NemID er ikke længere i brug

Deriblandt at ingen af mine to banker kan finde ud af at bruge mobilbank uden at cpr-login er aktiveret. (Har kun papkort til netbanken)

Det jeg kommenterede var deaktivering af cpr-logon således at man ikke kan bruge cpr-nr til logon --- og det kan man godt.

Med hensyn til banker: Sydbanks netbank via browser kan fint håndtere et selvvalgt brugernavn. Men deres app kræver enten cpr-nr eller nemid-nummeret. Jeg har brokket mig til dem, idet jeg finder cpr-nummeret for nemt for andre, og nemid-brugernummeret er for besværligt for mig.

Jeg fik oplyst at man kun kan bruge numeriske tegn i deres app. Svaret fra Sydbanks hotline sluttede med: "Vi vil selvfølgelig gerne sende dit ønske videre til de ansvarlige bag ved MobilBank, men jeg kan ikke love, at dit ønske efterkommes :-)" Så jeg bruger stadig browser til netbank og kører det på min bærbare.

"Når du har ét NemID til det hele, kan du bruge 3 ting som bruger-id:
NemID-nummer, som du modtager ved bestillingen
Selvvalgt bruger-id, som du definerer ved aktiveringen af NemID
Cpr-nummer
Her kan du slå brugen af cpr-nummer som bruger-id fra eller til.</p>
<p>Cpr-login er deaktiveret for dit NemID"

Deriblandt at ingen af mine to banker kan finde ud af at bruge mobilbank uden at cpr-login er aktiveret. (Har kun papkort til netbanken)

Men den kan snart deaktiveres igen, da den nye swipp-app ikke kan køre uden et OCES-login, så har jeg ingen grund til at behilde mobilbank på min tablet ;)

/Henning

Men der kan ikke spærres for adgang via CPR-nr i NemID systemet.

Jo, det kan der hvis du logge ind på NemIDs hjemmeside, vælger Mit NemID og Bruger-id.

Tekst fra siden: "Når du har ét NemID til det hele, kan du bruge 3 ting som bruger-id: NemID-nummer, som du modtager ved bestillingen Selvvalgt bruger-id, som du definerer ved aktiveringen af NemID Cpr-nummer Her kan du slå brugen af cpr-nummer som bruger-id fra eller til.

Cpr-login er deaktiveret for dit NemID"

Der står også nævnt et par fordele og ulemper ved cpr-login.

Men der kan ikke spærres for adgang via CPR-nr i NemID systemet. Dvs. en, for mig, helt grundlæggende sikkerhedsfeature, hvor adgang fra uatoriserede fra starten besværes ved de skal gætte mit brugernavn, er således umuliggjort.

Er du sikker? Jeg er ikke den store NemID-fan, og bruger kun skidtet når det er strengt nødvendigt (netbank), men jeg mener at jeg engang har fravalgt CPRnr som brugernavn ved NemID login.

Men der kan ikke spærres for adgang via CPR-nr i NemID systemet. Dvs. en, for mig, helt grundlæggende sikkerhedsfeature, hvor adgang fra uatoriserede fra starten besværes ved de skal gætte mit brugernavn, er således umuliggjort.

Det ville klæde Hr. Press Officer at besvare nogle af de punkter påpeget ovenfor, men jeg har en formodning om, Press General har sagt nej ...

Kære Poul-Henning Kamp, tak for dit blogindlæg, hvor du peger på nogle af de udfordringer, der kan være med autogenererede e-mails. Du har helt ret i, at mailen ikke er god kommunikation.

Hvorfor er det en udfordring, at teksten i en auto genereret email skal være sproglig korrekt? Det er måske computeren der magisk selv har opfundet emailen og skrevet den for jer?

I det konkrete tilfælde har du modtaget e-mailen, fordi et NemID fra en erhvervsbankaftale er blevet spærret, hvilket vi dog ikke har mulighed for at anføre i den autogenerede mail.

Det bliver du nød til at uddybe. Hvis i kan indsætte 'NemID nummeret' i den automatisk generede email, hvorfor kan i så ikke indsætte noget mere relevant information, som f.eks. firma navn eller personens navn? Den mulighed synes at ligge lige til højrebenet for almindelige rationelle mennesker.

</p>
<ol><li>Er der ikke en tekst der beskriver rollen ? Hvis der nu stod at følgende konto er lukket:

Det logiske havde været at skrive (første halvdel) af det nuværende pap-korts "magiske nummer".

Folk der har håndfuld(e) af pap-kort har som regel noteret på dem hvad der hører til hvad.

På den måde ville jeg have kunnet finde det rigtige pap-kort og gennemskue hvad det drejer sig om.

Til Ulrik Marschall

vi kan ikke skrive anden bruger-ID, da nogle personer vælger, at bruge deres CPR-nummer som bruger-ID, og vi skriver ikke CPR-numre i mails.

1. Er der ikke en tekst der beskriver rollen ? Hvis der nu stod at følgende konto er lukket: 123123123 Ejer: Jens Jensen's kloak service. Så vil Jens Jensen nok kunne gætte hvad det drejer sig om, selv om firmanavnet ikke nødvendigvis er unikt i jeres system.

2. Hvorfor benytte et .nu domæne? For et dansk firma giver et .dk domæne langt mere troværdighed, og det lugter mindre af et phishing site. Jeres sikkerhed er baseret på at hr. og fru. Danmark kan huske at sitet hedder nemid.nu, og ikke noget der ligner. Nu hvor i ikke ejer det danske nemid domæne var www.certifikat.dk et faktisk bedre valg. (Markeds værdien af NemID kan ikke være så stor at det er et problem at skifte :-)

3. Hvorfor sende mail fra et andet domæne, end der hvor i har hjemme siden ? Det gør mailen utroværdig, det er dog en formildende omstændighed at det er et dansk domæne, og whois angiver at det er Nets der ejer domænet.

Jeg fik tidligere på ugen en mail som angav at være fra et firma hvor jeg har et abonnement. Og der var et link hvori man skulle acceptere nye vilkår, ...hmm. Problemet var at hverken link, eller afsender mailserver havde noget med det firma jeg har indgået abonnement med, det var et markedsførings firma der hjælper med at udsende bulk mails...hmm Mail headeren var lidt rodet da mailen var blevet relayet gennem flere servere.. Og SPF på det firma som mailen angiveligt var fra, havde over 10 mail servere i listen over godkendte afsendere. Det er ikke altid nemt at finde ud af om en mail er en phishing mail.

Henrik, efter DMARC kurset hos DK-Hostmaster (næsten 2 år siden), var vi nogen der tog fat i Nets. Men de er fløjtende hamrende ligeglade. Selv den dag i dag.....</p>
<p>I øvrigt, så var Tim Draegen noget målløs over NemID og manglende phishing e-mail sikkerhed, da vi viste ham det...

Jens, jeg har også forsøgt mig med NETS, NemID, Digitaliseringsstyrelsen osv, men alle steder er der en udpræget trang til at "behandle" phishing med brandslukningsøvelser, frem for at forebygge det.

Der har i snart 3 år eksisteret teknologi (DMARC) som kan fjerne den slags teknisk tvivl, men NemId er tilsyneladende ikke helt up2date på den slags sikkerhed.
Eneste email sikkerheds tiltag er et lidt ubehjælpeligt forsøg på at implementere SPF, men det var åbenbart for svært : <a href="https://dmarcian.com/spf-survey/nemid.nu">https://dmarcian.com/spf-surv…;

Henrik, efter DMARC kurset hos DK-Hostmaster (næsten 2 år siden), var vi nogen der tog fat i Nets. Men de er fløjtende hamrende ligeglade. Selv den dag i dag.....

I øvrigt, så var Tim Draegen noget målløs over NemID og manglende phishing e-mail sikkerhed, da vi viste ham det...

Og det kræver at NemID ikke er fuldstændigt ligeglade med sikkerhed, og derfor har konfigureret DMARC på nemid.nu. Hvilket de ikke har!?!?!?!!! <a href="https://dmarcian.com/dmarc-inspector/nemid.nu">https://dmarcian.com/dma…;

De er fløjtende ligeglade. Jeg har op til flere gange haft fat i dem, først mht. SPF og derefter med DKIM og DMARC.

Jeg har hver gang fået et svar fra en kloge åge supporter, som ikke engang havde sat sig ordentligt ind i tingene, før han svarede. Da min tid ikke er til at slå i dyner hele dagen, så er jeg aldrig kommet videre.

Måske der er nogen der gider at tage disse problematikker op til højere instans ?

Det er larmende amatøragtigt at de klaphatte skal varetage vores sikkerhed :-(

Jeg tror aldrig at Nets har hørt om begrebet kryptologisk sikkerhed. For Nets er sikkerhed at checke for stavefejl, og at bedstemor skal checke at NemID login-boksen opfører sig som normalt.

Fordi de to første punkter på nets hjemmeside om phising lyder således:

"Hvordan ser phishing-mails ud?

Der er flere måder at gennemskue en phishing-mail på. Her er nogle kendetegn, du kan være opmærksom på:

1. Mailen er sjældent forsynet med dit fulde navn.

2. Nogle phishing-mails er skrevet i et dårligt dansk sprog eller bruger ikke æ, ø og å."

Phishing-snakken kommer sig vel af at emailen teknisk set ligner en phishing email. Der har i snart 3 år eksisteret teknologi (DMARC) som kan fjerne den slags teknisk tvivl, men NemId er tilsyneladende ikke helt up2date på den slags sikkerhed. Eneste email sikkerheds tiltag er et lidt ubehjælpeligt forsøg på at implementere SPF, men det var åbenbart for svært : https://dmarcian.com/spf-survey/nemid.nu

For at være helt præcis, så er NemID en trusted third party model. Bare fuldstændigt absurd fejlimplementeret.

Med Google's single sign-on, så skal man vide på forhånd at accounts.google.com er det eneste sted man må indtaste sit password. Browseren sikrer via https sikkerheden. Så når man vil bruge Google som trusted third party, så indtaster man sit password på " https://accounts.google.com " (det er brugerens ansvar at checke dette via browserens adresselinje), hvorefter man bliver sendt authentificeret hen til den anden part.

I NemID-modellen så giver man sit NemID-password til den anden part, og man håber så uden nogen effektiv kryptografisk sikkerhed at den anden part er hvem man tror de er, og ikke hugger ens password. Bemærk at man jo ikke normalt i en trusted third party model har nogen tillid til den anden part, før den anden part er authentificeret af trusted third party! Og under alle omstændigheder er det altid absurd at sende sit trusted-third-party password til nogen andre end den trusted-third-party.

Totalt begynderfejl i NemID sikkerhedsdesignet.

Tragikomisk, så det gør helt ondt.. :/

Hovednyheden på nemids hjemmeside er netop nu hvordan man "spotter" phisingmails og linker videre til:</p>
<p><a href="https://www.nemid.nu/dk-da/privat/sikkerhed/gode_raad_om_sikkerhed/pas_…;
<p>Det er jo ren spot af egen virksomhed

En af reglerne fra Nets link er jo

Se efter på log-in-siden, at adresselinien starter med ”https” og evt. hængelåssymbol.

Men se engang på http://login.yousee.dk/personalpages/nemid.aspx

Så det er en phishing-side, fordi det ikke følger login-reglerne?

Jeg mener at iframes kan checke referrer, og derved sikre sig at siden de er indlejret i er https. Hvorfor gør Nets' NemID-login-iframe ikke dette?

Desuden er hele konstruktionen og reglerne latterlige. Ingen af reglerne vil forhindre et angreb som det Version2 tidligere har demonstreret. Rigtige single sign-on løsninger som Facebook's og Google's bruger https plus en enkelt central hjemmeside til at sikre dit password. Når jeg logger ind med Google's single sign-on, så skal jeg bare sikre mig at der står "https://accounts.google.com" i adresselinjen, og så er jeg kryptologisk sikret. I modsætning til NemID, hvor jeg ifølge deres "regler" kan indtaste mit password på stort set alle sider med noget som ligner en NemID-login-boks.

Nets er amatører.

Det er pga den ubehjælpsomme formulering, som man tit ser i phishing mails. Og slutter af med et link til et udenlandsk topdomæne.

Supporten af erhvervsbankaftaler varetages af den pågældende bank og ikke af NemID supporten.

Så først skal jeg gætte at det vedrører en "erhvervsbankaftale".

Derefter skal jeg gætte hvilken bank det er.

Endelig skal jeg henvende mig til deres support-afdeling.

... der formodentlig ikke har adgang til det pågældende NemID-nummer mere, fordi det nu er lukket ?

Det er tydeligt at Nets har lært af klassikerne:

https://www.youtube.com/watch?v=DqypaqLEfM8

Jeg undrer mig lidt. Der står ingen steder i e-mailen at man skal logge på med sin kode. Der står ikke, at man skal besvare mailen med fortrolige oplysninger. Ergo er det ikke phishing.

Jeg har det helt fint med NemID-bashing - men det skal være sagligt.

Hovednyheden på nemids hjemmeside er netop nu hvordan man "spotter" phisingmails og linker videre til:

https://www.nemid.nu/dk-da/privat/sikkerhed/gode_raad_om_sikkerhed/pas_paa_falske_hjemmesider/index.html

Det er jo ren spot af egen virksomhed

thihi ha ha Hvad?! ha hahaha hahahaha hahahahaha Det er ikke et phishing forsøg? ha hahaha hahahaha hahahahaha ha hahaha hahahaha hahahahaha øhhh Det er rigtig nok! så er der jo ikke noget at grine af!

Det her har været en af de mest underholdende og informative blog-historier jeg nogensinde har læst på V2. Og nu har jeg læst hele historien med kommentarer igen uden at grine. Der er jo ikke noget at grine ad - det er jo sørgeligt.

..Press Officer i Nets

Nå nu vi snakker phising forsøg, så er det da komplet gakgak at underskrive sig som "Press Officer" i en dansk virksomhed.

Lad mig lige opsummere.

• Afsender er fra en .nu adresse
• Afsender underskriver sig som "Press Officer"

No wonder der er så mange der hopper på phising forsøg, når selv officielle kanaler ikke kan finde ud af det.

Men ok, det kan jo være at du blot er underlagt ordrer din "Press Colonel" har udstedt. ::)

Alle de forklaringer du kommer med, burde de ikke have stået i den oprindelige mail. En af PHKs klagepunkter er, at det ligner en ubehjælpsom phishing mail. Du behersker jo tilsyneladende det danske sprog, så det er bare med at komme til tasterne!

"En aftale fra nemid aftager er spærret, derfor spærrer vi dit nemid..." "Spærringen vedrører NemID-nummer xxx, som er det nummer du oprindeligt fik ved oprettelse af NemID adgangen..." "Vi gør det om natten fordi..."

osv.

Kære Poul-Henning Kamp, tak for dit blogindlæg, hvor du peger på nogle af de udfordringer, der kan være med autogenererede e-mails. Du har helt ret i, at mailen ikke er god kommunikation. Vi arbejder hele tiden med at forbedre vores kommunikation ud mod brugerne af vores systemer, og vil tage dine kommentarer med i vores arbejde.

I det konkrete tilfælde har du modtaget e-mailen, fordi et NemID fra en erhvervsbankaftale er blevet spærret, hvilket vi dog ikke har mulighed for at anføre i den autogenerede mail. Det pågældende NemID kan identificeres via det nummer, som efterfølgende bliver nævnt. Du spørger til, hvor du skulle kende det nummer fra. Svaret er, at det fremgår af det velkomstbrev, som man modtager, når man bestiller sit NemID.

Vi er helt opmærksomme på, at nogle sikkert har smidt det velkomstbrev væk for længst. Men vi kan ikke skrive anden bruger-ID, da nogle personer vælger, at bruge deres CPR-nummer som bruger-ID, og vi skriver ikke CPR-numre i mails.

Supporten af erhvervsbankaftaler varetages af den pågældende bank og ikke af NemID supporten.

Grunden til at mailen er udsendt om natten er, at denne type spærringer bliver foretaget om natten, hvor det er til mindst mulig gene for brugere og systemer.

www.nemid.nu har været benyttet og markedsført som ’NemIDs’ hjemmeside siden starten i 2010. Information om NemID bliver publiceret på denne hjemmeside, og det er årsagen til at vi vælger at henvise brugere til den.

Vi beklager den irritation vores e-mail har medført.

Ulrik Marschall, Press Officer i Nets

Jeg tror det nummer kan bruges som login i stedet for dit CPR-nummer/selvvalgt-id på nemid.nu... (det kunne det i hvert fald i starten). Så ja, det er vigtigt på linje med CPR, når vi snakker nemid.nu.

Det er korrekt.

Hvis man gør sig den ulejlighed og klikker på spørgsmålstegnet ved siden af "Bruger-ID" feltet på en NemID-loginboks, kan man læse:

"Hjælp til bruger-idSom bruger-id kan du bruge- dit cpr-nummer (kun for privatpersoner).- dit NemID-nummer.- dit selvvalgte bruger-id.Er det første gang, du logger på, skal du bruge dit NemID-nummer, som du finder i det brev, du har fået i din bank, fra Nets DanID, et borgerservice- eller skattecenter."

På A4 arket hvori nøgle-/pap-kortet sidder klar til at trykke ud, står:

Til ruden i kuverten: Navn Adresse

Og som overskrift: Dit personlige nøglekort til NemID-nummer 123-123-123

K

Øverst på papkortet har min et nicifret tal der ligner et ticifret tal da O'et ligner et 0! (Hvorfor det O?)

Måske en nummerserie? På mit kort er det ikke et O.

Meget Kafkask. "Deres identitet er slettet fordi den ikke længere bruges. Evt. spørgsmål kan sendes til /dev/null. Hav en god dag."

Tak for en god start på dagen PHK. Oven på den her weekend var det da især rart.

(Jeg gav op overfor offentlig IT da jeg så afregningsmetoden til Digital Post 2.0. Især da man stadig ikke kan se hvor meget man bliver snydt...)

Jeg tror det nummer kan bruges som login i stedet for dit CPR-nummer/selvvalgt-id på nemid.nu...

Og det hjælper mig hvordan nu hvor de har lukket det ?

Jeg kan selvfølgelig give mig til at lave en brute-force søgning igennem de forskellige identiteter for at se hvad der ikke virker mere....

(Det er man så nærmest under alle omstændigheder nødt til, for at afsøge alle mulige skuffe-systemer hos Skat og andre myndigeder for "elektronisk post", men det er en anden historie...)

Nets har i en længere periode brugt mit domænenavn til at foretage bulk-oprettelser. Hvorfor ikke bare skrive bulk@etafminedomænenavne.dk?

Måtte kontakte dem adskillige gange, og fik lovning på at de ville ændre proceduren. Det havde dog ringe effekt, så skiftede til en ny strategi hvor jeg Googlede virksomhederne og begynde at forwarde mails fra Nets.

Siden 5. oktober, har jeg ikke modtaget flere bulk-oprettelser.

Det skal med rette siges at e-mails ikke indeholdt materiale som kunne misbruges direkte. Men hvis man vil scamme virksomheder, er det da meget godt at vide, at de er igang med at oprette NemID Erhverv.

Jeg tror det nummer kan bruges som login i stedet for dit CPR-nummer/selvvalgt-id på nemid.nu... (det kunne det i hvert fald i starten). Så ja, det er vigtigt på linje med CPR, når vi snakker nemid.nu.

At der så nok er en meget begrænset antal borgere, der kan huske deres nemId-nummer, er så en anden sag...

Det med nummeret på kortet - der har jeg et X, et Z og et D på hhv. 1 virksomhed, 1 forening og mit personlige kort. Jeg aner ikke om det har en eller anden betydning.

Nummeret 123123123 må være et testnummer

Nej, det er selvfølgelig mig der ikke er dum nok til at poste netop det nummer offentligt - det kunne jo være et vigtigt nummer...

Btw.. Dit nemid nummer skulle gerne stå på papkortet??

Nix. Det nummer der står på pap-kortet er pap-kortets nummer.

Hvad skulle det hjælpe ?

Nu ved jeg tilfældigvis på forhånd at nemid.nu er den rigtige adresse.

Jeg kan registrere nem-id.nu (som var ledig for 5 min siden)

Seriøse hjemmesider sørger også for selv at registrere alle mulige typosquatting-domæner.

Der er ikke store chancer for at en domæne udstæder uden for Norden ved hvad NemID er.

Hvilket jo også er grunden til at alle sikkerhedskritiske personer straks bør mistænke nemid.nu selv for at være en phishing-hjemmeside, da ingen sikkerheds-seriøse danske organisationer ville have andet end en .dk-hjemmeside.

'Spærringen vedrører NemID-nummer: 123123123 Hvad fanden er et "NemID-nummer" ?'

Øverst på papkortet har min et nicifret tal der ligner et ticifret tal da O'et ligner et 0! (Hvorfor det O?)

Nummeret 123123123 må være et testnummer og kan vel næppe have noget med PHK speficikt at gøre. At de ikke har styr på hvad de sender ud af email borger ikke for den generelle sikkerhed ved systemet.

Faktisk burde det kunne klares ved at vide at afsenderadressen er @nemid.nu . Så burde DMARC sikre at beskeden kun kunne være blevet afsendt fra en server kontrolleret af Nets.

Hvad skulle det hjælpe ? Jeg kan registrere nem-id.nu (som var ledig for 5 min siden), og fortælle at jeg er 'NemID Nets A/S' under registreringen, hvilket er det som man vil se med et Whois lookup. Jeg kan også oprette et TLS certifikat når jeg har sat en server op til at svare på domænet (Port 25, eller 80). Herefter er min server være trusted af rodcertifikaterne i både browsere, og OpenSLL som bruges af mail servere. Jeg kan også opsætte SPF, og DKIM.

Der er intet i det system der forhindre mig i at registrere domæner, og certifikater der ligner eksisterende firmaer eller væremærker. (Specielt ikke hvis man holder sig fra de 500 mest kendte varemærker i verden) Der er ikke store chancer for at en domæne udstæder uden for Norden ved hvad NemID er. Hvorimod jeg har tiltro til at Dk Hostmaster hurtigt vil fjerne sådant et .dk domæne.

Dette kræver dog at din email-udbyder er så kompetent, at deres server er sat op til at checke DMARC.

Synes kun det er de stakler med firma som kæmper med nemid.. De fleste knaster er vidst væk fra private konti

Btw.. Dit nemid nummer skulle gerne stå på papkortet??

Og det kræver at NemID ikke er fuldstændigt ligeglade med sikkerhed, og derfor har konfigureret DMARC på nemid.nu

Det var bla. det jeg mente med "næsten fastslå"

Hvis man gør sig forskellige nørd-anstrengelser kan man næsten fastslå at email'en faktisk kommer fra Nets, men man skal lige rundt om WHOIS på "certifikat.dk" og den slags.

Faktisk burde det kunne klares ved at vide at afsenderadressen er @nemid.nu . Så burde DMARC sikre at beskeden kun kunne være blevet afsendt fra en server kontrolleret af Nets.

Dette kræver dog at din email-udbyder er så kompetent, at deres server er sat op til at checke DMARC.

Og det kræver at NemID ikke er fuldstændigt ligeglade med sikkerhed, og derfor har konfigureret DMARC på nemid.nu. Hvilket de ikke har!?!?!?!!! https://dmarcian.com/dmarc-inspector/nemid.nu

Amatører. Igen. Det synes at være konklusionen på enhver diskussion omkring Nets.

Men embedsmændende mener selvfølgelig at "NemLog-in is a solution that has been developed with very high levels of security".

Husk nu at NemID er en succes, se bare på udbredelsen(!)

Så vidt jeg husker koster det 250 kr at henvende sig til deres erhvervssupport. De her e-mails er en god måde at generere en indtægt via support på.