Nu kommer statens forkromede single sign-on løsning

"Den nye løsning bliver altså akilleshæl i så godt som alle offentlige digitaliseringsprojekter, og dermed også et potentielt ’single point of failure’. Derfor stiller udbuddet særligt høje krav vedrørende kapacitet, tilgængelighed, oppetid og sikkerhed i forhold til drift, overvågning og vedligehold af løsningen."

Må jeg anbefale Cowi? :)

... og dermed også et potentielt ’single point of failure’.

Samt single point of power. Mon ikke SSO systemet bliver baseret på DanID. Det syntes at centraliseret magt og kontrol er staten måde at digitalisere Danmark på.

Troede det var det nye for både banker og det offentlige?

https://danid.dk/demosite/

NemID er DanIDs produkt.

Det er et system, hvor håndtere af ens id efter login. Man kan bruge NemId til login og SAML, som bruges her, til at komme ind flere services på en gang, som man har fået tildelt adgang til.

Ansøgeren skal have minimum 200 millioner i omsætning årligt- over de sidste 3 år. Og hvem mon det så kan være ? Jeg tør godt sætte en femmer på at det bliver bankernes system.

Værd at hæfte sig ved er også at det skal integrere sig med Digital Signatur og deraf følgende problemer. Så hackerne får virkelig noget at gå efter - forestil jer en hacker der får mulighed for at godkende regninger med en kontorchefs eller lignendes digitale signatur ? Udbuddet virker forceret og uigennemtænkt, og hvis niveauet bliver á la Rejsekortet, så er bunden lagt for en ny IT-skandale. Jeg gyser ved tanken....

Hvorfor mener du at ... "Udbuddet virker forceret og uigennemtænkt" ?

Danmarks største erhvervsvirksomhed inden for skibsfart benytter sig i dag af et elegant fleksibelt
system (PinSafe) som er baseret på SMS og SMTP 2 faktor validering. Løsningen virker World wide så
mon ikke den også kunne tilfredsstille kravene her
i DK.

NemLog-in er en temmelig dårlig idé. Med NemId bliver det muligt at tage sin digitale signatur med sig, fx på biblioteket. Hvis du logger på en hvilken som helst offentlig hjemmeside og glemmer at logge ud, så kan din session de næste 20 minutter bruges til at tilgå samtlige offentlige løsninger - uden password. Genial idé :-(

Og så er der single point of failure-problemet, single sign-out etc.

I fase to af NemLog-in bliver det ganske vist muligt at fravælge deltagelse i løsningen, men det kræver et aktivt opt-out.

Hvis du logger på en hvilken som helst offentlig hjemmeside og glemmer at logge ud, så kan din session de næste 20 minutter bruges til at tilgå samtlige offentlige løsninger - uden password. Genial idé :-(

Så lad være med det? Man man laver en fatal fejl og der bagefter sker noget slemt, så "kan man lære det".

Jeg skal hilse og sige google virker på samme måde :-)
Der skal jeg heldigvis ikke huske et seperat brugernavn og password til HVER af de 10 tjenester jeg bruger. Det ville jo være fuldstændigt hul i hovedet.

Hej René,
med forceret mener jeg at det ser ud til at blive gennemført af hensyn til en overordnet politisk strategi om at lave sikker kommunikation mellem offentlige institutioner fra 2012 - udbyderne og i sidste instans udviklerne har "fået sat pistolen for panden", hvilket plejer at betyde fokus på features og ikke kvalitet. 2012 nævnes ikke specifikt, men adgangen for ansatte i offentlige virksomheder lugter lidt derhenad. Ansøgerne har iøvrigt kun en meget kort reaktionstid - kun 1 måned fra den 15. marts- man kunne forestille sig, at der var nogen, der var blevet varslet forud (jeg siger ikke hvem ;-).

For at forklare hvad jeg mener med uigennemtænkt kan du læse bl.a. Thomas Christensens indlæg længere nede. Dertil vil jeg gerne tilføje at integrationen med Digital Signatur ikke borger for kvaliteten - det er tidligere blevet demonstreret bl.a. af DK-Cert, at sikkerheden ikke er i top. Det, der plejer at ske når man kombinerer to systemer med hver deres svagheder er som regel at svaghederne gensidigt forstærker hinanden - der bliver pludseligt flere veje ind i systemet.
Ydermere finder jeg det betænkeligt at man i selve designet af login-løsningen ikke skelner væsentligt mellem almindelige borgere, virksomheder eller offentlige institutioner. Det giver en risiko for "spill-over"-effekter. Der er trods alt stor forskel på om der stjæles penge fra en privatpersons bankkonto eller fra eks. ATPs fondsformue. "Skidt for sig og snot for sig" har altid været et godt princip.

1: Du har da ret i, at det er dumt, at glemme at logge ud, når man sidder ved en offentlig computer. Men ikke alle er ufejlbarlige. Og der er væsentlig forskel på at være logget ind på en tjeneste og så på potentielt 100'ere af offentlige løsninger

2: Nogle af brugere af offentlige it-løsninger er meget it-svage. Fx er det obligatorisk for alle ledige at bruge Jobnet. Det vil oftest være disse, der bruger en offentlig computer. På Jobnet oplever man, at ledige ændrer i en andens CV fra en offentlig computer uden at bemærke det; de lægger simpelthen ikke mærke til, at de overtage en åben session. Prøv at forestille dig dette med SSO til al offentlig selvbetjening...

Jamen det er rigtigt der er problemer med det.
Man kan også gå ud af sit hus uden at låse. Man kan så installere en dør der låser automatisk. Så kan man til gengæld låse sin nøgle inde.

Brugervenlighed vs. sikkerhed. Jeg sætter grænsen et andet sted end dig.

Det sikreste er måske hvis man kun kunne logge ind fra NemID's bygninger. Ikke så brugervenligt dog.

Kunne det ikke bare tænkes at kontrakten med den eksisterende udbyder af Nemlogin er ved at nærme sig sin afslutning og at der derfor skal laves et nyt udbud?
Mht en måneds varsling og det du kalder "kort reaktionstid", burde det så ikke være muligt for de fleste virksomheder at finde deres sikkerheds-CV frem og sende et brev på 5 sider hvor de fortæller at de gerne vil prækvalificeres?

Hvad angår Thomas Christensens problemer vedr sessions og SSO .... hmmm. Kravet til v1 af digsig var sikkerhed og signering, krav til v2: ROAMING og det er således noget at også Nemlogin skal understøtte. Hvis Thomas mener at login på flere devices er et problem må han jo forklare kunden at det krav må de ikke have til deres eget system.

Det er min erfaring at der sjældent kommer noget godt ud at af IT folk fortæller deres kunder hvilke forretningsmæssige krav de bør have til deres eget system.

Mht...

Ydermere finder jeg det betænkeligt at man i selve designet af login-løsningen ikke skelner væsentligt mellem almindelige borgere, virksomheder eller offentlige institutioner

...designet er vel bl.a. det udbuddet handler om. Angående "spill-over" etc. og det er vel op til ansøgerne at overbevise kunden om at den slags ikke sker i deres løsning - det er vel netop derfor man har en ansøgningsprocess med vurdering af ansøgningen.

--René

Kunne det ikke bare tænkes at kontrakten med den eksisterende udbyder af Nemlogin er ved at nærme sig sin afslutning og at der derfor skal laves et nyt udbud ?

Jo, naturligvis, og derfor er det rent spil for galleriet - og aftalt på forhånd. Du kunne passende rette din tekst til "...og at der derfor skal ske en forlængelse". Det ville langt klarere afspejle situationen - at innovationen, som journalisten antyder : "Facebook på steroider" er rent bedrag.

Som borger i dette land, og som person, der har været testbruger for bankernes netbank-løsninger - med deres mange problemer - har jeg ærlig talt ikke meget tilovers for det forelagte. Hvorfor skal der mistes en halv Storebæltsbro førend det bliver lavet ordentligt, jævnfør Rejsekortet ? At presse en løsning igennem fra politisk hold er en dårlig idé - at videreføre (uden at måtte sige det højt pga. formalia) er endnu værre.

• Jeg synes der skulle gives langt mere tid til et sådant udbud. Det ville forhåbentlig betyde flere kvalificerede ansøgere, gerne med internationalt ophav.
• Der skulle være langt mere åbenhed (og vilje til at svare på kritiske spørgsmål) INDEN løsningen er implementeret.
• Der skulle være en UVILDIG - helst ikke-dansk - instans, der skulle vurdere løsningen, INDEN fejlagtig implementation, og politiske skåltaler har ødelagt alle muligheder for at ændre grundlæggende på løsningen.

Hvad angår Thomas Christensens problemer vedr sessions og SSO .... hmmm. Kravet til v1 af digsig var sikkerhed og signering, krav til v2: ROAMING og det er således noget at også Nemlogin skal understøtte. Hvis Thomas mener at login på flere devices er et problem må han jo forklare kunden at det krav må de ikke have til deres eget system. Det er min erfaring at der sjældent kommer noget godt ud at af IT folk fortæller deres kunder hvilke forretningsmæssige krav de bør have til deres eget system.

Hej Rene

Jeg forstår ikke helt, hvad du mener. Hvem er "kunden" og hvad er det, jeg prøver at fortælle dem om hvad for noget forretning? Og hvor kommer roaming ind i sagen?!?? SSO til selvbetjeningsløsninger, der er tilgængelige på det åbne internet, mener jeg er en ekstrem dårlig idé. Er du uenig i det? Hvorfor?

Løsningen bør i det mindste designes som en opt-in, så svage it-brugere, der bruger offentlige computere, ikke er omfattet af NemLog-in.

Hej Thomas,

Sigurd refererede din kommentar og du skrev...

NemLog-in er en temmelig dårlig idé. Med NemId bliver det muligt at tage sin digitale signatur med sig...

Ovenstående opfattede jeg som om at du mente at NemId og Nemlogin er en dårlig ide fordi at man kan "roame" med sit login.

I v1 (DanId/FOBS) er brugeren bundet til en computer - der hvor certifikatet er installeret.
Et af kundernes (Videnskabsministeriet og Økonomistyrelsen) krav til v2 af Nemlogin(KFOBS)/Nemid er roaming med login/id.

...og nej, jeg er ikke uenig med dig i at SSO på internettet er en dårlig ide. Men jeg forsøger at forstå hvilke afvejninger kunderne har til at lave et system med høj risici (som de helt sikkert godt kender til) på mulig bekostning af ting som privacy, usability osv.

--René

Hej Rene

Den havde jeg ikke fanget. Det jeg mener er, at NemLog-in er en endnu dårligere idé, når det kobles med NemId, der uden problemer kan anvendes på fx bibliotekets computere. Jeg tog ikke stilling til NemId, som jeg dog af andre grunde (papkort) heller ikke er vild med.

Jeg mener ikke, at der har været de tilstrækkelige sikkerhedsmæssige overvejelser i beslutningen om NemLog-in. Og da jeg bad om adgang til sikkerhedsanalysen, fik jeg at vide, at den da var foretaget, men hemmelig. Beslutningen er truffet i en snæver kreds og er obligatorisk for i første omgang statslige selvbetjeningsløsninger. Så de fleste af "kunderne", har ingen mulighed for at afveje sikkerhedsaspekterne.