Firecifret NemID-kode får Datatilsynet til at kræve godkendelsestekst fjernet

Datatilsynet kræver nu, at Digitaliseringsstyrelsen fjerner tekster om, at NemID skulle være godkendt at tilsynet. Et NemID-kodeord på fire cifre får tilsynet til at trække sig.

Datatilsynet har anmodet Nets og Digitaliseringsstyrelsen om at fjerne tekster, der giver udtryk for, at tilsynet skulle have godkendt sikkerheden bag NemID.

Det fremgår af en udmelding på Datatilsynets hjemmeside.

Anledningen er, at det, som det tidligere har været fremme, skal være muligt at logge på NemID via en pinkode på fire cifre.

»Muligheden for at få en adgangskode på fire cifre har ikke været forelagt for Datatilsynet. Og så synes vi, det må være på tide, at man får fjernet sætningerne om, at løsningen er godkendt af Datatilsynet,« siger kontorchef i Datatilsynet Lena Andersen.

Der er en række krav til den nuværende NemID-adgangskode, som eksempelvis skal bestå af mindst seks tegn, og så skal koden både indeholde bogstaver og tal. Hvorvidt det kommer til at påvirke login-sikkerheden i negativ retning, når kodeordet kan være en pinkode på fire cifre, har blandt andet været diskuteret i debatten her på Version2

»Vi forholder os ikke til, om det er sikkert eller ej, det må Digitaliseringsstyrelsen selv stå på mål for. Det er et spørgsmål om, hvad man kan bruge os til i forhold til den information, man giver om løsningen.«

Læs også: NemID skal kunne brute-forces

Formuleringen om, at NemID skulle have været godkendt af Datatilsynet udspringer af en udtalelse, tilsynet kom med tilbage i 2009 om den digitale signatur, OCES (Offentlige Certifikater til Elektronisk Service), der knytter sig til NemID..

Men 2009-udtalelsen har ifølge Lena Andersen aldrig været ensbetydende med en godkendelse.

»Allerede fra starten har det nok været en lille overdrivelse at kalde det en godkendelse. Men når nu Digitaliseringsstyrelsen har godkendt en ændring og givet dispensation for de politikker, som ligger til grund for Datatilsynets udtalelse tilbage fra 2009, så er det i hvert fald ikke længere retvisende, at man bliver ved med at skrive, at løsningen er godkendt af Datatilsynet.«

Tager Datatilsynets udtalelse til efterretning

I et skriftligt svar oplyser kontorchef Charlotte Jacoby i Digitaliseringsstyrelsen, at styrelsen tager Datatilsynets udtalelse til efterretning.

»Datatilsynets udtalelse refererer ganske rigtigt til løsningen, som den blev forelagt i 2009. På baggrund af den sikkerhedsvurdering, som styrelsen er blevet forelagt, er det Digitaliseringsstyrelsen vurdering, at NemID med den nye model fortsat er på samme høje sikkerhedsniveau,« står der i svaret fra Charlotte Jacoby, som fortsætter:

»Samtidig anerkender Digitaliseringsstyrelsen, at Datatilsynets udtalelser ikke bør omtales som godkendelser, og styrelsen imødekommer derfor anmodningen om at fjerne disse.«

Efter planen er det meningen, at den firecifrede NemID-kode skal indføres 15. juni.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicky Mogensen

Der er en række krav til den nuværende NemID-adgangskode, som eksempelvis skal bestå af mindst seks tegn, og så skal koden både indeholde små og store bogstaver.

Ironisk nok har NemId altid været ligeglade med store og små bogstaver i adgangskoden - jeg bliver lukket ind både med store og små bogstaver.

Desuden savner jeg at kunne have en sikker kode (div. specialtegn).

  • 20
  • 0
Palle Due Larsen

Ironisk nok har NemId altid været ligeglade med store og små bogstaver i adgangskoden


Der er ikke noget ironisk ved det - det er en fejl i artiklen.

Adgangskoden skal opfylde følgende krav:

Skal være mellem 6 og 40 tegn
Skal indeholde både bogstaver og tal
Må ikke indeholde visse specialtegn, herunder æ, ø og å
Må ikke indeholde det samme tegn 4 gange i træk
Må hverken starte eller slutte med et blanktegn
Må ikke indeholde dit cpr- eller NemID-nummer
Der skelnes ikke mellem store og små bogstaver. Tilladte specialtegn er: { } ! # " $ ’ % ^ & , * ( ) _ + - = : ; ? . og @.

Reglerne står her.

  • 13
  • 0
Anne-Marie Krogsbøll

Er Datatilsynet trætte af at skulle være pynten på møgbunken? Senest er de også blevet kørt fuldstændigt over mht. deres høringssvar på den nye sundhedslov L184 (i hvert fald så vidt jeg har forstået).

Er der en eller anden intern magtkamp i gang mellem politikere, datatilsyn, digitaliseringsstyrelse og sundhedsdatastyrelsen?

Det forekommer mig mærkeligt, at disse komplicerede spørgsmål fordeles på så mange styrelser. "I gamle dage" var der Datatilsynet (husker jeg rigtigt?), og deres ord var lov på det område. Når ministeren nu bare overhører høringsvaret fra Datatilsynet i forbindelse med L184, hvem har så reelt ansvaret for datasikkerheden i det offentlige?

Og hvis digitaliseringsstyrelsen misbruger datatilsynet som beskrevet i artiklen - igen: Hvem har egentligt ansvaret for datasikkerheden i det offentlige? Nogen overhovedet?

Kan vi snart forvente en egentlig whistleblower fra datatilsynet?

  • 12
  • 0
Henrik Pedersen

Betyder (oftest) at der ikke hashes, da en hash altid ville være gemt på samme måde anyway.

Så ud fra det kan jeg konkludere at jeg aldrig bruger et password på NemID som jeg bruger nogle andre steder, da jeg så ville give gratis adgang til overvågningssamfundet.

  • 3
  • 6
Jonas Schwartz

Ehm spændende konklusion :-)

Alle de systemer jeg har bygget har altid været med password regler samt hash .. Jeg kan ikke tale på baggrund af NemID, men er rimelig sikker på de hasher passwords.

Og ud fra personlige erfaringer, er den konklusion langt fra korrekt

  • 10
  • 0
Nicolai Rasmussen

Når ministeren nu bare overhører høringsvaret fra Datatilsynet i forbindelse med L184, hvem har så reelt ansvaret for datasikkerheden i det offentlige?

Det er da nemt - det er dig og mig der har ansvaret. Det viser sig ved at det er dig og mig, der betaler med vores energi, ressourcer og tid når noget går galt.

Når noget går galt (som forventet), så peger Ministeren på eksperterne og embedsværket. Embedsværket peger op i luften, på nogle ikke-offentlige notater og på den tidligere minister (pakket pænt ind i nogle forvrøvlede sætninger ingen kan forstå). Eksperterne henviser til lange forklaringer, som folk med et højt frikadelle-index ikke har energi til at høre på. Journalisterne forfølger oppositionspolitikerne, med spørgsmål om hvordan de synes det går. Oppositionspolitikerne peger på fantastiske løsninger, som er så simple at de er til at forstå for den største målgruppe i den sidste meningsmåling, men som hverken kan eller vil løse problemerne. Efter 6 uger, kan man kun finde spor af sagen i "Aflyttet" på radio 24syv og her på version2.dk. Problemet vedbliver, og de stakler der bliver ramt af problemerne må tage kampen med systemet og skurkene uden hjælp udefra.

Første skridt for at få løst komplekse problemer, er at få placeret et tydeligt ansvar INDEN man går i gang med noget som helst. Ansvar=den-der-bliver-straffet-hårdt-og-længe-ved-udygtig-gerning.

  • 6
  • 0
Henrik Madsen

De kan vel dårligt hashe password når de er ligeglad med store og små bogstaver.

Hvis mit password "password" ikke er case sensitiv så vil de jo skulle gemme alle muligheder som hash.

PaSsWoRd
PASSword
PAssWOrd

Og så videre

  • 0
  • 7
Martin Glob

Man kan selv vælge sit bruger id
Man vælger selv sin kode - eller pinkode som den kaldes her. Jeg kan godt forstå, at man i NemID's tilfælde har valgt ikke at skælne mellem upper og lower case - enhver der bare har haft lidt med support at gøre vil genkende situationen...

Man skal stadig brug sit papkort

Gætter man forkert 5 gange er det slut...

Og al snak om hashes, salts og algoritmer er altså kun relevant i det tilfælde, at nogen får fat i databasen mit alles... Også har man så regnekraft nok kan man jo nok gætte et kodeord - men så har man altså et helt andet problem,,,

Så hvor slemt er det for sikkerheden, at man kan vælge en fire cifret pinkode i stedet for UpperLowerCaseMindst6Tegn etc?

Kan nogen her overhovedet komme med nogle beregninger på hvor galt det er?

  • 2
  • 4
Henrik Madsen

Diverse tilsyn og styrelser har jo indirekte meldt ud at de er totalt ligeglade, ved at de IKKE har modsat sig at NemID i dag bruges til flere funktioner hvor der reelt set er tale om digitale underskrifter, selvom løsningen åbenlyst ikke overholder kravene til en sådan.

Jeg ser ikke relevansen af disse kontrol organer hvis de alligevel bare beslutter at det ikke er et problem at man kan lave digitale underskrifter med en løsning som ikke overholder det vel nok mest basale krav til en digital signatur, nemlig at ejeren af den digitale signatur skal være i besiddelse af en del af signaturen så denne er SIKKER på at ingen andre kan underskrive på denne's vegne.

Forestil dig en bankboks. En sådan har typisk 2 nøgler. Den ene har banken og den anden har den der lejer boksen. Denne løsning er smart fordi banken ikke kan gå i din boks uden din nøgle og du ikke kan gå i boksen uden deres nøgle.

Overført til NemID så svarer det til at du lejer en boks og bankmanden får BEGGE nøgler og du får så en papskive og vil du så i din boks så giver du bankmanden en kode fra papskiven og så låser han op, med begge nøgler.

Det kræver godtnok tillid til din bank, for når banken har "alle" nøglerne så KAN de lure i din bankboks uden at du ved det.

I tilfældet "digital signatur" bør min nøgle være en jeg selv har kodet for at undgå at banken kunne have lavet en kopi inden de udleverede nøglen.

  • 12
  • 0
Morten Hansen

5 forsøg til at gætte den rigtige pinkode ud af 10.000 kombinationer (minus de som udelades).. Når du så har gættet den skal du også sidde med papkortet som du selv siger.
Begrænsningen på de 5 forsøg beskytter altså imod bruteforcing udefra, og informerer samtidigt brugeren om at nogen har forsøgt at logge ind på deres konto.
Jeg mener personligt at fra et sikkerhedsmæssigt synspunkt så er du ikke væsentligt mere sikker overfor udefra-kommende hackere med et langt password i forhold til en 4 cifret pinkode med dét in mente.
Man kan så mene hvad man vil om Nets/Myndighedernes egen mulighed for at bruteforce passwordet, men stoler man ikke på dem så er der ingen grund til at stole på at de ikke kender det komplekse password du har valgt til at begynde med.

  • 3
  • 0
Anne-Marie Krogsbøll

Tak for uddybning, Henrik Madsen. Jeg var ikke klar over, at det står så skidt til med sikkerheden, og at NemId også har en kopi af mine nøgler. Igen kan jeg jo undre mig over, om der overhovedet er nogen, der faktisk har et ansvar for de digitale løsninger indenfor det offentlige. Det lyder ikke sådan.

  • 2
  • 0
Anne-Marie Krogsbøll

Morten Hansen:
Det er muligvis rigtigt, det har jeg ikke forudsætninger for at vurdere. Men det ændrer ikke ved, at det er foruroligende, at vore myndigheder tilsyneladende har opgivet at have en eller anden form for ansvarlig myndighed på dette område.

Hvis Datatilsynet ikke vil lægge navn til, er løsningen så overhovedet stadig godkendt? Eller er det det vilde vesten, hvor en hvilken som helst styrelse eller offentlig institution, også i andre situationer, bare kan sige, at de mener, at den af dem selv foreslåede løsning er sikker nok (som sundhedsministeren, der netop har besluttet at overhøre Datatilsynets betænkeligheder mht. persondatasikkerhed og privatliv i den nye sundhedslov)?

Arbejder man simpelthen i det skjulte på at afskaffe Datatilsynet, fordi man er træt af at skulle forholde sig til alle dettes saglige indvendinger, der kan bremse, hvad visse politikere synes skal gennemføres?

  • 0
  • 0
Morten Hansen

Som jeg forstår det er det Digitaliseringsstyrelsen som lægger navn til.
Nets/DanID har som en eller anden form for "marketingsøvelse" tilføjet Datatilsynet.
At de ikke vil lægge navn til længere og ikke ville til at starte med ændrer sådan set ikke ved noget - det er Digitaliseringsstyrelsens ansvar.
Jeg vil enormt gerne høre hvis der er nogen som har saglige argumenter for hvorfor en pinkode med begrænsede forsøg er usikker kombineret med kravet om at have papkortet i hånden, argumenter som tager udgangspunkt i truslen med at ondsindede mennesker forsøger at hacke din NemID konto.
Argumenterne ang. manglende tillid til Nets og myndighederne har langt større problemer end hvorvidt du bruger 4-cifret pin eller password.

  • 2
  • 0
Snude Snudesen

NEMid er noget pis.

Man burde kunne gå ind på borger.dk og hente et rodcertifikat som man inst. på sine devices og som holder en 256 bit private key og så over-the-wire indfører AES256 validering på ens trafik op imod alle servere der kræver brugervalidering. På den måde kendes ens device af serveren og så behøver man ingen passwords længere. Stjæles ens dims invaliderer man sit certifikat og bestiller et nyt.

Evt. kunne man indføre sikkerhed omkr. bestilling af nyt/outdated cert. gennem fremvisning af pas i Borgerservice. Certifikatet skal være GRATIS!

  • 2
  • 2
Bjarne Hjortø

Speciel tegn rykker ikke ret meget på din sikkerhed, hvis dit password kun er 8 tegn, det er længden der gør en forskel.

(Det er dog latterligt de ikke ser forskel på store og små tegn, jamen det kan Danskerne ikke finde ud af.. tak)

  • 0
  • 0
Lars Nielsen

Det er nemlig sådan at direktivet 1999/93/EC foreskriver:
"(20) Qualified certificate signatures created by a secure-signature-creation device can be regarded as legally equivalent to hand-written signatures, if the requirements for hand-written signatures are fulfilled."
"ANNEX II
Requirements for certification-service-providers issuing qualified certificates
Certification-service-providers must:
...
(j) not store or copy signature-creation data of the person to whom the certification-service-provider provided key management services;"

Derfor har der også hele tiden på NemIDs hjemmeside stået at det ikke er et kvalificeret certifikat, for i følge direktivet må de ikke gemme en kopi af et kvalificeret certifikat.
Nu er der så ny lovgivning på området og jeg er ved at sætte mig ind i denne[1].
For på baggrund af 1999/93/EC (20) må der jo ikke diskriminere hvis folk er indehaver af et kvalificeret certifikat.

Så kunne jeg gennem det firma jeg har oprettet ( Qualified Signatures IVS ) lave et kvalificeret certifikat på en egen server, få det godkendt af Digitaliseringsstyrelsen og komme på den danske TLS, så kan jeg hver gang jeg bliver mødt med NemID eller afkrævet en fysisk underskrift (der ikke skal foretages under opsyn af andre) bruge mit eget kvalificerede certifikat.

Hvis dette hindres er der tale om et klart brud på Direktiv 1999/93/EC.
Et lille tip til jer der ikke vil bruge NemID :)

EU direktiv om kvalificerede certifikater:
Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures, 1999, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:E...
Retificeret i dansk lov som: LOV nr 417 af 31/05/2000 Lov om elektroniske signaturer
https://www.retsinformation.dk/Forms/R0710.aspx?id=6193
I 2016 ændet til: LOV nr 617 af 08/06/2016 Lov om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked
https://www.retsinformation.dk/Forms/R0710.aspx?id=180237
( Hvor kapitlet om "Kvalificerede certifikater" er fjernet )

Desuden står der TRUST2408 i dét certifikat du installerer på din computer og i de aftaler du indgår med "NemID".
Enhver burde allerede på dét tidspunkt stoppe op og undersøge hvad "Trust 2408" er.
Det er et datterselskab af:

Nassa Midco AS (Norsk Organisations nummer: 913 111 990)
(der før marts 2014 havde navnet STARTUP 629 14 AS)
der 100% ejer NASSA A/S (CVR 34903360)
der 100% ejer NETS HOLDING A/S (CVR 27225993)
der 100% ejer NETS A/S (CVR 20016175)
der 100% ejer NETS DANID A/S (CVR 30808460)
der har bi-navnet TRUST2408 A/S
der driver servicen NemID & optræder på den danske TSL
(Trusteed Service List: http://www.digst.dk/Servicemenu/English/Digitisation/Digital-Signature/T... )

[1] Regulation 2016/679 EU data Regulation: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.11...
& Directive 2016/680 EU data protection Directive: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.11...
Jeg er stadig ved at læse disse to igennem og kan derfor ikke 100% udtale mig om disse der skal håndhæves efter 6. maj 2018.

PS. Hvem bruger stadig SHA1?
Det gør EU, fra TLS:
Signature algorithm: SHA1withRSA
Subject O: European Commission
Trods at SHA1 1. Januar i år blev deprecated af:
Microsoft:
http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-polic...
Google:
https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/2-R4Xz...
Det europæiske forsnings netværk:
https://www.terena.org/news/fullstory.php?news_id=3733

Jeg vil stærkt opfordre folk til ikke at gøre som Marc Stevens gjorde i 2009:
http://www.iacr.org/conferences/crypto2009/slides/p055-md5shortchosenpre...
;) bare rolig han er stadig langt fra at kunne gøre det:
https://sites.google.com/site/itstheshappening/ (læg mærke til de forskellige IV)

PPS. Jeg er arbejdsløs da de firmaer jeg har ansøgt hos efter jeg blev færdig på DTU i januar betegner mig som overkvalificeret til et job i Danmark og deres udlandske afdelinger er meget bureaukratiske og lang tid om at svare hvilket gør at jeg skal sætte mig ind i udenlands lovgivning og kontrakt kultur.

Så kender du nogen der har brug for én med styr på certifikater, jernbaner(ERTMS), brandsikkerhed og risiko analyse så er du velkommen til at skrive en besked på: V2 ElefantA Railwayhacker ½Kolon com

Er du interesseret i at vi sammen laver et kvalificeret certifikat som et hobby projekt er du også velkommen til at skrive på samme adresse.
(Det er en brug og smid væk adresse, kommer der en dag spam på den deaktiveres den)

  • 2
  • 0
Jesper Poulsen

I tilfældet "digital signatur" bør min nøgle være en jeg selv har kodet for at undgå at banken kunne have lavet en kopi inden de udleverede nøglen.

Derfor er der reelt også forskel på NemID og NemID OCES. NemID OCES (digital signatur og adgang til det offentlige Danmark) understøtter USB crypto-token. Sådan et har jeg liggende - og jeg bruger det til al offentlig NemID-adgang. Problemet er bare at kravet om at understøtte det token ikke findes ifm. private udbydere af NemID-adgang, så jeg kan ikke bruge NemID ifm. Den Blaa Avis eller PostDanmark.

  • 0
  • 0
Log ind eller Opret konto for at kommentere