S: Offentligt link-forbud i e-mails er en god løsning

»Det er rigtigt flot, og det viser jo, at vi har en hurtigt reagerende offentlig sektor, når der bliver reageret sådan her på det. Det er værd at bemærke, at der bliver taget et initiativ, der kan afhjælpe problemet nu og her.«

Som sagt før: problemet er ikke at det offentlige sender emails med links ud. Problemet er, om borgerne ved at det offentlige ikke sender emails med links ud. Hvis borgerne ikke ved det, så vil borgerne stadig falde for den næste fishing-email med et link.

Og jeg har ikke set nogen forsøg på at informere den enkelte borger om, at han ikke må klikke på et link i en email som ser ud til at komme fra det offentlige. Indtil jeg ser det, så er Digitaliseringsstyrelsens udmelding rent sikkerhedsteater for politikerne.

Emnet siger vist sig selv.

Yderligere ser jeg ikke at dette afhjælper problem. Problemet er jo netop andre en skat sender phising mails, selvfølgelig hjælper det ikke når folk er vant til at skat også gør det, men det afhjælper ikke problemet medmindre folk faktisk blev oplyst om at skat ALDRIG gør det og at man ikke skal stole på mails fra "skat" som gør. Jeg ser dog ikke at dette tiltag bliver oplyst overfor den almene dansker.

Længe leve IT-ordførere med indsigt....

Et øjeblik troede jeg lige, at hele NemID var truet. Men så indførte Det Offentlige link-forbud i mails fra Det Offentlige. Pyh. Således reddet på målstregen kan den behagelige følelse af sikkerhed atter indfinde sig.

Eneste som får noget ud af dette, er borgerne som ikke har en nem adgang til det de bliver bedt om fra det offentlige! De andre phishing-mails kommer jo alligevel!

Hvorfor sender Skat eller andre offentlige myndigheder ikke en info mail ud om hvordan en legitim mail skal se ud, og hvad der skal stå i browseren før det er legitimt?

Men man kan da undres over at det kun er under NemID's HTTPS side der er EV certifikat på. skat.dk har ikke sådan et..

Hvis nu alle borgere havde fået en rigtig digital signatur af staten - så kunne mails fra offentlige myndigheder: 1. signeres med den offentlige myndigheds signatur (så vi kan være sikker på hvor den kommer fra) 2. være krypteret med modtagerens offentlige nøgle (det giver sikkerhed for at andre ikke kan læse mailen).

Men ... ovenstående kommer nok først når en eller anden kan få 1E9 kr for at "designe en løsning".

Bankerne vil nu have etableret en lysregulering foran deres dør - for bankrøvere vil jo aldrig drømme om at stikke af over for rødt lys.

Suk, suk, suk

En del af problemet med NemID bunder i at det er en java-applet der ligger i browsevinduet på mange forskellige hjemmesider der skal bruges til at logge ind med . Dette muliggør alle disse phishing angreb via forfalskede hjemmesider.

Hvis login i stedet foregik via et program eller en app eller hvad I nu vil kalde det, som initieres uafhængigt af en hjemmeside ville dette program kunne have en liste af alle supporterede sites man kan logge ind på, hvor brugeren så kunne vælge det ønskede site fra listen som en del af loginrutinen. Dernæst vil brugeren blive sendt over i browseren til den side på sitet der er sat som indgang efter login. Det ville gøre at man aldrig ville kunne følge et link til en loginside - man ville altid skulle logge ind ved manuelt at vælge loginprogrammet og så vælge fra en liste af godkendte sites.

Men det er måske for komplekst at gennemføre?

Eller bare et plugin til IE/Firefox/Chrome/Safari/Opera, hvor man får en eller anden boks frem som indikerer når man er på et NemID autoriseret site, men igen, det kan også forfalskes, ligesom din ide. Jeg synes forbud mod links i mails er fint, det er jo nemt at snyde folk med www.version2.dk og al software kan forfalskes, det bedste man kan gøre er at opdrage folk, samt kræve at man bruger nemid kortet BÅDE når man logger ind OG foretager ændringer

@Claus Så skal alle borgere igen have noget installeret på deres computer + folk vil så på andre måder kunne logges til at installere et fake program.

I sidste ende går det ud på at oplyse brugerne og ellers prøve at gøre det så gennemskueligt som muligt. Specifikt så jeg ideen om at det login, altid skulle se i en popup hentet fra ét bestemt websted alá facebook metoden.

Lad os logge ind ET sted - nemlig på NemID.DK! - og så fjerne den nuværende forvirring der i den grad kan udnyttes af folk der vil os det ondt..

(.DK er med fuldt overlæg, den .NU adresse er rent til grin!)

Hvorfor sender Skat eller andre offentlige myndigheder ikke en info mail ud om hvordan en legitim mail skal se ud, og hvad der skal stå i browseren før det er legitimt?

Så hvis NemID er brugt på 200 sider, så skal info-mailen indeholde en liste på 200 web-adresser, og brugeren skal huske den præcise stavemåde for hver URL (husk gentoftebibliotek.dk vs gentofte-bibliotek.dk)?

... hun finder da skat's hjemmeside via google/bing. Er vi nu sikre på at det er bedre?

Rigtigt mange ikke IT folk aner ikke hvad url linien er til, de starter bare i en søgemaskine. OK søgemaskinerne er gode til at filtrere falske sider væk, men er vi tilfredse med at basere vores sikkerhed på dette.

Rigtigt mange ikke IT folk aner ikke hvad url linien er til

Måske mest fordi "IT-folk" ikke formår at tale et sprog som "Maren i kæret forstår! Ved godt at IT er nemmere for "nørder" når der tales samme sprog hele verden rundt, men det gør det altså ikke nemt for den alimindelige bruger.

Måske mest fordi "IT-folk" ikke formår at tale et sprog som "Maren i kæret forstår!

Det er jeg sådan set enig med dig i, men dette handler ikke om uddannelse.

Når man laver en løsning de fleste danskere skal kunne bruge - og hvor kriminelles misbrug potentielt kan ødelægge offerets liv. Så skal den kunne bruges sikkert af personer med kun basale forkundskaber. Det er vist demonstreret nu at den nuværende løsning er sårbar - selv for folk med IT kendskab. I den aktuelle debat har jeg svært ved at se, at det gør løsningen ret meget mere mere sikker, at der ikke er links i brevene. Banditterne skal bare bruge en anden angrebsvinkel.

Her vil man altså gerne ofre lidt brugervenlighed, for at gøre systemet marginalt mere sikkert..

ChipTAN og lignende er med god grund blevet kritiseret for at være besværlig. Til gengæld kan brugeren være rimeligt sikker på at det der står på displayet, det er hvad brugeren godkender.