Hvordan virker Nemid nøgleviseren?
Jeg har netop fået den idag og har brugt den til at logge ind på min netbank. Men hvordan virker den egentlig? Man trykker på en knap og vupti kommer der seks tal op som på magisk vis matcher med computeren. Men hvordan ved systemet at det ikke lige er seks tilfældige tal man taster ind?
Hvordan virker nøgleviseren?
25-12-2011 17:25
#1|
0
25-12-2011 18:08
#2|
0
Det er der ingen der kan svare på med sikkerhed :)
Muligvis indeholder nøgleviseren bare en milliard tilfældige kombinationer, alle relateret til et tidsrum af 30 sekunder, og samtlige nøgleviseres kombinationer er så gemt i en database hos nemid som de kan sammenligne med.
F.eks.
25/12/2011 18:06:30 til 18:06:59 = 273649
25/12/2011 18:07:00 til 18:07:29 = 783612
osv..
25-12-2011 18:27
#3|
1
Som jeghar forstået det, så skal nøgleviseren registreres til nemID ud fra nøgleviserens serienummer. Når man så skal logge på et eller andet sted med nemID giver nøgleviseren en 'talnøgle', der er registreret et eller andet sted sammen med x antal andre nøgler (måske 10.000 eller 100.000 eftersom nøgleviseren forventes kun at holde i 3 år) også knyttet til den specifikke nøgleviser.
Så, I stedet for, at man 'ved alm. NemID login med nøglekortet' bliver bedt om en specifik nøgle, der står på nøglekortet, så tror jeg nøgleviseren svarer til, at du selv kunne vælge en tilfældig nøgle på dit nøglekort og logge ind med den. Ellers synes jeg ikke det giver mening at skulle registrere nøgleviseren ud fra et specifikt serienummer.
25-12-2011 18:29
#4|
13
I kan godt høre hvem der er teknik-nørd hjemme hos os , right ?? ;))
25-12-2011 18:47
#5|
1
tuznelda skrev:
så tror jeg nøgleviseren svarer til, at du selv kunne vælge en tilfældig nøgle på dit nøglekort og logge ind med den. Ellers synes jeg ikke det giver mening at skulle registrere nøgleviseren ud fra et specifikt serienummer.
Det ville være alt for usikkert og nemt at bryde hvis du ville kunne bruge en tilfældig nøgle af de mange nøgler på et tilfældigt tidspunkt, hvilket er hvorfor hver enkel nøgle er tilknyttet et bestemt tidsrum.
Sådan er det i hvert fald med for eksempel Blizzard's Battle.net Authenticator.
25-12-2011 19:33
#6|
0
Mener du så, at alle nøglevisere viser den samme talkode inden for det samme lille 'tidsvindue'? Det virker da langt mere usikkert end hvis hver nøgleviser rummer x antal unikke nøgler knyttet til et specifikt nemID, hvor 'enhver nøgle' i nøgleviseren kan bruges sammen med NemID/afgangskode.
Din måde ville ko betyde, at man kunne bruge en hvilken som helst nøgleviser til en given nemID-konto.
Det hænger ikke sammen med kravet om at registrere nøgleviserens serienummer sammen med ens personlige NemID logon.
25-12-2011 19:47
#7|
0
Jeg har en elektronisk nøgleviser.
Den fungerer ved at du logger på med dit cpr. nr. og kode først og der hvor du plejer at bruge dit nøglekort, så trykker du på et link istedet for nedenunder hvor der står noget med 'brug nøgleviser' eller sådan noget.
Du trykker på den eneste knap der er på nøgleviseren og indtaster de 6 tal der vises på displayet i omkring 30 sek.
Easy peasy :)
25-12-2011 19:48
#8|
0
Det siger jeg ikke nogle steder? :) Selvfølgelig er hver enkel nøgleviser unik.
25-12-2011 19:56
#9|
0
hebzor .. så har jeg nok misforstået det du skrev. Måske er det en "kombination" af de to ting .. at hver nøgleviser indeholder x antal unikke nøgler knyttet til et specifikt NemID, men hver nøgle er kun brugbar i et vist tidsrum?
Jeg spurge hende, der sad "i kassen" i vores bank sidst jeg var dernede og hun forklarede det sådan: "det er som at have rigtigt mange nøglekort liggende - du skal bare ikke selv rode med at kigge alle nøglerne igennem for at finde den rigtige. det gør nøgleviseren for dig".
Hun har tydeligvis ikke selv vidst, hvordan den virker :D
25-12-2011 20:06
#10|
0
Jeg har ingen idé om hvordan det fungerer, men forslaget med at hver nøgleviser har 10.000 eller 100.000 nøgler der til hver en tid virker giver absolut ingen mening. Det ville jo betyde at man bare ved at gætte kunne ramme rigtigt mellem 1% og 10% af tiden. Til sammenligning er sandsynligheden for at gætte rigtigt med nøglekortet 1:1.000.000, og det ville være pudsigt hvis sikkerheden med nøgleviseren er ringere end med nøglekortet.
Færre end 10.000 unikke nøgler per nøgleviser ville betyde at man har under 10 nøgler at bruge af per dag hvis nøgleviseren holder i 3 år, hvilket heller ikke er en holdbar løsning.
Den mere oplagte løsning er den hebzor foreslår hvor din nøgleviser er synkroniseret med NemID-serveren, så når du logger ind med brugernavn og password vil der være én enkelt nøgle der passer til den login-session. Så er sikkerheden lige så god som med nøglekortet.
25-12-2011 20:10
#11|
0
Kirk... du har sikkert ret i, at 10k eller 100k er alt for lille tal. Jeg synes bare det virkede som "enormt mange" nøgler at have adgang til :D
Jeg har kun "bankdamens forklaring" at støtte mig til :)
Edit: her står noget om, at nøgleviseren genererer nøglerne løbende mens "nøglekortet i pap" har præfabrikerede nøgler.
I øvrigt skal man stadig gemme sit nøglekort selvom man anskaffer sig en nøgleviser, for nøglekortet skal bruges ved spærring af nøgleviser, ændringer i adresseoplysninger osv..
lidt om nøgleviseren
Redigeret af tuznelda d. 25-12-2011 20:17
25-12-2011 20:23
#12|
0
tuznelda,
Det er et alt for stort tal i forhold til sikkerhedsspørgsmålet, hvis det foregår som du foreslog i din første post. Det ville være mere sikkert hvis du havde 100 unikke nøgler som virker til hver en tid, men så vil nøgleviseren, for mange brugere i hvert fald, løbe tør for nøgler alt for hurtigt.
Bankdamens forklaring er sådan set fin nok, og hvis du sammenholder den med hebzors forslag, så har du en fungerende løsning, der er lige så sikker som nøglekortet.
25-12-2011 21:23
#13|
0
Så vidt jeg har forstået det, så er nøgleviseren koblet sammen med ens ID, og hver nøgle virker kun i x antal sekunder. Ikke noget med at alle virker til alle tidspunkter. Der er én og kun én nøgle der virker på lige nøjagtig hvert tidspunkt
25-12-2011 21:38
#14|
0
fedesen OP
@Duracell
Sidder der så et ur i nøgleviseren eller hvad? Jeg mener bare er nøgleviseren synkroniseret med nemid eller hvad?
PS. Jeg ved godt du troller.
25-12-2011 22:16
#15|
0
Der er lidt mere info om den token NemID bruger her:
www.gemalto.com/brochures/download/eba_ezio_lava.pdf
Den er på en eller anden vis synkroniseret men NemID
Jørn
25-12-2011 22:32
#16|
3
fedesen skrev:
@Duracell
Sidder der så et ur i nøgleviseren eller hvad? Jeg mener bare er nøgleviseren synkroniseret med nemid eller hvad?
PS. Jeg ved godt du troller.
Der er nu ikke noget trolling i det. Ja, der sidder et ur i nøgleviseren, og sammen med en nøgle som nemid serveren kender danner det en unik kode hver 20 sekunder. Fordi nemid serveren har samme ur og kender nøgleviserens basekode kan serveren checke den 6 cifrede nøgle.
Den slags nøglevisere har eksisteret i mange år så det er ikke specielt hemmeligt hvordan de virker.
Der er ingen lange kodelister gemt i nogen databaser.
26-12-2011 17:50
#17|
0
Er det ikke lidt ligesom på pokersites, hvor kortene bliver genereret udfra en algoritme der inkluderer tid og dato og lignende?
26-12-2011 19:59
#18|
0
isaac skrev:
Er det ikke lidt ligesom på pokersites, hvor kortene bliver genereret udfra en algoritme der inkluderer tid og dato og lignende?
Ja og algoritmen der generer din kode i nøgleviseren inkluderer din nøgleviser's id.
Nemid kender denne og bruger samme algoritme.
Matcher den generede kode med det Nemid kan beregne sig frem til, og du har korrekt password, vil nem-id derfor konkludere at det er rette identitet der logger ind, samtidig med at denne person har passwordet, og disse to ting er nok til at konkludere at du er dig.
Redigeret af c_hope d. 26-12-2011 20:00
26-12-2011 22:32
#19|
0
men den er dog håbløs upraktisk i forhold til papkortet.
Redigeret af Rottegift2 d. 26-12-2011 22:33
27-12-2011 10:19
#20|
0
Du skal være logget ind for at kunne skrive et svar!