Home » Sikkerhed » Er NemID en dårlig ide?
Er NemID en dårlig ide?

Er NemID en dårlig ide?

Share

Hidtil har vi kunnet være nogenlunde trygge ved at logge ind via en NemID login-boks på eksempelvis borger.dk eller bank. Men nu har en ekspert netop demonstreret en måde at snyde systemet fra 2010 på. Heldigvis er en helt ny løsning på vej

Du er ganske vant med at skulle logge dig ind på flere offentlige netsites med NemID. Du møder også den kendte login-boks, når du vil tilgå din bankkonto, ligesom flere andre mere private hjemmesider benytter NemID til at verificere dig, før du får adgang.

Det er muligt at lægge en ægte NemID login-boks ind på en hjemmeside ved at henvende sig til www.nets.eu, men boksen har den grundlæggende svaghed, at den er nogenlunde nem at efterligne, og reelt har du ikke mange muligheder for at skelne, om en given NemID login-boks er falsk eller ægte. Bag login-boksen kan der derfor lure cyberkriminelle, der er ude efter penge, eller fremmede stater, der er ude efter oplysninger, og når du identificerer dig via dit kodeord og nøglekort, får du måske (eller måske ikke) adgang til den hjemmeside, du besøger, men samtidig kan du risikere, at både dit kodeord og dit nøgletal bliver luret af og brugt til at skaffe uvedkommende adgang til eksempelvis din netbank.

Det der sker er nemlig, at cybersvindleren så blot indsætter dine kodeoplysninger i en rigtig og ægte NemID login-boks, og på den måde kan han eller hun uden videre studere dine bankforhold, helbredsforhold og meget andet særdeles privat og følsomt. Det er også muligt at rette i dine skatteoplysninger eller lade dig støtte borgerforslag uden, du aner det.

Fuldautomatiseret angreb

Softwareudvikleren Søren Louv-Jansen har for forholdsvis nylig demonstreret, at det rimelig let kan lade sig gøre for en kyndig cyberkriminel at fabrikere en hjemmeside med falsk NemID login-boks, som franarrer dig dine kodeoplysninger i stedet for at logge dig på. Søren Louv-Jansen opsatte en hjemmeside under det hjemmestrikkede domæne ”Medlemsklubben.dk”. Siden ser umiddelbart tilforladelig og troværdig ud og er tilmed udstyret med en grøn hængelås i browserens adressefelt, der jo normalt angiver, at forbindelsen er krypteret, og at alt dermed skulle være i vinkel.

Se også:  QUIZ: Sikkerhed på nettet

Og ved hjælp af den særlige cloud-udgave af browseren Chrome og værktøjet Puppeteer kunne Søren Louv-Jansen derpå simulere og fjernstyre brugerinput via et tastatur. Det gav ham mulighed for at søsætte et fuldautomatiseret angreb uden behov for selv at skulle indtaste de opsnappede kodeord i en ”ægte” NemID-boks bagefter. Samme manøvre kan i øvrigt også bruges til falske logins på Facebook mv.

NemID-appen giver større sikkerhed

Ud over den ”gammeldags” tofaktor login-metode med kodeord og nøglekort udbyder Nets DanID dog også nu en NemID-app, hvor du med din mobil forholdsvis nemt både kan verificere dig fra din computer og kan bruge NemID direkte fra din smartphone eller tablet uden at have nøglekortet ved hånden. Appen giver samtidig en smule ekstra sikkerhed, da den også gerne viser navnet på den side, som du er i færd med at tilgå. Hvis du altså er i færd med at logge dig ind på lad os bare sige ”medlemsklubben.dk” (der dog nu er lukket ned), viser NemID-appen, at du reeelt er på vej til for eksempel borger.dk,. Og det bør være et vink om, at der er noget galt. Appen er allerede blevet hentet over 780.000 gange. Det er dog endnu ikke alle hjemmesider, der i dag angives af appen, men flere vil gradvis komme til.

NemID er klar over problemet

Digitaliseringsstyrelsen, som er den ansvarlige offentlige myndighed bag NemID, er tidligere blevet gjort opmærksom på, at det kan være svært at skelne en ægte NemID-boks fra en falsk. Og Nets DanID, der står bag og udbyder NemID, er også udmærket klar over problematikken. Sagen er jo, at udseendet på en NemID-boks optræder mange steder. Ifølge Digitaliseringsstyrelsen anvender omkring 400 private tjenester som bl.a. banker og boligforeninger også NemID-login med brugernavn, kode og nøglekort.

Nets råder selv brugerne til at undgå falske hjemmesider ved at tjekke, om login-sidens adresselinje starter med “https” og evt. hængelåssymbol. Men dels har rigtig mange automatisk tiltro til virksomheder, der benytter sig af NemID-login og opfatter NemID som en blåstempling af virksomheden, dels er det reelt såre let at forfalske begge dele.

Den forholdsvis nye NemID-app giver dig lige en ekstra sikkerhed ved at angive, hvor du er på vej til at logge ind. Appen angiver endnu ikke alle domæner, men det arbejdes der på.

Men koden bag NemID omfatter rent faktisk adskillige foranstaltninger, der skal modvirke denne form for svindel. Blandt andet angiver koden flere virtuelle felter for navn og nøgle-korttal, men det er kun ét navnefelt og ét nøglekorttalfelt, der fungerer, og det gør det i praksis meget vanskeligt at sætte disse oplysninger ind på automatiseret vis.

Det er umuligt for den almindelige bruger at vide, hvilken af de to login-bokse der er ægte.

Men det kunne Søren Louv-Jansen imidlertid også omgå ved at få sine programmer til at simulere tryk på tabulator-tasten. Et tabulator-tryk får som bekendt i mange sammenhænge cursoren til at springe fra et felt til det næste i et skema eller en formular.

Se også:  [GUIDE]: Brug Chrome til at udrydde malware

I NemID-tilfældet kunne skiftet ske mellem felterne for henholdsvis brugernavn og adgangskode. Og på den måde lykkedes det at slippe uden om beskyttelsesmekanismerne og automatisere login-processen. Søren Louv-Jansen har tillige forklaret, at han lagde lidt forsinkelse ind i forløbet, for at det ikke skulle se for maskinelt og automatisk ud.

Sikkerhedsprotokollerne bag NemID

DMARC (Domain-based Message Authentication, Reporting & Conformance) er kort sagt en protokol, der forebygger phishing og ransomware og sikrer dine e-mails. Eller med andre ord en vejledning, der fortæller forskellige mailsystemer, hvordan de skal reagere på e-mails, der ser suspekte ud. Selve verificeringen varetages af to andre protokoller:

SPF (Sender Policy Framework) er et simpelt system til mail-validering og kontrollerer bl.a. om indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger. DKIM (DomainKeys Identified Mail) er en protokol, der signerer en udgående mail. Dvs. når du sender mailen igennem dit system eller dit mailprogram, skal det signeres med samme nøgle, som står i en DNS record på domænet. DNS (Domain Name System) er en server, der håndterer de navne, du normalt arbejder med på internettet. Dermed ved du, at personen der har sendt mailen over internettet (der jo er et IP-baseret datanet), også er den person, der ejer domænet. DMARC kigger efter, om afsenderen har benyttet sig af SPF record og DKIM – eller bare en af delene – og ud fra det, vurderes det, hvad der skal gøres, hvis e-mailen ikke kan verificeres.

TAGS
datasikkerhed
It-sikkerhed
nemid

DEL DENNE
Share

Seneste Tech test
Seneste konkurrencer

Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

Alt om DATA

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@altomdata.dk

Datatid TechLife

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@datatid.dk

Audio Media A/S

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg / Prislister:
Lars Bo Jensen: lbj@audio.dk Telefon: 33 74 71 16
Annoncer: Medieinformation


Alt om DATA, Datatid TechLife  © 2019
Audio Media A/S