Eksperter sår tvivl om sikkerheden bag MitID-login

35 kommentarer.  Hop til debatten
Eksperter sår tvivl om sikkerheden bag MitID-login
Illustration: Digst.
Digitaliseringsstyrelsen har allerede lavet ændringer i MitID.
1. november 2021 kl. 10:43
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerheden i MitID er ikke optimal, skriver DR.

Det første problem er ifølge mediets eksperter, at du med MitID kun anvender et brugernavn for at sende en loginanmodning, som derefter godkendes med appen, hvis du eksempelvis vil ind på din netbank eller borger.dk.

Ved den 'gamle' NemID-app krævede det både en adgangskode og et brugernavn at sende en anmodning.

»Jeg synes desværre ikke, at det lader til, at alle dele af den her løsning er testet igennem,« siger Henrik Kramselund fra Zencurity til DR.

Artiklen fortsætter efter annoncen

Derudover fortæller MitID-systemet, om et brugernavn er optaget eller ej, og derfor kan svindlere lettere gætte offerets brugernavn, mener Jan Kaastrup, der er CTO hos CSIS.

»Det er uforsvarligt den måde, man har lavet det på. Man har nok gjort det for at gøre det mere brugervenligt, men det har en bagside. Det åbner op for et utal af mulige svindelnumre, vi ved, de it-kriminelle gør brug af,« siger Jan Kaastrup til DR.

35 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
35
3. november 2021 kl. 17:29

En bruger får MitID, brugeren er en alm. dk. Han vælger et brugernavn, som er "hemmeligt", som anbefalet. Bruger installerer MitID appen og tilknytter sit fingeraftryk, for han stoler på sin telefons sikkerhed. Først gang han logger på sin netbank, sætter han flueben ved "Husk mit brugernavn".

Brugeren er ude og spise, men ups, han mangler sin telefon og hans vinglas.

Hvis en ondsindet bruger har adgang til hans telefon via hans fingeraftryk, har han også adgang til brugerens bankkonto, ejerskifte på hans hus mv.

Så som jeg opfatter MitID's sikkerhed, er det svageste led telefons implementering af fingeraftryk. Kompromitteres dette er der frit spil.

Hvordan med bevisbyrden? Hvis brugeren alligevel finder sin telefon på vej hjem fra restauranten, bliver det svært at bevise sin uskyld?

34
2. november 2021 kl. 16:40

Er det ikke et spørgsmål om de forskellige sikkerhedsnivauer?

uden tvivl, og helt ok, som sådan en god ide, men skaber en uklar tilgang, hvorfor skal jeg nu gøre noget andet end jeg lige gjorde et andet sted

31
2. november 2021 kl. 14:06

Når jeg på skat.dk vælger nummerviser, så bliver jeg bedt om at indtaste password før jeg kommer til at kunne indtaste de 6 tal; hvis jeg logger ind på alka.dk og der vælger at bruge nummerviser, så kommer jeg direkte til at kunne indtaste de 6 tal, der spørges ikke om password, til gengæld kan jeg der vælge om jeg vil bruge app, nummerviser eller kodeord Svend

30
2. november 2021 kl. 12:12

Hvis jeg vil logge ind på en private hjemmeside sendes jeg til <a href="https://nemlog-in.xyx.dk/">https://nemlog-in.xyx.dk/</a&gt; eller <a href="https://nemlog-in.abc.dk/">https://nemlog-in.abc.dk/</a&gt;. Så bliver hjemmesiden hacket og sender nu en til <a href="https://nemlog-in.good-guy.support/">https://nemlog-in.good-guy.support…; for at scrape data. Hvor mange mon vil falde i fælden?

Som jeg læser det sker alle MitID logins gennem en broker (f.eks. NemLogin), og private virksomheder kan blive certificeret som broker. F.eks. er Signicat og Signaturgruppen certificerede brokere. Begge de nævnte firmaer tilbyder i forevejen services til private og offentlige virksomheder omkring NemID / NemLogin m.m. I teorien kan dit eksempel ske, men der er selvfølgelig begrænset til angreb på en af de certificerede brokere.

29
2. november 2021 kl. 11:16

Det gør det så ikke. MitID login skal ske på en separat webside hos den "broker", der håndterer login for dig.

Ja, men kender jeg alle de forskellige brokere som der vil komme?

Det er jo ikke mig som bruger der vælger broker, men hjemmesiden / appen som bestemmer hvor jeg skal logge ind.

Hvis jeg vælget om jeg vil logge ing på en hjemme side med github, facebook eller linkedin sendes jeg til den pågældende service, for at logge ind. Det kan jeg se i adresse-linien, hvis jeg kigger efter.

Når jeg skal logge ind med MitID hos det offentlige sendes jeg til https://nemlog-in.mitid.dk/ - det kan jeg også se i adresse-linien.

Hvis jeg vil logge ind på en private hjemmeside sendes jeg til https://nemlog-in.xyx.dk/ eller https://nemlog-in.abc.dk/. Så bliver hjemmesiden hacket og sender nu en til https://nemlog-in.good-guy.support/ for at scrape data. Hvor mange mon vil falde i fælden?

/Henning

28
2. november 2021 kl. 11:16

Hvis jeg ikke er ved at logge ind i netbank/eboks/whatever, så har jeg jo ingen grund til at åbne app'en.

Næ, men hvis nu der ringer en venlig sjæl fra Digitaliseringsstyrelsen og beder dig gå ind i app'en og godkende? Han kan endda fortælle dig, hvad dit brugernavn er fordi han har gættet på "kimbjorntiedemann". Og de har brug for, at du bekræfter dit mitid før at du kan bruge det igen.

Det er nok ikke så usandsynligt at social engineering vil virke her...

I den nuværende NemId løsning skulle de gætte både brugernavn og adgangskode for at igangsætte en autentifikation.

25
2. november 2021 kl. 09:53

Det kan du jo have en pointe i.

Måske man blot skulle kalde det et "unikt kodeord" og droppe brugernavnet? :)

Begge dele er alligevel noget browseren husker for os...

24
2. november 2021 kl. 09:37

Har man ikke tænkt på, at folk (som brugere) er blevet trænet til, at bruger-id/bruger-navn/id/login (kært barn har mange navne) er noget man generelt oplyser til enhver support org. man ringer til. At det ofte også indgår i din mail adresse.. at... det netop IKKE er noget hemligt.

Så vi har trænet mindre IT-kyndige i årevis i, at et bruger-id ikke er noget hemligt. Og så skal vi pludselig til at ændre den 'læring' for en hel befolkning, hvoraf langt de fleste ikke er specielt IT-kyndige.

Det viser jo total mangel på forståelse for forandrings ledelse.

// Jesper

23
1. november 2021 kl. 21:50

Password er vel blot en forlængengelse af brugernavet.

CPR som id er i hvertfald ikke nogen god løsning. Men jeg holder megert af de case insensitive passwords, da jeg ikke kan fjerne alle {caps lock] fra alle keybords ... :)

Så hvis man indtaster det nye brugernavn i et password felt, kan jeg ikke se den store forskel? Bare du kan skifte brugernavn, når du vil, og at der ikke er dumme begrænsninger på navnet.

22
1. november 2021 kl. 17:17

Argumentet er at man ved at flytte pinkode / kodeord fra login-siden til app så minimeres risikoen for angreb med keylogger.

I dag kræves der både password ved login, og selvvalgt pinkode / fingeraftryk og swipe i appen.

Hvordan kan det minimere chancen for angreb med keylogger da brugernavn + password giver adgang til ingenting?

Det er da netop en forringelse af sikkerheden at brugernavn nu kan bruteforces, hvor det, du hidtil skulle kompromittere en enhed for, nu kan gættes.

Derudover antages det at login ikke sker fra samme enhed. Kompromitteres telefonen, som i alt sin beskedenhed jo bare er en mobil computer der kan hackes, så er løbet kørt.

21
1. november 2021 kl. 15:58

Relevante dele af NSIS ("National Standard for Identiteters Sikringsniveauer 2.0", via <a href="https://www.digitaliser.dk/resource/4397607">https://www.digitaliser.dk…;) herunder.

Men det svarer stadigvæk ikke på hvordan "MidID" kommer til at blive i stand til at håndtere forskellige sikringsniveauer, og hvorledes man sonderer i praksis.

Og, som jeg også savner svar på, skal vi stadigvæk en tur ind og vende Nets' HSM modul?

20
1. november 2021 kl. 15:42

hhhm

i app skal authentificere dig med en 6 cifret pindekode (måske med Touch ID / Face ID) inden du kan swipe.

Tjaa så kan drug rapes da også krydres med en tom konto - hvis face ID/touch Id virker ..

19
1. november 2021 kl. 14:30

Det er ikke korrekt. Først og fremmest er "høj" endnu ikke implementeret, så vi kender faktisk ikke den endelige detaljer for "høj"</p>
<p>"Lav" kræver ikke den store identitekssikring, men "betydelig" som bruges de fleste steder kræver identitetssikring.

Det er til gengæld korrekt. Min hukommelse fejlede.

Relevante dele af NSIS ("National Standard for Identiteters Sikringsniveauer 2.0", via https://www.digitaliser.dk/resource/4397607) herunder. Jeg beklager for den ringe opsætning af tabellerne.

Afsnit 3.1.2:

Sikringsniveau Krav Lav 1) Der skal gennemføres en verifikation, og der skal foreligge en beskrivelse af verifikationsprocessen, herunder de forudsætninger, der lægges til grund. 2) Ansøgeren (Entiteten) skal med overvejende sandsynlighed vurderes at være i besiddelse af almindeligt anerkendt dokumentation for sin Identitet. Dette kan fx være sygesikringskort, pas, kørekort, dåbsattest eller forskudsopgørelse. 3) Dokumentationen kan antages at være ægte og gyldig. Betydelig 4) Det skal verificeres, at ansøgeren er i besiddelse af nationalt anerkendt foto- eller biometrisk dokumentation for sin Identitet (fx pas eller kørekort). Hvor ansøgeren ikke er besiddelse af dette, kan anvendes de samme identifikationsprocesser, som benyttes ved udstedelse af dansk pas eller kørekort. 5) Dokumentation kontrolleres med henblik på at fastslå, at den er gyldig i henhold til en Autoritativ kilde. 6) Der er taget skridt til at nedbringe risikoen for, at den pågældende persons Identitet ikke er den, den påstås at være, under hensyntagen til risikoen for at fremlagte beviser kan være blevet tabt, stjålet, suspenderet, tilbagekaldt eller være udløbet. Ansøgeren eksisterer i autoritative registre (fx CPR) og er ikke markeret som død eller forsvundet. [Jeg har klippet punkter 7 og 8 væk] Høj 9) Ansøgeren kan identificeres som havende den påståede Identitet ved sammenligning af et eller flere af personens fysiske kendetegn med en Autoritativ kilde. Sammenligningen skal udføres enten via personligt fremmøde eller en anden mekanisme, der giver en ækvivalent sikkerhed. 10) Der er med meget høj sandsynlighed et fysisk match mellem ansøgeren og den præsenterede dokumentation (fx match af billede og underskrift).

Det er interessant at hverken pas eller kørekort er krævet (punkt 4) for "Betydelig".

Afsnit 3.2.2:

Sikringsniveau Krav Lav 1) Det Elektroniske Identifikationsmiddel leveres efter udstedelse via en mekanisme, som gør det muligt at antage, at det kun leveres til den tilsigtede Person. Betydelig 2) Det Elektroniske Identifikationsmiddel leveres efter udstedelse via en mekanisme, som gør det muligt at antage, at det kun udleveres til den Person, som det tilhører. Høj 3) Aktiveringsprocessen kontrollerer, at det Elektroniske Identifikationsmiddel kun blev udleveret til den Person, som det tilhører. 4) Udleveringen skal beskyttes mod angreb, hvor det Elektroniske Identifikationsmiddel stjæles under transport samt insider-angreb i udleveringsfunktionen hos udstederen ved fx at benytte to uafhængige forsendelseskanaler eller funktionsadskillelse.
18
1. november 2021 kl. 14:24

Uanset om login forløber med brugernavn eller brugernavn+password, så kan loginboksen phishes eller keylogges.

Phishede credentials kan benyttes til at sende spoofede 2FA til app'en.

Uden password kan usernames gættes via bruteforce

Uden password kan man sende spoofede 2FA til app'en via gættede usernames.

Så snart man swiper på anmodningen i 2FA appen, så har man foretaget en juridisk bindende handling.

Det kan være et login i et system som hacker vil ind i.

Det kan være salg af ejendom.

Det kan være skift af ejer i virksomheder.

Det kan være godkendelse af køb af pizza til 75kr.

Det kunne pege på at der er behov for at differentiere UI ift. hvad man authentikerer.

Måske særlige typer af authentikering skulle kræve en checkbox eller "Skriv 'JA' for at bekræfte skift af juridisk ejer af virksomheden ACME til Ond Mand"

Og så bør alle disse services samles så de tilgåes via ET! permanent domæne, som man kan stole på. Jeg foreslår i flæng mitid.borger.dk og stoler på borger.dk.

Jeg har ikke mulighed for at afgøre om mitid.nemid.dk login.mit.id.dk mit.id eller mitid.dk er nogen jeg kan stole på.

Og hvis MitId login implementeres via iframes, så er det endnu værre.

17
1. november 2021 kl. 13:20

Der er kommet øgede krav til identifikation ifm. MitID. MitID kommer delvist pga. et direktiv fra EU. Det er bl.a. pga. den nye NSIS-standard og LoA at vores identitet skal bindes bedre op mod MitID end NemID. Til det sikkerhedsniveau som hedder "Betydelig", som svarer til NemID, er det ikke nødvendigt at scanne pas. Men til "Høj" er det nødvendigt.

Det er ikke korrekt. Først og fremmest er "høj" endnu ikke implementeret, så vi kender faktisk ikke den endelige detaljer for "høj"

"Lav" kræver ikke den store identitekssikring, men "betydelig" som bruges de fleste steder kræver identitetssikring. Enten via pas --> telefon (hvis man har hardware og pas som understøtter dette) alternativt via fysisk fremmøde, og anden fremvisning af gyldig legitimation på borgerservice, eller de banker som understøtter dette..

Se evt. https://www.mitid.dk/hjaelp/hjaelpeunivers/mitid-bruger-id/legitimation-og-dokumenter/

15
1. november 2021 kl. 12:48

Gad vide om tegnene er maskeret som ved password, ellers skal der blot shoulder surfing til at få informationen.
[quote id=433671]
Det er ikke maskeret. Du kan se det ved at gå ind på <a href="https://www.borger.dk/mitoverblik">https://www.borger.dk/mitoverblik</a…; og når du sendes til NemLogin vælger du MitID.

Kunne de ikke blot have beholdt koden og bevaret 2FA i stedet for. Det er 1 skridt frem og 10 tilbage.

Argumentet er at man ved at flytte pinkode / kodeord fra login-siden til app så minimeres risikoen for angreb med keylogger. Så i app skal authentificere dig med en 6 cifret pindekode (måske med Touch ID / Face ID) inden du kan swipe. De hævder det så stadig er 2FA, da du både har pinkode i app og godkendelse i app - jeg er nok ikke enig :-) At de har flyttet pinkode / kodeord fra login til app minimerer nok problemet med keyloggers, men det skaber blot nye problemer med andre typer af angreb som der nævnes i artiklen eller er diskutteret på Twitter hen over weekenden.

14
1. november 2021 kl. 12:42

Microsoft vil også gerne have brugere på passwordless. Men her kræver det vist også noget cookie på enheden at springe password over, men jeg er ikke helt sikker. Og så har Microsoft noget intelligens bagved.

Men det er et problem hvis man kan spamme brugeren med requests, og få ham til at godkende ved en fejl/for at fjerne dialogen.

13
1. november 2021 kl. 12:39

Er det "mig" der sender an anmodning om at overføre et beløb, eller er det banken/netbutikken der "sender en anmodning" om at jeg skal godkende et beløb?

Umiddelbart vil jeg mene at det er banken der sender anmodningen. Du er ved at overføre 500kr til gamle farmor via netbanken, da hun ikke har MobilePay. Banken sender en anmodning til NemID / MitID platformen inkl. en tekst / besked til visning på skærm eller i nøgleapp, du logger ind i NemID / indtaster MitID brugernavn, åbner app'en hvor du ser teksten og godkender den.

Hvis det er det sidste, betyder det så at disse har mit kodeord, eller er det MitID der sender anmodningen til "mig", og denne anmodning kan godkendes med en fingerbevægelse?

I MitID med Nøgleapp har du ikke et kodeord og serviceudbyderen der integerer med MitID systemet kender selvfølgelig hverken til dit brugernavn eller dit kodeord. Samme som i NemID. Kender ikke detaljerne i MitID, men i NemID systemet vil du som serviceudbyder efter endt login i NemID få adgang til et pid-nummer (person ID) som serviceudbyderen kan bruge til godkendelse i sit system, alternativt bede om CPR-nummer hvor brugeren bliver bedt om at indtaste det. Banker får sikkert automatisk dit CPR-nummer - og det samme gør offentlige myndigheder gennem NemLogin. Så nej, hverken bank eller netbutik får adgang til dine login-oplysninger.

12
1. november 2021 kl. 12:37

Jeg er med på at sikkerheden skal op. Men statens ved hvem jeg er og burde ikke have et problem at kæde mit pas sammen med MitID.

For mig er det blot en nedskrevet standard der efterleves, men burde og har nok ikke nogen effekt. Jeg har endnu ikke hørt om borgere der har fået overtaget deres NemID.

11
1. november 2021 kl. 12:24

I det hele taget skulle jeg bruge mit pas, for at bekræfter det var mit Nemid. Altså den Nemid jeg pt. kan optage lån med, underskrive osv. Der skulle ikke gerne være tvivl om at det er mig i første omgang ^^

Der er kommet øgede krav til identifikation ifm. MitID. MitID kommer delvist pga. et direktiv fra EU. Det er bl.a. pga. den nye NSIS-standard og LoA at vores identitet skal bindes bedre op mod MitID end NemID. Til det sikkerhedsniveau som hedder "Betydelig", som svarer til NemID, er det ikke nødvendigt at scanne pas. Men til "Høj" er det nødvendigt.

10
1. november 2021 kl. 12:22

Det minder mig om Yousees måde at nulstille passwords på for nogle år siden. Man skulle blot indtaste et gyldigt brugernavn... og vupti, passwordet til den pågældende konto blev nulstillet.

9
1. november 2021 kl. 12:07

Gad vide om tegnene er maskeret som ved password, ellers skal der blot shoulder surfing til at få informationen.

Kunne de ikke blot have beholdt koden og bevaret 2FA i stedet for. Det er 1 skridt frem og 10 tilbage.

I det hele taget skulle jeg bruge mit pas, for at bekræfter det var mit Nemid. Altså den Nemid jeg pt. kan optage lån med, underskrive osv. Der skulle ikke gerne være tvivl om at det er mig i første omgang ^^

8
1. november 2021 kl. 12:01

Jeg tror ikke vi skal ud i noget TOTP eftersom hackeren så ville have samme kode (eftersom TOTP er tidsbaseret). Det skal bare være et random genereret pinkode som login dialogen skal vise mens der ventes på 2-faktor godkendelse og som samtidig er sendt til mobilen så den kan vise samme pinkode således der er et direkte link mellem disse to hændelser.

7
1. november 2021 kl. 11:52

Citat fra artiklen:

"Det første problem er ifølge mediets eksperter, at du med MitID kun anvender et brugernavn for at sende en loginanmodning, som derefter godkendes med appen, hvis du eksempelvis vil ind på din netbank eller borger.dk. Ved den 'gamle' NemID-app krævede det både en adgangskode og et brugernavn at sende en anmodning."

Er det "mig" der sender an anmodning om at overføre et beløb, eller er det banken/netbutikken der "sender en anmodning" om at jeg skal godkende et beløb?

Hvis det er det sidste, betyder det så at disse har mit kodeord, eller er det MitID der sender anmodningen til "mig", og denne anmodning kan godkendes med en fingerbevægelse?

4
1. november 2021 kl. 11:13

Hvis du bruger den elektroniske nøglerviser så skal du allerede i dag indtaste brugernavn, password og efterfølgende koden fra nøgleviseren. Ligesom du kender det fra NemID.

Det her handler udelukket om når du bruger mobilen som 2-faktor, så behøver man blot indtaste brugernavnet og efterfølgende en godkendelse i app'en som så kræver enten indtast af pinkode eller brug af fingeraftryk. Det skal desuden nævnes at app'en ikke viser nogen notification længere så du skal aktivt ind i app'en for at se om der er en godkendelse der afventer.

Kritikken går så her på at der ikke er noget tjek imod at borgere vælger et brugernavn med et for gennemskueligt link mellem hvilken borger der er tale om bag brugernavnet. Hvis du kan lave denne sammenkædning (og kan gætte dig frem til brugernavnet) er der en åben mulighed for at ringe til vedkommende og svindle dig frem til en godkendelse i app'en.

Så, hvis du bruger App'en som 2-faktor så husk at læse teksten for hvad det er du er ved at godkende således du er sikker på at det har en relation til det du er aktivt ved at ordne.

Jeg synes så godt det kunne gøres endnu mere tydeligt med et tilfældigt genereret tal som vises på mobilen og den tjeneste du er ved at logge ind på således du er sikker på det er din session du er ved at godkende og ikke en potentiel fremmed der er på samme side som dig.

3
1. november 2021 kl. 11:05

Alt hvad der omhandler Nets, NemID, MitID, digital signatur, logins ift. det offentlige m.m. er så idiotisk og lobbyistisk skruet sammen at man skulle tro vi boede i en bananrepublik.

2
1. november 2021 kl. 11:02

Nu tales der om godkendelse med app, hvorledes kommer det til at fungere med nøgleviser?

1
1. november 2021 kl. 10:59

Så længe man selv kan vælge brugernavn og brugernavn skal være uniks, er det jo umuligt at forhindre, at man kan se, om et brugernavn er optaget. Man kan jo bare prøve at oprette en ny bruger med det pågældende brugernavn, og se om det godtages.

Ellers skal systemet afvise tilfældige ledige brugernavne eller lægge en forsinkelse ind, så brute force er sværere. Det vil nok ikke blive godt modtaget.

Men det manglende password er bare dumt. Det fjerner effektivt en faktor, som de fleste ikke har noget større problem med.

Ja, det er da nemmere uden password, men så kunne man også fjerne appen og lave ægte 0FA (0 factor authentification). Super nemt at (mis)bruge.