NemId – Sådan kan den hackes
Daily Rush › Debat › Off-topic › NemId – Sådan kan den hackes
- Dette indlæg indeholder 46 kommentarer, har 19 deltagere og blev senest opdateret af
Optiquest for 9 år, 2 måneder siden.
- ForfatterEmne
- 09/11/2011 kl. 08:34#0
Skræmmende enkelte!
http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396
- ForfatterEmne
- ForfatterKommentarer
- 09/11/2011 kl. 14:17 #16
#15
Hvad skulle forhindre en hacker i at sende denne formular også, og så selv være den, der loggede ind hos NemID med denne første kode?P=NP?
09/11/2011 kl. 14:17 #17P.T. Barnum havde det sidste ord. Det kan intet sikkerheds system gøre noget somhelst ved
Jeg har atomer i bukserne. Og så kan man desuden aldrig få CPU'er nok. Det er ganske enkelt naturvidenskabeligt umuligt.
09/11/2011 kl. 14:23 #18#14 Ja jeg kunne nu så som sagt ikke forstå nyheden i det, da jeg jo lige netop troede det var mere end det bare ooooooold-gamle phishing problem.
Uden lyd hjalp det jo så heller ikke, og man kunne ikke se om det var en officiel nemid eller ej.
Jeg er uenig i at en journalistisk virksomhed skal forsøge at sætte nogle i dårligt lys, uden der er belæg for det, og det synes jeg ikke der er her.
Du har dog ret i at når man samler alle tingene under et sted, så er der jo også mere der bliver kompromitteret under en enkel transaktion.
Men havde det ikke været “NemID” havde det bare været Digital Signatur og så havde problemet været det samme.
Skal man gå ud og sige at alle systemerne skal have forskellige logins så gør du bare det hele mere uoverskueligt for brugeren, som sandsynligvis vil bruge samme brugernavn og password til alle. Derfor er den ekstra sikkerhed i det heller ikke så stort.
Jeg vil ikke sige at NemID har gjort det nemmere at blive hacker, udviklingen har, digitaliseringen vil ske, med eller uden NemID.
09/11/2011 kl. 14:44 #19#18
Hvordan ville du skrive sådan en artikel, hvis du ikke kan give eksempler, uden at hr. fisker synes du er en skurk? Som sagt, så bliver man nødt til at holde det konkret, for at flest mennesker kan forstå det. Hvis du bare smider om dig med hypoteser, så fatter folk ikke en skid, og kan ikke relatere problemet til deres hverdag, som netop ER NemID. Du kommer ikke uden om NemID i en sådan artikel.Og jo. Det ER lettere at være hacker, når der kun er et enkelt system, der skal brydes. Hvis der var flere valgmuligheder, var der flere ting at tage højde for, for hackeren (eller færre suckers i butikken; you pick). Der ville indimellem dukke konkurrerende systemer op, som hackeren så skulle sætte sig ind i.
At det er mere uoverskueligt for brugeren er ikke særlig problematisk. Det gør dem mere påpasselige, hvor det man kender ofte foregår med hovedet under armen. Der ville hverken blive færre eller flere tåber, men der skulle en større indsats til at narre dem, hvis de var spredt på mange forskellige systemer.
Og ja, jeg er heller ikke fan af centraliserede tvungne valg af digitale signaturer. Gør det frit hvad man vil vælge.
P=NP?
09/11/2011 kl. 14:53 #20#16
Jeg har måske ikke udtrykt mig klart nok. Det som jeg tror ville løse problemet var hvis man fik en bekræftelse fra NemID når man loggede på i form af en kode som man kun selv kendte.Dvs. det er ikke en kode der nogensinde bliver tastet ind nogensteder (og kan derfor ikke aflures medmindre du er fysisk tilstede)
Så det ville foregå således:
Du indtaster cpr nr og din personlige kode og NemID viser så din personlige beskræftelses kode og du ved nu at det virkelig er nemID og kan derfor bruge papkortet.
09/11/2011 kl. 14:58 #21#20
Hypotese:
Jeg laver en hjemmeside hvor jeg spørger om dit crp-nr. og din personlige kode. Dette sender jeg så til nem-id og får din bekræftelses-kode. Den sender jeg til dig, der nu tror at jeg er nem-id. Derefter følges opskriften i #0. Vil jeg så ikke have brudt dit system?Det eneste du gør er at skyde et ekstra lag ind. Det er dog ikke et sikrere lag. Princippet i at bryde detteer præcis det samme som i #0, og det kræver ikke noget ekstra fra hackerens side. Andet endat han nu skal lave en ekstra udveksling, hvilket er let, når han allerede kan finde ud af at lave den første.
P=NP?
09/11/2011 kl. 15:03 #22#21
Det der er ved “mit” system er at brugeren bliver opmærksom på at den er gal hvis de på et tidspunkt ikke for deres bekræftelses kode og kan derved ændre deres kode.09/11/2011 kl. 15:28 #23Men det er jo ikke NEMID der blir hacket…
Det er brugeren der, af den ene eller anden anden årsag, gik ind på den forkerte side.
Så kan ALT jo hackes.
Det sender et utrolig dårlig signal om at NemID er pisse farligt.
Men det er det jo slet ikke. Man skal bare tænke sig om og ikke åbne hvad som helst og kommer der en mail fra banken så gå ind på siden istedet for at klikke på links i mails.
Det er mindre IT sikre der kan blive narret af dette og jeg er sikker på at de samme mennesker vil kunne blive narret til en masse andet også.
Og husk nu: densutterjoikksigselv.dk
09/11/2011 kl. 15:33 #24#19 Du misforstår mig, jeg synes det er fint de gør opmærksom på problemet, men jeg synes tonen er lidt anklagende.
Fx. er det originale link af artiklen “Så nemt kan NemID hackes” (Se linket)
Der er ikke tale om hacking, og det er ikke NemID der bliver “hacket”, det er trods alt stadigvæk brugeren.
(De har så sidenhen åbenbart ændret det, men det gør det ikke ligefrem bedre)
Jeg synes de oversælger hvor simpelt det er, ja det er simpelt når du har et system på plads, men det er ikke simpelt at lave det system.
Du skal så stadigvæk også lave dette system, omend NemID delen for det meste vil være det samme, for hver forskellig service.
Med få dages indsats, en smule fantasi og værktøjer, der er frit tilgængelige på internettet, kan en relativt ukyndig it-kriminel franarre dig dine NemID-oplysninger og få adgang til bl.a. netbank, selvangivelsen eller detaljerede oplysninger om medicinforbrug og behandling på sundhed.dk.
BS. (At bruge ordet “relativ” for at bagefter kunne sige “trolololo” når nogle påpeger det var uansvarligt at bruge ordet “ukyndig” gælder ikke)
Det var også sjovt hvilken idé de havde fået deres “ekspert” til at finde på:
På den måde skal brugeren blot tjekke, at der står f.eks. ‘visa.com’ i browserens adressefelt
Det bør brugeren jo også i det “exploit” de benytter, suk.
Hvad er pointen? Ved personen som bruger NemID ikke hvilken hjemmeside han tilgår? Ved han ikke hvis han bruger NemID på TDC.dk så skal der står TDC.dk og ikke TDC.scam.tk?
Et typosquatting scam der skal løses ved et bruge et domænenavn, som stadigvæk kan typosquattes.
Ellers er vi enige i at det er nemmere at være hackere, men jeg tror altså ikke på at folk som kan finde ud af at bruge forskellige brugernavn og kodeord på forskellige systemer (Pånær lige Bank/vs. everything else) er tilbøjelige til scams.
Derimod tror jeg at de folk som er tilbøjelige til scams også er de folk som bruger de samme brugernavne og password overalt de kan, og måske kun har et andet password til deres bank.
09/11/2011 kl. 15:37 #25#23 Jeg er så enig med dig, bare så du ved det
09/11/2011 kl. 15:39 #26#22
Dette forklarer det bedre end en wall-of-text#23
Ja, alt kan hackes. Men hacker du nemid, har du adgang til alt#24
Det er jo ikke sikkert at man lige kender den korrekte url til biblioteket, men finder et eller andet obskurt link, og haps, så mister man alle sine skejser.Og jo, det er da ufatteligt simpelt at lave sådan et system. Nu er jeg godt nok datalog, men hvis havde interessen, ville det da ikke tage mig meget mere end en dag at lave et sådan system.
P=NP?
09/11/2011 kl. 15:56 #27#26 Sikkert, men vil nu heller ikke mene du kvalificerer som ukyndig
Jeg mener selvfølgelig ikke at scammere ikke vil gøre det fordi det er for hårdt, eller at de ikke kan finde ud af det.
Min pointe er mere hvordan offentligheden ser på sådan en måde at formulere tingene på.
Hvis jeg skulle se på det med hr. og fru. jensen øjne, så ville jeg da klart se det som, “så er det sikkert noget min datter kunne gøre”
Og ja hvis man prøver at kvantificere sikkerheden ned på sådan et niveau, så ville det da klart hjælpe, jeg tror dog ikke det faktisk vil have nogen praktisk effekt.
Hvis jeg ikke kender din e-mail addresse så har jeg lidt svært ved at hacke den, men mit kendskab til den gør det ikke specielt nemmere, selvom man godt kunne argumentere for at det var gjort nemmere
09/11/2011 kl. 16:03 #28Jeg synes da al-attacke har fat i noget. Hvis man nu kunne få sit (ekstra)personlige kodeord sendt til en email eller som sms, så ville der jo være det ekstra lag som går helt uden om den hjemmeside man er på.
Evt. kan det være en feature (slået til som standard), som man så kan fravælge, hvis man mener man er awesome nok til at begå sig på nettet.Objects in rear view mirror are losing
09/11/2011 kl. 16:04 #29#25 Så er der da lidt vi kan være enige om
Og husk nu: densutterjoikksigselv.dk
09/11/2011 kl. 16:06 #30#28
Ja, hvis du involverer et andet eksternt system også, så er det langt mere sikkert. Men også langt mere besværligt.P=NP?
- ForfatterKommentarer
- Du skal være logget ind for at kommentere på dette indlæg.
























