NemID uden Java nærmer sig

[Christian.Arvai]

En Java-fri løsning for NemID er nu tæt på at blive godkendt. Tirsdag skal Digitaliseringsstyrelsen vurdere et tilbud på NemID baseret på Javascript.

http://www.version2.dk/artikel/nemid-uden-java-naermer-sig-51760

[AJenbo]

+1, men det er godt nok mange penge at kaste efter en ny frontend.

[kent a]

Synes godt nok det er på en måde fuldstændig tosset..

De bruger millioner på noget der liner at skyde myre med kanoner..

Jeg kan ikke se hvad der er galt i man skal bruge sin cpr. nr og en personlig kode..

Men desværre er verden fuldt af virus befængte computer...

[thj01]

Det er prisen for at gøre det tilgængelig på alle platforme.

At Java overhovedet blev det oprindelige valg har altid undret mig.

[AJenbo]

Det er prisen for at gøre det tilgængelig på alle platforme.

At Java overhovedet blev det oprindelige valg har altid undret mig.

Det er fordi mange i den branche stadig tror på hypen om at Java kan køre på alle platforme uden problemer.

[Grafwichmann]

Hold kæft hvor er det bare dejligt! Den slags er jo ikke at spøge med. Jeg har virkelig siddet og været bange for at jeg ikke ville kunne rapportere til Jobnet og A-kassen under min ledighedsperiode.

[lath]

Det er prisen for at gøre det tilgængelig på alle platforme.

At Java overhovedet blev det oprindelige valg har altid undret mig.

Det er fordi mange i den branche stadig tror på hypen om at Java kan køre på alle platforme uden problemer.

Af hvad jeg ved så bruger bank-verdenen Java rigtig meget, så det har vel været et naturligt valg for dem.

NemID med eller uden Java eller hvor Java er erstattet med JavaScript vil være lige usikkert (hint 1: MiTM angreb, hint2: DanID har din private nøgle, så de kan udgive sig for at være dig - identitetstyveri)

Vedrørende CPR nummer så skal myndigheder og private virksomheder i Danmark afvænnes fra at bruge det til autentifikation.
Autentifikation er et svært ord, og i tilfældet med CPR nummer betyder det at det bruges det som en slags PIN-kode til at finde ud af om du er dig, hvilket er totalt usikkert. Usikkert fordi at et CPR nummer nemt kan gættes af en computer. Det kræver kun 40 gæt, og så har du CPR nummeret, hvis du kender personen fødselsdato. Derefter kan en identitetstyv så få en dåbsattest, så et pas, og derefter gå ud og låne penge og/eller købe dyre ting i den anden persons navn.

Med den nuværende regering får NemID nok først sparket, når der sker sådan noget som det her ...

• Et stort antal NemID brugere får ufrivilligt solgt deres millionvillaer for 50 øre per stk.
• elller måske mere sandsynligt:
  Tømmer bankkonti for nogle milliarder kroner

... der illustrerer hvor dårligt sikkerheden ved NemID er

/Lars

[AJenbo]

Problemet med java frem for javascript er at de får adgang til alle dine filer og at man vennes til at lade programmer starte på ens maskine, samt de ekstra sikkerheds huller der er med der. Javascript er stadig nødvendig ved begge løninger.

Hvordan får du det til 40 gæt, der er 4 cifre, det er kun hver tine der er gyldig (modus10) og kun halvdelen af dem er gyædig for et køn. Det giver stadig 500 kombinationer.

[lath]

Problemet med java frem for javascript er at de får adgang til alle dine filer og at man vennes til at lade programmer starte på ens maskine, samt de ekstra sikkerheds huller der er med der.

Ja, det er jeg mildest talt ikke glad for. Det blev aflsøret på verion2.dk at deres gif filer var camoufleret maskinkode.

Javascript er stadig nødvendig ved begge løninger.

Det er rigtigt nok.
I øvrigt - selv om vi 2 godt ved det, så tror jeg lige at det er på sin plads at fortælle nogen af de andre der læser med her at Java og JavaScript ikke det samme. Java og JavaScript er langt fra det samme.

Hvordan får du det til 40 gæt, der er 4 cifre, det er kun hver tine der er gyldig (modus10) og kun halvdelen af dem er gyædig for et køn. Det giver stadig 500 kombinationer.

Åh ja det er rigtigt - de 40 gæt var hvis man havde kendskab til fødselsdato og løbenummer og navn=køn for personen.
500 er dog stadig ikke rigtig et problem for en computer, da 500 svarer til 9-bit kryptering (9-bit fordi 2⁹ = 512).

/Lars