Intet krav om grøn hængelås til sider med NemID

Bare fordi en side ikke er beskyttet med HTTPS, kan NemID-login'et på siden godt være gyldigt.

Hvis du som en ekstra sikkerhedsforanstaltning lige tjekker, om der er grøn hængelås på den side, du er ved at indtaste dine NemID-oplysninger på, så kan du godt spare dig. Der er nemlig ikke noget krav fra Nets om, at de sider, der anvender NemID, kører med HTTPS, som i flere populære browsere viser sig i form af en grøn hængelås.

»Nej, der er ikke et specifikt krav om HTTPS, men det er et krav at NemID tjenesteudbyderne skal stå for sikkerheden for deres egen løsning. Nets står for sikkerheden for NemID,« oplyser pressekonsulent hos Nets Ulrik Marschall via mail.

Han tilføjer, at det drejer sig om at gøre det så smidigt for tjenesteudbyderen som muligt, men at Nets samtidig holder øje med udviklingen for at se, om der på sigt skal være et krav om at det skal være en HTTPS løsning.

Den grønne hængelås indikerer ikke blot, at forbindelsen til den pågældende hjemmeside er krypteret, den viser i udgangspunktet også, at brugeren faktisk befinder sig på det domæne, som fremgår af adressefeltet i browseren.

Og dermed kan hængelåsen også signalere, at der ikke er en man-in-the-middle - eksempelvis i form af et ondsindet wifi-hotspot - på færde, som i virkeligheden kontrollerer indholdet på den pågældende side.

Nets: Ville ikke forhindre phishing-angreb

»Vores erfaring er, at hovedparten af de phishing angreb, som vi reelt bliver ramt af ikke ville være forhindret af, at brugerne skulle være opmærksom på en nøgle og en grøn bar i adresselinjen. Hovedparten af phishing angreb mod NemID er forholdsvis simple angreb, hvor brugeren modtager en meddelelse om at noget er galt med netbanken eller med brugerens betalingskort og at brugeren skal indtaste koder og nøglekort på en specifik side for at undgå spærring – en side som typisk er uden SSL/TLS og har en anden adresse end den legitime tjenesteudbyder,« står der i mailen fra Marschall, som fortsætter:

»I det forløb er brugeren allerede 'gået på historien' og har ikke været opmærksom på URL-adressen i venstre hjørne af skærmbilledet, og spørgsmålet er om en ekstra adressebar med egen SSL/TLS hængelås i pop-up’en ville have gjort nogen forskel.«

Derudover så er det vurderingen hos Nets, at brugeren kan narres til at tro, at forbindelsen er sikret uden at være det.

»Et andet element er, at en svigagtig tjenesteudbyder (eller kompromitteret webside) også i et vist omfang ville kunne simulere et grafisk udtryk, der ville se ud som om logon-boksen var sikret med TLS/SSL. Dette blot for at understrege, at sikkerhed og brugervenlighed er to sider, som konstant skal afvejes i forhold til hinanden,« står der i mail-svaret, hvor det slutteligt er tilføjet, at Nets følger udviklingen i forhold til, om det skal være et krav med HTTPS på sider, der anvender NemID.

Hos Digitaliseringsstyrelsen bliver der anvendt HTTPS i forbindelse på den fælles-offentlige login-side NemLogin. Teamleder hos Digitaliseringsstyrelsen Kenneth Mose Kruuse oplyser følgende via mail om den beslutning:

»Den offentlige sektor anvender den fælles login side NemLog-in til at udstille et NemID-login. Denne side er beskyttet af HTTPS. Dette er valgt for, at brugeren har mulighed for at kontrollere, hvem der er afsender af siden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Juul Mortensen

Nu har jeg prøvet med version2 i både Internet Explorer 11.953.14393.0 og i Edge 38.14393.0.0 og der er ingen grøn hængelås, betyder det, at der er et problem med den nævnte side eller at denne ikke køre HTTPS.

Nej, men artiklen ovenfor er henvendt til funktionalitet i andre browsere, men angiver ikke dette faktum, hvilket kan virke misledende for ikke kyndige forbrugere.

  • 6
  • 0
Jakob Møllerhøj Editor
  • 5
  • 1
Jan Gronemann

Jeg har også altid undret mig over at NemID tillader at alle sider der bruger NemID selv må embedde loginsiden. Det træner folk i at være ligeglade med hvad der foregår oppe i adressefeltet imens de indtaster de oplysninger som giver adgang til ALT hvad staten og private virksomheder har på dem.

Måske er det på tide at ansøge om en fritagelse.

  • 9
  • 0
Thue Kristensen

Svaret fra både Nets Ulrik Marschall og Teamleder hos Digitaliseringsstyrelsen Kenneth Mose Kruuse er absurde.

At sige at "NemID tjenesteudbyderne skal stå for sikkerheden for deres egen løsning" er absurd, når NemID's design gør at et sikkerhedhul hos en NemID-udbyder kan bruges til at logge ind på en anden NemID-sikkerhedsudbyder. bemærk at denne egenskab er et resultat af et tilsyneladende umotiveret fejldesign i NemID, som ikke findes i andre single sign-on udbydere.

Når Kenneth Mose Kruuse siger at "Den offentlige sektor anvender den fælles login side NemLog-in til at udstille et NemID-login. Denne side er beskyttet af HTTPS. Dette er valgt for, at brugeren har mulighed for at kontrollere, hvem der er afsender af siden.", er det stort set meningsløst. For en angriber kan jo bare hugge et NemID-login fra en side hvor brugeren ikke forventer NemLog-in.

Igen Har Kenneth Mose Kruuse måske ikke forstået, at et sikkerhedshul i en NemID-side giver adgang til at logge ind på en anden NemID-side. Det er Digitaliseringsstyrelsens ansvar, at de har valgt den usikre løsning løsning NemID med denne egenskab. Som at vælge en hængelås, som har samme nøgle som 1000 kopier solgt til andre mennesker, og så sige at det er brugerens ansvar hvis hans konto bliver misbrugt når en af disse nøgle-kopier bliver brugt til at stjæle hans data. Det er Digitaliseringstyrelsens inkompetence som fører til at brugerens data bliver stjålet.

Se også: https://www.version2.dk/blog/nemid-er-ikke-kryptologisk-sikker-og-myndig... . Citat:

Jeg har fremlagt dette for professor Lars R. Knudsen, som er en internationalt anerkendt kryptolog og leder af DTU's kryptologi-gruppe. Knudsen er enig i at NemID har et reelt sikkerhedshul, som ikke findes i andre browser-baserede single sign-on systemer, såsom Google's, og han ”finder det besynderligt at Nets ignorerer dette problem”.

  • 7
  • 0
Michael Säilä

Umiddelbart kan jeg ikke se at NemID kører uden https hvis man kigger i kildekoden så kører den bare i en iframe derfor fremgår https ikke i jeres adresse linie.

iframe id="nemid_iframe" name="nemid_iframe" ontouchstart="" scrolling="no" frameborder="0" style="width:940px;height:600px;border:0" src=\"https......" iframe
og certificatet er også noteret

  • 0
  • 0
Henrik Biering Blogger

Umiddelbart kan jeg ikke se at NemID kører uden https hvis man kigger i kildekoden så kører den bare i en iframe derfor fremgår https ikke i jeres adresse linie.


For problematikken med phishing af almindelige brugere er det helt underordnet om trafikken til en NemID iframe er krypteret.

Problemet er nemlig at en MITM angriber kan udskifte den rigtige NemID iframe - eller hele websiden - med sin egen kode. Eller simpelt hen lave sin helt egen hjemmeside, der foregiver at have NemID login, mens angriberen benytter kommunikationen til at logge ind på en side med ægte NemID login.

  • 3
  • 0
Log ind eller Opret konto for at kommentere