Prosa: NemID er sikkerhedsmæssigt uforsvarligt

NemID fejler i sig selv ikke noget, men sikkerhedsmæssigt er det direkte uforsvarligt, lyder kritikken fra fagforeningen Prosa oven på Version2's og Ingeniørens demonstration af et phishing-angreb.

»NemID er udmærket som løsning, men det er sikkerhedsmæssigt uforsvarligt. Man forsøger at favne alt i en løsning og har sat sikkerheden til side for bekvemmeligheden,« lyder det fra Niels Bertelsen, formand i fagforeningen Prosa.

Reaktionen kommer oven på Version2's og Ingeniørens demonstration af et phishing-angreb, og Niels Bertelsen er glad for, at der nu kommer fokus på sikkerheden omkring NemID.

»Det, I demonstrerer i opstillingen, er ikke noget nyt problem. Det er noget, der blev påtalt både af os og af andre, da NemID blev lavet. Det, I har opdaget, er et teoretisk problem, men jo mere man udbreder NemID, desto større er risikoen for, at det bliver misbrugt,« siger Niels Bertelsen til Version2.

Ifølge Niels Bertelsen er løsningen klar. Der skal gøres noget ved sikkerheden, koste hvad det vil.

»Man skal gøre alt, hvad man kan for at højne sikkerheden, også selv om det går ud over brugerne. Man kan lave nogle relativt simple indsatsområder, som kan øge sikkerheden uden at gøre det meget mere besværligt. En alt-i-en løsning, som NemID er, skal i højere grad tage sikkerheden med, end man har gjort hidtil,« siger han til Version2.

Problemet er, ifølge Niels Bertelsen, at løsningen ikke skelner mellem, om man bruger den til følsomme oplysninger som bank-logins og kommunikation med det offentlige, eller om man bruger det til sin sportsforening eller på en datingside.

»Det bliver et sikkerhedsmæssigt problem, fordi man bruger det på så mange steder på nettet. Derfor bør man sørge for at opdele NemID's funktioner i sikkerhedsmæssige zoner, alt efter for hvor vital informationen er.«

Ifølge Niels Bertelsen betyder det, at man eksempelvis kan anvende sit brugernavn og password på sportsforeningers hjemmeside, men en højere sikkerhedsløsning end den nuværende til pengetransaktioner i netbanken. Det vil kunne gøres, uden at slutbrugeren bliver generet af det, eller at løsningen bliver mere kompliceret at bruge, vurderer Niels Bertelsen.

Og så burde DanID være mere åbne omkring løsningen, mener han.

»DanID er lidt for tilbageholdende. Det kan godt være, at de ikke vil offentliggøre løsningen af hensyn til, at der er nogle, der vil kunne misbruge den viden. Men det er er tilliden til systemet, der er afgørende for, om man bruger det eller ej. Tilliden stiger, hvis man fortæller, hvad man gør for at undgå misbrug,« siger Niels Bertelsen til Version2 og fortsætter:

»De er nødt til at tage det alvorligt, når man kommer med et eksempel som det her. De skal overbevise danskerne om, at det, Ingeniøren har lavet, er så teoretisk, at det aldrig vil kunne ske i den virkelige verden, i stedet for bare at afvise det. De skal altså fortælle, at de har en teknisk løsning, der kan beskytte brugerne.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Lykke

"De skal overbevise danskerne om, at det, Ingeniøren har lavet, er så teoretisk, at det aldrig vil kunne ske i den virkelige verden"

Nej det skal de IKKE - Det er præcis hvad DanID forsøger at gøre hver eneste gang de bliver mødt af kritik - De forsøger at negligere det og snakke uden om og det er IKKE løsningen. Ideelt set så skal den lallende inkompetente DanID ledelse fyrres og erstattes af folk der kompetencerne til at varetage opgaven - Og gerne en ledelse der ligeledes har nok forståelse til at melde ærligt ud omkring evt. problemer og hvad de agter at gøre ved det.

  • 17
  • 2
#2 Jarnis Bertelsen

Det, I har opdaget, er et teoretisk problem, men jo mere man udbreder NemID, desto større er risikoen for, at det bliver misbrugt

Sårbarheden er allerede blevet udnyttet i forbindelse med Nordea phishing angrebet. Man kan diskuttere hvor stort problemet er, da det kun er blevet misbrugt i begrænset omfang, men problemet gik vel fra at være teoretisk til praktisk i det øjeblik det blev udnyttet.

  • 14
  • 0
#3 Deleted User

Jeg har sagt det før, og jeg siger det igen:

Sikkerheden kunne højnes ganske væsentligt hvis netbankerne konsekvent krævede en ny kode fra NemID papkortet hver gang man forsøger at lave en transaktion.

Hvis man vil have endnu mere sikkerhed kunne man gøre som her i Sverige: NemID nøgleviseren skal ikke "bare" være en dum nummerviser, der skal laves forskellige algoritmer (læs knapper på "dimsen") så man separat kan kvittere for bankoverførsler til andre konti, bekræftelse af køb på nettet o.s.v.

Endvidere skulle man fra starten præsenteres for en nøgle som man validerer i sin kortlæser (så har man også sikkerheden for VISA-kortet med ind over) INDEN at man indtaster sit CPR-nummer.

Hvis man gjorde det, ville man helt forhindre angreb hvor man blot logger ind i f.x. sin netbank for at tjekke saldoen. Hvis nogen skal stjæle fra mig kræver det, at de er heldige og fanger mig på et tidspunkt hvor jeg rent faktisk SKAL overføre penge til en anden konto.

Med disse simple forholdsregler kunne man komme mere end 90 % af mulighederne for snyd til livs.

Det ville ikke løse problemerne omkring adgang til data f.x. fra sundhedsvæsenet, men det ville dog være en start !

  • 0
  • 1
#5 Peter Makholm Blogger

Jeg synes at det er fantastisk at se den ene efter den anden forsøge at både blæse og have mel i munden. Først IT-Sikkerhedsrådet der ikke mener at NemID-konstruktionen fejler noget, med mindre man rent faktisk bruger NemID som generelt login-system. Og nu Prosa der mener at NemID ikke fejler noget, bortset fra at det er sikkerhedsmæssigt uforsvarligt.

Så konklusionen om NemID: Works as designed - but please don't use it as designed!

  • 6
  • 0
#6 Anders Hybertz

Var det ikke en ide at følge op på Version 2 gode initiativ og finde og udstille flere sikkerhedshuller i NemID, som efterhånden er praktis på Operativ Systemer, Smartphones etc.

Selvfølgelig udelukkende med det formål at påvise sikkerhedsniveauet.

Det er jo vigtig at finde eventuelle huller og få dem lukket, inden NemID angribes af personer med en helt anden agenda.

  • 2
  • 0
#7 Martin Jensen

Jeg er rigtig glad for der er fokus på det, som jeg synes er en af de største digitale katastrofer for Danmark - nemlig NemID.

Jeg er bare ked af, at det der behandles nu 'kun' er fokuseret på sikkerhed/bekvemmelighed, og at man skipper hen over de (i mine øjne) mere forkerte ting ved modellen; såsom den centrale lagring af privatnøgle, MITM/overvågning fra det offentlige, placeringen af ansvar og retssikkerhedsfølelse, fuld kontrol over brugerens maskine, manglende mulighed for aktindsigt, tvisthåndtering i byretten, oma. Jeg er med på at man ikke kan tage alt under én kam - bare resten ikke glemmes, eller inkluderes for sent.

Jeg ville græde hvis man fandt en passende løsning på sikkerhed/bekvemmeligheds-problemstillingen i signin situationen, og at man så på baggrund af det fik en offentlig følelse af at 'nu er alt i orden' - når det i mine øjne kun er blevet marginalt mindre forfærdeligt. Jeg satser en cola på, at NemID efterfølgende vil blive markedsført som Jesus Genopstandelse På Dåse hvis det ene punkt løses. Selv hvis signin-delen er 'perfekt' er produktet en katastrofe for en 'IT nation'...

Derudover det, at DanID tror man kan bluffe og 'vedholde' sig igennem kritik - det viser med al tydelighed, at de ikke er, og har været opgaven moden.

DanID og ejere har nærmere set en sag hvor der var nogle dejlige nemme penge hvis man, nå ja, også lige lavede noget SignIn-halløj, som bare skulle gøre fårene tilfredse og skabe mindre skranketrafik i bankerne - og give daværende videnskabsminister bare én success-historie at huskes for. Skulderklap uddeltes indbyrdes, og eventuelle spørgsmål blev mødt af arrogante svar i retning af "jamen der forsikres om at alt er i orden" og "det er tænkt helt igennem".

Med andre ord: Jeg håber virkelig, at de resterende mindre optimale punkter ved modellen flettes ind, nu sagen har fået bare lidt spalteplads i den bredere presse.

  • 5
  • 1
#9 Simon Thyregod

Et andet problem med NemId er tiltroen til at DNS-opsætningen på computeren er korrekt. Hvis computeren får falske svar på DNS forespørgsler, vil brugeren kunne franarres login-oplysningen uden at kunne spore at han bliver snydt. Dette kunne f.eks. opstå hvis computeren er inficeret som beskrevet i artiklen nedenfor eller hvis man logger på fra f.eks. et hotel, hvor man får tildelt en ondsindet DNS-opsætning. Av!

http://www.version2.dk/artikel/fbi-slaar-til-mod-dns-kapring-af-4-millio...

  • 1
  • 0
Log ind eller Opret konto for at kommentere