Ja, så lykkedes det
igen, igen for hackere at bryde NemID (
kilde).
Sidste gang var det 8 utroligt dumme Nordea kunder som blev snydt af phishing (tab ialt:
62.400), denne gang var det "mindst 8" Danske Bank brugere som samlet set fik stjålet 700K kroner (
kilde).
Skal vi ikke bare blive enige om at NemID intet har ændret på situationen i Danmark? (udover besvær og spild af penge).
Hvordan kan man sætte inkompetente folk til at lave et system som skal "beskytte" os alle?
Jeg har ingen undervisning modtaget i IT af nogen art (lærte lidt MS Excel kommandoer i ottende klassen, but that's it). Men alligevel kunne jeg (og utallige andre "rigtige" sikkerheds-eksperter) påpege utallige fejl i NemID, da DanID 'udgav' NemID.
Og det værste ved hele situationen, er at et sikkert system kan designes enormt nemt. Hvis vi tager udgangspunkt i NemID, så kan disse rettelsers foreslås:
Væk med Java - Java er fyldt med huller, DanID får fuld adgang på ens computere, og så er det tungt/langsomt og inkompatibelt. Hvad er der galt i at bruge simpel HTML (som ikke indeholder huller, ikke får adgang til ens computer, og som er kompatibelt med alle OS som har en browser)? Ved brug af HTML ville man også løse det problem at brugeren ikke kan se hvor NemID appletten hostes. Er det svært at uddanne brugere til: "Kig i din browser. Står der https://nemid.danid.dk/blabla så kan du trygt skrive din kode ind, ellers luk siden" ?
Væk med papkort - Jeg er ret sikker på at have læst, at en af kravene til en offentlig løsning, var at løsningen skulle regne med at 50% af brugerne havde malware på deres computere. Hvordan løser man dette? Bestemt ikke ved brug af papkort (eller "normal" 2 faktor auth. løsninger), som alle lider af
MitB angreb.
En enkel, men meget sikker, løsning ville være at udnytte folks mobiler. I Danmark har vi flere mobiler end indbyggere, så lad os
lege at alle med en NemID konto også har som minimum en dumbphone. Imagine this: Du vil sende 123 penge til konto XYZ, du trykker send og skal skrive en verificeringskode. Du modtager en sms som indeholder; antal penge (123), modtager konto (XYZ), verificeringskoden.
Fordele: dette ("Out-of-band transaction verification") vil beskytte mod MitM/MitB (som indtil videre har været fremgangsmåden i begge "angreb" mod NemID). Er mere sikker end NemID's nuværende model
Ulemper: Kræver telefon/whatever, er ikke 100% sikkert ("MitMo" - Man-in-the-Mobile).
Så for at runde det lidt op, lige meget hvad DanID/Nets gør med deres NemID-applet, så vil det
aldrig nogenside løse det underliggende problem (nemlig at brugeren ikke kan tro noget af hvad der står på hans/hendes skærm). Og hvordan løser man det? Tjo, hvorfor ikke udnytte mobilens skærm?
Flere fejl ved NemID? Skriv en kommentar så tilføjer jeg dem (hvis jeg ikke allerede er kommet i tanke om dem, og tilføjet dem :P)
