recordere.dk forum     Det danske community for hjemmets elektronik og indhold     Siden 2003
<b>Forside</b> Forside > Generelle emner > Nyheder, anmeldelser & omtaler
  Nye indlæg Nye indlæg  Seneste forum emner Seneste   Seneste forum emner (vindue) Vindue   De emner du deltager i Mine emner RSS Feed - NemID Nøgleapp, endelig :)
  FAQ FAQ  Søg i forum   Opret ny bruger Opret ny bruger  Log ind Log ind

NemID Nøgleapp, endelig :)

 Besvar Besvar Side  <1 5678>
Forfatter
Besked
strandvasker Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2384
Funktioner Funktioner   Tak (0) Tak(0)   Citér strandvasker Citér  BesvarSvar Direkte link til dette indlæg Sendt: 30-Maj-2018 kl. 21:08
Ikke for at være en nejhat, men det er da helt skævt at lægge nøglekort på mobilen.

Hele pointen i at have et nøglekort er at det IKKE ligger på samme apparat der bruges til fx. netbank. 

Fidusen ved at have et nøglekort i det hele taget er, at hvis en hacker kompromiterer den computer eller telefon/tablet du bruger til fx. din netbank, så kan han keylogge sig til dit brugernavn og den selvvalgte kode, men det er hulens svært for et stykke malware på computeren eller telefonen at få skabt forbindelse over til papkortet eller nøgleringen med nøglerne = han kan ikke misbruge tingene selv om han har overtaget din computer eller telefon...

...lige indtil du er så venlig at installere den nye nøgleapp, hvor ved ham med en stump malware nu både kan overtage din telefon, keylogge dit brugernavn og selvvalgte kode, kan starte din netbank app og sørme også starte nøgleappen og lave alle de nøgler han har brug for.

Hvis du KUN bruger netbank, eboks, og alt den slags med nemid på din computer og ALDRIG på telefonen, så kan det godt spænde an at bruge nøgleapp på telefonen fordi der nu er to systemer, både computeren og telefonen der skal kompromitteres.

Det en hammerringe ide at have begge dele liggende på samme device, uanset hvor bekvemt det er. Det ville også være supernemt at lade hoveddørsnøglen sidde i døren når man går på arbejde, ingen grund til at slæbe rundt på en nøgle når den lige så godt kan sidde lige der hvor man skal bruge den, det fjerner bare ligesom hele pointen bag at have en lås i døren.
Til top
Kim Dahl Se dropdown menu
Super bruger
Super bruger
Avatar

Oprettet: 07-Marts-2007
Status: Offline
Point: 309
Funktioner Funktioner   Tak (0) Tak(0)   Citér Kim Dahl Citér  BesvarSvar Direkte link til dette indlæg Sendt: 30-Maj-2018 kl. 21:36
Noget andet er, at du låser appen op med f.eks. dit fingeraftryk. Så kan man jo lige så godt skippe nemid helt og bare lade dig gå på netbank og borger.dk og lignende udlukkende med dit fingeraftryk. Det er også mere sikkert.
Mitsubishi HC4900

Panasonic BD30

Onkyo TX-SR805
Til top
strandvasker Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2384
Funktioner Funktioner   Tak (0) Tak(0)   Citér strandvasker Citér  BesvarSvar Direkte link til dette indlæg Sendt: 02-Juni-2018 kl. 11:15
Oprindeligt skrevet af Kim Dahl Kim Dahl skrev:

Noget andet er, at du låser appen op med f.eks. dit fingeraftryk. Så kan man jo lige så godt skippe nemid helt og bare lade dig gå på netbank og borger.dk og lignende udlukkende med dit fingeraftryk. Det er også mere sikkert.
Nej.

Lad os sige jeg er hacker og det er lykkes mig at få dig til at klikke på et tilsendt link og installere noget malware. Jeg har nu fuld kontrol over din telefon og kan følge med i alt hvad du laver.

Hvis nu man lader dig bruge dit fingeraftryk som eneste password, hvad forhindrer så mig i at tage en kopi af dit fingeraftryk næste gang du logger ind på netbank eller borger.dk? Med kopien af dit fingeraftryk kan jeg nu logge ind alt det jeg har lyst til.

Hele fidusen med nemid's nøglekort er at den IKKE ligger på din telefon eller computer, dvs. selv om jeg hacker mig til fuld kontrol over din telefon, så kan jeg aflæse dit brugernavn og din personlige kode, og jeg kan aflæse den nemid-nøgle du bruger til at komme på fx. netbank - men når jeg så prøver at logge på din netbank strander jeg på, at jeg ikke har mulighed for at aflæse en frisk kode fra dit nemid papkort. 

Installerer du sådan en nemid app som tråden handler om, så kan jeg aflæse både dit brugernavn, din selvvalgte kode og jeg har også adgang til at starte en pissefed app der kan lave alle de nemid nøgler jeg mangler for at lænse din bankkonto. Selv hvis nemid appen kræver fx. fingeradtryk, så kan jeg jo bare tage en kopi af dit fingeraftryk næste gang du benytter det, det er lige ud af landevejen.

Det er ultravigtigt at nøglekortet ikke ligger et sted hackeren nemt kan komme til, det er derfor vi i dag har et separat papkort eller en separat nøgleringsdims til at levere koderne.


Redigeret af strandvasker - 02-Juni-2018 kl. 11:16
Til top
claus_jac Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-August-2008
Sted: Denmark
Status: Offline
Point: 5570
Funktioner Funktioner   Tak (0) Tak(0)   Citér claus_jac Citér  BesvarSvar Direkte link til dette indlæg Sendt: 02-Juni-2018 kl. 14:18
Strandvasker  - bliver nødt til at bede dig læse lidt op på hvorledes "fingeraftryk" lagres i en mobil (ios/and). - det er IKKE et billede. - så meget kan jeg allerede fortælle dig. Så det er ikke helt så let at "kopiere" et fingeraftryk. Desuden er der en hulens masse problemer med at alt krypteres - især i IOS hvor du har separat kryptering for vitale elementer i mobilen. OG disse skal lukkes op i en successiv sekvens. (som du starter med via fx fingeraftryk/ansigt. og hver gang noget åbnes, frigives en kode til næste funktion.)
Til top
Skodman Se dropdown menu
Bruger
Bruger
Avatar

Oprettet: 30-August-2006
Sted: Lyngby,Denmark
Status: Offline
Point: 218
Funktioner Funktioner   Tak (0) Tak(0)   Citér Skodman Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-Juni-2018 kl. 06:01
Den virker så ikke hvis man bruger f.eks danskebank appén ( android).Der skal man stadig ha fat i sit kort eller nøgle kort...
Til top
JeTex Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 18-Februar-2011
Sted: Nordsjælland
Status: Offline
Point: 3771
Funktioner Funktioner   Tak (0) Tak(0)   Citér JeTex Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-Juni-2018 kl. 08:41
Oprindeligt skrevet af Skodman Skodman skrev:

Den virker så ikke hvis man bruger f.eks danskebank appén ( android).Der skal man stadig ha fat i sit kort eller nøgle kort...
Så bruger du måske den gamle Danske Bank app, den app kan ikke integrere med nemid app. 
Til top
strandvasker Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2384
Funktioner Funktioner   Tak (0) Tak(0)   Citér strandvasker Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-Juni-2018 kl. 10:53
Oprindeligt skrevet af claus_jac claus_jac skrev:

Strandvasker  - bliver nødt til at bede dig læse lidt op på hvorledes "fingeraftryk" lagres i en mobil (ios/and). - det er IKKE et billede. - så meget kan jeg allerede fortælle dig. Så det er ikke helt så let at "kopiere" et fingeraftryk. Desuden er der en hulens masse problemer med at alt krypteres - især i IOS hvor du har separat kryptering for vitale elementer i mobilen. OG disse skal lukkes op i en successiv sekvens. (som du starter med via fx fingeraftryk/ansigt. og hver gang noget åbnes, frigives en kode til næste funktion.)
Jeg er godt klar over at der næppe ligger en fingeraftryk.png i din usermappe til fri afbenyttelse.

Uanset hvordan man vender og drejer tingene, så er sådan en fingeraftryksskanner noget hardware. Om den tager et billede eller aflæser varme eller magnetiske feltlinier eller noget helt fjerde er ikke så vigtigt, i sidste ende er der noget software, en driver, der styrer skanneren. Hardwaren aftaster et eller andet bitmønster og leverer det til driversoftwaren og driversoftwaren leverer det videre til telefonen i en eller anden, muligvis krypteret, form. 

Hver gang en eller anden app på telefonen har brug for et fingeraftryk så kontaktes driversoftwaren med et "Hey driver, kan du ikke lige tænde for skannerhardwaren og sende mig resultatet i den sædvanlige krypterede form?". Appen kan så sammenligne svaret fra driveren med noget allerede gemt og krypteret og alt muligt fancy, det er som det skal være, men appen aner ikke om skannerdriveren rent faktisk startede fingeraftryksskanneren op og aflæste et fingeraftryk eller om den bare genbrugte samme aflæsning som sidste gang uden at skanne noget som helst.

..og nej, det er ikke nemt eller "bare lige", men når først et system er kompromiteret er det ligemeget hvor meget der krypteres - krypteringsalgoritmerne kan jo også være modificerede/neutraliserede.

Omvendt er det hammersvært at få malware på sådan et nemid papkort, så din telefon eller computer kan være nok så inficeret med alt muligt snavs, hvis ikke du svarer tilbage med de korrekte cifre fra papkortet så lukker din netbank/borger.dk for festen.
Til top
claus_jac Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-August-2008
Sted: Denmark
Status: Offline
Point: 5570
Funktioner Funktioner   Tak (0) Tak(0)   Citér claus_jac Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-Juni-2018 kl. 12:22
Hele humlen er jo netop at du ikke er i stand til at "kopiere" dit fingeraftryk. og hvorledes vil du kompromittere noget som er sandboxed og ingen app har mulighed for at tilgå en anden apps data? jo - der er historier og diverse muligheder, men holy crap man skal godt nok lave meget for at få adgang til de ting. Så er det sg betydeligt lettere bare at stjæle en pung og få penge den vej. Og jeg vil ikke gå mere i detaljer med hvad secure enclave egentlig er, men det er ikke "bare lige at tilgå en driver"!

Som udgangspunkt er vi overhovedet ikke uenige i at man ikke kan få malware på et nøglekort, men 1. det password der bruges er i 9 ud af 10 tilfælde i kategorien "ikke stærkt" og vil derfor være let at lave noget test på, og 2. - rigtigt mange gemmer jo deres kort i deres pung!!
Til top
Cyberguyen Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 24-Oktober-2006
Sted: Denmark
Status: Offline
Point: 4931
Funktioner Funktioner   Tak (0) Tak(0)   Citér Cyberguyen Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-Juni-2018 kl. 23:11
Dumheden vil ingen grænser tage...

Selvfølgelig skal man ikke lægge nøglen på samme enhed, som den der skal køre den. Det er idioti med en App.
Papkortet er genialt og man kan evt. bare købe en token, så har man det også i en anden form.

Men de er ikke så kvikke inde hos NemID, deres tankegang er generel usund.

Jeg har haft kontakt med dem flere gange for mange år siden og gjort dem opmærksom på problematikken omkring udstedelse af nye nøglekort. Men selvom det nu har været oppe i medierne fordi folk bliver snydt og mister værdier, så har de stadig ikke lukket hullet.

Eksempel:
Jørgen benytter sit nøglekort på biblioteket, fordi han ikke selv har en computer. En ond mand følger Jørgen hjem og ser hvor han bor. Den onde mand vender efterfølgende tilbage til biblioteket og henter sin "tastaturlogger" som har gemt Jørgens personnummer og kode.
Den onde mand bestiller nu et nyt nøglekort som efter et par data kommer i Jørgens postkasse.
Den onde mand har nu adgang til at benytte Jørgens NemID uden begrænsninger.

Selvfølgelig skal man ikke kunne bestille et nyt NemID i postkassen, hvis det er mistet. Det skal da Hentes på kommunen og vises gyldigt ID. Hele ens juridiske liv ligger i det nøglekort.
Det ville også være en del smartere hvis man IKKE benyttede CPR nummer til at logge ind med i størstedelen af befolkningen.
Det skulle være et nøgle-id nummer eller alias, som man altid har kunne.
CPR er bare for dumt, da de it svage sikkert altid vil benytte cpr et sted som biblioteket, hvor det er ekstra sårbart.

Jeg støtter brugen af Recordere.dk's gamle logo med Piphans.
Til top
KlausDM Se dropdown menu
Platin medlem
Platin medlem
Avatar

Oprettet: 12-Marts-2010
Sted: Hammel, Jylland
Status: Offline
Point: 19184
Funktioner Funktioner   Tak (0) Tak(0)   Citér KlausDM Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-Juni-2018 kl. 23:27
Oprindeligt skrevet af Cyberguyen Cyberguyen skrev:


Den onde mand bestiller nu et nyt nøglekort 

Hvordan?


Ved hjælp af den nem-id kode han ikke har?
Ved hjælp af pas elle kørekort?
Gå til borgerservice, eller i Jørgens bank?


Klaus
Min modelbane, http://modelbaneeuropa.dk
Min hjemmeside, http://moppe.dk
Til top
Deschain Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 25-August-2017
Sted: San Junipero
Status: Offline
Point: 960
Funktioner Funktioner   Tak (0) Tak(0)   Citér Deschain Citér  BesvarSvar Direkte link til dette indlæg Sendt: 04-Juni-2018 kl. 10:04
Oprindeligt skrevet af Cyberguyen Cyberguyen skrev:

Eksempel:
Jørgen benytter sit nøglekort på biblioteket, fordi han ikke selv har en computer. En ond mand følger Jørgen hjem og ser hvor han bor. Den onde mand vender efterfølgende tilbage til biblioteket og henter sin "tastaturlogger" som har gemt Jørgens personnummer og kode.
Den onde mand bestiller nu et nyt nøglekort som efter et par data kommer i Jørgens postkasse.
Den onde mand har nu adgang til at benytte Jørgens NemID uden begrænsninger.

Man må da så håbe at Jørgen har masser af penge på kontoen, så det er alt det besvær værd for den onde mand...
Til top
T-Duck Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 15-Januar-2012
Sted: Vålse Danmark
Status: Offline
Point: 3949
Funktioner Funktioner   Tak (0) Tak(0)   Citér T-Duck Citér  BesvarSvar Direkte link til dette indlæg Sendt: 04-Juni-2018 kl. 10:37
vi må hellere få sølvpapirs hatte på alle sammen
Til top
 
 Besvar Besvar Side  <1 5678>
 
Skift forum Forum-tilladelser Se dropdown menu