NemId – Sådan kan den hackes
Daily Rush › Debat › Off-topic › NemId – Sådan kan den hackes
- Dette indlæg indeholder 46 kommentarer, har 19 deltagere og blev senest opdateret af
Optiquest for 9 år, 2 måneder siden.
-
ForfatterEmne
-
09/11/2011 kl. 08:34 #0
Skræmmende enkelte!
http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396
-
ForfatterEmne
-
ForfatterKommentarer
-
09/11/2011 kl. 08:42 #1
Hm..
Danske bank har to sikkerhedslag, så man skal logge på hvis man skal overføre penge.
09/11/2011 kl. 08:43 #2Ja det er skræmmende hvor inkompetente folk er
Edit: WAIT WHAT så lige slutningen, ja så er det også skræmmende hvor inkompetente NemID folkene er, selvom det sådan set stadigvæk er et phishing angreb >:E
09/11/2011 kl. 08:46 #3#0 Ja, det var så det som var den store nyhed I SIDSTE UGE!
Du ved… dengang hvor vi alle efter at have været vildt oprørte over hvor nemt det var, kort tid efter indså at der ikke findes et eneste IT-system som ikke falder for den slags tricks. At Version 2 lige har valgt NemID, er blot deres måde at efterligne ekstrabladet og BT med sensationsjournalistik.
Konklusionen blev at man jo trods alt aldrig kan sikre sig mod folks uvidenhed og/eller idioti, og at der nok ikke var meget at komme efter…. og at der bestemt ikke var nogen nyhedsværdi.
Derefter blev det nemme eksempel gjort til grin da en ægte IT-kriminel naturligvis ikke ville lave sådan en simpel løsning, som endda kræver at han sidder ved sin maskine 24/7 og venter på at en eller anden tåbe vælger at klikke på det falske link.
Hellere komme galt afsted, end slet ikke komme afsted.
09/11/2011 kl. 08:51 #4#3 Viste de ikke lige i slutningen at login stadigvæk var gjort over nemid, eller misforstod jeg noget? (Har ikke lyd her)
09/11/2011 kl. 09:43 #5#3 Signed!
Man kan aldrig sikre sig helt mod folks dumhed/uvidenhed.
Men det var måske en idé, at man låste enheder til nemID, så der også skulle en unik krypteringsnøgle til.
...powered by Google
09/11/2011 kl. 12:55 #6“når den IT-kriminelle har indtastet koden, skal han bruge en nøgle fra ofrets nøglekort,den bliver i dette tilfælde skaffet via et program der tager et billede af det rigtige nøglekort”
ehh jaaa? hvis de har haft adgang til det fysisk?
dvs de skal både stjæle/fotografere kortet UDEN at personen lægger mærke til.. nej vent hvad?!? det er jo sort snak…og så skal de lige gætte sig til at personen går ind på en teoretisk hjemmeside, TÅÅÅÅBELIGT! og tvivlsomt teoretisk skræmme eksempel..09/11/2011 kl. 13:02 #7#6 Ja det er hvis de skal have alle nøglerne, men du kan stadigvæk godt lave et simpelt phishing angreb for en enkelt nøgle ad gangen.
Men hvis det bare var det, ja så er det godt nok dumt
09/11/2011 kl. 13:10 #8#6
Han skal ikke have et billede af nøglekortet. Hackeren sender brugeren en kopi at formularen (“billede”) fra nemid, til indtastning af koden. Når brugeren taster koden, får hackeren koden, og kan taste den i den rigtige formular.At underkende problemet, fordi han i forklaringen har forenklet det, er uheldigt. Der er en del der falder i, så problemet er meget konkret og meget virkeligt.
P=NP?
09/11/2011 kl. 13:25 #9Det hedder altså NemID af flere årsager.
"You don't want to see me when I'm angry - because I back up my rage with facts and documented sources." - The Credible Hulk.
09/11/2011 kl. 13:29 #10#9 Og det er jo fair nok.. det skal jo være let for alle!
Hvad bliver det næste?
09/11/2011 kl. 13:33 #11Men skal der ikke i det billede der kommer til brugeren være et nummer på den nøgle der skal bruges?? Det er har den kriminelle jo ikke mulighed for at kende? Hvormanger nøgler er der på et kort? 100 ud af 9999 muligheder?
EDIT: My bad han sender nummeret fra NemID
09/11/2011 kl. 13:47 #12#8 Selvfølgelig er det meget virkeligt problem, det er bare også det ældste problem i bogen, og det som med stor sandsynlighed vil fortsætte med at virke i al evighed.
Der er intet nyt i det her, og udover generelt at forbedre anti-phishing initiativer som jo sker dagligt, så ser jeg ikke hvad NemID ellers skal kunne stille op.
Må ærligt indrømme jeg også synes artiklen + de tilhørende artikler ligner at de prøver på at få dem sat i dårligt lys.
09/11/2011 kl. 13:49 #13#8 DOOOOOOOOOOOOOOOH
my bad, det er jo klart mand.
tror jeg sku have suget noget mere kaffe til at starte med09/11/2011 kl. 14:09 #14#12
Det ved jeg nu ikke. Det er lettere at forholde sig til noget konkret, end at skulle holde det hele hypotetisk og teoretisk. Bare se på reaktionen herinde. Selvom forklaringen er blevet serveret på et sølvfad, var det ikke alle der kunne overskue problemet. Artiklen ER jo netop et anti-phishing initiativ.Derudover synes jeg ikke at der er noget galt med at sætte dem i et dårligt lys. For problemet er vokset væsentligt, da et login hos NemID giver langt mere adgang, end det tidligere virvar af systemer. At kræve NemID er et stort slag mod sikkerheden, idet man ikke længere har alternativer til det. Nu skal hackeren kun tilpasse sig et system, fremfor at skulle tilpasse sig dynamisk hele tiden altefter hvor han ville bryde ind. Det gælder angreb mod alt lige fra det fysiske, hvor han tiltusker sig nøglekortet, fordi han har sat sig ind i proceduren med hvordan det udleveres, og hvordan det ser ud, til det digitale, hvor han kan genbruge langt mere kode.
Med NemID er det blevet væsentligt lettere at være hacker. Og det er så uden at nævne alt det andet skidt associeret med NemID.
P=NP?
09/11/2011 kl. 14:14 #15Jeg tænker bare det ville være rimeligt nemt at løse man kunne jo bare have en kode som kun personen kender som bekræftelse når man indtaster den første kode (den du selv bestemmer) og så kunne man nemt se om det var nemid som man kommunikerede med?
-
ForfatterKommentarer
- Du skal være logget ind for at kommentere på dette indlæg.
























