mboost-dp1
Den tekniske korrekte NemID implementation
T-Hawk (22) skrev:
Hubert et al. må indse at man ikke kan regne med at danskerne kan passe fornuftigt på deres private nøgler. Dette gælder så vidt jeg kan se også jer, da i jo netop foreslår at gemme den på en computer der kan brydes.
Husk nu at selv NemID skriver at deres løsning ikke er 100% sikker. Der er vel ingen der er i tvivl om at alt kan brydes? Selv NemID kan man bryde ind i.
Hvad Windcape meget belejligt glemmer at nævne er at der er kommet flere forslag der fjerner den privat nøgle fra computeren. Den skal finde i en HSM token, med en knap og et display.
Men selvom man flyttede nøglen til et hardware token, så ville vi stadigvæk skulle overkomme de tekniske udfordringer i browserne, som jeg lagde op til i #1.Hubert (53) skrev:Hvad Windcape meget belejligt glemmer at nævne er at der er kommet flere forslag der fjerner den privat nøgle fra computeren. Den skal finde i en HSM token, med en knap og et display.
Bagefter kan vi så kigge på de politiske problemer, og financieringen af hardwaretokens til 2½ millioner borgere. (
Her synes jeg at en implementering sammen med et biometrisk ID-kort, pas, og sygesikringsbevis ville være en ideel, og fremtidssikker løsning.
Det er desværre bare sindsyg dyrt.
Windcape (21) skrev:
En to-faktor løsning som vi ser med NemID er rigtig god, men Hubert et. al. har tit klaget over at de ikke har deres private nøgle selv.
Det er en umyndiggørelse af alle på grund af laveste fællesnævner. Det burde selv du se som værende et problem...
Den politiske problematik er selvfølgelig at alle så skal lave en private key, og uploade deres public key til DanID. Men den problematik har Hubert et. al. jo altid nægtet at tage til eftertankning, så den vil jeg undlade fra teknisk diskussion.
Aha. Det har mig bekendt aldrig være oppe at vende. Det burde iøvrigt ikke være noget problem. En tur forbi banken eller Borger service med sin token og voila så er der et styk public key uploaded til nemid eller anden CA hvis man ønsker det.
Det optimale ville selvfølgelig være muligheden for at lave afledte nøgler..
Windcape (49) skrev:#48
Men NemID appletten er jo ikke bare password. Så nu er jeg forvirret. Bruger du NemID koderne til at godkende hver transaktion, eller kun til login?
Afhænger det ikke meget af hvilken måde banken har valgt at implementere det i netbanken?
Vi kan så vidt jeg ved logge ind uden brug af nemid men ved transaktioner skal det bruges.
Windcape (54) skrev:Men selvom man flyttede nøglen til et hardware token, så ville vi stadigvæk skulle overkomme de tekniske udfordringer i browserne, som jeg lagde op til i #1.
Bagefter kan vi så kigge på de politiske problemer, og financieringen af hardwaretokens til 2½ millioner borgere. (
Her synes jeg at en implementering sammen med et biometrisk ID-kort, pas, og sygesikringsbevis ville være en ideel, og fremtidssikker løsning.
Det er desværre bare sindsyg dyrt.
biometri har intet at gøre i en auth session. Hvad vil du gøre den dag dine finger aftryk bliver kompromitteret?
Men ja et borger kort kunne være en mulighed. En mulighed der tales meget om for tiden.
Man kunne jo have brugt de mange penge, man har spildt på nemid på at lave en fornuftig løsning, der ikke umyndiggører folk. Men det passer vel dårligt ind i et samfund der mere og mere går imod den tankegang, at folk ikke kan tage vare på sig selv.
Jo.Hubert (57) skrev:Afhænger det ikke meget af hvilken måde banken har valgt at implementere det i netbanken?
Forresten lader det til at Dansk Bank også benytter NemID. Jeg havde overset et logo, indtil Google Chrome begyndte at klage højlydt over en forældet Java version.
Dansk Bank er dog lettere håbløs... jeg var nød til at åbne IE for at kunne bestille et MasterCard. Og her er NemID til login super fusterende, da jeg så ikke kan åbne nye tabs for at se min præcise løn på kroner og øre.
Samme problemstilling.Hubert (59) skrev:Hvordan vil du bruge dit borger kort?
Jeg ved det simpelthen ikke. Men alternativt kunne man lave read-only adgang med en slags to-faktor authentication (ala. Blizzard's Battle.net authenticator).
Netop det øgede fokus på homebanking på mobilen stiller en teknisk udfordring her.
Det var mest for at kombinere tingene. Vi skal jo have biometriske pas lige om lidt alligevel.Hubert (58) skrev:biometri har intet at gøre i en auth session. Hvad vil du gøre den dag dine finger aftryk bliver kompromitteret?
Efter at bankerne (sjovt det altid er dem) fjernede billedeid på dankortet, blev diskussionen ihvertfald aktuel.Hubert (58) skrev:Men ja et borger kort kunne være en mulighed. En mulighed der tales meget om for tiden.
Umyndigørelse er et lidt stærkt perspektiv.Hubert (58) skrev:Man kunne jo have brugt de mange penge, man har spildt på nemid på at lave en fornuftig løsning, der ikke umyndiggører folk.
Men politik er jo om at finde komprimier mellem det nemme (/billige), og det rigtige.
Så vil 4 år med de røde helt sikkert ikke hjælpe :oHubert (58) skrev:Men det passer vel dårligt ind i et samfund der mere og mere går imod den tankegang, at folk ikke kan tage vare på sig selv.
Windcape (61) skrev:Samme problemstilling.
Jeg ved det simpelthen ikke. Men alternativt kunne man lave read-only adgang med en slags to-faktor authentication (ala. Blizzard's Battle.net authenticator).
Netop det øgede fokus på homebanking på mobilen stiller en teknisk udfordring her.
Hele token/borger kortet historien fjerner også "risikoen" for at folk omgår sikkerheden ved papkortet ved at tage et billede af det og så gemme på det computeren/mobilen.
Jeg må blank indrømme at jeg ikke er bekendt med Blizzards løsning.
Windcape (62) skrev:Det var mest for at kombinere tingene. Vi skal jo have biometriske pas lige om lidt alligevel.
Lad os nu se hvordan det bliver når det kommer til stykket.
Efter at bankerne (sjovt det altid er dem) fjernede billedeid på dankortet, blev diskussionen ihvertfald aktuel.
Det har vist været oppe før billedet forsvandt fra dankortet også. Lige hvorfor det skulle fjernes har jeg aldrig fundet ud af men de havde vel en grund.
Umyndigørelse er et lidt stærkt perspektiv.
Hvorledes?
umyndiggørelse, personlig umyndiggørelse, overførsel af rådighed og omsorg til en værge, når en voksen person pga. sindssygdom eller alvorligt svækket helbred var ude af stand til at varetage sine personlige anliggender. De nugældende regler findes i Værgemålsloven fra 1995
Men politik er jo om at finde komprimier mellem det nemme (/billige), og det rigtige.
[quote]
Tja... Så kan man jo undre sig over hvorfor de gang på gang fejler og vælger den dyre og dårlige løsning.
[quote]Så vil 4 år med de røde helt sikkert ikke hjælpe :o
Blå eller rød det er vel efterhånden hip som hap.
Hubert (53) skrev:
Husk nu at selv NemID skriver at deres løsning ikke er 100% sikker. Der er vel ingen der er i tvivl om at alt kan brydes? Selv NemID kan man bryde ind i.
Hvornår har jeg sagt at NemID var 100% sikkert? Jeg har kun sagt at 2-faktor authentication ALTID vil være MERE sikkert end en løsning kun baseret på username/password, også hvis der er en nøglefil.
Nøglefilen vil altid være falsk sikkerhed.
Selvfølgelig kan alt brydes, brute force kan aldrig undgås. Men man kan gøre det mere besværligt for dem der forsøger at bryde ind. Her er DanID faktisk kommet med en fornuftig løsning.
Ja papkort et måske ikke en ideel løsning, men jeg har svært ved at se hvorfor den skulle være mindre brugbar end fx en løsning baseret på RSA-tokens. Udover det faktum at man har væsentligt færre nøgler på papkortet. Men hvis dette er et reelt problem for nogen, fx virksomheder, så har DanID hele tiden meldt ud at der vil komme en digital løsning, til dem som vil betale.
En løsning hvor du får din egen nøgle kommer på et eller andet tidspunkt:
http://www.version2.dk/artikel/17274-privat-nemid-noegle-paa-smartcard-forsinket-et-halvt-aar
Med de nuværende regler kan det ikke være anderledes.
Problemet (eller ét af dem) med tidligere løsninger som eSafeKey er at brugeren er ansvarlig for sikkerheden, men konsekvenserne ved brud på sikkerheden er bankens problem.
http://www.version2.dk/artikel/17274-privat-nemid-noegle-paa-smartcard-forsinket-et-halvt-aar
Hubert (56) skrev:Det er en umyndiggørelse af alle på grund af laveste fællesnævner. Det burde selv du se som værende et problem...
Med de nuværende regler kan det ikke være anderledes.
Problemet (eller ét af dem) med tidligere løsninger som eSafeKey er at brugeren er ansvarlig for sikkerheden, men konsekvenserne ved brud på sikkerheden er bankens problem.
T-Hawk (65) skrev:
Hvornår har jeg sagt at NemID var 100% sikkert? Jeg har kun sagt at 2-faktor authentication ALTID vil være MERE sikkert end en løsning kun baseret på username/password, også hvis der er en nøglefil.
Nøglefilen vil altid være falsk sikkerhed.
Selvfølgelig er 2 faktor mere sikker end den gamle løsning. Men det ændrer ikke på at intet er helt sikkert. Og NemID må i den grad siges at være arbejdet værd.
Selvfølgelig kan alt brydes, brute force kan aldrig undgås. Men man kan gøre det mere besværligt for dem der forsøger at bryde ind. Her er DanID faktisk kommet med en fornuftig løsning.
At adgangen bliver låst ved for mange forkerte besøg er ikke noget nyt. Det gjorde den gamle løsning også. Men ja du har ikke en nøgle du kan arbejde med. Det er korrekt.
Ja papkort et måske ikke en ideel løsning, men jeg har svært ved at se hvorfor den skulle være mindre brugbar end fx en løsning baseret på RSA-tokens. Udover det faktum at man har væsentligt færre nøgler på papkortet. Men hvis dette er et reelt problem for nogen, fx virksomheder, så har DanID hele tiden meldt ud at der vil komme en digital løsning, til dem som vil betale.
Jeg forstår ikke hvorfor folk mener det er nødvendigt at nævne "problemet" med papkortet hver gang der kommer kritik af NemID. Jeg har ikke ytret kritik af papkortet. Der er så mange andre problemer med NemID der skal løses.
Og deres erhvervsløsning der jo blevet udskudt på grund af noget kvalitetssikring.
Killa (66) skrev:En løsning hvor du får din egen nøgle kommer på et eller andet tidspunkt:
http://www.version2.dk/artikel/17274-privat-nemid-noegle-paa-smartcard-forsinket-et-halvt-aar
Men vi har stadig samme problem. Hvem laver din nøgle?
Med de nuværende regler kan det ikke være anderledes.
Problemet (eller ét af dem) med tidligere løsninger som eSafeKey er at brugeren er ansvarlig for sikkerheden, men konsekvenserne ved brud på sikkerheden er bankens problem.
Med de nuværende regler bør banken stå for at dække det fulde beløb hvis kontoen bliver kompromitteret. Jeg er lidt i tvivl om hvorvidt banken ikke blot har videre ført de gamle regler med hensyn til at banken dækker noget af tabet og man selv må dække resten?
Kom nu Hubert, mener du at alle skal købe nøglerne individuelt fra tilfældige private firmaer, frem for at nøglen er produceret og distribueret af staten?Hubert (68) skrev:Men vi har stadig samme problem. Hvem laver din nøgle?
Lidt realisme ville altså klæde dine argumenter. I den forstand er dit pas eller sygesikringsbevis jo også en umyndiggørelse, da det fremstilles af en myndighed.
Windcape (69) skrev:Kom nu Hubert, mener du at alle skal købe nøglerne individuelt fra tilfældige private firmaer, frem for at nøglen er produceret og distribueret af staten?
Du har ikke det fjeneste begreb om hvilken nøgle det er jeg taler om har du?
Lidt realisme ville altså klæde dine argumenter. I den forstand er dit pas eller sygesikringsbevis jo også en umyndiggørelse, da det fremstilles af en myndighed.
Lidt argumenter fra din side ville måske hjælpe på din sag...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund