PBS A/S

Sårbarhed belaster NemID

- Via Computerworld -

Endnu en NemID-sag kom frem i weekenden, men den kræver tålmodige kriminelle og lækkede kodeord.

Den nye proces der er kommet frem i lyset, er forholdsvis simpel – den er dog kun gjort mulig af, at NemID-loginboksen skriver hvor mange nøgler der er tilbage på nøglekortet når man er logget korrekt ind.

I tilfældet hvor kriminelle har et offers login-navn (ofte et CPR-nummer) samt login-kodeord, er det muligt for kriminelle at følge med i hvor mange koder der er tilbage på nøglekortet.

Denne information bruger de kriminelle, så de ved hvornår det er tid til at bestille nyt nøglekort. De overvåger ofrets postkasse og fisker brevet med det nye nøglekort op.

De kriminelle kan have fået fat i brugerens kodeord via f.eks. en keylogger på et offentligt bibliotek.





Gå til bund
Gravatar #1 - kriss3d
15. jun. 2020 08:29
Det er lidt noget sludder. Det er ikke en sårbarhed i nemid. Det er blot en metode. Det svarer til at sige at der er en sårbarhed hos politiken fordi en kan stjæle din morgenavis i postkassen.

Gravatar #2 - Codes
15. jun. 2020 09:04
kriss3d (1) skrev:
Det er lidt noget sludder. Det er ikke en sårbarhed i nemid. Det er blot en metode. Det svarer til at sige at der er en sårbarhed hos politiken fordi en kan stjæle din morgenavis i postkassen.



Selvfølgelig er det da en sårbarhed at man kan regne ud hvornår nemid ejeren modtager et nyt nemid kort.

Og ja, det er da en sårbarhed i avis distributionen at enhver kan fiske den op af postkassen, men det er rimelig begrænset hvor meget skade det kan gøre i forhold at stjæle et nemid :)
Gravatar #3 - arne_v
15. jun. 2020 13:39
#0

Det er en sårbarhed men lad os lige have lidt perspektiv.

Kontekst: sort hat kender brugernavn og password.

Traditionel enkelt faktor password: fuld adgang også fra den anden side af jorden.

NemID: skal vente på at et nyt kort skal bestilles hvilket kan tage år og kræver fysisk adgang til postkssen.

NemID kunne så forbedres ved først at vise antal nøgler tilbage efter login med engangskode fra nøglekort.

Men på en skala 1-100 må det vel være:

traditionel - 30
NemID idag - 90
NemID med forbedring - 92

Gravatar #4 - lsv20
16. jun. 2020 05:27
Uden helt af vide det - Men jeg gætter på når man indtaster nemid koden forkert 3 gange, så lukkes NemID kortet, og der automatisk bliver sendt et nyt afsted.

Ellers så indtaster man jo bare forkert indtil der er 0 koder tilbage.

Så de behøver ikke engang at holde øje med hvor mange koder der er tilbage. Bare tast løs, og så vente på posten.

En hurtig ændring - Du skal ned i banken for at lukke det op, eller for at modtage en engangs kode.
Gravatar #5 - TwistedSage
16. jun. 2020 05:59
Den tæller vel ikke kode ned, hvis du taster forkert? Og desuden kan man jo bruge app'en som alle andre, så er det ikke noget problem ;)
Gravatar #6 - udenrigsministeren
16. jun. 2020 09:05
#5 Jo, den tæller koden ned - har selv prøvet af ren nysgerrighed, efter at have gjort samme overvejelser som #4

Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk. Der fremgår imidlertid ikke umiddelbart, hvad konsekvensen er at indtaste engangskoden forkert, adskillige gange. En antagelse er dog at de har en kontrolforanstaltning, der tager højde for dette.

En anden, mulig svaghed kan være banken, der kan iværksætte udstedelse af nyt nøglekort. Banditten har - såfremt der ikke anvendes brugernavn - offerets CPR, kodeord og banknavn (takket være keyloggeren), så hvad forhindrer førstnævnte i at få udstedt et nyt nøglekort? Nordea angiver selv, det gøres med et telefonopkald... og hvor nummeret i øvrigt også kan spoofes, i tilfælde af at dette også anvendes som del af autentificeringsprocessen.

Der skal naturligvis lidt forarbejde til - men til gengæld er så mange tjenester efterhånden knyttet op på NemID at det er et rent slaraffenland for den, der kan og vil.

Edit: Jeg kan ikke se, det hjælper så meget at bruge app'en. Banditten har jo CPR/brugernavn og adgangskode, hvilket betyder at der kan skiftes over til nøglekort til hver en tid. Hvis offeret så ikke opdager det, er banen fri.
Gravatar #7 - T_A
16. jun. 2020 09:27
#6
Hvad hvis du i stedet når den spørg efter kode bare lukker vinduet og starter et nyt op?
Så giver den dig vel også en ny kode ikke?
Så ja de kunne nok lave nogle bedre sikringer af at man ikke kan fremprovokere kode-kortskifte.
Gravatar #8 - larsp
16. jun. 2020 09:34
udenrigsministeren (6) skrev:
Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk.

Vil det sige at man kan lægge en brugers NemID adgang ned, bare man kender vedkommendes brugernavn?

Det er da en sårbarhed så det basker hvis det er tilfældet.

Mangel på adgang kan være alvorligt.
Gravatar #9 - T_A
16. jun. 2020 10:53
larsp (8) skrev:
udenrigsministeren (6) skrev:
Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk.

Vil det sige at man kan lægge en brugers NemID adgang ned, bare man kender vedkommendes brugernavn?

Det er da en sårbarhed så det basker hvis det er tilfældet.

Mangel på adgang kan være alvorligt.


Hmm ja evt. bare deres CPR nummer måske..
Det ville kunne betyde nogle fjolser kunne gøre livet rigtig træls for folk de ikke kunne lide.
Gravatar #10 - _tweak
16. jun. 2020 11:38
Man bør tilføje et brugernavn til nemid, og slå login med cpr-nummer som brugernavn, fra. Dermed går man ikke rundt med brugernavnet på sit sygesikringskort, og nappes ens login med keylogger, afslører det ikke automatisk ens cprnummer.
Gravatar #11 - arne_v
16. jun. 2020 13:31
larsp (8) skrev:
udenrigsministeren (6) skrev:
Ifølge NemID's hjemmeside kan en konto blive lukket, hvis man indtaster brugernavn og kodeord forkert, adskillige gange i træk.

Vil det sige at man kan lægge en brugers NemID adgang ned, bare man kender vedkommendes brugernavn?

Det er da en sårbarhed så det basker hvis det er tilfældet.

Mangel på adgang kan være alvorligt.


Ja.

Men at tillade et brute force angreb anses normalt som værende mere alvorligt.


Gravatar #12 - larsp
16. jun. 2020 17:27
#11 Kunne de ikke have lavet en karantæne løsning, f.eks. 5 forkerte passwords låser kontoen i 12 timer.

Som det er nu kan man ud fra fødselsdato gætte sig til en persons CPR nr og med en vis sandsynlighed har man så NemID brugernavnet og mulighed for at spærre det hvis man har dem ondt i sinde.

Inden for bil-software opererer man ikke kun med sikkerhed i traditionel forstand, men også med begrebet functional safety. Bilen må IKKE bare stoppe med at kunne betjenes som en fallback hvis noget er ved at gå galt, det kan være ekstremt farligt. NemID er så central og så vigtig for en borger at man også burde have set på functional safety her.
Gravatar #13 - _tweak
16. jun. 2020 18:05
Fem eller otte forkerte forsøg låser kontoen i 8 (eller 12) timer; et familiemedlem har netop lige været ude for det :-)
Gravatar #14 - arne_v
16. jun. 2020 18:57
#12

Det er ret almindeligt.

Klassisk:

N forgæves forsøg => luk for adgang i X minutter

Mere avanceret:

ventetid før næste forsøg = X sekunder * pow(2, antal forgæves forsøg)

Gravatar #15 - arne_v
16. jun. 2020 19:01
#12 og #13

https://www.version2.dk/artikel/danid-ja-det-er-mu...

er ikke ny men siger:


I første omgang vil kontoen være låst i otte timer og er derefter klar igen. Men bliver der igen brugt fem forkerte forsøg på at logge ind, kræver det en ny, midlertidig adgangskode. Har man tilknyttet et mobiltelefonnummer til sin NemID, kan man få adgangskoden med det samme. Ellers kan man gå ned i banken og få en, eller hvis det ikke haster, få en pr. brev.

Gravatar #16 - Claus Jørgensen
16. jun. 2020 23:57
Så hvis jeg kan finde jeres cpr nummer kan jeg blokere jeres nemid?

Ikke ligefrem fantastisk... Nok derfor nemid ikke bruges til så meget i Danmark

(I Sverige bruger vi BankId til næsten alt hvor en digital signatur kan være relevant)
Gravatar #17 - Vanvittig
17. jun. 2020 09:58
"Sikkerhedshullerne" som DR omtaler er henholdsvis 1) at man indtaster alle sine koder på en offentlig computer, hvor enhver kan installere keylogger, og 2) at man udleverer sine koder til "politiet", når de ringer. Kan Nets A/S også udvikle software, der kan forhindre mig i at åbne mine vinduer, så jeg ikke kan kaste penge ud af dem?

En helt relevant forebyggende optimering af sikkerheden kunne være, at lukke landets biblioteker og give folk der arbejder, pengene i skattelettelser i stedet. Jeg er sikker på, at folk der gerne vil læse en bog, selv er voksne nok til enten at kunne købe den, eller til at kunne starte en privat indkøbsforening, hvor man udlåner værker til hinanden privat efter aftale. Mon ikke vi kan finde ud af det uden staten?

Folk der udleverer koder når "politiet" ringer bør selv hæfte. Det har jeg ikke lyst til at betale for som bankkunde, og det er kun andres renter og gebyrer der stiger, når banken skal dække sådan noget. Det er virkelig at kaste lorten videre til de andre. I øvrigt kan man tegne private forsikringer imod digitalt identitetstyveri. Jeg tror at flere forsikringsselskaber har det som en tillægsydelse til indboforsikringen. Man må tage ansvar for sig selv.

Nåh, nu ringer politiet. Nu vil jeg brænde 100.000 kroner af og ringe til banken bagefter. Så kan I andre få lov til at betale.

#10
Et CPR-nummer er ikke en adgangskode. Hvis vi skal bruge den præmis, så er vi allerede helt fortabte. Man bør straks enten afskaffe CPR-numrene eller offentliggøre dem alle.

#16
Og i Sverige har man offentliggjort alle borgeres personnumre på nettet, så folk ikke får den vanvittige tanke, at deres CPR-nummer, der udover deres fødselsdag er fire cifre, er adgangskoden til hele deres liv.
Gravatar #18 - Claus Jørgensen
17. jun. 2020 11:22
#17

Principelt er de sidste 4 cifre ikke 100% offenlige - dvs. du kan ikke finde dem på hitta.se (Den Svenske udgave af De Gule Sider), men man bruger personnummeret til mange ting, så det betragtes ikke som at være hemmeligt på samme måde som i Danmark.

Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login