mboost-dp1
Mener du NemID er sikkert?
Lad os få lidt mere åbenhed omkring sikkerheden. Har vi ikke som borgere i dette land ret til at selv kunne vurdere sikkerheden?
Det er vel ikke rimeligt at vi skal tro på at Danid har styr på hvad de foretager sig, og stille os tilfreds med at Danid har så lidt tillid til deres egne sikkerhedsforanstaltninger, at de ikke tør offentliggøre hvad de består i.
http://newz.dk/forum/software/aabent-brev-til-dani...
Det er vel ikke rimeligt at vi skal tro på at Danid har styr på hvad de foretager sig, og stille os tilfreds med at Danid har så lidt tillid til deres egne sikkerhedsforanstaltninger, at de ikke tør offentliggøre hvad de består i.
http://newz.dk/forum/software/aabent-brev-til-dani...
myplacedk (3) skrev:Hvordan er det et sikkerhedsmæssigt problem?
SÅ! Nu ikke stille relevante spørgsmål :)
myplacedk (3) skrev:Lord Daniel-Dane (2) skrev:Maskinkode i billeder er en epic fail i min bog.
Hvordan er det et sikkerhedsmæssigt problem?
Hvordan er det ikke?
Tjah, så tillad mig at lægge ud. :P
Security through obscurity er altid et tegn på svaghed i arne_v's og kasperd's bøger og derfor også min. Det er desuden et... øhm... bemærkelsesværdigt design, DanID har fået lavet.
Security through obscurity er altid et tegn på svaghed i arne_v's og kasperd's bøger og derfor også min. Det er desuden et... øhm... bemærkelsesværdigt design, DanID har fået lavet.
Det ligner jo i høj grad et forsøg på at få koden til at blive kørt på computere, hvor der ellers af sikkerhedsmæssige årsager ikke bliver kørt kode downloadet fra nettet.myplacedk (3) skrev:Hvordan er det et sikkerhedsmæssigt problem?
Jeg vil gætte på at der er flere virksomheder, som har en sikkerhedspolitik, som ikke ville tillade at medarbejderne downloader en programfil fra danids website og kører den på deres computer. At kamuflere en programfil som et billede kan have været medvirkende til at en sådan overtrædelse af en sikkerhedspolitik er blevet overset.
At kamuflere kode som noget andet end det er og lægge det ud så vilkårlige brugere kan downloade og køre det er en metode der er forbeholdt malware. Danid skal ikke prøve at skjule hvad det er deres applet gør.
Den kamuflerede kode er bare et af en lang række af faresignaler. Jeg kan kun opfordre til at man går udenom software fra danid og vælger en anden leverandør.
Lord Daniel-Dane (7) skrev:Security through obscurity er altid et tegn på svaghed i arne_v's og kasperd's bøger og derfor også min.
Jeg tror du har misforstået noget.
For det første: Security by obscurity er ikke TEGN på dårlig sikkerhed, det ER dårlig sikkerhed.
For det andet: DanID bruger ikke security by obscurity. Det er nemlig (typisk) defineret ved at have obscurity I STEDET for security. Det er er intet sikkerhedsmæssigt problem ved at tilføje obscurity til et ellers sikkert system.
Lord Daniel-Dane (7) skrev:Det er desuden et... øhm... bemærkelsesværdigt design, DanID har fået lavet.
De har lavet et system som skal leve op til andre krav end typiske sikkerhedssystemer. Det ville være bekymrende hvis løsningen ikke er anderledes.
kasperd (8) skrev:Jeg vil gætte på at der er flere virksomheder, som har en sikkerhedspolitik, som ikke ville tillade at medarbejderne downloader en programfil fra danids website og kører den på deres computer. At kamuflere en programfil som et billede kan have været medvirkende til at en sådan overtrædelse af en sikkerhedspolitik er blevet overset.
Nu er det jo ikke DanID der skal beskyttes imod. Hvis du har ret, så er effekten at NemID virker flere steder.
kasperd (8) skrev:At kamuflere kode som noget andet end det er og lægge det ud så vilkårlige brugere kan downloade og køre det er en metode der er forbeholdt malware.
Vi kan blive enige om at det ser grimt ud, og hvilken slags software vi forventer at finde det i. Men ellers kan jeg ikke se problemet.
kasperd (8) skrev:Den kamuflerede kode er bare et af en lang række af faresignaler.
Ah, så problemet er at du ser det som et faresignal. Fair nok. Det er dog ikke kun DanID's egne sikkerhedseksperter som mener det kan være en god ide, der er også mere anerkendte eksperter som mener det.
Dvs. i værste fald er det diskutabelt. Det er ikke objektivt en svaghed.
Eller sagt på en anden måde: Vi (du og jeg) kan have alle de holdninger vi vil, om hvor pænt og professionelt det ser ud, men dårlig sikkerhed er det ikke.
myplacedk (9) skrev:Jeg tror du har misforstået noget.
myplacedk (10) skrev:[...] dårlig sikkerhed er det ikke.
http://i438.photobucket.com/albums/qq110/AOD_Tommy...
http://i.qkme.me/357u0x.jpg
Det handler overhovedet ikke om at koden er skjult i gif filer- problemet er at danid appletten kræver fuld adgang til at køre alt kode på alles systemer. Det holder ikke!
myplacedk (9) skrev:
For det andet: DanID bruger ikke security by obscurity. Det er nemlig (typisk) defineret ved at have obscurity I STEDET for security. Det er er intet sikkerhedsmæssigt problem ved at tilføje obscurity til et ellers sikkert system.
Et påstået sikkert system...
IT-sikkerhedsrådet har lavet en liste over 12 ting de mener skal ses på hos nemid. Man kan jo kun være enig med dem i de 12 ting.
Hubert (13) skrev:Et påstået sikkert system...
Jaja. Pointen er stadig den samme.
Hubert (13) skrev:IT-sikkerhedsrådet har lavet en liste over 12 ting de mener skal ses på hos nemid.
Så vidt jeg lige kan se handler ingen af dem om dårlig sikkerhed*, og dermed ikke interessant i netop denne sammenhæng.
*) Ud over at folk med eller uden forstand på det ikke bare lige kan se på systemet og komme med sin egen vurdering.
myplacedk (14) skrev:
Jaja. Pointen er stadig den samme.
Tja. Jeg vil til en hver tid påstå at hvis man mener det er nødvendigt at gemme noget væk så har man et problem.
Så vidt jeg lige kan se handler ingen af dem om dårlig sikkerhed*, og dermed ikke interessant i netop denne sammenhæng.
*) Ud over at folk med eller uden forstand på det ikke bare lige kan se på systemet og komme med sin egen vurdering.
Nummer 7 lugter lidt af sikkerhed men ellers har du ret. Men tillid bør alt andet lige være noget der har høj prioritet hos danid. At det så næppe er tilfældet er jo bare ærgeligt men sådan er det jo når man har et monopol. Så kan man jo være ligeglad.
De har jo selv erkendt at deres sikkerhedsforanstaltninger ikke er gode nok til at yde den beskyttelse de skal hvis det blev offentligt kendt hvad der egentlig foregår i deres klientkode. Det er da i høj grade security by obscurity.myplacedk (9) skrev:DanID bruger ikke security by obscurity. Det er nemlig (typisk) defineret ved at have obscurity I STEDET for security. Det er er intet sikkerhedsmæssigt problem ved at tilføje obscurity til et ellers sikkert system.
Det er det da i høj grad.myplacedk (10) skrev:Nu er det jo ikke DanID der skal beskyttes imod.
En sikkerhedsbrist der tillader kompromittering af alle klientmaskinerne vil være mange gange værre end en sikkerhedsbrist der blot ville tillade at man kunne udgive sig for at være en vilkårlig person og logge på alle sites med nemid uden at være den person man udgiver sig for.
Hvis sikkerheden skulle vise sig at være så ringe, at man kan udgive sig for at være en vilkårlig person, så ville man kunne udnytte det hul til at flytte rundt på ret mange penge. Men der vil være et logtrail, og de uretmæssige transaktioner kan føres tilbage igen. Det ville selvfølgelig være en meget alvorlig situation, men trods alt en der kan ryddes op efter.
Hvis derimod alle klientmaskinerne blev kompromitteret ville man få adgang til meget andet end blot data beskyttet af nemid. Det ville åbne op for industrispionage i et hidtil uset omfang imod danske virksomheder, da der nok er mange som tillader at medarbejderne anvender nemid på deres arbejdscomputer.
Og på mange af de computere ville man få adgang til at sabotere lokale data uden at de kan rekonstrueres lige så nemt. Sandsynligvis ville enkelte af de kompromitterede computere også have adgang til at sabotere backupkopier af samme data.
Om det er medarbejdere hos danid der udfører sådan et angreb eller udenforstående, som finder et sikkerhedshul i deres software gør ingen forskel for det mulige omfang af skaden. De sikkerhedsforanstaltninger der skal til for at beskytte imod angrebene er ca. de samme uanset om man vil beskytte imod angreb fra medarbejdere hos danid eller angreb foretaget af andre gennem huller i danids software.
Da danid ikke har nogen procedure for at sikre at sikkerhedsopdateringer til deres software bliver rullet ud til alle brugere er det et endnu større problem at deres software har så mange rettigheder som det gør.
kasperd (16) skrev:De har jo selv erkendt at deres sikkerhedsforanstaltninger ikke er gode nok til at yde den beskyttelse de skal hvis det blev offentligt kendt hvad der egentlig foregår i deres klientkode. Det er da i høj grade security by obscurity.
Har de? Det eneste jeg har set/hørt om er en overfortolket udmelding om at der er nogle ting de ikke vil fortælle om. Intet om hvor meget det faktisk går ud over sikkerheden.
kasperd (16) skrev:En sikkerhedsbrist der tillader kompromittering af alle klientmaskinerne vil være mange gange værre end en sikkerhedsbrist der blot ville tillade at man kunne udgive sig for at være en vilkårlig person og logge på alle sites med nemid uden at være den person man udgiver sig for.
Det kan debateres (de fleste almindelige brugere jeg kender er fløjtende ligeglade med deres PC, der er intet personligt på den), men det er en relevant pointe.
Men hvis "ondskaben" skal ind via NemID, så skal man jo bryde ind i NemID først. Så er det da vist nemmere måder at gøre det på.
kasperd (16) skrev:Hvis sikkerheden skulle vise sig at være så ringe, at man kan udgive sig for at være en vilkårlig person, så ville man kunne udnytte det hul til at flytte rundt på ret mange penge.
Det er vel kun hvis man bryder ind i NemID, og ikke ved at bryde en i en eller andens PC.
kasperd (16) skrev:Om det er medarbejdere hos danid der udfører sådan et angreb eller udenforstående, som finder et sikkerhedshul i deres software gør ingen forskel for det mulige omfang af skaden.
Helt enig. Og det er primært derfor jeg ikke bryder mig om at deres applet skal have så mange rettigheder.
Men nu har du taget mit argument ud af kontekst. At DanID lægger kode i filer der ellers ligner billeder, kan jeg ikke se som et sikkerhedsproblem. Men hvis en ondsindet person får en modificeret applet ud på folks maskiner, og HANS kode er kamoufleret, SÅ har vi et problem. Men det kan han vel gøre uanset som DanID gør det i forvejen. Det svære er jo ikke at navngive filer, men at få den modificerede applet ud til klienterne.
kasperd (16) skrev:Da danid ikke har nogen procedure for at sikre at sikkerhedsopdateringer til deres software bliver rullet ud til alle brugere er det et endnu større problem at deres software har så mange rettigheder som det gør.
Det aner jeg intet om. Men hvis jeg kigger på min egen netbank, så henter den en frisk "bootapplet" ved hver sidevisning. URL'en ændrer sig hver gang, så browserens cache ikke kan drille. Så må det da være temmeligt let at skubbe en ny bootapplet ud, som så opdaterer hvad der skal opdateres.
Har du en kilde på at det skulle være et problem?
kasperd (17) skrev:Jeg tæller kun ni punkter på deres liste, men til gengæld er jeg enig i de ni punkter.
Så kan du måske forklare hvad de snakker om i første punkt?
Den første sætning forstår jeg overhovedet ikke.
I anden sætning siger de at NemID skal kasseres hurtigst muligt. Det giver kun mening hvis man er nogenlunde enig om at systemet ikke kan bruges, og så vidt jeg ved er tilfældet nærmest modsat.
kasperd (8) skrev:Jeg vil gætte på at der er flere virksomheder, som har en sikkerhedspolitik, som ikke ville tillade at medarbejderne downloader en programfil fra danids website og kører den på deres computer. At kamuflere en programfil som et billede kan have været medvirkende til at en sådan overtrædelse af en sikkerhedspolitik er blevet overset.
Det kan jo umuligt være derfor at DanID har skjult koden sådan.
Appletten er jo signeret og man skal give den tilladelse. Dvs. vil man logge på NemID så skal man i forvejen acceptere at appletten kan r**pule ens pc som den lyster.... det kræver ikke at man skjuler noget kode i et billede.
Valgte "Ja, men der er plads til forbedringer".
Mit primære problem er, at DanID har alle koder centraliseret, og hvis det derfor går galt, er der risiko for, at det går RIGTIGT galt.
For tiden er det jo ikke ligefrem fordi der er mangel på script kiddies med lyst til at angribe diverse instanser for at bevise, at der er dårlig sikkerhed. (eller pga. diverse andre mere eller mindre obskure grunde) DanID kunne sagtens være det næste mål i rækken...
Mit primære problem er, at DanID har alle koder centraliseret, og hvis det derfor går galt, er der risiko for, at det går RIGTIGT galt.
For tiden er det jo ikke ligefrem fordi der er mangel på script kiddies med lyst til at angribe diverse instanser for at bevise, at der er dårlig sikkerhed. (eller pga. diverse andre mere eller mindre obskure grunde) DanID kunne sagtens være det næste mål i rækken...
Det var nu engang hvad der stod i den email de sendte til mig da jeg sendte et spørgsmål. Hvis ikke du tror på det må du da gerne selv kontakte dem og spørge hvorfor de ikke vil svare på dette spørgsmål og se om du får et andet svar.myplacedk (18) skrev:Det eneste jeg har set/hørt om er en overfortolket udmelding om at der er nogle ting de ikke vil fortælle om.
Man kan også bare sætte appletten på et tredjeparts website.myplacedk (18) skrev:så skal man jo bryde ind i NemID først.
Den allerførste sætning giver ikke mening for mig, men det som der står i resten af punktet er at det haster med at udvikle en afløser. Det er jeg enig i, fordi hvis der begynder at foregå et mere omfattende angreb imod nemid, så vil sådan et angreb kunne gøre stor skade langt hurtigere end man vil kunne nå at finde en løsning.myplacedk (19) skrev:Så kan du måske forklare hvad de snakker om i første punkt?
Man kan sagtens lave en adgangskode der er sikker selvom der ikke skelnes mellem store og små bogstaver, den skal bare være 15% længere.mireigi (21) skrev:Når man skal angive sin adgangskode ved oprettelse, skelnes der mellem store og små bogstaver. Dette gøres der dog IKKE ved login.
Men hvis det er sandt at der er forskel på når man opretter adgangskoden og når man bruger den, så er det en fejl der bør rettes.
Jeg kan ikke lige huske om nemid har en øvre grænse for hvor lang en adgangskode man anvender. Men hvis man har et sikkert design, så er der ingen grund til at sætte en begrænsning. Hvis man designer et system fra grunden, så er der ingen grund til at adgangskoden nogensinde skal forlade klienten. Det første der skal ske med den adgangskode er en kryptografisk operation hvis output er samme størrelse uanset hvor langt passwordet er. Altså er det ligegyldigt for serveren hvor langt passwordet er, og den eneste begrænsning er dermed mængden af RAM på klienten. Der er ingen brugere der gider indtaste et password så langt at mængden af RAM på klienten bliver et problem.
myplacedk (19) skrev:Så kan du måske forklare hvad de snakker om i første punkt?
Den første sætning forstår jeg overhovedet ikke.
I anden sætning siger de at NemID skal kasseres hurtigst muligt. Det giver kun mening hvis man er nogenlunde enig om at systemet ikke kan bruges, og så vidt jeg ved er tilfældet nærmest modsat.
Jeg har forstået det på samme måde som dig. Så jeg vil da sjovt nok mene at du har fanget essensen i punkt 1. :)
Jeg kan kun være enig med dem i at man bør sætte gang i udviklingen af afløseren. Om ikke andet så for at få en åben proces der bygger på standarder. Det vil alt andet lige være med til at skabe væsentlig mere tillid blandt folk med en smule forstand på IT-sikkerhed.
Tja, havde jo ikke noget valg med NemID. Men det har jo nok hjulpet på sikkerheden hos de ikke tekniske personer og dem der ikke gider bruge lidt tid på sikkerheden.
Men køre det ikke med min gode vilje, for hvad skal en applet med rettigheder til af læse lokalt, bruges til. Ingen nøgler ligger hos brugerene mere.
Og deres GIF show har ikke hjulpet på min tillid.
Men køre det ikke med min gode vilje, for hvad skal en applet med rettigheder til af læse lokalt, bruges til. Ingen nøgler ligger hos brugerene mere.
Og deres GIF show har ikke hjulpet på min tillid.
starn (26) skrev:Tja, havde jo ikke noget valg med NemID. Men det har jo nok hjulpet på sikkerheden hos de ikke tekniske personer og dem der ikke gider bruge lidt tid på sikkerheden.
Men køre det ikke med min gode vilje, for hvad skal en applet med rettigheder til af læse lokalt, bruges til. Ingen nøgler ligger hos brugerene mere.
Og deres GIF show har ikke hjulpet på min tillid.
De melder nu at vi kan få kontrol over vores private nøgler engang i 2012. Den nye smartcard løsning kommer dog ikke til at virke ved bankerne så vi er for så vidt lige langt. :/
kasperd (24) skrev:Man kan også bare sætte appletten på et tredjeparts website.
kasperd (24) skrev:Det var nu engang hvad der stod i den email de sendte til mig da jeg sendte et spørgsmål. Hvis ikke du tror på det må du da gerne selv kontakte dem og spørge hvorfor de ikke vil svare på dette spørgsmål og se om du får et andet svar.
Jeg kan ikke sige meget uden at have set deres formulering, men jeg kan jo sige det jeg sagde i den tråd (#9) inden du fik svar:
"Der hvor jeg ser allermest inkompetence, er hos folk som svarer på henvendelser fra offentligheden.
Det er ofte studiemedhjælpere, indere eller hvad man nu kan finde af billigst mulig arbejdskraft, som det meste af tiden svarer på hjernedøde henvendelser. Når der kommer noget interessant opdager de det ikke, og fyrer et af deres standard-svar af. Eller også synes de at henvendelser med lidt kød på ikke er interessante, og så fyrer de et standard-svar af så de kan komme videre."
kasperd (24) skrev:Man kan også bare sætte appletten på et tredjeparts website.myplacedk (18) skrev:så skal man jo bryde ind i NemID først.
Dvs. du laver din egen portlet som ligner NemID's (og måske er baseret på NemID's portlet), placerer den et sted på nettet du selv bestemmer, laver eller modificerer login-skærmbilledet et eller andet sted til at bruge din applet og lokker en bruger til at logge ind med den?
Jeg kan overhovedet ikke se hvordan DanID's kode i noget der ligner billeder skulle gøre dette værre.
Nej, jeg siger at du kan bruge den signerede applet fra nemid. Den applet har allerede fået rettigheder til brugernes computere. Hvis du kan finde et hul i appletten kan du udnytte det fra et andet site med fulde rettigheder til at gøre alt på brugerens computer.myplacedk (28) skrev:Dvs. du laver din egen portlet som ligner NemID's (og måske er baseret på NemID's portlet), placerer den et sted på nettet du selv bestemmer, laver eller modificerer login-skærmbilledet et eller andet sted til at bruge din applet og lokker en bruger til at logge ind med den?
Hubert (27) skrev:De melder nu at vi kan få kontrol over vores private nøgler engang i 2012. Den nye smartcard løsning kommer dog ikke til at virke ved bankerne så vi er for så vidt lige langt. :/
Kan vi så selv generere dem, eller er det også DanID der skal gøre det? Og opbevarer de så selv en kopi "for min skyld"?
Jeg stoler ikke en skid på DanID, men jeg er tvunget til at bruge det :(
Iøvrigt skide smart at basere login proceduren på et af de mest gennemhullede 3. parts programmer der findes.
Ja, du er nødt til at finde et hul i deres applet for at kunne udføre angrebet. Hvad der i denne henseende er vigtigt er at hvis de først har sat deres signatur på en applet med et sikkerhedshul i, så hjælper det ikke at de retter fejlen og udsender en ny signeret version. Et ondsindet website kan stadig anvende den sårbare version, og appletten har stadig de samme rettigheder som før opdateringen blev udsendt.myplacedk (30) skrev:Jeg mente ikke nødvendigvis deres servere, appletten er jo en del af NemID.
Manofsciencemanoffaith (31) skrev:Kan vi så selv generere dem, eller er det også DanID der skal gøre det? Og opbevarer de så selv en kopi "for min skyld"?
Jeg stoler ikke en skid på DanID, men jeg er tvunget til at bruge det :(
Iøvrigt skide smart at basere login proceduren på et af de mest gennemhullede 3. parts programmer der findes.
Det er ikke meldt ud endnu. Men da bankerne ikke ønsker at du skal have adgang til webbank via smartcard løsningen kan vi nok forvente at danid blot sender et smart card med den private nøgle på.
kasperd (34) skrev:Hvis danid har adgang til nøglen er den per definition ikke privat.
Nu har jeg efterfølgende også fundet ud af at de lover at de ikke gemmer en kopi. Altså må vi gå ud fra at de generer en 'privat nøgle'.
Og ja jeg er enig, jeg har givet udtryk for det samme mange gange der er ikke tale om en rigtig privat nøgle når man ikke selv har kontrol over nøglen. Det lader til at selv med smartcard løsningen vil der stadig ikke være tale om en rigtig privat nøgle men en seudo privat nøgle. Det er sikkert nok til at overbevise hr og fru frikadelle om at det er ih oh så godt men andre burde kunne gennemskue problemerne...
Hubert (35) skrev:Nu har jeg efterfølgende også fundet ud af at de lover at de ikke gemmer en kopi. Altså må vi gå ud fra at de generer en 'privat nøgle'.
Hvis man er så interesseret som du ser ud til at være, kunne man vælge at læse artiklen i stedet for kun overskriften. Så ville man fx. finde denne lille godbid:
"[Pressechef Søren Winge] kan dog endnu ikke oplyse, om det bliver muligt for brugerne at generere deres egen nøgle på chippen, eller om det kommer til at ske i DanID-regi"
Ca. halvdelen af artiklen handler om det, så det burde ikke være til at overse.
myplacedk (36) skrev:Hvis man er så interesseret som du ser ud til at være, kunne man vælge at læse artiklen i stedet for kun overskriften. Så ville man fx. finde denne lille godbid:
"[Pressechef Søren Winge] kan dog endnu ikke oplyse, om det bliver muligt for brugerne at generere deres egen nøgle på chippen, eller om det kommer til at ske i DanID-regi"
Ca. halvdelen af artiklen handler om det, så det burde ikke være til at overse.
Hvor er det helt præcist du mener jeg siger noget andet end det der står i artiklen?
Der er 2 ting i mit indlæg. En rettelse til mit tidligere indlæg, hvor jeg skrev at jeg tvivlede på at de ikke ville gemme en kopi og så et link til hvorfor jeg kunne rette mit tidligere indlæg.
Så kan man lægge hvad man lyster i at de lover noget. Det er set før.
Hubert (37) skrev:Hvor er det helt præcist du mener jeg siger noget andet end det der står i artiklen?
I det jeg citerede.
De siger du ved det ikke, du konkluderer at det nok bliver som du ikke vil have det.
Det lyder som en misforståelse, men jeg kan da egentlig godt se at med en smule omformulering bliver det bare til pessimisme. Uanset hvad du mente, så synes jeg det ser misinformerende ud for dem som springer artiklen over.
myplacedk (38) skrev:I det jeg citerede.
De siger du ved det ikke, du konkluderer at det nok bliver som du ikke vil have det.
Det lyder som en misforståelse, men jeg kan da egentlig godt se at med en smule omformulering bliver det bare til pessimisme. Uanset hvad du mente, så synes jeg det ser misinformerende ud for dem som springer artiklen over.
Jeg synes nu ellers at Nu har jeg efterfølgende også fundet ud af at de lover at de ikke gemmer en kopi. Altså må vi gå ud fra at de generer en 'privat nøgle' i bund og grund siger det samme som det citat. Resten er indlægget var svar til kasperd's kommentar og ikke relateret til artiklen.
Jeg kan gå med til at opstillingen af kommentarer måske ikke er den bedste. Men jeg synes nu at du ser spøgelser hvor det intet er at se.
Jeg kan da starte en bedre konspirationsteori end det. Et af formålene med nemid er at lægge en bagdør på computeren. Formålet er at hjælpe Skat med at overvåge os der har penge stående på en konto i Schweiz. Så længe jeg bruger samme brugerprofil til min danske og min schweiziske netbank kan nemid overvåge alt hvad der foregår på min schweiziske konto. Hvorfor skulle de ellers smugle binær kode ind på vores computere?Mester (40) skrev:gu er det da røv sikkert, de ligger og keylogger os et sted nede i sydafrika!
kasperd (41) skrev:Jeg kan da starte en bedre konspirationsteori end det. Et af formålene med nemid er at lægge en bagdør på computeren. Formålet er at hjælpe Skat med at overvåge os der har penge stående på en konto i Schweiz. Så længe jeg bruger samme brugerprofil til min danske og min schweiziske netbank kan nemid overvåge alt hvad der foregår på min schweiziske konto. Hvorfor skulle de ellers smugle binær kode ind på vores computere?
jaja.. det sagde hun også igår..
Tja, det eneste jeg har brug for nemId til, er da jeg loggede ind for at sætte eBoks og netbank op på min mobil.stekkurms (43) skrev:Hvorfor er der ikke en eneste bank, der har prøvet at tilbyde et alternativ for at kapre nogle af de kunder, der gerne vil være fri for nemid?
Nu har jeg så ikke noget tilbage hvor jeg skal bruge mit nemId til.
stekkurms (43) skrev:Hvorfor er der ikke en eneste bank, der har prøvet at tilbyde et alternativ for at kapre nogle af de kunder, der gerne vil være fri for nemid?
Sådan en sikkerhedsløsning er temmelig dyr. Så dyr at bankerne blev enige om ikke længere at lave det selv, men at have en fælles. Selv den største (Danske Bank) gik med til dette.
Det giver ikke meget mening for nogen bank at have sin egen løsning igen, især ikke hvis der samtidig skal betales for NemID.
Dertli kommer at den "gamle" løsning med kun brugernavn, kodeord og nøglefil er død*. Laver nogen et alternativ til NemID, bliver det også med en token af en art. Ligesom fx. Danske Bank, Jyske Bank og Sydbank havde i forvejen. Dvs. det bliver IKKE mindre besværligt, formentlig ikke mere sikkert, det bliver bare ikke NemID.
Så tror jeg det er meget få der er interesseret. Hvis de mange millioner det koster at lave og vedligeholde sådan en løsning, skal deles ud på de danskere der vil vælge bank ud fra at slippe for NemID, så tror jeg ikke de har lyst.
*) Det korte af det lange er at bankerne sammen har besluttet at sådan er det. Nøglefilen vil enten være for usikker og/eller ikke brugervenlig nok.
Med Danske Bank kan jeg så bedre forstå det. Dengang jeg var kunde hos Danske Bank havde de en løsning der var værre end nemid. Det er derfor jeg ikke er kunde hos Danske Bank mere.myplacedk (45) skrev:Selv den største (Danske Bank) gik med til dette.
Jeg er kunde hos Jyske Bank og jeg havde hellere set at de var kørt videre med det system de allerede havde fordi det virkede helt upåklageligt. De første 6½ år jeg var kunde hos Jyske Bank havde jeg ikke et eneste problem med deres netbank. Og jeg er sikker på det har kostet Jyske Bank flere penge at indføre det nye system end det ville have kostet dem at køre videre med det de allerede havde.myplacedk (45) skrev:Laver nogen et alternativ til NemID, bliver det også med en token af en art. Ligesom fx. Danske Bank, Jyske Bank og Sydbank havde i forvejen. Dvs. det bliver IKKE mindre besværligt, formentlig ikke mere sikkert, det bliver bare ikke NemID.
Om Jyske Bank så kunne have kapret ret mange kunder ved at køre videre med deres eksisterende system ved jeg ikke. De kunder der vælger bank efter hvor godt deres netbank fungerer tror jeg allerede var skiftet til Jyske Bank før nemid blev indført.
kasperd (46) skrev:Og jeg er sikker på det har kostet Jyske Bank flere penge at indføre det nye system end det ville have kostet dem at køre videre med det de allerede havde.
Jeg er ret sikker på at Jyske Banks egne beregninger sagde noget andet.
Det er temmeligt dyrt at have sådan en løsning, at lave den er ikke den dyreste del. At fordele omkostningen mellem de andre banker er en stor besparelse. Okay, NemID blev så noget dyrere end forventet. Jeg ved ikke hvad det gør ved regnskabet, men det er for sent at gøre noget ved det nu.
I øvrigt er vi ved at nedlægge Jyske Banks netbank. Sidst på året vil de skifte til Bankdatas netbank. Jeg har ikke set deres nuværende bank, men de er ikke kede af at skifte. Især ikke fordi de nogle af vigtigste fordele ved Jyske Banks netbank bliver lavet til Bankdatas netbank før de skifter. Fx. har jeg været en smule indblandet i udviklingen af den nye TotalKonto. Nå, men det er et sidespring.
kasperd (46) skrev:De kunder der vælger bank efter hvor godt deres netbank fungerer tror jeg allerede var skiftet til Jyske Bank før nemid blev indført.
:-P
Jeg er spændt på hvad kunder som dig siger, når i har vænnet jer til Bankdatas netbank.
- Forside
- ⟨
- Forum
- ⟨
- Afstemninger
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Afstemninger
Gå til bund