Artikel top billede

(Foto: Computerworld)

Er NemID en dårlig ide?

Hidtil har vi kunnet være nogenlunde trygge ved at logge ind via en NemID login-boks på eksempelvis borger.dk eller bank. Men nu har en ekspert netop demonstreret en måde at snyde systemet fra 2010 på. Heldigvis er en helt ny løsning på vej.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Du er ganske vant med at skulle logge dig ind på flere offentlige netsites med NemID. Du møder også den kendte login-boks, når du vil tilgå din bankkonto, ligesom flere andre mere private hjemmesider benytter NemID til at verificere dig, før du får adgang.

Det er muligt at lægge en ægte NemID login-boks ind på en hjemmeside ved at henvende sig til www.nets.eu, men boksen har den grundlæggende svaghed, at den er nogenlunde nem at efterligne, og reelt har du ikke mange muligheder for at skelne, om en given NemID login-boks er falsk eller ægte. Bag login-boksen kan der derfor lure cyberkriminelle, der er ude efter penge, eller fremmede stater, der er ude efter oplysninger, og når du identificerer dig via dit kodeord og nøglekort, får du måske (eller måske ikke) adgang til den hjemmeside, du besøger, men samtidig kan du risikere, at både dit kodeord og dit nøgletal bliver luret af og brugt til at skaffe uvedkommende adgang til eksempelvis din netbank.

Det der sker er nemlig, at cybersvindleren så blot indsætter dine kodeoplysninger i en rigtig og ægte NemID login-boks, og på den måde kan han eller hun uden videre studere dine bankforhold, helbredsforhold og meget andet særdeles privat og følsomt. Det er også muligt at rette i dine skatteoplysninger eller lade dig støtte borgerforslag uden, du aner det.

Fuldautomatiseret angreb

Softwareudvikleren Søren Louv-Jansen har for forholdsvis nylig demonstreret, at det rimelig let kan lade sig gøre for en kyndig cyberkriminel at fabrikere en hjemmeside med falsk NemID login-boks, som franarrer dig dine kodeoplysninger i stedet for at logge dig på. Søren Louv-Jansen opsatte en hjemmeside under det hjemmestrikkede domæne ”Medlemsklubben.dk”. Siden ser umiddelbart tilforladelig og troværdig ud og er tilmed udstyret med en grøn hængelås i browserens adressefelt, der jo normalt angiver, at forbindelsen er krypteret, og at alt dermed skulle være i vinkel.

Og ved hjælp af den særlige cloud-udgave af browseren Chrome og værktøjet Puppeteer kunne Søren Louv-Jansen derpå simulere og fjernstyre brugerinput via et tastatur. Det gav ham mulighed for at søsætte et fuldautomatiseret angreb uden behov for selv at skulle indtaste de opsnappede kodeord i en ”ægte” NemID-boks bagefter. Samme manøvre kan i øvrigt også bruges til falske logins på Facebook mv.

NemID-appen giver større sikkerhed

Ud over den ”gammeldags” tofaktor login-metode med kodeord og nøglekort udbyder Nets DanID dog også nu en NemID-app, hvor du med din mobil forholdsvis nemt både kan verificere dig fra din computer og kan bruge NemID direkte fra din smartphone eller tablet uden at have nøglekortet ved hånden. Appen giver samtidig en smule ekstra sikkerhed, da den også gerne viser navnet på den side, som du er i færd med at tilgå. Hvis du altså er i færd med at logge dig ind på lad os bare sige ”medlemsklubben.dk” (der dog nu er lukket ned), viser NemID-appen, at du reeelt er på vej til for eksempel borger.dk,. Og det bør være et vink om, at der er noget galt. Appen er allerede blevet hentet over 780.000 gange. Det er dog endnu ikke alle hjemmesider, der i dag angives af appen, men flere vil gradvis komme til.

NemID er klar over problemet

Digitaliseringsstyrelsen, som er den ansvarlige offentlige myndighed bag NemID, er tidligere blevet gjort opmærksom på, at det kan være svært at skelne en ægte NemID-boks fra en falsk. Og Nets DanID, der står bag og udbyder NemID, er også udmærket klar over problematikken. Sagen er jo, at udseendet på en NemID-boks optræder mange steder. Ifølge Digitaliseringsstyrelsen anvender omkring 400 private tjenester som bl.a. banker og boligforeninger også NemID-login med brugernavn, kode og nøglekort.

Nets råder selv brugerne til at undgå falske hjemmesider ved at tjekke, om login-sidens adresselinje starter med “https” og evt. hængelåssymbol. Men dels har rigtig mange automatisk tiltro til virksomheder, der benytter sig af NemID-login og opfatter NemID som en blåstempling af virksomheden, dels er det reelt såre let at forfalske begge dele.

Den forholdsvis nye NemID-app giver dig lige en ekstra sikkerhed ved at angive, hvor du er på vej til at logge ind. Appen angiver endnu ikke alle domæner, men det arbejdes der på.

Men koden bag NemID omfatter rent faktisk adskillige foranstaltninger, der skal modvirke denne form for svindel. Blandt andet angiver koden flere virtuelle felter for navn og nøgle-korttal, men det er kun ét navnefelt og ét nøglekorttalfelt, der fungerer, og det gør det i praksis meget vanskeligt at sætte disse oplysninger ind på automatiseret vis.

Det er umuligt for den almindelige bruger at vide, hvilken af de to login-bokse der er ægte.

Men det kunne Søren Louv-Jansen imidlertid også omgå ved at få sine programmer til at simulere tryk på tabulator-tasten. Et tabulator-tryk får som bekendt i mange sammenhænge cursoren til at springe fra et felt til det næste i et skema eller en formular.

I NemID-tilfældet kunne skiftet ske mellem felterne for henholdsvis brugernavn og adgangskode. Og på den måde lykkedes det at slippe uden om beskyttelsesmekanismerne og automatisere login-processen. Søren Louv-Jansen har tillige forklaret, at han lagde lidt forsinkelse ind i forløbet, for at det ikke skulle se for maskinelt og automatisk ud.

DMARC (Domain-based Message Authentication, Reporting & Conformance) er kort sagt en protokol, der forebygger phishing og ransomware og sikrer dine e-mails. Eller med andre ord en vejledning, der fortæller forskellige mailsystemer, hvordan de skal reagere på e-mails, der ser suspekte ud. Selve verificeringen varetages af to andre protokoller:

SPF (Sender Policy Framework) er et simpelt system til mail-validering og kontrollerer bl.a. om indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger. DKIM (DomainKeys Identified Mail) er en protokol, der signerer en udgående mail. Dvs. når du sender mailen igennem dit system eller dit mailprogram, skal det signeres med samme nøgle, som står i en DNS record på domænet. DNS (Domain Name System) er en server, der håndterer de navne, du normalt arbejder med på internettet. Dermed ved du, at personen der har sendt mailen over internettet (der jo er et IP-baseret datanet), også er den person, der ejer domænet. DMARC kigger efter, om afsenderen har benyttet sig af SPF record og DKIM – eller bare en af delene – og ud fra det, vurderes det, hvad der skal gøres, hvis e-mailen ikke kan verificeres.

Side om side

Nu vil det nok høre til undtagelserne, at nogen er drevne nok til at gøre professionelle softwareudviklere ”kunsten” efter, men som vicedirektør i Digitaliseringsstyrelsen Adam Lebech har udtalt: ”Phishing er et problem, som vi hele tiden er nødt til at adressere. Al it-sikkerhed er ofte et kapløb side om side med hackerne. Vi har lavet flere tiltag sammen med Nets og bankerne, men der er jo altid tale om en afvejning mellem blandt andet sikkerhed og brugervenlighed.”

Adam Lebech nævner som eksempel, at det formentlig også ville styrke sikkerheden, hvis nøglekortbrugere skulle møde personligt op, hver gang de skulle have udstedt et nyt nøgle-kort. Men det er og bliver en balancegang, som skal vejes for og imod. Vicedirektøren for Digitaliseringsstyrelsen fremhæver også, at der rent faktisk har været et generelt fald i vellykkede phishing-angreb. Og det skyldes dels, at der er indført DMARC-beskyttelse i forbindelse med flere domæner og dels et godt samarbejde med for eksempel teleselskaberne omkring beskyttelse mod sms-phishing.

Det er planen, at NemID på et tidspunkt skal afløses af et nyt ID-system under navnet MitID. I den forbindelse kunne det være nærliggende at finde på et design, så den nye løsning ikke har samme grundlæggende svaghed som NemID. Men foreløbig vil ingen udtale sig specifikt om det, da systemet jo er under udvikling. Men MitID vil angiveligt blive designet med en helt ny infrastruktur, hvor sikkerhed er i absolut centrum.

Se, uden nøglekort!

Bruger du NemID-appen, starter du med dine almindelige NemID-login- oplysninger, men derpå skifter billedet til en anmodning om at lade mobil-appen overtage verifikationen.
NemID-app melder, når alt er i orden, og du er logget ind.