fredag, januar 22, 2021

NemId – Sådan kan den hackes

Daily Rush Debat Off-topic NemId – Sådan kan den hackes

Viser 15 kommentarer - 1 til 15 (af 46 i alt)
  • Forfatter
    Kommentarer
  • #1

    MaskDupants
    Bruger
    1.746 indlæg
    Offline

    Hm..

    Danske bank har to sikkerhedslag, så man skal logge på hvis man skal overføre penge.

    #2

    Fisker
    Bruger
    12.648 indlæg
    Offline

    Ja det er skræmmende hvor inkompetente folk er

    Edit: WAIT WHAT så lige slutningen, ja så er det også skræmmende hvor inkompetente NemID folkene er, selvom det sådan set stadigvæk er et phishing angreb >:E

    #3

    gnavpot
    Bruger
    2.494 indlæg
    Offline

    #0 Ja, det var så det som var den store nyhed I SIDSTE UGE!

    Du ved… dengang hvor vi alle efter at have været vildt oprørte over hvor nemt det var, kort tid efter indså at der ikke findes et eneste IT-system som ikke falder for den slags tricks. At Version 2 lige har valgt NemID, er blot deres måde at efterligne ekstrabladet og BT med sensationsjournalistik.

    Konklusionen blev at man jo trods alt aldrig kan sikre sig mod folks uvidenhed og/eller idioti, og at der nok ikke var meget at komme efter…. og at der bestemt ikke var nogen nyhedsværdi.

    Derefter blev det nemme eksempel gjort til grin da en ægte IT-kriminel naturligvis ikke ville lave sådan en simpel løsning, som endda kræver at han sidder ved sin maskine 24/7 og venter på at en eller anden tåbe vælger at klikke på det falske link.

    Hellere komme galt afsted, end slet ikke komme afsted.

    #4

    Fisker
    Bruger
    12.648 indlæg
    Offline

    #3 Viste de ikke lige i slutningen at login stadigvæk var gjort over nemid, eller misforstod jeg noget? (Har ikke lyd her)

    #5

    mifan
    Bruger
    6.679 indlæg
    Offline

    #3 Signed!

    Man kan aldrig sikre sig helt mod folks dumhed/uvidenhed.

    Men det var måske en idé, at man låste enheder til nemID, så der også skulle en unik krypteringsnøgle til.

    ...powered by Google

    #6

    ruuz
    Bruger
    1.241 indlæg
    Offline

    “når den IT-kriminelle har indtastet koden, skal han bruge en nøgle fra ofrets nøglekort,den bliver i dette tilfælde skaffet via et program der tager et billede af det rigtige nøglekort”

    ehh jaaa? hvis de har haft adgang til det fysisk?
    dvs de skal både stjæle/fotografere kortet UDEN at personen lægger mærke til.. nej vent hvad?!? det er jo sort snak…og så skal de lige gætte sig til at personen går ind på en teoretisk hjemmeside, TÅÅÅÅBELIGT! og tvivlsomt teoretisk skræmme eksempel..

    #7

    Fisker
    Bruger
    12.648 indlæg
    Offline

    #6 Ja det er hvis de skal have alle nøglerne, men du kan stadigvæk godt lave et simpelt phishing angreb for en enkelt nøgle ad gangen.

    Men hvis det bare var det, ja så er det godt nok dumt

    #8

    Kolben
    Bruger
    18.939 indlæg
    Offline

    #6
    Han skal ikke have et billede af nøglekortet. Hackeren sender brugeren en kopi at formularen (“billede”) fra nemid, til indtastning af koden. Når brugeren taster koden, får hackeren koden, og kan taste den i den rigtige formular.

    At underkende problemet, fordi han i forklaringen har forenklet det, er uheldigt. Der er en del der falder i, så problemet er meget konkret og meget virkeligt.

    P=NP?

    #9

    Kimozabi
    Bruger
    24.746 indlæg
    Offline

    Det hedder altså NemID af flere årsager.

    "You don't want to see me when I'm angry - because I back up my rage with facts and documented sources." - The Credible Hulk.

    #10

    SkaFt
    Bruger
    5.199 indlæg
    Offline

    #9 Og det er jo fair nok.. det skal jo være let for alle!

    Hvad bliver det næste?

    #11

    jhs
    Bruger
    794 indlæg
    Offline

    Men skal der ikke i det billede der kommer til brugeren være et nummer på den nøgle der skal bruges?? Det er har den kriminelle jo ikke mulighed for at kende? Hvormanger nøgler er der på et kort? 100 ud af 9999 muligheder?

    EDIT: My bad han sender nummeret fra NemID

    #12

    Fisker
    Bruger
    12.648 indlæg
    Offline

    #8 Selvfølgelig er det meget virkeligt problem, det er bare også det ældste problem i bogen, og det som med stor sandsynlighed vil fortsætte med at virke i al evighed.

    Der er intet nyt i det her, og udover generelt at forbedre anti-phishing initiativer som jo sker dagligt, så ser jeg ikke hvad NemID ellers skal kunne stille op.

    Må ærligt indrømme jeg også synes artiklen + de tilhørende artikler ligner at de prøver på at få dem sat i dårligt lys.

    #13

    ruuz
    Bruger
    1.241 indlæg
    Offline

    #8 DOOOOOOOOOOOOOOOH

    my bad, det er jo klart mand.
    tror jeg sku have suget noget mere kaffe til at starte med

    #14

    Kolben
    Bruger
    18.939 indlæg
    Offline

    #12
    Det ved jeg nu ikke. Det er lettere at forholde sig til noget konkret, end at skulle holde det hele hypotetisk og teoretisk. Bare se på reaktionen herinde. Selvom forklaringen er blevet serveret på et sølvfad, var det ikke alle der kunne overskue problemet. Artiklen ER jo netop et anti-phishing initiativ.

    Derudover synes jeg ikke at der er noget galt med at sætte dem i et dårligt lys. For problemet er vokset væsentligt, da et login hos NemID giver langt mere adgang, end det tidligere virvar af systemer. At kræve NemID er et stort slag mod sikkerheden, idet man ikke længere har alternativer til det. Nu skal hackeren kun tilpasse sig et system, fremfor at skulle tilpasse sig dynamisk hele tiden altefter hvor han ville bryde ind. Det gælder angreb mod alt lige fra det fysiske, hvor han tiltusker sig nøglekortet, fordi han har sat sig ind i proceduren med hvordan det udleveres, og hvordan det ser ud, til det digitale, hvor han kan genbruge langt mere kode.

    Med NemID er det blevet væsentligt lettere at være hacker. Og det er så uden at nævne alt det andet skidt associeret med NemID.

    P=NP?

    #15

    al-attacke
    Bruger
    1.807 indlæg
    Offline

    Jeg tænker bare det ville være rimeligt nemt at løse man kunne jo bare have en kode som kun personen kender som bekræftelse når man indtaster den første kode (den du selv bestemmer) og så kunne man nemt se om det var nemid som man kommunikerede med?

Viser 15 kommentarer - 1 til 15 (af 46 i alt)
  • Du skal være logget ind for at kommentere på dette indlæg.