Henrik Madsen: Hvis man sætter sit nemid op med en 4-cifret pinkode i stedet for et almindeligt password, skal man bruge en kode fra nøglekortet (eller appen, går jeg ud fra) hver gang man logger ind.
Bevares, en 4-cifret kode er nemmere at aflure end et password, men jeg vil påstå at sikkerheden på min bankkonto er højere hvis jeg har en 4-cifret kode og 2FA end hvis min kode er abe123.
Det korte af det lange er, at telefoner i dag kan angribes med malware som sniffer engangskoderne. En lidt mere målrettet hacker vil også kunne snyde sig til dem via ukrypterede sms'er, social engineering, etc..
Jeg ved ikke om det har været tilfældet her (de har vist ikke sagt præcis hvordan det skete), men problemet med SMS er lige så meget at de underliggende protokoller ikke er særligt sikre, og at det er alt for nemt at narre teleudbydere (måske kun i USA?) til at udstede nye simkort med samme nummer. Her er en anden (også 2 år gammel) artikel: https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/
Af ren nysgerrighed: Hvilke problemer løser dit forslag, som som DKIM ikke allerede løser? DKIM springer dit trin 6 over, men løser det i stedet med en signeret besked der fortæller "jo, jeg er altså fra schack.dk".
Til gengæld bør dit løsningsforslag have en sikkerhed for at pind.dk ikke kan kontakte schack.dk og spørge om der er mail til christian.
Det er vel en faktor 1.4 per karakter i koden. Så hvis din kode er på 8 karakterer, så giver det en faktor 1.4^8=15.</p>
<p>Som selvfølgelig stadig er mindre end 59. Så din pointe holder stadig :). Det er ikke en skandale at NemID har valgt ikke at skelne mellem store og små bogstaver.
Ja, det gik vist lidt hurtigt der.
Det er jo tosset! du har fuldkommen ret, det er ligegyldigt om man skriver med store og små bogstaver. Dejligt at nemid så lige har ødelagt min komplexitet i koden. I det mindste gælder specialtegn.
NETS har naturligvis valgt ikke at skelne mellem store og små bogstaver, af samme grund som f.eks. Blizzard gør det med World of Warcraft og Diablo-spillene: Det betyder minimalt for sikkerheden, men man (både NETS og uheldige børnebørn) sparer rigtigt meget tid på at supportere folk der ikke kan finde ud af om de har caps lock slået til.
Til en adgangskode på NemID kan du vælge mellem 59 (unikke) tegn - det giver ca. 5.9 bit entropi for hvert tegn i koden. Hvis de havde valgt at skelne mellem store og små bogstaver, ville der have været 85 tegn (Æ, Ø og Å er ikke tilladte). Dette giver 6.4 bit entropi, altså cirka en halv bit mere.
Sagt på en anden måde: Hvis de begynder at skelne mellem store og små bogstaver, vil det forøge kompleksiteten af din kode med en faktor på ca. 1.4 (2^0.5). Hvis du derimod gør din kode ét tegn længere, forøger du kompleksiteten med en faktor 59.
Ole Madsen