Re: [MISC] NemID. Dum ide

[Peter Makholm <sslug@sslug>]

Jørgen Heesche <sslug@sslug> writes:

>> En digital challenge-response token ville selvfølgelig have været
>> nifty og ville sikkert kunne få løsningen til at glide nemmere ned hos
>> de fleste teknik-nørder, men jeg tvivler på at det er billigere eller
>> mere sikkert.
>>
> Et Smart Card er mere sikkert. Selvom uvedkommende skulle få fingre i
> det, kan det ikke bruges uden at kende dets PIN-kode.

Kan du definere 'mere sikkert'?

Det er stadigvæk kun to-faktor authentificering. Bevares vi har
tilføjet et par bit ekstra entropi til 'noget du ved'-faktoren, men
grundlæggende set har vi ikke ændret på mængden af faktore. Det er
stadigvæk kun 'noget du har' og 'noget du ved'.

På den anden side, så svare det lidt til at diskuterer hvilken mængde
der er størst: De hele tal vs. de lige hele tal.

Man kunne måske komme et stykke vej ved helt af afskaffe kodeordet i
java-appletten og flytte hele 'noget du ved' over i et samlet stykke
hardware. Men jeg er ikke sikker på at jeg er overbevist om at det er
en god ide. Det vil gøre det mere ugennemskuligt om der er tale om
reel to-faktor authentificering og helt lavpraktisk har den slags
tokens det med at blive slidt meget kode-afhængigt.

Skulle man endelig gøre systemet mere sikkert, så skulel man indføre
en tredje authentificerings-faktor. Den klasiske tredje-faktor er
'noget man er' aka biometrisk authentificering. Men ærlig talt, så har
jeg hverken lyst til at stikke øjet ned i en lav-pris laser-dims eller
til at få hugget fingeren af ved et røveri.


Men stadigvæk. Hele NemID-konstruktionen er så gennemført mistænkelig
at det hverken er de ekstra bits entropi man kunne tvinge folk til at
huske, elle rden manglende tredje faktor der får korthuset til at
vælte.

//Makholm