Nets forsimpler NemID: Snart kan du bruge firecifret pinkode

Til sommer vil det være muligt at vælge en pinkode på fire cifre over den eksisterende NemID-kode. Tiltaget skal gøre nøglekortet mere brugervenligt på især smartphones.

Til sommer kan du skære minimum to cifre af koden til dit NemID. Nets vil nemlig gøre det muligt at bruge nøglekortet sammen med en firecifret pinkode.

Det skriver Finans.

Læs også: DDoS-angreb mod NemID koster 4 måneders betinget fængsel

Pinkoden bliver ikke obligatorisk, så man behøver ikke at skrotte sin eksisterende kode, som i dag består af minimum seks blandede bogstaver og cifre.

»Det er vigtigt for os, at brugervenligheden følger med, når danskerne mere og mere går over til at bruge smartphonen frem for computeren. Derfor har Nets udviklet en enklere løsning, som brugeren selv kan vælge til,« forklarer Niels Gotfredsen, der er ansvarlig for NemID i Nets.

Læs også: Sydbank: Login uden nøglekort er sikkert nok

Koden kan skiftes fra slutningen af juni på NemID’s hjemmeside, og til efteråret vil bankerne også tilbyde kodeskift. Den nye pinkode skal naturligvis stadig akompagneres af nøglekortet, og sikkerhedsniveauet vil være det samme, forsikrer Niels Gotfredsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm Blogger

I artiklen på finans.dk står der blandt andet:

Det bliver dog ikke et krav at skifte, men Niels Gotfredsen fortæller, at den firecifrede kode får samme sikkerhedsniveau som den gamle form for kode.

Kunne Version2 ikke prøve at ringe Niels Gotfredsen op og få ham til at forklare hvordan Nets kommer frem til den konklussion?

  • 43
  • 0
Jonas Schwartz

Jeg syntes bestemt ikke det er den vej de skal gå, da mange banker tillader login uden papkort, dermed kan man logge ind i en netbank med username og en 4-cifret kode, hvilket jeg bestemt ser som problematisk.
Jeg mener istedet for de skulle oppe sikkerheden på koden til f.eks. 8 cifre, store/små bogstaver, tal og specialtegn.
Jeg er godt med på adgangskode kan knækkes lige meget hvor sikre de er, men det er trods alt et bedre alternativ.

Derudover skal de åbne ordentligt for man selv kan have sin private nøgle liggende, så den fjernes fra deres servere, og man selv kan tage ansvar for at sikre sin nøgle.

  • 9
  • 1
Nicolai Clemmensen

So let's recap... Nu er vi altså snart på ingen forskel mellem store og små bogstaver, og kun en 4-cifret kontrol-kode, plus diverse andre huller der er blevet fundet (f.eks MITM). De har sikkert også limit på antallet af tegn i adgangskoden, og det bliver nok også sat ned :P

Spøg til side... Jeg syntes efterhånden NemID virker noget hullet.

  • 4
  • 0
Anders Jensen

Umiddelbart vil jeg mene det godt kan lade sig gøre.

Det største problem er, at en hacker som bare vil ind på en eller anden bankkonto kan forsøge sig med mange forskellige CPR og pinkode-kombinationer indtil det lykkedes at ramme en gyldig kombination. Hvert forsøg giver en chance på 1 til 10.000 for at ramme rigtigt, så med 10.000 gyldige CPR-numre vil man kunne gætte 1 korrekt kode i gennemsnit ved et distribueret brute-force angreb. Det er selvfølgelig ikke acceptabelt.

Jeg kan ikke se nogen anden løsning på dette end at man kræver en kode fra nøglekortet før man får lov til at validere en pinkode. Men så er problemet, at en angriber kan bruge løs af en persons engangskoder ved at lave login-forsøg på personens CPR-nummer. Dette er i øvrigt allerede et problem ved den nuværende løsning, hvor man kan spærre en anden persons kode ved at lave login-forsøg med personens CPR-nummer.

Dette problem kan dog også løses ved at logge ind med nemid-nummer som brugernavn fremfor CPR-nummer. En hacker har ikke mulighed for at skaffe gyldige nemid-numre. Det er i øvrigt allerede muligt at fjerne muligheden for at logge ind med CPR-nummer på et nemid så der kun kan logges ind med selvvalgt brugernavn eller evt. NemID-nummer. En andet alternativ er, at man anvender nøglekortnummeret (de 9 cifre øverst på nøglekortet) som brugernavn når man logger ind. Det har den fordel at det i modsætning til NemID-nummeret nemt kan skiftes hvis det kommer i de forkerte hænder, og hvis nøglekortet har været i forkerte hænder så skal det jo skiftes alligevel.

Så hvis vi har det på plads: Engangsnøgle før validering af pinkode, login med nøglekort-nummer i stedet for CPR-nummer, så mangler vi bare at sikre, at en person som har fået fat i en andens nøglekort ikke kan forsøge for mange gange. En oplagt mulighed er at tillade max 3 forsøg før NemID'et spærres, ligesom på betalingskort. Det vil jeg mene er tilstrækkeligt sikkert - der er næppe ret mange der vil give sig til at stjæle nøglekort med kun 0.03% chance for success pr. kort.

Det sidste vi mangler en løsning på er bankernes login uden brug af nøglekort. Her er man nødt til at kræve indtastning af nøglekortnummeret eller en nøgle fra kortet ved første login fra en bestemt maskine. Ved successfuldt login kan man så gemme en token som en cookie eller lignende, hvor anvendelse af denne token giver tilladelse til et eller måske to loginforsøg uden brug af nøglekort. Hermed er der blokeret for muligheden for, at en hacker kan brute-force sig til adgang til en netbank.

Umiddelbart ser det altså ud til at det godt kan lade sig gøre, men der kan sagtens være nogle huller i ovenstående som jeg har overset.

  • 5
  • 0
Anders Frandsen

Hvert forsøg giver en chance på 1 til 10.000 for at ramme rigtigt, så med 10.000 gyldige CPR-numre vil man kunne gætte 1 korrekt kode i gennemsnit ved et distribueret brute-force angreb

Det er da vist ikke heeelt sådan statistik fungerer er det:)? Umiddelbart ligner det regnestykke mere 10.000 chancer for at ramme rigtigt blandt 10.000*10.000 muligheder. Altså samme chance. Medmindre du antager at alle de 10.000 personer har samme kode.

  • 0
  • 2
Kim Bygum

Det er da vist ikke heeelt sådan statistik fungerer er det:)? Umiddelbart ligner det regnestykke mere 10.000 chancer for at ramme rigtigt blandt 10.000*10.000 muligheder. Altså samme chance. Medmindre du antager at alle de 10.000 personer har samme kode.

Hvis du har 10000 gyldige CPR-numre (som ikke er "slået fra" som login og som alle bruger pinkode) og prøver dem med en tilfældig kode hver gang er der 37% sandsynlighed for at de alle sammen er forkerte. Dvs. 63% chance for at en eller flere rammer rigtigt

  • 3
  • 0
Torben Mogensen Blogger

Jeg mener istedet for de skulle oppe sikkerheden på koden til f.eks. 8 cifre, store/små bogstaver, tal og specialtegn.

For guds skyld ikke. Et minimums antal tegn er fint, men de mange tegnklasser gør det svært at huske sit kodeord, og gør det bøvlet at indtaste (specielt på mobiltelefoner). Og det giver ikke meget ekstra sikkerhed. Det har vi diskuteret til døde i andre tråde på Version2.

  • 7
  • 0
Michael Nielsen

"Den nye pinkode skal naturligvis stadig akompagneres af nøglekortet, og sikkerhedsniveauet vil være det samme, forsikrer Niels Gotfredsen."

Hvis jeg vil cracke en 4 cifret pinkode vil det koste at jeg skal uploade 40 000 bytes, eller lidt under 40kb af data. Har jeg nok konti jeg ønsker at hacke -> eg 10 000 som alle bruge forskellige pinkoder, vil mindst 1 ramme rigtig.. Men da der er koder der er mere sandsynlige end andre, vil procenten være væsentligt højere.

ved brug af et password, hvor der er ca 74 tegn kombinationer (27*2+10+10) - stor og små bogstaver + 10 nummer taster, og mindst 10 tegn.. Der vil et forsøg på at bryde et random password - som jeg selv bruger på mindt 8 tegn, kræve 74^8/2 forsøg. Eller chancen er ca 1: 449597370000000, og du har uploaded omkring 449 TB af data.

Jeg vil nu ikke sige sikkerhedsniveauet er i nærheden af den samme..

Begrænser man så personen til 3 forsøg per dag, så er chancerne for at bryde en pinkode bedre end 3:10000 per dag. Hvor den er 3:449597370000000 på et ordenligt password.

Men selvfølgeligt dem der vælger adgangskoder som : secret, password, hemmligt, 12345678, osv, bliver gættet i de første 3 forsøg.

Og sikkerhedsniveauet af NemID i dag er i forvejen allerede under alt kritik.

  • 7
  • 0
Dave Pencroof

Jeg har været på bank nemid eboks sundhed borger og andre og har nogle gange tastet forkert x i stedet for X og i alle tilfælde har jeg fået besked på at navn/password er forkert, det er i bruger ID hvor case sensitivity ikke gælder !

  • 0
  • 0
Log ind eller Opret konto for at kommentere