sendes til NemLogin vælger du MitID.

Kunne de ikke blot have beholdt koden og bevaret 2FA i stedet for. Det er 1 skridt frem og 10 tilbage.

Microsoft vil også gerne have brugere på passwordless. Men her kræver det vist også noget cookie på enheden at springe password over, men jeg er ikke helt sikker. Og så har Microsoft noget intelligens bagved.

Men det er et problem hvis man kan spamme brugeren med requests, og få ham til at godkende ved en fejl/for at fjerne dialogen.

Er det "mig" der sender an anmodning om at overføre et beløb, eller er det banken/netbutikken der "sender en anmodning" om at jeg skal godkende et beløb?

Hvis det er det sidste, betyder det så at disse har mit kodeord, eller er det MitID der sender anmodningen til "mig", og denne anmodning kan godkendes med en fingerbevægelse?

Jeg er med på at sikkerheden skal op. Men statens ved hvem jeg er og burde ikke have et problem at kæde mit pas sammen med MitID.

For mig er det blot en nedskrevet standard der efterleves, men burde og har nok ikke nogen effekt. Jeg har endnu ikke hørt om borgere der har fået overtaget deres NemID.

I det hele taget skulle jeg bruge mit pas, for at bekræfter det var mit Nemid. Altså den Nemid jeg pt. kan optage lån med, underskrive osv. Der skulle ikke gerne være tvivl om at det er mig i første omgang ^^

Det minder mig om Yousees måde at nulstille passwords på for nogle år siden. Man skulle blot indtaste et gyldigt brugernavn... og vupti, passwordet til den pågældende konto blev nulstillet.

Gad vide om tegnene er maskeret som ved password, ellers skal der blot shoulder surfing til at få informationen.

Kunne de ikke blot have beholdt koden og bevaret 2FA i stedet for. Det er 1 skridt frem og 10 tilbage.

I det hele taget skulle jeg bruge mit pas, for at bekræfter det var mit Nemid. Altså den Nemid jeg pt. kan optage lån med, underskrive osv. Der skulle ikke gerne være tvivl om at det er mig i første omgang ^^

Jeg tror ikke vi skal ud i noget TOTP eftersom hackeren så ville have samme kode (eftersom TOTP er tidsbaseret). Det skal bare være et random genereret pinkode som login dialogen skal vise mens der ventes på 2-faktor godkendelse og som samtidig er sendt til mobilen så den kan vise samme pinkode således der er et direkte link mellem disse to hændelser.

Citat fra artiklen:

"Det første problem er ifølge mediets eksperter, at du med MitID kun anvender et brugernavn for at sende en loginanmodning, som derefter godkendes med appen, hvis du eksempelvis vil ind på din netbank eller borger.dk. Ved den 'gamle' NemID-app krævede det både en adgangskode og et brugernavn at sende en anmodning."

Er det "mig" der sender an anmodning om at overføre et beløb, eller er det banken/netbutikken der "sender en anmodning" om at jeg skal godkende et beløb?

Hvis det er det sidste, betyder det så at disse har mit kodeord, eller er det MitID der sender anmodningen til "mig", og denne anmodning kan godkendes med en fingerbevægelse?

Jeg synes så godt det kunne gøres endnu mere tydeligt med et tilfældigt genereret tal som vises på mobilen og den tjeneste du er ved at logge ind på således du er sikker på det er din session du er ved at godkende og ikke en potentiel fremmed der er på samme side som dig.

DR har talt med digitalisering styrelsen: " Man bør holde sit brugernavn for sig selv og bruge specialtegn og tal for at gøre det svært at gætte. Brugernavnet i sig selv giver dog ikke adgang til MitID, ligesom CPR-nummeret ikke giver adgang til NemID."

Man må tage sig til hovedet ...

https://www.dr.dk/nyheder/penge/mitid-skulle-vaere-mere-sikkert-nu-saar-eksperter-tvivl-det-er-en-skidt-loesning

Hvis du bruger den elektroniske nøglerviser så skal du allerede i dag indtaste brugernavn, password og efterfølgende koden fra nøgleviseren. Ligesom du kender det fra NemID.

Det her handler udelukket om når du bruger mobilen som 2-faktor, så behøver man blot indtaste brugernavnet og efterfølgende en godkendelse i app'en som så kræver enten indtast af pinkode eller brug af fingeraftryk. Det skal desuden nævnes at app'en ikke viser nogen notification længere så du skal aktivt ind i app'en for at se om der er en godkendelse der afventer.

Kritikken går så her på at der ikke er noget tjek imod at borgere vælger et brugernavn med et for gennemskueligt link mellem hvilken borger der er tale om bag brugernavnet. Hvis du kan lave denne sammenkædning (og kan gætte dig frem til brugernavnet) er der en åben mulighed for at ringe til vedkommende og svindle dig frem til en godkendelse i app'en.

Så, hvis du bruger App'en som 2-faktor så husk at læse teksten for hvad det er du er ved at godkende således du er sikker på at det har en relation til det du er aktivt ved at ordne.

Jeg synes så godt det kunne gøres endnu mere tydeligt med et tilfældigt genereret tal som vises på mobilen og den tjeneste du er ved at logge ind på således du er sikker på det er din session du er ved at godkende og ikke en potentiel fremmed der er på samme side som dig.

Alt hvad der omhandler Nets, NemID, MitID, digital signatur, logins ift. det offentlige m.m. er så idiotisk og lobbyistisk skruet sammen at man skulle tro vi boede i en bananrepublik.

Nu tales der om godkendelse med app, hvorledes kommer det til at fungere med nøgleviser?

Så længe man selv kan vælge brugernavn og brugernavn skal være uniks, er det jo umuligt at forhindre, at man kan se, om et brugernavn er optaget. Man kan jo bare prøve at oprette en ny bruger med det pågældende brugernavn, og se om det godtages.

Ellers skal systemet afvise tilfældige ledige brugernavne eller lægge en forsinkelse ind, så brute force er sværere. Det vil nok ikke blive godt modtaget.

Men det manglende password er bare dumt. Det fjerner effektivt en faktor, som de fleste ikke har noget større problem med.

Ja, det er da nemmere uden password, men så kunne man også fjerne appen og lave ægte 0FA (0 factor authentification). Super nemt at (mis)bruge.