Aftale om NemID 2.0 faldet på plads: Papkortet får kniven

Man kan vælge at aktivere 2FA indstillinger, så der altid skal brugs pinkode til login

Jeg undrede mig også da Jyske Bank skruede ned for sikkerheden, men angivelig var der (for) mange kunder der fandt det for besværligt

Problemet er så at når man skal bruge koden på telefonen, så tillader app'en ikke at der skiftes applikation for at komme til at se koden.

Der er overhovedet ingen tvivl om, at hvis både bruger-ID, password og talkode bliver digitalt, så falder sikkerheden. Det er trygt at have talkortet og vide, at ingen andre har det. Digitale systemer kan altid hackes! En hel anden ting. Der er mange, der ikke altid har en smartphone med sig, men derimod en pengepung med kort. Og pengepungen løber ikke ud af strøm!

Der bør fortsat være et papkort, for dem der ønsker det!

Ja, det er så meget flot.... Problemet er så at når man skal bruge koden på telefonen, så tillader app'en ikke at der skiftes applikation for at komme til at se koden.

F.eks Nordea, I det øjeblik den vil have koden, man skifter App, så lukker den ned, højst tænkeligt at sikkerhedsmæssige årsager....

https://www.version2.dk/artikel/amerikansk-myndighed-sms-koder-usikre-to-faktor-autentifikation-874141

Blot for at undergrave SMS løsningen.

Biometri er ikke løsningen, ifølge "Aflyttet" uge 25:http://www.radio24syv.dk/programmer/aflyttet/13906184/aflyttet-uge-25-2016/

Disse steder er det er endvidere trist at være afhængig af papirpost.

Det er det også i Danmark

Det er ikke en ”smartphone app”, det er en sikker SIM baseret løsning. Krypteret i alle dimensioner.

Den rigtige løsning består af en NEM-ID der burger:

1. Sikker førstegangs identifikation af brugeren (det sker i dag med fremsendelse af et brev)
2. Den tilsigtede standard løsning til kunden bruger ”Mobile-Connect”, til simpel og sikker identifikation. Mobile-Connect kan installeres på alle mobilnet i verden. Det er ikke en ”smartphone app”, det er en sikker SIM baseret løsning. Krypteret i alle dimensioner.
3. En backup løsning som f.eks. den eksisterende papirlap med Papir, Post, evt telefonopringning, brevduer, cykelbud og mange lags godkendelse, som kan bruges, når man er i skoven eller i udlandet, jeg har sommerhus på Mols, og jeg har boet i Tyskland, Norge, Kuwait, Malaysia, Ghana og London. Der kan man endnu møde et dækningshul i skoven, i ørkenen, i junglen, på dykkerøer og specielt under vand. Disse steder er det er endvidere trist at være afhængig af papirpost.

Se ”Mobile-Connect” her: http://www.gsma.com/personaldata/mobile-connect.

Jo flere faktorer, jo flere, som ikke vil kunne benytte løsningen.

Grundlæggende kræver det blot at systemet skrues brugervenligt sammen.

Brug af Mobil telefon er det eneste rigtige. Mobil operatørernes fællesorganisation har stået I spidsen for en ny standard "Mobile-Connect" for meget sikker identifikation af brugeren ved hjælp af krypterede nøgler på det sikre SIM kort. Se evt:

http://www.gsma.com/personaldata/mobile-connect

Den bedste løsning for mig at se er en smartphone løsning, hvor der sendes en SMS til SIM kortet, som så slår op i en elektronisk udgave af pap kortet. Altså en form for tre faktor validering, idet løsningen er bundet til SIM kortet, data gemt på mobilen og en pin kode.

Jo flere faktorer, jo flere, som ikke vil kunne benytte løsningen.

Tak for link, Keld Flarup Christensen. Det er fra før, jeg begyndte at bekymre mig om den slags.

Det afføder næste dumme spørgsmål:"Fingeraftrykkene bliver aflæst med en scanner på borgerservice-centrene og gemt på chippen, men disse data bliver ikke brugt i andre sammenhænge, skriver Ritzau"

Så enten er man i gang med at underminere denne forsikring, eller også skal vore fingeraftryk nu gemmes flere steder?

Og i så fald - er der andre formål, som man nu også vil til at bruge vore fingeraftryk til? Den berømte glidebane?

Bruger man fingeraftryk i pas?

Jeg har et par år at løbe på endnu inden de fanger mig.

Kjeld Flarup Christensen.

Hvordan foregår det med pas? Indsamlingen er jo allerede i fuld gang.

Bruger man fingeraftryk i pas? Det var jeg ikke klar over, mit pas er for gammelt til dette. Vil det sige, at man allerede er i gang med at oprette landsdækkende fingeraftryksregister? Det troede jeg var blevet afvist, hver gang det har været på tale, men det er den sædvanlige historie, at man sniger tingene ind ad bagdøren, hvis man ikke kan få det igennem med åben debat.

Men man kan da i det mindste undlade at tage ud at rejse og undvære passet. Det kan man vel ikke med NemID?

Er der slet ingen, der har et bud på, hvordan det i praksis skal foregå, hvis man overgår til biometri?

Er der slet ingen, der har et bud på, hvordan det i praksis skal foregå, hvis man overgår til biometri? Forhåbentligt frivilligt, men bliver det ved med at være det? Man kunne jo frygte det værste - disse overvågningstider taget i betragtning.

Hvis f.eks. fingeraftryk skal indgå, hvor skal disse fingeraftryk så opbevares? Hos Nem-Id? Lokalt på ens pc/mobilephone?

Hvis det er det første, har man så tænkt igennem, hvis ejendom aftrykkene derefter er?

Er det en genvej til det landsdækkende fingeraftryksregister, som nogen har ønsket, men man ikke har kunnet få igennem på anden måde?

Det forventer jeg også, men hvordan går det med brugen af "Nemide" til bankforretninger, når man samler det hele i sin smartphone?

Du skal forhåbentligt stadigt bruge en pin kode, som du så ikke må skrive bag på din smartphone.</p>
<p>0 0

Hvordan tror I så de forholder sig til en løsning med smartphones, hvor nøgle og adgang er i samme device?

Den kommende platform til nye løsninger, hvor "Nemide" er involveret, vil formentlig blive lige så ringe sikkerhedsmæssigt, som den nuværende løsning med "Java"

Forskellen er at det med stor sandsynlighed opdages, hvis man opsnapper et fysisk brev.

Den store fordel ved brevet, er at det ikke et muligt at sidde i Langbortistan og opsnappe et brev.

Min bank og formentlig alle andre banker har følgende regler for pinkoder og kort: Hvis jeg opbevarer min pinkode sammen med mit kontokort, dækker banken ikke for eventuel misbrug af min konto, hvis jeg mister kortet. Så langt så godt og det har jeg lært mig at følge. Hvordan tror I så de forholder sig til en løsning med smartphones, hvor nøgle og adgang er i samme device? Mit bud: Mistet phone - Misbrug = Mistede penge Første retssag kommer når 50% eller flere har taget løsningen i brug...

Det var bankerne, hvordan bliver det så med "Nemide" og e-boks, når man læser deres ansvarfraskrivelser? Id-tyveri - Sundhedsvæsen - Fortsæt selv ....

Arbejdernes Landsbank lader mig lave konto kig og flytte penge mellem egne konti uden at bruge papkortet.

Et brev kan jo også opsnappes, og det kan indholdet af en SMS også

Når ret skal være ret, så var der en del mobiltelefoner (med knapper) som op igennem 0'erne havde mulighed for at downloade java programmer. Det blev dog aldrig til ret meget andet end spil. Først da Apple og Google kom med deres API'er skete der noget. Apple fordi de var så store, Google fordi de var så åbne (og store).

Smartphones? Pfft - bortset fra et støvet gadgetfirma i Cupertino var der ingen firmaer, der havde et godt bud på dette

Lån og spar har også kontokig uden nemid, at bruge penge kræver selvf nemid!
Danske Bank er den eneste jeg kender der kræver "the full Monty" for at se hvor stort overtrækket er

Har lige fået svar fra Jyske bank, de tillader heller ingen adgang til netbank overhovedet uden NemID.

Venter stadigvæk på svar på Lån og Spar bank, som en anden debattør herinde påstod havde mulighed for at lave kontokig uden NemId.

Jyske bank , inklusiv applikationer, kræver en adgangskode som eneste login info, indtil man vil tage penge ud af ens konti.
Så de tillader at man kan se konti, og flytte penge mellem egne konti, uden nemID.

Her er hvad de selv siger :

"Tak for din henvendelse

Du skal også bruge NemID til at logge på vores netbank, det er desværre ikke længere muligt at benytte andre login metoder."

Så med andre ord kan man IKKE bruge Jyske bank's netbank uden NemID.

En smartphone betyder med 99.9% sikkerhed også, at det foregår via en APP, dvs: Denne APP kan virtualiseres på en desktop!

Det er bestemt en mulighed (og hvor lang tid går der så, inden folk begynder at få SMS sendt til deres computer?).

Jeg vil så sige, at kommer der en mulighed for at SMS kan videresendes til en computer uden et SIM kort, hvad er så forskellen til at sende en e-mail?

At bruge en løsning med et SIM kort, vil jeg mene er ligeså sikkert, som at sende et brev. Et brev kan jo også opsnappes, og det kan indholdet af en SMS også.

Men papkortet bør nu alligevel bevares. Mest fordi det er kendt, men også fordi det er en løsning som er ret sikker.

Den bedste løsning for mig at se er en smartphone løsning, hvor der sendes en SMS til SIM kortet, som så slår op i en elektronisk udgave af pap kortet. Altså en form for tre faktor validering, idet løsningen er bundet til SIM kortet, data gemt på mobilen og en pin kode.

Den nuværende discussion går udelukkende på den situation, hvor et menneske er involveret. Inden for 10 år bliver Internet of Things (IoT) udbredt is stor udstrækning. Her bliver de ofte krav of sikker kommunikation mellem fysiske enheder. En fysisk enhed kan ikke side og fedte med et kodekort eller modtage en SMS besked gennem en anden enhed. Man kan selvfølgelig nok sende en fil med koder ud til enheden, men det skal ske i en alternativ kanal forskellig fra den almindelige kommunikationskanal.

Problemstillingen er i virkeligheden ret kompleks. Det kunne være ret interessant at høre, hvilke tanker man har gjort sig.

Ja, og har du en smartphone, skal du også betale licens, så skal de også lave licensreglerne om.

Hej,

Bruger selv Skandiabanken i Norge. Her har du mulighed for gemme tre telefonnumre under din personlige profil, så jeg har tre numre, i tre forskellige lande. Ved login vælger man hvilket nummer man ønsker en engangskode tilsendt til, og det er ganske nemt at ændre de numre når man er logget ind i netbanken. Det virker ret stabilt. Har derudover også BankID, sådan et kort man skal skrabe et lag væk , for at kunne se en engangskode. Det er på størrelse med et kreditkort og har koder på begge sider. Hos min bank kan man bestille nye kort når der er behov for det, og jeg har altid to kort udover det som er i brug. Virker også stabilt, og BankID bruges til at logge ind hos skattemyndigheder, tipstjeneste og mange andre steder. Som regel problemfrit, hvis man er opmærksom på alle de privacy plugins man har i sin browser. ;-)

Mvh. Kevin

Hvorimod du i en digital verden vil kunne udstede et særligt token, der kun giver adgang til den relevante person/firma og kun i det nødvendige tidsrum

Tjah. Jeg kørte jo selv analogi-sporet, så det måtte vel komme :-)
Jeg har dog stadig til gode at høre om nogen, som udleverer pengeskabsnøglen, (eller lægger den under måtten), når de skal have skiftet en pakning i køkkenvasken.

Ja, det er problematisk med analogier, bl.a. fordi nøgler er permanente (fysiske) ihændehavertokens. Idag må du f.eks. udlevere hoveddørsnøglen - med fare for at få den kopieret - hvis du skal have skiftet en pakning, mens du ikke er hjemme. Hvorimod du i en digital verden vil kunne udstede et særligt token, der kun giver adgang til den relevante person/firma og kun i det nødvendige tidsrum.

Så det mest springende punkt er faktisk at få brugerne/borgerne til at komme fra flere hundrede års "ihændehaver nøgle-tankegang" (= Jeg lukker mig ind i fru Jensens hus, fordi jeg har en nøgle) til en "rettigheds-styrings tankegang" (= Jeg lukker mig ind i fru Jensens hus fordi jeg har aftalt at skifte en pakning), som jo egentlig bedre modsvarer den måde vi indretter os med indbyrdes aftaler.

Biometri? Betyder det, at vore fingeraftryk/iris/andet biometrisk skal lagres i en database hos NETS? Eller lagres det lokalt på en phone på en eller anden måde?

Hvis det er det første, så er næste skridt vel at samkøre disse data med de store, snart centraliserede sundhedsdatabaser, for "Når nu vi har alle disse lækre data, så ville det da være ærgerligt ikke at bruge dem til forskning". For måske kan man aflæse sygdomme i fingeraftrykkene?

Jeg håber på beroligende svar, for ellers lugter jeg skjulte dagsordener her.

Lån og spar har også kontokig uden nemid, at bruge penge kræver selvf nemid!
Danske Bank er den eneste jeg kender der kræver "the full Monty" for at se hvor stort overtrækket er

Konto kig ville også være rigeligt.

Jeg kan så supplere med at Spar Nord også forlanger NemID også selvom man bare gerne vil konto-kigge og at jeg skifter væk PRONTO hvis jeg finder en anden bank der kan tilbyde konto-kig og måske endda transaktioner mellem egne konti uden at have NemID. Jeg har ikke NemID og har aldrig haft det, da jeg ikke bryder mig om brugerbetingelserne.

Som en del af sikkerhedsbranchen møder jeg en del banker i udlandet og når vi viser hvordan vi i Danmark har et papkort bliver der løftet lidt på smilebåndet. Når man så kan fortælle hvordan løsningen virker på tværs af forskellige brancher som en fælles løsning så har jeg endnu ikke mødt en eneste bank eller offentlig virksomhed udenfor Danmark der ikke har beundret det at man en fælles løsning,, og ikke mindst at man ikke skal installere noget, rende rundt med et stykke hardware i lommen og kan bruge det på tværs af banker, offentlige og private virksomheder. Som løsning kan vi her i Danmark være stolte, vi har vist at man godt kan samarbejde

som begge dele er tilsvarende problematisk.

Nøglebundtet er mindre kritisk, da det har den fysiske egenskab, at man gerne opdager, hvis den er væk.

Lån og spar har også kontokig uden nemid, at bruge penge kræver selvf nemid!

Danske Bank er den eneste jeg kender der kræver "the full Monty" for at se hvor stort overtrækket er

Hvem har nogensinde brugt samme nøgle til Postkassen, omklædningsrummet i sportshallen, og til pengeskabet bag maleriet ?

Nej, men de normale alternativer er enten:

1. At sætte alle nøglerne i samme nøglebundt
2. Gemme nøglerne under måtte, urtepotte eller lignende ved brugsstedet

... som begge dele er tilsvarende problematisk.

SMS løsningen kan blive en kamp for os, som skal ud på vejen for at sende/modtage SMS.

Det beskrevne virker som, at man har tænkt sig, at blive i det hjørne, man tidligere har malet sig ind i.

Indse dog, at der er ting som er så ligegyldige, at der bare er det krav, at det skal være nemt. Og at der er nogle ting, som er så kritiske, at det faktisk er et formål i sig selv, at det er lidt besværligt.

Hvem har nogensinde brugt samme nøgle til Postkassen, omklædningsrummet i sportshallen, og til pengeskabet bag maleriet ?

Er det f.eks. åben, decentral model efter engelsk forbillede eller fortsætter man med at lægge alle æg i Nets' kurv? Kommer der løsninger som imødegår borgernes behov og ikke kun staten og bankernes?

I princippet vil alle interesserede kunne anmelde løsninger, der overholder en fælles standard for sikringsniveauer, som netop har været i høring. Standarden åbner op for frit valg af teknologier, sålænge man med udgangspunkt i en ISO-standard (også kendt som "Common Criteria") kan beregne sig frem til at løsningen overholder et sikringsniveau, som er afstemt efter følsomheden af den tjeneste, man vil logge ind på. Læs evt. høringsdokumenterne:

https://hoeringsportalen.dk/Hearing/Details/59539

Sportsgrenen har jo i ret lang tid indeholdt standardløsninger med standardundtagelser, a propos fritagelse for Digital Post. Så jeg forestiller mig, at der også vil være nogle ikke-NemID-men-løsning-der-giver-adgang-til-noget-af-det eller sådan noget.

Den øgede anvendelse af smartphones til økonomi er problematisk sikkerhedsmæssigt, alle har ikke en smartphone og den kan være ude af drift i perioder. Det er bedst med forskellige muligheder, så der er noget for enhver smag og begivenhed. Det nuværende NEM ID var jeg meget kritisk til fra starten af, men det fungerer nu fint og giver tryghed.

Det er typisk at når et system endelig fungerer erstattes det af noget nyt med børnesygdomme!

Nykredit giver dig den mulighed

Hvad er deres plan hvis man er i udlandet ved en offentlig computer (netcafe) og IKKE har et DK-SIM med sig - eller ikke gider at betale 10 kroner for at blive verificeret over SMS? Papkortet virker fint (well - JyskeBanks tidligere papkort virkede bedre end NemID - men NemID-kortet er acceptabelt).

Jeg kunne godt tænke mig at de lod flere vinde implementeringsopgaven. Dvs der skal være en fælles backend protokol. Gerne en baseret en web standard. Derefter kan brugeren selv vælge hvilken frontend vedkommende synes om. Så kan nogen baserer den på papkort og privat nøgle i skyen. Andre med privat nøgle på mobil enhed. Og måske nogen på en dedikeret enhed. Disse frontends skal selvfølgelig have betaling baseret på hvor ofte de bliver brugt. Nogle leverandører vil måske endda lave flere frontends for at tiltrække flere brugere.

Dette giver nogle fordele:

• Det bliver svært for os at blive enige om, hvilken placering af private nøgle der er bedst og vi skifter nok mening i løbet at de næste 10 år alligevel.
• Det bliver muligt at fyre en frontend leverandør, hvis de ikke opfører sig ordentlig og passer på os.
• Der findes andre lande som har en lignende løsning. Deres frondends vil kunne bruges hos os.

Hej, Melder historien noget omkring om man løser nogle af de centrale problemer med Nemid, som har været diskuteret til hudløshed her på version2?

Er det f.eks. åben, decentral model efter engelsk forbillede eller fortsætter man med at lægge alle æg i Nets' kurv? Kommer der løsninger som imødegår borgernes behov og ikke kun staten og bankernes?

Mvh, Martin

Ærlig talt!, jeg ejer heller ikke en smart telefon, og kommer heller aldrig til det, men jeg gætter alligevel på at sms kommer til at overleve i mange år ligesom emails.

Det har du nok ret i.

Men det ændrer ikke på at SMS ikke er en super god universel løsning for eksempel i tilfælde, hvor man er ude at rejse eller måske ligefrem bor i udlandet (men det er jo skatteunddragere der gør det, så de skal da ikke have det for nemt /s)

Var fidusen med papkortet ikke at NemID SKULLE tilbyde en gratis adgang. Samtiddig med måtte de så tilbyde andre metode mod betaling. Betyder fremtiden så at vi få endnu en påtvunget skatteudgift, pålagt af private virksomheder?

Jyske bank , inklusiv applikationer, kræver en adgangskode som eneste login info, indtil man vil tage penge ud af ens konti.</p>
<p>Så de tillader at man kan se konti, og flytte penge mellem egne konti, uden nemID.

Og det kræver ikke NemID for at aktivere løsningen ?

Har nemlig snakket med flere som liiiige havde løsningen hvor man slet ikke skulle bruge NemID. Altså udover til at aktivere det hele første gang.

Jyske bank , inklusiv applikationer, kræver en adgangskode som eneste login info, indtil man vil tage penge ud af ens konti.

Så de tillader at man kan se konti, og flytte penge mellem egne konti, uden nemID.

Glimrende til login, for ufleksibelt til kodeord.

... de sender en sms ...

Det er bestemt en mulighed (og hvor lang tid går der så, inden folk begynder at få SMS sendt til deres computer?).

Men jeg gætter nu på, at man har forelsket sig i de der "tryk på en knap" apps, som lige nu er ved at blive populære. Vil I installere en app bestilt af de samme folk, som tidligere nikkede lodret til ideen om at skjule spionkode i billedfiler?

En 10-årsplan må være dobbelt så god som en 5-årsplan - eller det synes i hvert fald at være tanken bag den uhellige alliance mellem bureaukraterne og bankerne.

Har man ikke fattet, hvor hurtigt udviklingen går - hvordan var det lige at verden så ud for 10 år siden?

• Smartphones? Pfft - bortset fra et støvet gadgetfirma i Cupertino var der ingen firmaer, der havde et godt bud på dette
• Videostreaming? Hvis du var heldig (og amerikaner), kunne du få en Netflix-DVD med posten
• Internet? 10 Mbit/s var for vildt, og Fullrate var en lille københavnerbiks

Hvorfor tror Digitaliseringsstyrelsen, at den sammen med gammelbankerne kan forudsige hvordan en fornuftig SSO-løsning skal se ud de næste 10 år?

Måske har jeg sovet i timen, men det er ikke mit indtryk at disse parter hver især vrimler med visionære og nytænkende typer - nok snarere generaler, der udkæmper den forrige krig.

Nordea på windows phone skal bare have cpr og en selvvalgt pin-kode. Der er ikke noget NemID før du vil overføre penge eller lignende.

Det er en grim skod løsning, men den virker og er simpel.

Samme som der var på iOS og Android før den gik bling.

Jeg formoder at det drejer sig om at de sender en sms til en som så indholder en engangskode som skal tastes ind i et felt inden for et hvis antal minutter.

Ærlig talt!, jeg ejer heller ikke en smart telefon, og kommer heller aldrig til det, men jeg gætter alligevel på at sms kommer til at overleve i mange år ligesom emails.

... En smartphone betyder med 99.9% sikkerhed også, at det foregår via en APP, dvs: Denne APP kan virtualiseres på en desktop! Win/Win situation, som sikkert blot er en valgmulighed.

Syntes nyheden er rigtig god, den er blot 5 år for sent ude:)