---

Ham her: Patrick Mylund Nielsen Mandag, 7. november 2011 - 16:31

http://www.version2.dk/artikel/kommentar-om-nemid-loesningen-findes-
hvorfor-saa-ikke-bare-goere-det-32475

Kort link: http://tinyurl.com/bspl2fq

- forslår to ændringer. Jeg mener den ene allerede er der. Det drejer
sig om forslaget med at Danid rammen kommer i et seperat pop-up
vindue lissom hos DR med login fra Fjæsbog, så brugeren har mulighed
for at bekræfte URL og certifikat fra Danid.

Jeg mener det er sådan allerede.

Der er en lille check box i Windows IE, hvor der pr default er sat et
hak for at fremover stole på det der kommer fra Danid. Hvis det så
drejer sig en falsk ramme, så må advarslen da komme igen? og man vil
så kunne se, at det ikke er Danid og dennes certifikat browseren
bliver præsenteret for.

På Mac, med Safari er det lige omvendt. Man skal selv sætte et hak
før "stole på" bliver aktiveret.

Men i begge tilfælde vil man få mulighed for at se URL og certifikat
hvis sitet ikke er det rigtige.

Er det ikke korrekt?

(Som et kuriosum kan jeg oplyse, at jeg omhyggeligt fjerner hakkene,
når jeg bruger IE. Der er åbenbart stadig to java applets. Jeg fik at
vide fra Danske Bank Netbank support, at de kun ville være der i en
overgangsperiode).

Det andet forslag er brug af to-faktor identifikation ved hver
transaktion. Der er jeg enig. Det var metoden i Danske Banks netbank
med Activ Card. Det kan kun være fordi Danid har valgt et papkort, at
den mulighed ikke er der.


--
Banned from Version2.dk for writing a Firesheep script.

---

Den 07 Nov 2011 17:14:54 GMT skrev Axel Hammerschmidt:
>
> Det andet forslag er brug af to-faktor identifikation ved hver
> transaktion. Der er jeg enig. Det var metoden i Danske Banks netbank
> med Activ Card. Det kan kun være fordi Danid har valgt et papkort, at
> den mulighed ikke er der.

Det system bliver ikke sikkert, sålænge DanID ikke ville kunne bestå
PC-kørekort med en censor der ved bare en lille smule om sikkerhed.

(Den største risiko i dag kommer fra tre små browser-plugins:
Flash, Adobe Reader og Java).

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

---

Kent Friis:

> Den 07 Nov 2011 17:14:54 GMT skrev Axel Hammerschmidt:
>
>> Det andet forslag er brug af to-faktor identifikation ved hver
>> transaktion. Der er jeg enig. Det var metoden i Danske Banks
>> netbank med Activ Card. Det kan kun være fordi Danid har valgt et
>> papkort, at den mulighed ikke er der.
>
> Det system bliver ikke sikkert, sålænge DanID ikke ville kunne
> bestå PC-kørekort med en censor der ved bare en lille smule om
> sikkerhed.

Jeg redegjorde ikke for hvordan metoden er (mere) sikker med Active
Card.

Jeg benyttede altid to computere. Først bestilte jeg pengeoverførslen
- f.eks nogle betalinger - på den ene computer, Windows og med ADSL,
loggede af og lukkede ned. Så brugte jeg en anden computer til at
godkende betalingerne. Den anden computer har mobilt bredbånd og
kunne være en Macintosh.

Med Danid hjælper det ikke 100 pct på man-in-the-middle, selv om jeg
stadig logger af og logger på fra en anden computer (gammel vane)
fordi hackeren - som beskrevet i artiklen - allerede har nok
information, til at kunne sende penge - tømme kontoen helt - til sin
muldyr.

Der er dog en mindre sikkerhed, idet overførslen bliver checket fra
computer nr 2 kort tid efter den bestilles og så opdager jeg nok hvis
der er noget galt.

> (Den største risiko i dag kommer fra tre små browser-plugins:
> Flash, Adobe Reader og Java).

Joh, men det er noget andet.


--
Banned from Version2.dk for writing a Firesheep script.

---

Den 07 Nov 2011 18:04:21 GMT skrev Axel Hammerschmidt:
>
>> (Den største risiko i dag kommer fra tre små browser-plugins:
>> Flash, Adobe Reader og Java).
>
> Joh, men det er noget andet.

Min holdning er at hvis DanID tog sikkerhed bare en lille smule
alvorligt, så frarådede de at man har de tre plugins installeret.

Med vægt på den sidste, af åbenlyse årsager.

Hvis de skal arbejde professionelt med IT-sikkerhed, skal der
naturligvis meget mere til.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

---

Kent Friis skrev:

> Min holdning er at hvis DanID tog sikkerhed bare en lille smule
> alvorligt, så frarådede de at man har de tre plugins installeret.

Ja, og at man cementerer alle USB-stik og andre
tilslutningsmuligheder til computeren til samt fjerner
netkort og andre kommunikationsmuligheder med omverdenen. Og
at man for en sikkerheds skyld alligevel undlader at tænde
computeren.

Men DanID lever i den virkelige verden, hvor de må forholde
sig til, hvordan folk bruger computeren, så det sker nok ikke.

Har du for øvrigt fjernet de tre plugins? Hvis ikke, er det
så et tegn på, at du ikke tager sikkerheden alvorligt?

--
Mvh. Kim Ludvigsen
Hold din drømmeferie i Thailand. Find tips og info på:
http://rejse-til-thailand.dk

---

Den Tue, 08 Nov 2011 08:09:15 +0700 skrev Kim Ludvigsen:
>
> Har du for øvrigt fjernet de tre plugins? Hvis ikke, er det
> så et tegn på, at du ikke tager sikkerheden alvorligt?

About:Plugins

Default Plugin

File: libnullplugin.so
Version: 1.0.0.15

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

---

Den Tue, 08 Nov 2011 08:09:15 +0700 skrev Kim Ludvigsen:
> Kent Friis skrev:
>
>> Min holdning er at hvis DanID tog sikkerhed bare en lille smule
>> alvorligt, så frarådede de at man har de tre plugins installeret.
>
> Ja, og at man cementerer alle USB-stik og andre
> tilslutningsmuligheder til computeren til samt fjerner
> netkort og andre kommunikationsmuligheder med omverdenen. Og
> at man for en sikkerheds skyld alligevel undlader at tænde
> computeren.

Der er forskel på at kræve sikkerhed på Pentagon-niveau, og sikkerhed
på PC-kørekort niveau.

> Men DanID lever i den virkelige verden, hvor de må forholde
> sig til, hvordan folk bruger computeren, så det sker nok ikke.

Og i den virkelige verden er det ok at opfordre folk til at installere
hvadsomhelst, clicke ok til spørsmål de ikke forstår, og i det hele
taget ignorere hvad de har lært eller burde have lært?

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/