>Mine studerende lærer denne form for angreb i løbet af de første to-tre uger på mine kurser, siger Schürmann.
>Ifølge Ingeniørens undersøgelse indeholder MitID flere alvorlige designfejl, der gør det muligt både at gætte titusindvis af danskeres brugernavne og at lukke de mange brugere ude fra systemet i dagevis.
>I visse tilfælde kan designet betyde, at angribere kan logge ind i ofrenes MitID.
>Digitaliseringsstyrelsen, der er medejer af MitID, har over for Ingeniøren ikke ønsket at forholde sig til de konkrete fund i undersøgelsen, men forsikrer om, at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark.
Kan blot anbefale at man bruger nøgleviser i stedet. Det burde beskytte en i dette tilfælde også.
At løsningen ikke har et password er også uforståeligt for mig. Jeg var en af first movers og valgte da et ekstremt simpelt “bruger-id” som endda kan associeres med mig. Det var åbenbart ikke meningen.
Når man ser de statistikker der siger at DK er de bedste i verden til IT, kommer det til at minde om de undersøgelser der sagde at USA og vesten var de bedst egnede til at håndtere en pandemi.
What a shock!
Jeg er sikker på den nye kinesiske ejer af MitID nok skal få styr på det
Hvorfor er det vi er gået væk fra NemID? Jeg menes ikke det var et problem før, hmm.
I kan skynde jer ind på Computerworld.dk og betale for at læse deres referat af en konkurrents artikel!!!
Nå det er derfor NETS har så travlt med at sælge mitID
Det er jo ikke et særlig svært system at lave, der findes standard byggeklodser fra en del firmaer som kan lave det de tog år at lave. Og det er ikke specielt dyrt – så langt tid man ikke involvere dyre konsulentfirmaer som McKinsey og/eller Accenture.
Jeg har dog svært ved at se muligheden for at kunne logge ind til folks bank uden at have deres telefon eller kodeviser (inkl. kode).
tænk hvis inkompetence i sådanne firmaer, som står for at beskytte vores data sikkerhed blev straffet seriøst…
Medie: Ekstrabladet =løgn
Det burde være forbudt at lave sådanne nyheder uden et link til en github. Hvordan skal vi kunne evaluere om det er nemt, uden et kodeeksempel?
Min kollega og jeg sad og jokede med det her da vi fik at vide at vi skulle skifte til MitID. Jeg er ikke en gang overrasket over at det er blevet knækket så hurtigt.
Men de skriver jo ikke hvordan man gør det. Hader når de ikke vil afsløre tricket.
16 comments
>Mine studerende lærer denne form for angreb i løbet af de første to-tre uger på mine kurser, siger Schürmann.
>Ifølge Ingeniørens undersøgelse indeholder MitID flere alvorlige designfejl, der gør det muligt både at gætte titusindvis af danskeres brugernavne og at lukke de mange brugere ude fra systemet i dagevis.
>I visse tilfælde kan designet betyde, at angribere kan logge ind i ofrenes MitID.
>Digitaliseringsstyrelsen, der er medejer af MitID, har over for Ingeniøren ikke ønsket at forholde sig til de konkrete fund i undersøgelsen, men forsikrer om, at der er sat værn op mod denne slags angreb på vores digitale signatur i Danmark.
Kan blot anbefale at man bruger nøgleviser i stedet. Det burde beskytte en i dette tilfælde også.
At løsningen ikke har et password er også uforståeligt for mig. Jeg var en af first movers og valgte da et ekstremt simpelt “bruger-id” som endda kan associeres med mig. Det var åbenbart ikke meningen.
Når man ser de statistikker der siger at DK er de bedste i verden til IT, kommer det til at minde om de undersøgelser der sagde at USA og vesten var de bedst egnede til at håndtere en pandemi.
What a shock!
Jeg er sikker på den nye kinesiske ejer af MitID nok skal få styr på det
Hvorfor er det vi er gået væk fra NemID? Jeg menes ikke det var et problem før, hmm.
I kan skynde jer ind på Computerworld.dk og betale for at læse deres referat af en konkurrents artikel!!!
Idioter…
https://www.computerworld.dk/art/262500/mitid-bukker-under-for-simpelt-hack-nemt-at-gaette-brugernavn-og-blokere-adgang
Nå det er derfor NETS har så travlt med at sælge mitID
Det er jo ikke et særlig svært system at lave, der findes standard byggeklodser fra en del firmaer som kan lave det de tog år at lave. Og det er ikke specielt dyrt – så langt tid man ikke involvere dyre konsulentfirmaer som McKinsey og/eller Accenture.
Jeg har dog svært ved at se muligheden for at kunne logge ind til folks bank uden at have deres telefon eller kodeviser (inkl. kode).
tænk hvis inkompetence i sådanne firmaer, som står for at beskytte vores data sikkerhed blev straffet seriøst…
Medie: Ekstrabladet =løgn
Det burde være forbudt at lave sådanne nyheder uden et link til en github. Hvordan skal vi kunne evaluere om det er nemt, uden et kodeeksempel?
Min kollega og jeg sad og jokede med det her da vi fik at vide at vi skulle skifte til MitID. Jeg er ikke en gang overrasket over at det er blevet knækket så hurtigt.
Men de skriver jo ikke hvordan man gør det. Hader når de ikke vil afsløre tricket.
Jeg er ikke engang overrasket.