Slut med nøglekort-pap til NemID næste år

frogmaster
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
Slut med nøglekort-pap til NemID næste år

Slut med nøglekort-pap til NemID næste år (eller måske først 2021). Efter dekader med kritik af low cost pap løsninger, med efterfølgende million tab i brugernes bank konti, ser det nu ud til at beslutningstagerne begynder at vågne op.

DVS kort, at krigen bliver mere digital end blot den traditionelle Phishing metode ( https://finansdanmark.dk/toerre-tal/institutter-fi... ), men naturligvis ikke at krigene slutter. Lidt fra Version 2: https://www.version2.dk/artikel/papkort-nemid-smid...

Det bliver spændende at se om beslutningstagerne er rustet til den "digitale evolution". Tillad mig at gætte på at det er de ikke ...


Domiino
Domiino's picture
Antal: 531
Tilmeldt:
26-03-2008
User is offline
Jeg vil KRÆVE at der kommer

Jeg vil KRÆVE at der kommer noget der ikke kræver en App! Jeg skal ikke have noget NemID eller MitID på min mobiltelefon. Jeg bruger Sailfish, og skal ikke til at købe ny telefon med Android for at bruge det skidt.


frogmaster
frogmaster's picture
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
Jeg er tilbøjelig til at

Jeg er tilbøjelig til at være enig. ikke mindst IHT Android, af sikkerhedsårsager, men er også lidt nødt til at sige at de her erstatninger for den tåbelige vedtagne beslutning vedr. NemID's papkort, inklusiv digitale løsninger (MitID), nødvendigvis skal være tilgængelige på samtlige operative systemer, inklusiv Sailfish og Linux generelt etc..

Om det sker, eller hvornår, det ved de her beslutningstagere måske. Eller måske ikke ... Der er super mange ting beslutningstagerne aldrig forstod med rettidig omhu.


marlar
Antal: 2986
Tilmeldt:
05-12-2009
User is offline
nødvendigvis skal være

#2: nødvendigvis skal være tilgængelige på samtlige operative systemer

Det kommer ikke til at ske. Det bliver tilgængeligt på Android og IOS(*). Alt andet er ønsketænkning. Men der er også lovet en løsning som ikke er digital. Hvilket altså vil sige et papkort af en slags.

Men bortset fra det, så er en appløsning mere sikker end et papkort. For med papkort kan man blive offer for et man-in-the-middle angreb. Det er demonstreret flere gange. Hvor man ved papkortet bare angiver en kode og håber på man logger ind det rigtige sted, siger appen fx: "Vil du logge ind på Jyske Bank?". Og hvis man er ved at logge ind på fx en eller anden sundhedsplatform, og appen pludselig spørger om man vil logge ind i netbanken, skal man skynde sig væk, for så er man sikkert ved at blive offer for et sådan angreb!

*) Altså for selve nøglefunktionen. Man vil naturligvis kunne logge ind med alle OS'er, inkl. Sailfish. Bare der er en browser.


FrugalMan
FrugalMan's picture
Antal: 1286
Tilmeldt:
18-12-2007
User is offline
Jeg vil KRÆVE at der

#1: Jeg vil KRÆVE at der kommer noget der ikke kræver en App!

Helt enig


marlar
Antal: 2986
Tilmeldt:
05-12-2009
User is offline
Jeg vil KRÆVE at der

#1: Jeg vil KRÆVE at der kommer noget der ikke kræver en App!

Det kan du også sagtens, for det har de jo allerede lovet. Så ingen grund til at kræve det :-)

I øvrigt er der en indbygget Catch-22. For når man tager NemID-appen i brug første gang, skal man bekræfte sin identitet med nøglekortet. Men hvis der ikke er noget nøglekort, hvordan bekræfter man så sin identitet første gang?


marlar
Antal: 2986
Tilmeldt:
05-12-2009
User is offline
Apropos nøglekort, så har

Apropos nøglekort, så har jeg i flere år kørt med mit eget hjemmelavede system på computeren. Jeg har OCR'et nøglekortet og lagt det i en krypteret container. Så klikker jeg på en ikon i bundlinjen og bliver bedt om at indtaste den firecifrede kode. Dernæst skal jeg indtaste min lange masterkode. Før da bliver containeren dekrypteret, der søges efter den firecifrede kode og containeren lukkes med det samme igen. Til sidst vises en popup med den sekscifrede kode.


ejvindh
Antal: 45
Tilmeldt:
17-05-2010
User is offline
Spændende! Men gør det

#6: Spændende! Men gør det dig ikke sårbar overfor, hvis du har en keylogger el.lign. på din pc? Jeg mener, at en af grundende i sin tid for papkortet netop var, at det ikke skulle eksistere digitalt, fordi det så gjorde det sværere for hackere o.lign.


marlar
Antal: 2986
Tilmeldt:
05-12-2009
User is offline
Men gør det dig ikke

#7: Men gør det dig ikke sårbar overfor, hvis du har en keylogger el.lign. på din pc?

Nu bruger jeg jo Linux ;-)

Der er altid en risiko. Men efter min mening er risikoen for at få stjålet sin tegnebog med papkortet meget større. Der har også været tilfælde hvor folk i fx et kontormiljø har forladt kontoret for at hente kaffe, hvor en anden så har snuppet papkortet fra vedkommendes tegnebord, taget et billede og lagt det tilbage. Man ved ikke engang at man er kompromitteret.


frogmaster
frogmaster's picture
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
Der findes innovative

Der findes innovative løsninger, eksempelvis denne informeret af Stephan Engberg Innovationsstrateg med fokus på Privacy/Securiy by Design: https://twitter.com/EngbrgDK/status/11865717118247...

Edit:
#3: Men der er også lovet en løsning som ikke er digital. Hvilket altså vil sige et papkort af en slags.
Jeg kan ikke lige se se hvad det skulle kunne forbedre ... Enhver form for et nyt pap-kort, med mindre det er digitalt, vil formentlig blot udløse en ny sikkerhedsbegrundet shitstorm. Tænker du på et digitalt papkort? Digitalt papir kommer formentlig til at evolutionere mange ting i fremtiden, eksempelvis skærme, tapet med mere.

Jeg ser at andre digitale løsninger, uden en phone App etc., men mere en håndholdt hardwareløsning, der princippiet godt kunne være et papkort, kunne vise sig mere sikker. Sådan et behøver ikke fylde end en papkort og oven i købet være nemmere end det traditionelle SlemID papkort, for brugere uden forstand på teknik.


ejvindh
Antal: 45
Tilmeldt:
17-05-2010
User is offline
Det kan jeg godt se. Fin

#8: Det kan jeg godt se. Fin pointe.


Domiino
Domiino's picture
Antal: 531
Tilmeldt:
26-03-2008
User is offline
De kunne jo bare gøre som

De kunne jo bare gøre som Nets med en SMS, så har du 2 faktor godkendelse der virker på ALLE mobiltelefoner. Hvorfor skal det være så svært? Og til dem der ikke har en mobiltelefon, de kan jo få en mail.


frogmaster
frogmaster's picture
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
Hvorfor skal det være

#11: Hvorfor skal det være så svært?
Det er et rigtig godt spørgsmål og svaret er at det ikke er så simpelt.

Forestil dig at en phishing tyv, IHT ikke digitale løsninger, har held til at ændre telefon nr. eller mailadresse, således tyven kan verificere 2vejs med sine egne credentials.

Problemet består yderligere af de overordentlig mange advarsler brugerne udsættes for. Alene disse herunder, kan få de fleste til at krumme tæer. Blot et eksempel i forbindelse med at tage et billede af papkortet. Det kan man godt, og udmærket hvis det opbevares i en krypteret container, men hvor mange forstår sådan noget?

https://www.nemid.nu/dk-da/pas_paa_dit_nemid/phish...
https://www.nets.eu/dk-da/kundeservice/medarbejder...

Der er behov for nytænkning og der er nye teknologier, men forstår beslutningstagerne?

Et device, uafhængig af computere, telefoner (inklusiv opdatering), men er digitalt, billig at distribuere og kun kan verificeres af brugeren (fingeraftryk, face recognition, voice control etc.).


Domiino
Domiino's picture
Antal: 531
Tilmeldt:
26-03-2008
User is offline
Jeg kan huske at jeg købte

Jeg kan huske at jeg købte en Vertificationsnøgle til den gang jeg spillede Blizzard spil, sådan en kunne det også være. Den havde X antal nøgler indbygget... så kunne man lige smide en lille fingeraftryksscanner på, så er den hjemme.


frogmaster
frogmaster's picture
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
#13Ja, på et device der

#13
Ja, på et device der udmærtket kunne være af pap eller plastik. En mini skærm til fingeraftrykaflæsning eksempelvis ...

Til en start naturligvis. Jeg kan se DNA aflæsning og andet, der igen udløser andre sikkerhedsspørgsmål, såvel som alle fx skal have deres fingeraftryk registreret.

Det her kommer ikke uden problemer ...

Edit:
Kan en tyv replikere et fingeraftryk, således tyven kan bruge ejerens fingeraftryk til verifikation?

Ja formentlig. Ejeren har sandsynligvis allerede sat sit fingeraftryk på device og tyven kan derfor lave en kopi. Sådan vil det her fortsætte ...


Domiino
Domiino's picture
Antal: 531
Tilmeldt:
26-03-2008
User is offline
Jeg har intet i mod at lade

Jeg har intet i mod at lade mit fingeraftryk registrerer, så længe det bliver lokalt i selve enheden og ikke på en eller anden central server.


frogmaster
frogmaster's picture
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
*) Altså for selve

#3: *) Altså for selve nøglefunktionen. Man vil naturligvis kunne logge ind med alle OS'er, inkl. Sailfish. Bare der er en browser.
Ja måske, hvis kernel opgradering ikke disrupter. Jeg er lidt nødt til at sige at opgradering af kernen kan forårsage at NemID ikke virker, selvom de hævder nødvendig opdatering af OS.

Just saying ...


frogmaster
frogmaster's picture
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
Jeg har intet i mod at

#15: Jeg har intet i mod at lade mit fingeraftryk registrerer, så længe det bliver lokalt i selve enheden og ikke på en eller anden central server.
Det tror jeg ikke du skal regne med. Som jeg oplever det, så bevæger det her sig hen imod generel overvågning. Fingeraftryk, DNA, ansigtsgenkendelse og videoovervågning, bliver en fremtidig virkelighed.

Det har med andre ting at gøre, der ikke blot handler om teknik. Dem der tror at det er muligt at adskille teknik og politik, de har ikke forstået de globale problemer verden står over for (fx overbefolkning med hvad den medfører). Det er godt nok noget lidt andet, men det her kommer fortsat til at blive sammenblandet ...

Jo mere du lader dig registre, des mere bør du forvente at du bliver registret til andet brug... Desværre.


marlar
Antal: 2986
Tilmeldt:
05-12-2009
User is offline
Forestil dig at en

#12: Forestil dig at en phishing tyv, IHT ikke digitale løsninger, har held til at ændre telefon nr. eller mailadresse, således tyven kan verificere 2vejs med sine egne credentials.

Det har for nylig været vist at det er ret let at få udstedt et simkort i en andens navn ved at møde personligt op i en telebutik. Sådan, så har man adgang til andres sms'er og dermed deres 2-faktor-system. Det sker ikke med en 2-faktor-app. Men SMS er selvf. meget bedre end ingenting og bruges jo fx i forbindelse med mange VISA-køb.


frogmaster
frogmaster's picture
Antal: 4258
Tilmeldt:
20-05-2010
User is offline
Det sker ikke med en

#18: Det sker ikke med en 2-faktor-app. Men SMS er selvf. meget bedre end ingenting og bruges jo fx i forbindelse med mange VISA-køb.
Ja og Mastercard m.f..

For et par dage siden købte jeg en flyrejse. ophold og billeje sammen med en kollega. Alt blev betalt over min Mastercard konto, men verificeret 2vejs på kollegaens telefon. Man angiver ganske enkelt blot telefon nr ved købet.

Får brugeren sit Card stjålet, så er der ingen sikkerhed før brugeren får det spærret, ikke mindst i forbindelse med de der chips plastikkortene er udstyret med (der ikke engang kræver PIN (Personal Identification Number)).

Det er godt nok noget andet end NemID, men blot som eksempel på at verificationsteknikkerne stadig er primitive. Systemudviklingen vil kræve så mange besvarelser (virker det også i udlandet, kan man bruge samme teknik overalt), at jeg personligt har svært ved at se beslutningstagerne kan overskue det.