Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

Det synes jeg er uden for nummer. Der kan være mange årsager til, at det har kostet hende 270.000, og jeg har enormt svært ved at se, hvorfor hendes privatøkonomi skal til offentlig granskning, fordi hun har været udsat for svindel.

Det synes jeg er uden for nummer. Der kan være mange årsager til, at det har kostet hende 270.000, og jeg har enormt svært ved at se, hvorfor hendes privatøkonomi skal til offentlig granskning, fordi hun har været udsat for svindel.

Som sagen er beskrevet, så er NemId's reaktion vel som den skal være, omend besværlig. Jeg har svært ved at se anden løsning som systemet er nu.

MEN beskrivelsen åbner jo for en diskussion af, om det fundamentale design af dette og en hel række andre systemer, er helt gennemtænkt.

Her er et eksempel: I sygehus- og lægevæsenet, og alle deres forskellige web- og app-løsninger (og der er ganske mange), er patienten (identificeret med CPR-nummer og ved brug af NemId) naturligvis i centrum i egen silo med tæt afskærmning for enhver anden - præcis som i eksemplet herover. I alle systemer jeg kender, BORTSET fra e-boks, opretholdes denne silo. Så hvis jeg skal hælpe min kone, hvilket et reelt behov, så skal jeg faktisk bruge HENDES NemId til de forskellige login. Disse systemer har ikke, i modsætning til e-boks, en mulighed for at tilknytte en sekundær bruger som 1) modtager al kommunikation i kopi, 2) kan svare på primær brugerens vegne. Dette FORUDSÆTTER naturligvis tilladelse fra den primære bruger. Det er naturligvis en DESIGN FEJL når et system ikke tillader tilknytning af sekundære brugere. I bankerne kan det næsten lade sig gøre gennem to typer fuldmagter.

Jeg fremhæver kun e-boks som eksempel - og fordi det er det eneste system jeg kender, som fungerer næsten som det skal. (Næsten siger jeg, fordi jeg ikke kan SKRIVE på vegne af sekundær brugeren - e.g. ændring af hospitalsindkaldelse).

Har lige indberette en fejl ved ændring af password, som jeg stødte på da jeg hjalp min datter med at ændre hendes password på nemid.nu

Nu har NemId svareret, at de ikke kan behandle min henvendelse da det ikke vedrører mit NemId - og selvfølgelig har de spærret min datters Nøglekort, da jeg åbentbart er kommet i besidelse af dette. Så nu skal jeg finde tid til at hente datteren på efterskolen, kører ind til borgerservice for at få et nyt Nøglekort osv...

og nu er artiklen så (også) kommet her på version2.dk i en ikke skjult version ;-)

Og det at gemme det bag en plus artikel er så åbenbart foreneligt med "en samfundsmæssig væsentlighed, vi ønsker, at også folk uden for vores sædvanlige målgruppe kan få indblik i."

"Arbejdernes Landsbank erkender »ikke at have udvist tilstrækkelig omhu og agtpågivenhed« i Ronja Larsens sag, og hun har fået erstattet sit tab."

Overskriften burde være: Koste banken 270.000 og ung lærer hendes nattesøvn.

Det fremgår så af artiklen under PLUS på ing.dk.</p>
<p>Nu har hackerne alt, de skal bruge, og 4. oktober slår de til. De lænser hendes konto og kollektivets konto, optager tre kviklån, køber en iPhone og forsøger at få kredit i en møbelforretning.

Eller noget.

Ud over det, vil jeg stadig mene at der burde have været ret mange alarmklokker der skulle have lydt i banken, når der bliver foretaget trods alt ikke ubetydelige transaktioner.

Og hvordan kan det løbe op i 270.000?
Det er da de færreste der lige har så meget stående på kontoen, især næppe en ung skolelærer, og mig bekendt kan man da ikke lave køb på webshops vha. NemID.

Nu har hackerne alt, de skal bruge, og 4. oktober slår de til. De lænser hendes konto og kollektivets konto, optager tre kviklån, køber en iPhone og forsøger at få kredit i en møbelforretning.

Det kan vel være en arv eller en lottogevinst...

Så hvis der pludselig er flyttet en kvart million fra en opsparingskonto til en lønkonto for en almindelig lønmodtager, så burde der være nogle alarmer der lyder i banken.

Hvis jeg trækker over med 27 øre, så er min "bankrådgiver" som regel i telefonen inden for en halv time.

Det kan vel være en arv eller en lottogevinst...

Ikke direkte, men du kan købe og bankoverføre betalingen mange steder - og det får du adgang til via NemID. Mange banker kan også straks-overføre for et ekstra beløb. Det kan være nyttigt til at lænse en konto i en fart.

Det kunne jeg godt tænke mig en forklaring på.

Det er kropumuligt at søge SU uden NemID. Just saying. Bankforretning besværes også betragteligt.

Det er muligt, jeg udtalte mig ud fra min egen situation, jeg er nok alligevel lige en smule over alderen hvor man søger SU.

Jeg har været ude for at en nævenyttig medarbejder på kommunen påstod at det var KOMPLET umuligt at indskrive sit barn i skole uden NemID, men sjovt nok så var det nu alligevel muligt efter en længere korrespondence hvor jeg blandt andet gav dem den indmeldelsesblanket som vi havde brugt ved et tidligere barn's indskrivelse og en blanket som forresten stadigvæk figurerede til download på en anden kommune's hjemmeside fordi DE godt kunne.

Den var helt omkring borgmesteren, men det var jo ligesom skrankepaven som bestemte at det var værd for kommunen at bruge alle de penge på sagsbehandling, frem for at bruge 5 minutter MAX på at taste oplysningerne ind.

Generelt klarer jeg mig fint uden NemID, der er nogle små hurdler som ikke betyder det store og så kan jeg så forstå at min revisor skal til at skrive tallene på min selvangivelse på et stykke papir som jeg så lige smutter forbi kommunen med, frem for at han havde mine tast-selv koder og selv lige kunne logge ind og taste tallene ind.

Men...Igen, der er nogen der har valgt at det skal være ufleksibelt og tryk avler jo som bekendt modtryk, så de må igang med at taste ind manuelt fra den trykte selvangivelse.

Den har jeg såmænd modtaget troeligt hvert år, fordi jeg er fritaget for digital post, normalt har vi bare kasseret papirudgaven fordi tallene jo var inde på skat's hjemmeside via Tast selv.

Hvis du siger at det ikke er muligt at fungere i Danmark idag uden NemID, så må jeg bare sige at jeg er uenig.

Det er kropumuligt at søge SU uden NemID. Just saying. Bankforretning besværes også betragteligt.

... , og mig bekendt kan man da ikke lave køb på webshops vha. NemID.

Ikke direkte, men du kan købe og bankoverføre betalingen mange steder - og det får du adgang til via NemID. Mange banker kan også straks-overføre for et ekstra beløb. Det kan være nyttigt til at lænse en konto i en fart.

Ok, Christian Nobel - jeg troede faktisk, at jeg havde læst det hele, men lige den sætning var smuttet..

270.000 kr. mistet på den måde - hænger man virkeligt selv på regningen, når banken dummer sig?</p>
<p>I givet fald er det da næsten ikke til at bære...

Arbejdernes Landsbank erkender »ikke at have udvist tilstrækkelig omhu og agtpågivenhed« i Ronja Larsens sag, og hun har fået erstattet sit tab.

Og hvordan kan det løbe op i 270.000? Det er da de færreste der lige har så meget stående på kontoen, især næppe en ung skolelærer, og mig bekendt kan man da ikke lave køb på webshops vha. NemID.

270.000 kr. mistet på den måde - hænger man virkeligt selv på regningen, når banken dummer sig?

I givet fald er det da næsten ikke til at bære...

Tak for svar, Christain Nobel.

Eneste ulempe er at reload af siden smider brugeren af, men det skal man heller ikke (altså lave reload).

Jeg synes nu, at reload i forvejen kan give problemer nogen steder...

Men i mine øjne er det stadig meget lidt brugervenligt, at man skal lukke alle sine browservinduer for at slippe ud af en enkelt offentlig hjemmeside.

I de løsninger jeg laver, så bliver brugeren definitivt logget af hvis han lukker vinduet, da jeg styrer sessionen i URL'en i stedet for med cockiees, så det kan sagtens laves sikkert.

Plus brug af POST, samt kortlivede sessioner gør URL kopiering ikke kan omgå den barriere.

Eneste ulempe er at reload af siden smider brugeren af, men det skal man heller ikke (altså lave reload).

Tak for tip, Nis Schmidt. Men i mine øjne er det stadig meget lidt brugervenligt, at man skal lukke alle sine browservinduer for at slippe ud af en enkelt offentlig hjemmeside. Og det er for mig at se meget lidt smart, at de fleste idioter som mig slet ikke er klare over, at det er noget, man skal være opmærksom på, og at man ikke nødvendigvis er logget ud, fordi man har lukket det ene vindue med NemLogin.

Jeg har været klar over, at man skal logge ud/lukke vindue, når man har været inde på en side - men ikke, at NemID simpelthen åbner til alle offentlige sider. Det er jo ikke intuitivt/logisk, at der er åbnet ind til SKAT og AULA, fordi man har været inde og bestille en tid hos lægen...

Jeg synes ikke om løsninger, som kræver teknisk indsigt for at gennemskue, hvornår man er ude i det sikkerhedsmæssige overdrev. ...

Tak for svar, Jørn wildt.

Men desværre kan websites nemt gøre noget forkert, som du oplever, så logud ikke virker ... og så er det man hænger på den - men jeg vil gætte på at man altid kan hoppe på borger.dk og logge ud derfra. De har nok størst sandsynlighed for at virke.

Jeg har så i øvrigt også oplevet, at jeg lukkede alle vinduer, hvor der har været logget ind, ned (ikke hele browseren, men kun sider, hvor der har været logget ind) - og så røg jeg alligevel lige ind på SKAT.dk uden login.

En ting er, at Digitaliseringsstyrelsen mener, at dette er smart og brugervenligt - men hvad er dog begrundelsen for, at man ikke kan vælge det fra?

Om det er et problem eller ej, ja den er lidt svær at svare på - der er også fordele ved det. Men det er helt igennem med vilje og kaldes "Single Sign On" - når du bruger de offentlige sider via NemLogin, så skal det virke som én samlet enhed, med ét fælles login, hvor du kun behøver at logge ind én gang.

For at blive optaget i NemLogin-fællesskabet skal websites opfylde nogle krav - blandt andet at logud på websitet fører til logud på NemLogin ("fødereret logud" mener jeg det bliver kaldt).

Men desværre kan websites nemt gøre noget forkert, som du oplever, så logud ikke virker ... og så er det man hænger på den - men jeg vil gætte på at man altid kan hoppe på borger.dk og logge ud derfra. De har nok størst sandsynlighed for at virke.

Det med at din browser ikke logger ud før du lukker den helt, kan være en opsætning i browseren - der er noget sessionstyring mht. hvor meget der skal huskes når man lukker ned. I sidste ende er det et spørgsmål om browseren mener at den skal gensende din single-sign-on session cookie eller ej.

Yderligere, så er levetiden ikke lang for disse cookies, så det er kun i kortere tid din SSO mulighed den virker.

Sjovt nok, så ser det ud til at Version2 også lige har implementeret SSO via mit.tekhus.dk - jeg blev i hvert fald logget ind på Version2 automatisk uden at angive password eller noget, selvom V2 bad mig logge ind for at kommentere.

Tak tak, Lars Skovlund :-) Men jeg er så lidt fagmand, at jeg faktisk er lidt usikker på, om du mon er sarkastisk? Du har da i hvert fald ikke givet "thumbs up" til selve kommentaren, og jeg kan ikke selv gennemskue, om det er et dumt spørgsmål. Jeg kan bare ikke lide, at alle porte er åbne, hvis ikke man er opmærksom på at lukke browseren helt ned. Hvor mange ikke-kyndige borgere er mon opmærksomme på det?

Denne "feature" kan ikke fravælges. Nets support mener, at det er det samme, hvis jeg går ind på min netbank - så skal jeg jo også lukke browservinduet. Men jeg skal vel ikke lukke alle browservinduer, når jeg har været logget på min netbank? Og giver login med NemId i netbanken adgang til andre hjemmesider? Det håber jeg da ikke...

CTRL+ALT+DELETE, vælg TaskManager/Jobliste, find i process-listen: alle tilfælde af din browser, tryk højremus og vælg "Slet Proces-træ" (?)

Hvem har et link til en Windows executable/script, der gør dette?

Jeg mener slet ikke at problemet er at bankerne bestiller NemID-kort. Med alle de bankfolk der har muligheden, kommer nogen til at begå fejl. Man kan ikke antage at flere tusinde personer altid er fejlfri.

Vi får jo også tilsendt et NemID-kort med mellemrum der er lige så let at snuppe, omend skal man vide hvornår de dumper ind.

Problemet er, at man sender det fortrolige NemID-kort med posten og anser det som sikkert. Det er ikke korrekt. Der er ingen krav til danske postkasser, som generelt er hamrende usikre, ligesom mange breve bliver væk.

Den korrekte forsendelsesmetode er enten anbefalet eller også skal man sikre sig at den rette ejer aktiverer kortet før det kan bruges.

I princippet er det at få et nyt NemID-kort ikke anderledes end når en website sender et link til at nulstille sit kodeord: Det skal kunne gøres uden at kompromitere sikkerheden.

@Anne-Marie: For en der ikke er faguddannet er det der sgu et ret godt stykke detektivarbejde. thumbs up.

Det er lige gået op for mig, at hvis jeg logger på med NemId på en offentlig hjemmeside, eks. Sundhed.dk eller min læges hjemmeside, så er porten åben til alle offentlige hjemmesider via noget, der hedder NemLogin:https://digst.dk/it-loesninger/nemlog-in/om-loesningen/

Dvs. at hvis jeg vil forhindre, at der er fri adgang fra min pc til mine data på alle offentlige hjemmesider, så er det ikke nok at logge ud - det kan jeg i øvrigt slet ikke pga. en teknisk fejl (der kommer fejlmeddelelse) - og det er heller ikke nok at lukke det aktuelle browservindue. Næh nej, hele browseren skal lukkes ned. Dette er i følge Nets support ikke en bug, men en feature, for at gøre NemId mere brugervenlig - hvilket jeg har svært ved at se. Det er da irriterende at skulle lukke alle browservinduer, hvis man sidder og arbejder med et eller andet.

Denne "feature" kan ikke fravælges. Nets support mener, at det er det samme, hvis jeg går ind på min netbank - så skal jeg jo også lukke browservinduet. Men jeg skal vel ikke lukke alle browservinduer, når jeg har været logget på min netbank? Og giver login med NemId i netbanken adgang til andre hjemmesider? Det håber jeg da ikke...

Og det undrer mig også, at jeg kan logge på f.eks. sundhed.dk fra to browsere (IE og TOR) samtidig....Skal det være sådan?

Har Nets omdøbt en bug til en feature - eller er der ikke noget at bekymre sig over?

Fingeraftrykslæsere i bankerne ?

Jeg er ikke tilmeldt det offentliges, af en amerikansk kapitalfond ejede, usikre webmail, og det går faktisk ganske glimrende - men er så også i den heldige situation at min børn er voksne.

Ud over Aula så bare at noget så simpelt som at indkaldelse til børnenes tandlæge kun kommer i eBoks er et eksempel på at NemID reelt er umuligt at komme udenom for forældre til ikke-voksne børn.

Tydeligvis, skriver bankerne, har deres procedurer ikke været overholdt - bortset fra een bank.

Men gennemtænk lige hvordan systemet kan indrettes, så det er mere svindel-resistent ? Gennemtænk også de mulige start-scenarier, som kunder kan være i ?

Her er eet scenarie: jeg mister min tegnebog med alle kort og mit NemId, samt min mobiltelefon. Så er jeg jo VIRKELIG ude at svømme.

• den lette løsning er telefon, MEN det virker ikke så sikkert - med mindre der er indbygget en ekstra sikkerhed (i USA bruger man ofte pigenavn for Mor).
• så er se vel ellers kun fremmøde i en bank (bankerne KUNNE jo yde service på kryds i fælles interesse).

De elektroniske svar duer ikke - fordi i eksemplet er telefonen også væk OG var måske ikke låst fysisk = åben for sms og e-mail. Duer ikke.

Og så er der lige udfordringen: hvad gør jeg på rejse til udlandet ?

Det er ikke let at løse. Fingeraftrykslæsere i bankerne ?

Bemærk også, at dette problem vel ikke bliver mindre af næste generation.

Så du mangler af komme med en god grund til af hvorfor folk skulle spilde tid på alle de udfordringer der ved ikke af have Nem-ID

Nej det langt større problem er eBoks - og som forælder også Aula.

Hvis du siger at det ikke er muligt at fungere i Danmark idag uden NemID, så må jeg bare sige at jeg er uenig.</p>
<p>Der er udfordringer, men hvis en stor portion mennesker pludseligt meldte sig fra NemID og f.eks skulle til at modtage en papirselvangivelse, så tvivler jeg på at der ville gå så lang tid før man fandt en anden løsning for SKAT skulle så til at ansætte en masse "tastere".

Du skal i øvrigt ikke regne med der ville blive ansat en eneste ekstra i Skat - det regnes allerede for borgerens eget ansvar at få betalt sin ekstraskat - også inden Skat overhovedet fortæller dig du skylder den. Hvad får dig dog til at tro det ikke ville blive borgerens ansvar at have NemId?

Nej det langt større problem er eBoks - og som forælder også Aula.

Endnu værre ser det ud for kunder hos Sydbank og Merkur Sparekasse, der sendte nye nøglekort hjem til kunderne, uden at vi behøvede at opgive en adresse. Den oplyste bankerne selv i telefonen.

(I sagens natur har jeg ikke mulighed for at dokumentere mine påstande her. Jeg "tør" ikke.)

Jeg fatter hat af hvad du skriver.

Alle sikkerhedseksperter siger at man skal sørge for a bruge forskellige koder på forskellige sider fordi det er mest sikkert, men i Danmark skal man bruger NemID til "alt"og vel også snart for at logge på golfklubbens hjemmeside.</p>
<p>Når det gælder det offentlige så er det "Nem't" med en kode til ALT.

Fra deres beskrivelse af digital signatur skrev de bla:

For at gøre brugen af digital signatur endnu sikrere, anbefales det ofte, at en bruger råder over flere nøglepar med tilhørende certifikater. Så kan et af disse nøgleparreserveres til at underskrive meddelelser eller til, når kommunikationen skal gøres uafviselig, dvs. sikring af, at afsenderen ikke senere kan benægte at have afsendt en meddelelse. Certifikatets anvendelse fremgår af certifikatet.</p>
<p>Det er nemlig langt fra al kommunikation, som det er nødvendigt at signere. Ofte vil brugeren blot have brug for at identificere sig, holde sin meddelelse hemmelig eller sikre dens integritet. For at adskille disse behov, kan det være fornuftigt med to eller flere forskellige nøglepar, f.eks. et par til signering samt et par til kryptering og dekryptering.
Den private nøgle, der bruges til den kommunikation, som kræver særlig høj sikkerhed, anvendes herved i mindre omfang og risikoen for kompromittering reduceres.</p>
<p>Det kan være ønskeligt eller nødvendigt for brugeren at opbevare en ekstra kopi af den private nøgle, der skal anvendes til at dekryptere meddelelser, som er krypteret med den tilsvarende offentlige nøgle. Også dette aspekt taler for anvendelsen af flere nøglepar, idet det i så tilfælde alene vil være den private nøgle til dekryptering af meddelelser og ikke den private nøgle til signering, der skal opbevares en kopi af.

Så i 2002 var man udmærket klar over at der burde være flere sikkerhedsniveauer, men alligevel gennemtrumfer man en one-size-fits-nobody model med tvang.

Det er dybt uanstændigt at pyramidespilssektoren og det offentlige slår sig sammen om at underminere danskernes digitale sikkerhed.

Hvis du siger at det ikke er muligt at fungere i Danmark idag uden NemID, så må jeg bare sige at jeg er uenig.

Det er jo ikke så umderligt, at folk IKKE stemmer imod med fødderne.

1. GDPR bliver her i landet brugt til beskyttelse af folk, der en kandidatgrad eller eller en PhD.

Det skyldes, at det er gratis for nævnte personer, at overpisse folk. Måske kan det reguleres, men det skal jo heller ikke være sådan, at bare der rejser sig en shitstorm, så bliver folk automatisk fyret; solvom det hurtigt ville kalde eliten til.

SÅ er i landet er det sådan, at hvis man som dansker får en uddannelse i udlandet (EU fx Frankrig) må man klare sig som "pion".

Som det så smukt blev udtrygt for nylig om rets- og netusikkerheden: "Det kan godt være du ikke har noget at skjule, men det har DTU."

(I sagens natur har jeg ikke mulighed for at dokumentere mine påstande her. Jeg "tør" ikke.)

Der er udfordringer, men hvis en stor portion mennesker pludseligt meldte sig fra NemID og f.eks skulle til at modtage en papirselvangivelse, så tvivler jeg på at der ville gå så lang tid før man fandt en anden løsning for SKAT skulle så til at ansætte en masse "tastere".

Hvis du ikke har lagt mærke til det, så er politikerne helt vildt ligeglade med skat, så der ville ikke blive ansat så meget som en ekstra "taster", alle papir selvangivelserne ville bare blive smidt over i hjørnet, indtil en eller anden kedede sig nok til af indtaste dem.

Så du mangler af komme med en god grund til af hvorfor folk skulle spilde tid på alle de udfordringer der ved ikke af have Nem-ID

Man gives jo ikke noget valg i Danmark. Alle tvinges til at bruge NemID til alt fra lønsedler til al kontakt med det offentlige.</p>
<p>Der er ikke nogen fødder at stemme med.

Hvis du siger at det ikke er muligt at fungere i Danmark idag uden NemID, så må jeg bare sige at jeg er uenig.

Der er udfordringer, men hvis en stor portion mennesker pludseligt meldte sig fra NemID og f.eks skulle til at modtage en papirselvangivelse, så tvivler jeg på at der ville gå så lang tid før man fandt en anden løsning for SKAT skulle så til at ansætte en masse "tastere".

Den eneste grund der er til at du tvinges til mere og mere NemID, er at du ikke sætter hælene i og siger fra.

Det er lige netop den defeatisme som du lægger for dagen her, som gør at staten og Nets kan tromle hen over dig.

Men allright, så længe folk bliver ved med at bruge det og ikke "stemmer med fødderne" så længe kan staten og Nets jo også være pisse ligeglade og gøre som det passer dem.

Der er ikke nogen fødder at stemme med.

Når man har sammenholder med den energi, som bankerne netop i disse dag lobbyerer med for at få lov at lave totalsammenkøring for at forebygge hvidvask, og hvor tættekamsagtigt man opfører sig overfor selv små kunder i den sammenhæng, hænger det jo ikke rigtigt sammen, at man ikke reagerer på en historie som ovenstående: Ellers velspækket konot tømt, og massevis af mærkelige indkøb. Der burde da ellers være en del alarmklokker i fuld bimmel.

Alle sikkerhedseksperter siger at man skal sørge for a bruge forskellige koder på forskellige sider fordi det er mest sikkert, men i Danmark skal man bruger NemID til "alt"og vel også snart for at logge på golfklubbens hjemmeside.

Når det gælder det offentlige så er det "Nem't" med en kode til ALT.

Men allright, så længe folk bliver ved med at bruge det og ikke "stemmer med fødderne" så længe kan staten og Nets jo også være pisse ligeglade og gøre som det passer dem.