Her er statens bedste bud på mobil NemID-løsning

En analyse af forskellige tekniske muligheder for at få NemID på mobilen peger på en webbaseret løsning uden engangskoder. Skal sikkerheden være højere, skal login ske gennem en applikation på telefonen.

NemID skal også kunne bruges på mobilen, men hvordan den nød knækkes, er Digitaliseringsstyrelsen i gang med at tænke over.

To analyser af forskellige løsninger har nemlig vist, at det enten bliver væsentligt dyrere at udvikle end de 8 millioner kroner, der var afsat, eller at sikkerheden skal sænkes i mobilløsningen.

Læs også: NemID til mobilen bliver udskudt: Sværere end forventet

Læs også: 8 millioner kroner til NemID på mobilen var ikke nok

Her er de løsninger, som får den bedste vurdering i analyserne, som Rambøll står bag.

Højeste sikkerhedsniveau: Lokal applikation er bedst

I den første analyse, hvor udgangspunktet er samme sikkerhedsniveau som NemID på desktoppen, peger pilen på lokale applikationer, der så skal udvikles til Android, iOS og Windows Phone.

Forskellige bud på en ren webbaseret løsning, hvor man logger ind via browseren på mobilen, bliver forkastet som enten teknisk umulig eller for usikker. Hybrid-løsninger, hvor lokale applikationer bliver kombineret med webløsninger, er mindre brugervenlige end en ren app-løsning, lyder konklusionen.

Dermed er det to løsninger med login via lokalt installerede applikationer, som trækker det længste strå. Konceptet her er, at de forskellige tjenesteudbydere, altså for eksempel Skat, kan udvikle en mobil-applikation, der rummer en centralt udviklet NemID-komponent, nemlig et såkaldt statisk indlejret bibliotek, der kommunikerer med serverne hos DanID.

Til venstre et diagram over, hvordan en lokal applikation kan give mobiladgang til en service hos det offentlige. Til højre en såkaldt hybrid-model, hvor en browser indbygget i applikationen skal gøre det nemmere for tjenesteudbyderne, da de så kan modtage mobilbrugerne via den sædvanlige webadgang til tjenesten.

Da bankerne er på vej med en løsning, der bruger samme princip, vil man kunne genbruge kode til denne komponent, lyder det.

En variant deler opgaverne op, så brugerne skal installere en dedikeret NemID-applikation, som kun står for kontakten til DanID, mens en anden applikation så står for login og selve den service, som brugeren ønsker. Dermed skal man downloade to applikationer for at komme i gang.

Men denne løsning kræver, at applikationerne kan ’kalde’ hinanden på telefonen, hvilket Windows Phone 7 ikke understøtter. I version 8 af Microsofts mobilplatform skulle den funktion dog være på plads.

Ved at dele opgaven op mellem to applikationer, skal tjenesteudbyderne hver især lave en mindre kompliceret applikation.

Disse to mobil-app-bårne løsninger lå altså bedst placeret i vurderingen af forskellige løsninger - men var som sagt for dyre.

Derfor tog Digitaliseringsstyrelsen og Rambøll en runde 2 med en ny analyse, hvor sikkerhedskravene blev sænket.

Lavere sikkerhedsniveau: Webproxy er billigst

I stedet for at bruge en engangskode fra papkortet ved hvert login, blev der set på løsninger, hvor man kunne logge på med NemID på desktoppen og så aktivere mobiladgang og få login-koder til formålet - på samme måde som bankerne giver mobiladgang til netbank.

Her er det en webbaseret løsning, der vinder skønhedskonkurrencen.

Tanken er her, at en bruger ligesom på desktoppen logger på via browseren. Men i stedet for at blive præsenteret for den fulde, Java-drevne NemID-login, sendes mobil-brugeren videre til en anden webside for at logge ind med mobil-NemID-koderne.

Webløsningen, hvor brugeren først opretter sin mobile adgang med et normalt NemID-login, og så kommer igennem en særlig login-webside, når der skal logges ind fra mobilen.

Efter vellykket login ekspederes brugeren tilbage til tjenesten, dog med et stort stempel i panden om, at der blev brugt et lavere sikkerhedsniveau end med fuld NemID, og at adgangen til fx personfølsomme oplysninger så skal tilpasses. Det er heller ikke muligt at bruge signering.

Det smukke ved denne løsning er mulighed for at få den klar hurtigere end de andre. NNIT, som driver Nemlogin.dk, kan nemlig få opgaven uden et nyt, tidskrævende udbud, fordi opgaven kan tilføjes den eksisterende kontrakt. Og med en samlet pris på 7-13 millioner kroner er løsningen væsentligt billigere end alternativerne, fordi der ikke skal udvikles og opdateres en applikation til tre platforme, ligesom tjenesteudbyderne som en kommune eller Skat heller ikke har store udgifter.

På minus-siden er risikoen for man-in-the-middle-angreb, hvor en hacker kan efterligne den officielle mobil-login-webside og lokke brugerne til. Her foreslår rapporten forskellige tricks til at mindske problemet, for eksempel at login-siden skal vise et billede eller et spørgsmål, som brugeren selv på forhånd har valgt.

Hvilken løsning, det ender med, afhænger nu af en ny analyse, som Digitaliseringsstyrelsen har sat i gang, nemlig en afdækning af, hvordan mobil NemID-adgang vil blive brugt, og om det er en gangbar vej at skrue ned for sikkerhedsniveauet for mobil adgang, på samme måde som bankerne har gjort det.

Kommentarer (19)

Claus Jepsen

Alting har som bekendt sin pris og værdien bør naturligvis afvejes i forhold hertil.

Men er NemID på mobil ikke et af de specielle tilfælde, hvor kritikalitet er så vital og udbredelse er så massiv, at andre parametrer betyder mere end pris?

Mere end 60% af danskerne har eller får meget snart en Smartphone. Samme antal bruger netbank og online tjenester med følsomme data. NemID er DEN ene sikkerhedsnøgle til det hele.

Det ville virke logisk at finde frem til den mest sikre og mest brugervenlige løsning og så finde pengene, fremfor at spare 10-15 mio. kortsigtet (Til sammenligning bruger flere kommuner 10 mio. på 2-3 kunstgræsbaner til fodbold - NemId på mobil virker mere samfundskritisk).

Michael Lykke

Det virker som om man gør hvad man kan for at overtænke applikationen. Inden vi får flere løsnigner med billedfiler med kode i og lign. tåbeligheder som vi har set med den nuværende NemID løsning, så var det på høje tid at DanID tog KISS princippet til sig.

Der skal IKKE laves en løsning hvor man skal bruge 2 eller flere apps for at logge ind og hver serviceudbyder skal heller ikke lave deres egen app til at håndtere login.

Der har i årevis eksisteret små "nøgler" hvor der genereres en random kode man skal indtaste ved login og ligeledes findes der flere apps der benytter denne funktionalitet på smartphones.
Fx. benytter Blizzard en mobil authenticator med automatisk genererede koder når man skal logge på deres Battle.Net platform.

Det fungere ganske simpelt med én app der generere en ny kode hvert 10 sekund - Den kode skal så indtastes ved login. Det er en lign. simpel løsning der bør laves til NemID.

Der er ingen grund til at en løsning har behov for at blive delt i flere separate apps. Sørg for at serviceudbyderne får et mobilt login komponent de kan embedde i deres apps og hav så en decideret NemID app der konstant generere nye koder som man så kan indtaste i den app elle rbrowser hvor man forsøger at logge ind.
Og sørg nu for at de mobil genererede koder også kan bruges i almindelig NemID login så vi ikke ender med en tåbelig løsning hvor mobilen kan bruges i nogle situationer af papkortet i andre.

Anders Hessellund Jensen

Hvis koden generes på mobilen og kodeordet indtastes på mobilen, så er der jo ikke længere tale om en 2-faktor løsning.

Dvs. at hvis du får hacket din telefon, så er dit NemID totalt kompromitteret - en hacker vil kunne foretage sig lige så mange logins og transaktioner som han måtte ønske, og du har ingen mulighed for at opdage der foregår noget suspekt før du får et brev fra banken om at der er overtræk på kontoen.

Den nuværende løsning er selvfølgelig ikke 100% sikker, da det bl.a. er muligt at foretage et live MITM angreb, men et sådant angreb er sværere at udføre, og skaden er mere begrænset. Hackeren kan trods alt kun lave én transaktion eller login pr. engangskode som hackeren får lokket ud af brugeren.

Michael Lykke

Med mindre du har gemt dit kodeord og brugerid på telefonen så vil en stjålet telefon ikke give adgang til noget som helst. Det vil være nøjagtig den samme situation som hvis dit papkort bliver stjålet.

Løsningen med automatisk genererede nøgler har fungeret i mange andre løsninger og det vil fint kunne fungere i denne sammenhæng også.
Det er ikke sikkerhed at man gør tingene besværligt - Det eneste man får ud af det, en en elendig løsning ingen ønsker at benytte.
Hele konceptet med papkortet idag er mildest talt en joke som er mere end almindelig svært at tage seriøst.

Jens Larsen

Det beskrevne, er der andre der har de imaterielle rettigheder til. Der må derfor være tale om, at Digitaliseringsstyrelsen agerer i mod loven, når de inddrager 3 part i denne udvikling.

Som det er lige nu, er der ikke udviklet(eller påbegyndt på) et endeligt produkt. Sålængde det bare er på koncept nivue, kan det jo sagtens snakkes om flere forskellige konceptionelle løsninger, uanset om de er under imaterielle rettigheder.

Det er først når man har bestemt sig for koncepted, at der bliver kigget på om der er nogle imaterielle rettigheder.
Hvis der er imaterielle rettigheder til løsningen, tror jeg godt vi kan gå ud fra at Digitaliseringsstyrelsen/DanID/anden part indkøber de nødvendige licenser/indgå aftaler til at bruge dem.

Anders Hessellund Jensen

Problemet er IKKE hvis telefonen bliver stjålet. Problemet er, hvis telefonen bliver HACKET, dvs. der bliver installeret en bagdør på telefonen - f.eks. via et sikkerhedshul i telefonens webbrowser.

Så kan en hacker både generere nøgler (vilkårligt mange af slagsen), og han kan opsnappe kodeordet. Og det vil være nemmere at automatisere fuldt ud og gennemføre angrebet mod et stort antal brugere.

Jens Larsen

Hvilken løsning ville entenlig være bedst?

Løsningen skal jo helst gerne holde 2 faktor sikkerheden, og kunne udvides når det endelig bliver muligt at få sin egen private nøgle.

Thue Kristensen

På minus-siden er risikoen for man-in-the-middle-angreb, hvor en hacker kan efterligne den officielle mobil-login-webside og lokke brugerne til. Her foreslår rapporten forskellige tricks til at mindske problemet, for eksempel at login-siden skal vise et billede eller et spørgsmål, som brugeren selv på forhånd har valgt.

Det lyder som om NemID-logindialogen vil være embedded i en anden app eller en anden hjemmeside. Det giver jo ingen sikkerhed mod MitM!

Browseren garanterer, at den adresse som står i adresselinjen faktisk er den adresse som man taler med. Det giver så god sikkerhed som det er muligt at få. Brug dog dette, i stedet for åbenlyse usikre halve løsninger...

Simon Kibsgård

vil efter min bedste overbevisning give den billigste (også for sites, der ønsker at implementere NemID-login) og mest kompatible (ingen native app-kode) løsning.
Risikoen for Man in the middle er ikke større på mobile web end den er på desktop web og det brugervalgte billede vil kunne reducere risikoen for dette betydeligt. Læg hertil princippet om at fx bankoverførsler altid forbruger en ny engangskode.

Det er som om NemID-kontrakten kræver at JAVA (eller native app-kode) anvendes, der konstant refereres til den ældgamle erkendelse af applets ikke understøttes i mobilbrowsere?

Brian Nielsen

  • og blev tilbudt PBS (da de hed sådan) for mere end 2 år siden, men man ville med djævlens vold og magt genopfinde hjulet - sandsynligvis i skæret af de 5 mia., som man fik af ITST for den eksisterende løsning -
    og det gjorde man så med begrænset succes, som det har vist sig.

Java løsningen er en dødssejler og har altid været det - alt for nem at omgå og hacke, altfor gumpetung og platforms afhængig.

HTTP + SSL kryptering er fint nok - men dataforbindelserne er for usikre og dyre.
Re-authentication efter et udfald (som sker hele tiden) kræver enten, at begge ender genbruger parametrene eller man skal helt forfra. Genbrug er en diekte invitation til Man-in-the-Middle angreb og skal nok blive udnyttet.

Hans Schou

Det er meget fornuftigt at der er nogen der tænker over hvordan man kan lave en løsning der virker med smartphones, for det er jo hvad de unge bruger, og det er nok også fremtidens løsning.

I lørdags (d. 2012-04-28) var der dog det problem, et en hel del banker måtte reklamere med, at det ikke helt var så godt. Jyske Bank formulerede det således: »En farlig virus er i omløb, som kan hacke kunders pc og derigennem opsamle brugerID, kodeord og nøgler. Et faresignal kan blandt andet være, at der i login-boksen på forsiden af netbanken står et andet pengeinstitutnavn end Jyske Bank. Pengeinstitutnavnet står oven over feltet hvor brugerID skal indtastes. Hvis du oplever dette eller andre uregelmæssigheder i forbindelse med logon på netbanken, skal du kontakte Jyske Banks Helpdesk. Ved henvendelse udenfor Helpdesks åbningstid, kan følgende mailboks anvendes: nemid-support@jyskebank.dk«
Det står der nok endnu: https://www.jyskenetbank.dk/

Problemet skyldes bl.a. at man henter noget HTML fra Jyske Bank. Herefter henter man noget Java-jar fra applet.danid.dk. Her er det så at den trojanske hest/virus skriver i /etc/hosts eller hvad den hedder på Windows, og så får applet.danid.dk et andet IP-nummer - som er styret af den kriminelle. NemID har allerede for nogle uger siden lært deres brugere, at hvis de ser en sikkerhedsadvarsel om at der er noget galt, så skal de bare ignorer den.
http://www.version2.dk/artikel/danids-support-se-bort-fra-sikkerhedsadva...

Så det problem man står med nu, er at man har nogle borgere som er meget opmærksomme på afvigelser, de har et godt opdateret EDB-miljø, hvor borgeren af en eller anden årsag har tillid til det meste af sin software. og alligevel er der nogle af disse der bliver ramt af den slags.

Pyh-ha. Og nu vil man så til at lave mobile apps! Og udråbstegn igen! Jeg ved ikke hvor meget tillid I har til de apps i installere på Jeres smartphones, men min er altså ret begrænset. Igen og igen høre man om apps der skal have adgang til dette og hint (GPS, foto og hvad ved jeg), og NemID der skanner borgernes PC'er for data, og nu forestiller man sig så at borgerne frivilligt vil installere spionsoftware på deres egen smartphone? Nej, det går ikke!. Min tillid til facebook er ret begrænset, så det site har jeg tildelt ip-nummeret 127.1 i min /etc/hosts fil. Sådan ville jeg også helst gøre med min smartphone, men det er ret besværligt. Men så dernæst at installere software til banktransaktioner, hvor der kontaktes hostnames via DNS/SSL, men borgeren bliver ikke ordentligt advaret. Det går ikke.

Det er lidt bombastisk at sige sige det, men jeg tror altså at det er en alvorlig trussel mod hele samfundet. En sikkerhed der er så dårlig, og så installeret på halvdelen af alle landets computere. Er det mig der er helt paranoia, eller har det reelt større konsekvenser?

Hvis nu alle borgere kørte netbank i virtual machine, ikke brugte java, kun brugte mobile apps hvor det er tydeligt om der certifikat-spoofing, og blev ved med at bruge engangskoder (ja, det er besværligt, men det er en del af sikkerheden), så kunne der blive plads til en artikel ala ovenstående, hvor der kunne komme nogle ordentlige forslag på bordet, det reelt kunne bruges i vort samfund.

Undskyld, det blev lidt langt.

Michael Lykke

@Anders - Lad os først blive enig om at 100% sikkerhed ikke findes. Med det sagt så er der ingen grund til at nogen skulle forsøge at hacke individuelle telefoner når man istedet bare kan lave et MitM angreb.
Papkortet gør altså ikke NemID til nogen Fort Knox løsning... en fremtidig løsning bør ikke klamre sig til noget så tåbeligt som et papkort med et begrænset antal koder hvor der konstant skal sendes nye kort ud til folk.

Jesper Lund

Lad os først blive enig om at 100% sikkerhed ikke findes. Med det sagt så er der ingen grund til at nogen skulle forsøge at hacke individuelle telefoner når man istedet bare kan lave et MitM angreb.

Korrekt, 100% sikkerhed findes ikke. Men det store problem med NemID er at vi bliver tvunget ind i nogle "digital signatur" konstruktioner som vi ikke har nogen indflydelse på.

Staten og/eller DanID træffer nogle valg om hvilken sikkerhed og privacy (et andet aspekt) der et "god nok" for os (læs: passer deres økonomiske interesser), og derefter har vi bare at acceptere de betingelser som DanID fastsætter. Hvis lovforslag L 159 og L 160 vedtages, kan du ikke overholde dansk lov medmindre du underkaster dig DanIDs ensidigt fastsatte betingelser for brugen af OCES NemID. Kan du ikke lide Facebook, kan du droppe Facebook. Kan du ikke lide DanID? Det er bare ærgerligt..

Man kan lave en digital signatur, som ikke er udsat for MiTM angreb, og hvor enhver brug af signaturen ikke involverer en central server hos DanID (relevant for privacy). Men det bliver borgerne bare ikke tilbudt (selvom DanID faktisk er forpligtet til at udbyde denne løsning). DanID har jo ingen økonomisk interesse i denne løsning, og staten foretrækker sikkert også en model med centrale servere da det gør overvågning af borgerne nemmere.

Hvis vi en dag bliver udsat for identitetstyveri på grund af en kompromittering af sikkerheden i NemID, og der er jo mange muligheder her, skal vi selv løse de problemer som andre (læs: staten og DanID) har skabt for os med deres usikre digitale "signatur".

Naturligvis er der også mulighed for identitetstyveri i dag, så problemet er ikke helt nyt, men man kan frygte at det bliver sværere at komme ud af kontokortgæld som andre har optaget i dit navn, hvis kreditor kan henvise til at låneaftalen er "underskrevet" med din digitale "signatur", og både DanID og staten siger at systemet er meget sikkert blah blah blah...

Per Lind

Hol da kaje for nogle klaphatte i Digitaliseringsstyrelsen!

Der findes et meget højere sikkerheds niveau end de viste eksempler ved at bruge voice biometrics som sign op og authentication process!!!! Derudover får mange af de svageste i samfundet mulighed for ikke at rende rundt med en nåleskov pap i baglommen for at bruge UnemID! Tåberne hos IT Styrelsen og hos UnemID er så over kloge at de ikke kan se skoven for bare træer. Der er noget som stinker i kongeriget Danmark!!!

Vågn nu op og tag et kik på en teknologi som kan hjælpe de Danske borgere og næsten udrydde snyd og bedrageri! (For alle kvaksalverne der kommenterer her, bemærk venligst at der blev sagt "NÆSTEN"!)

Det er utroligt at i disse "oplyste" tider at det er embedsidioter som sidder i disse offentlige organer og "ved" at de ved altså bedst!

Opskriften haves og kan vises til en uvildig journalist!

Finn Christensen

...finde frem til den mest sikre og mest brugervenlige løsning og så finde pengene, fremfor at spare 10-15 mio. kortsigtet....

Jeg er enig med Claus her, og meget forbavset over de her "..8 millioner kroner, der var afsat..", som der nævnes ovenfor. Jeg fatter overhovet ikke, at man uden en kompetent løsning kan afsætte X mio. - hvem pokker er ansvarlig for så useriøs budgettering ?

Vi har især gennem de seneste 10-15 år set en række tumpede eller klodsede løsninger, der ikke var særlige billige, fremsynede kunne overholde tidsplanen etc. - tag jer nu sammen, og undlad endnu en fuser i rækken !

NemID var er klokkerent eksempel på hvordan det her ikke skal skrues sammen.

Vi skal alle også være digitaliseret (offentligt) ved udgangen af 2015, så endnu et område maser sig ind og bliver højaktuelt de næste få år.

Så når vi nu ved at smartdims eller smartdims-lignende mobil nok er kommet for at blive og e r fremtidens platform, så er selv 20-30 mio. småpenge ift. en stensikker og brugbar mobil platform.

'MobilID' er i k k e en blindtarm til NemID, som de stokkonservative banker stadig forestiller sig, det er faktisk den kommende hovedvej! (Motorvejen er nok PC'en endnu i de næste 4-5 år)

De anvendelige dimserne til den tid 2013-14-15 udvikles så hurtigt (samt udskiftes hastigt af brugerne), at det ikke overhovedet kan være problematisk at udvikle er brugbart mobil system.

Og glem - for en gangs skyld - at tilpasse systemet til et eller andet indelukket og bøvlet smartdims fabrikat. Det vil kræve enorme fremtidige driftsudgifter til vedligeholdelses- og konstante ændringer. Så...
1) vælg platform/krav
2) meld det ud til befolkningen og så kan de selv vælge, når den gamle skal udskiftes, om de vil have en (mærkværdig) smartdims - ubrugelig til 'MobilID' eller en brugbar.
3) få det i drift uden gentagelse af NemID's medfødte tåbeligheder.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

SharePoint Dashboards kursus med PerformancePoint Service

Hvornår: 2015-11-04 Hvor: Storkøbenhavn Pris: kr. 7000.00

C# kursus udvidet

Hvornår: 2015-12-17 Hvor: Storkøbenhavn Pris: kr. 6800.00

Diplomuddannelse i ældrearbejde

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

It-projektledelse

Hvornår: 2016-02-01 Hvor: Østjylland Pris: kr. 18000.00

Adobe InDesign course Experienced (conducted in English)

Hvornår: 2015-12-09 Hvor: Storkøbenhavn Pris: kr. 5900.00