Slut med nøglekort-pap til NemID næste år

Jeg vil KRÆVE at der kommer noget der ikke kræver en App! Jeg skal ikke have noget NemID eller MitID på min mobiltelefon. Jeg bruger Sailfish, og skal ikke til at købe ny telefon med Android for at bruge det skidt.

Jeg er tilbøjelig til at være enig. ikke mindst IHT Android, af sikkerhedsårsager, men er også lidt nødt til at sige at de her erstatninger for den tåbelige vedtagne beslutning vedr. NemID's papkort, inklusiv digitale løsninger (MitID), nødvendigvis skal være tilgængelige på samtlige operative systemer, inklusiv Sailfish og Linux generelt etc..

Om det sker, eller hvornår, det ved de her beslutningstagere måske. Eller måske ikke ... Der er super mange ting beslutningstagerne aldrig forstod med rettidig omhu.

#2: nødvendigvis skal være tilgængelige på samtlige operative systemer

Det kommer ikke til at ske. Det bliver tilgængeligt på Android og IOS(*). Alt andet er ønsketænkning. Men der er også lovet en løsning som ikke er digital. Hvilket altså vil sige et papkort af en slags.

Men bortset fra det, så er en appløsning mere sikker end et papkort. For med papkort kan man blive offer for et man-in-the-middle angreb. Det er demonstreret flere gange. Hvor man ved papkortet bare angiver en kode og håber på man logger ind det rigtige sted, siger appen fx: "Vil du logge ind på Jyske Bank?". Og hvis man er ved at logge ind på fx en eller anden sundhedsplatform, og appen pludselig spørger om man vil logge ind i netbanken, skal man skynde sig væk, for så er man sikkert ved at blive offer for et sådan angreb!

*) Altså for selve nøglefunktionen. Man vil naturligvis kunne logge ind med alle OS'er, inkl. Sailfish. Bare der er en browser.

#1: Jeg vil KRÆVE at der kommer noget der ikke kræver en App!

Helt enig

#1: Jeg vil KRÆVE at der kommer noget der ikke kræver en App!

Det kan du også sagtens, for det har de jo allerede lovet. Så ingen grund til at kræve det :-)

I øvrigt er der en indbygget Catch-22. For når man tager NemID-appen i brug første gang, skal man bekræfte sin identitet med nøglekortet. Men hvis der ikke er noget nøglekort, hvordan bekræfter man så sin identitet første gang?

Apropos nøglekort, så har jeg i flere år kørt med mit eget hjemmelavede system på computeren. Jeg har OCR'et nøglekortet og lagt det i en krypteret container. Så klikker jeg på en ikon i bundlinjen og bliver bedt om at indtaste den firecifrede kode. Dernæst skal jeg indtaste min lange masterkode. Før da bliver containeren dekrypteret, der søges efter den firecifrede kode og containeren lukkes med det samme igen. Til sidst vises en popup med den sekscifrede kode.

#6: Spændende! Men gør det dig ikke sårbar overfor, hvis du har en keylogger el.lign. på din pc? Jeg mener, at en af grundende i sin tid for papkortet netop var, at det ikke skulle eksistere digitalt, fordi det så gjorde det sværere for hackere o.lign.

#7: Men gør det dig ikke sårbar overfor, hvis du har en keylogger el.lign. på din pc?

Nu bruger jeg jo Linux ;-)

Der er altid en risiko. Men efter min mening er risikoen for at få stjålet sin tegnebog med papkortet meget større. Der har også været tilfælde hvor folk i fx et kontormiljø har forladt kontoret for at hente kaffe, hvor en anden så har snuppet papkortet fra vedkommendes tegnebord, taget et billede og lagt det tilbage. Man ved ikke engang at man er kompromitteret.

Der findes innovative løsninger, eksempelvis denne informeret af Stephan Engberg Innovationsstrateg med fokus på Privacy/Securiy by Design: https://twitter.com/EngbrgDK/status/1186571711824777217

Edit:
#3: Men der er også lovet en løsning som ikke er digital. Hvilket altså vil sige et papkort af en slags.
Jeg kan ikke lige se se hvad det skulle kunne forbedre ... Enhver form for et nyt pap-kort, med mindre det er digitalt, vil formentlig blot udløse en ny sikkerhedsbegrundet shitstorm. Tænker du på et digitalt papkort? Digitalt papir kommer formentlig til at evolutionere mange ting i fremtiden, eksempelvis skærme, tapet med mere.

Jeg ser at andre digitale løsninger, uden en phone App etc., men mere en håndholdt hardwareløsning, der princippiet godt kunne være et papkort, kunne vise sig mere sikker. Sådan et behøver ikke fylde end en papkort og oven i købet være nemmere end det traditionelle SlemID papkort, for brugere uden forstand på teknik.

#8: Det kan jeg godt se. Fin pointe.

De kunne jo bare gøre som Nets med en SMS, så har du 2 faktor godkendelse der virker på ALLE mobiltelefoner. Hvorfor skal det være så svært? Og til dem der ikke har en mobiltelefon, de kan jo få en mail.

#11: Hvorfor skal det være så svært?
Det er et rigtig godt spørgsmål og svaret er at det ikke er så simpelt.

Forestil dig at en phishing tyv, IHT ikke digitale løsninger, har held til at ændre telefon nr. eller mailadresse, således tyven kan verificere 2vejs med sine egne credentials.

Problemet består yderligere af de overordentlig mange advarsler brugerne udsættes for. Alene disse herunder, kan få de fleste til at krumme tæer. Blot et eksempel i forbindelse med at tage et billede af papkortet. Det kan man godt, og udmærket hvis det opbevares i en krypteret container, men hvor mange forstår sådan noget?

https://www.nemid.nu/dk-da/pas_paa_dit_nemid/phishing/
https://www.nets.eu/dk-da/kundeservice/medarbejdersignatur/sikkerhed/Pa…

Der er behov for nytænkning og der er nye teknologier, men forstår beslutningstagerne?

Et device, uafhængig af computere, telefoner (inklusiv opdatering), men er digitalt, billig at distribuere og kun kan verificeres af brugeren (fingeraftryk, face recognition, voice control etc.).

Jeg kan huske at jeg købte en Vertificationsnøgle til den gang jeg spillede Blizzard spil, sådan en kunne det også være. Den havde X antal nøgler indbygget... så kunne man lige smide en lille fingeraftryksscanner på, så er den hjemme.

#13
Ja, på et device der udmærtket kunne være af pap eller plastik. En mini skærm til fingeraftrykaflæsning eksempelvis ...

Til en start naturligvis. Jeg kan se DNA aflæsning og andet, der igen udløser andre sikkerhedsspørgsmål, såvel som alle fx skal have deres fingeraftryk registreret.

Det her kommer ikke uden problemer ...

Edit:
Kan en tyv replikere et fingeraftryk, således tyven kan bruge ejerens fingeraftryk til verifikation?

Ja formentlig. Ejeren har sandsynligvis allerede sat sit fingeraftryk på device og tyven kan derfor lave en kopi. Sådan vil det her fortsætte ...

Jeg har intet i mod at lade mit fingeraftryk registrerer, så længe det bliver lokalt i selve enheden og ikke på en eller anden central server.

#3: *) Altså for selve nøglefunktionen. Man vil naturligvis kunne logge ind med alle OS'er, inkl. Sailfish. Bare der er en browser.
Ja måske, hvis kernel opgradering ikke disrupter. Jeg er lidt nødt til at sige at opgradering af kernen kan forårsage at NemID ikke virker, selvom de hævder nødvendig opdatering af OS.

Just saying ...

#15: Jeg har intet i mod at lade mit fingeraftryk registrerer, så længe det bliver lokalt i selve enheden og ikke på en eller anden central server.
Det tror jeg ikke du skal regne med. Som jeg oplever det, så bevæger det her sig hen imod generel overvågning. Fingeraftryk, DNA, ansigtsgenkendelse og videoovervågning, bliver en fremtidig virkelighed.

Det har med andre ting at gøre, der ikke blot handler om teknik. Dem der tror at det er muligt at adskille teknik og politik, de har ikke forstået de globale problemer verden står over for (fx overbefolkning med hvad den medfører). Det er godt nok noget lidt andet, men det her kommer fortsat til at blive sammenblandet ...

Jo mere du lader dig registre, des mere bør du forvente at du bliver registret til andet brug... Desværre.

#12: Forestil dig at en phishing tyv, IHT ikke digitale løsninger, har held til at ændre telefon nr. eller mailadresse, således tyven kan verificere 2vejs med sine egne credentials.

Det har for nylig været vist at det er ret let at få udstedt et simkort i en andens navn ved at møde personligt op i en telebutik. Sådan, så har man adgang til andres sms'er og dermed deres 2-faktor-system. Det sker ikke med en 2-faktor-app. Men SMS er selvf. meget bedre end ingenting og bruges jo fx i forbindelse med mange VISA-køb.

#18: Det sker ikke med en 2-faktor-app. Men SMS er selvf. meget bedre end ingenting og bruges jo fx i forbindelse med mange VISA-køb.
Ja og Mastercard m.f..

For et par dage siden købte jeg en flyrejse. ophold og billeje sammen med en kollega. Alt blev betalt over min Mastercard konto, men verificeret 2vejs på kollegaens telefon. Man angiver ganske enkelt blot telefon nr ved købet.

Får brugeren sit Card stjålet, så er der ingen sikkerhed før brugeren får det spærret, ikke mindst i forbindelse med de der chips plastikkortene er udstyret med (der ikke engang kræver PIN (Personal Identification Number)).

Det er godt nok noget andet end NemID, men blot som eksempel på at verificationsteknikkerne stadig er primitive. Systemudviklingen vil kræve så mange besvarelser (virker det også i udlandet, kan man bruge samme teknik overalt), at jeg personligt har svært ved at se beslutningstagerne kan overskue det.

IHT ovenstående, så kan danskere måske opleve at deres betalingskort (Visa, Mastercard, Dankort etc.), afvises som betalingsmiddel i nærmeste fremtid efter uoverenstemmelse med ny EU lovgivning.

Det er stadig uklart om det vil ske.

Her er noget om alternativerne til en nøgleapp:

https://www.dr.dk/nyheder/penge/farvel-til-papkort-og-goddag-til-teknol…

Spam fjernet og bruger blokeret.

/Marlar