NemID er åbenbart fuld af sikkerhedshuller

Er der nogen som har set denne artikel i Børsen. Jeg begynder at blive lidt nervøs for at bruge NemID. Hvad siger I andre?

"siger Niels Elgaard og forklarer, at en bank vil kunne følge med i, hvilke konti og engagementer en kunde evt. måtte have med andre banker, ligesom banken vil kunne følge med i, hvilket udestående en kunde måtte have med det offentlige, eller en offentlig myndighed kan følge med i en borgers bankforhold."

Bekymrende eller Big brother agtigt.

Systemet er designet LANGT under lavmålet for hvad der teknisk er muligt, jeg ville aldrig stole 100% på det ... men jeg vil stole ligeså meget på det som en underskrift.

Jeg vil dog aldrig selv kunne finde på at bestille NemID personligt ... desværre er jeg bange for jeg bliver tvunget til.

Mht polledrengen har han 100% ... det er MEGET bedre end noget af det vi tidligere har været udsat for, så lad os da byde det velkommen, men lad være med at give det credit som værende 100% trustworthy authentication.

Nogle der kan forklare foelgende afsnit:

"men også gør det muligt for myndigheder, banker og andre virksomheder, der bliver koblet på systemet, så at sige at gå baglæns i transmissionen og dermed aflure brugeren.

"Når en bruger kobler sig op til en offentlig myndighed, sin bank, forsikringsselskab eller en anden virksomhed, der er tilsluttet NemID-systemet, har ikke blot den pågældende myndighed eller virksomhed adgang baglæns i systemet til brugerens computer, men det samme har alle de øvrige myndigheder, banker og andre virksomheder, der er koblet til systemet,"

Er det hans paastand at den applet som bliver installeret idag faktisk tillader alle som modtager netid at laese alle transaktioner som brugeren har lavet uanset hvem han har lavet dem med? Efter at have laest det igen(Og igen) er hans paastand faktsk endnu vaere. Han siger jo direkte at denne Applet er lavet saaledes at den kan modtage javabyte kode fra alle virksomheder og udfoere det med fuld adgang, hvilket helt sikkert ikke passer.

Det system er jo designet til at det skal gå galt før eller siden.

Spørgsmålet er ikke _om_ det går galt. Spørgsmålet er _hvornår_ det går galt! 

Derudover synes jeg ikke at NemID lyder hverken særlig nemt eller smart. Jeg er modstander. 

Martin T:

Hvordan skulle det faktum at den applet koere med fuld access paa brugerens computer give en hvilken som helst  virksomhed som modtager nemid login, mulighed for at laese kundens andre nemid transactions*?

Når applet kører med fuld-access, så betyder det at den har adgang til hele computeren og kan alt! Lidt ligesom når man kører en almindelig executable.

Eiler:

Det system er jo designet til at det skal gå galt før eller siden.

Kan du pege på den garverende fejl i arkitekturen, du mener udløser dette, eller er du bare en med-løber der udtaler sig skrå-sikkert uden at kende noget til systemet eller fag-området?

Lundsby:

Kan du pege på den garverende fejl i arkitekturen, du mener udløser dette, eller er du bare en med-løber der udtaler sig skrå-sikkert uden at kende noget til systemet eller fag-området?

Nej, jeg er selvfølgelig bare medløber....

http://www.version2.dk/artikel/15599-minister-om-nemid-struktur-bedst-for-sikkerheden-at-samle-alt-hos-danid
 - den dag DanID laver en fejl40 er vi for alvor på røven. Sikkerhedsrutiner, overvågning og alle de andre flotte ord til trods - når dagen er omme sidder ét firma med det hele, og alle kan lave en fejl40. Nogle steder har det bare større konsekvenser end andre. 

http://www.version2.dk/artikel/15414-ups-nemid-i-knae-paa-premieredagen
 - go start, jeg er tryg nu.  

Jeg ser bare nogle risici når man samler det hele på den måde - så mange kritiske og personfølsomme data på ét sted. Så jeg håber og forventer da, at de har styr på tingene! 

Derudover må selv du da give mig ret i, at det hverken er særlig nemt eller smart, at skulle rende rundt med en lap papir, hver gang man vil bruge sin netbank eller andet offentligt websted, og i tide og utide skulle bestille nye af disse. Det må da kunne laves smartere!