Britisk cybertjeneste om kodeords-blokering i NemID-app: »Det er en dårlig idé«

Det er en sikkerhedsmæssigt dårlig idé at forhindre brugere i at kopiere og paste kodeord ind i felter på nettet, mener britiske National Cyber Security Centre.

Den britiske cybermyndighed National Cyber Security Centre (NCSC) advarer webudviklere mod at blokere for, at brugere kan paste deres kodeord direkte ind i det respektive login-felt fra styresystemets udklipsholder.

En Version2-læser har i den forbindelse gjort redaktionen opmærksom på, at den danske NemID-app netop indeholder en funktion, der forhindrer brugeren i at paste et kodeord ind i app’ens dertilhørende felt.

I et blogindlæg under under titlen 'Let them paste passwords’ begrunder NCSC, hvorfor kodeordspraksissen, der altså blandt andet lader til at blive anvendt i NemID, er en dårlig idé.

»Vi mener, at stoppe password pasting (eller SPP) er en dårlig idé, der reducerer sikkerheden. Vi mener, at kunder bør tillades at paste deres kodeord ind i formularer, og at det forøger sikkerheden,« står der i indlægget.

NCSC fortsætter med at skrive, at ingen åbenbart ved, hvor idéen med SPP stammer fra.

Der er således ikke nogen tekniske specifikationer, der dikterer sådan en praksis, eller andet, der kan indikere, hvordan det begyndte. I den forbindelse efterlyser NCSC svar på, hvor SPP faktisk kommer fra. Her står det naturligvis Version2’s læsere frit for at byde ind - eventuelt i debatten herunder.

Derfor

Når NCSC mener, det er en god idé at tillade pasting af kodeord, så hænger det primært sammen med at reducere, hvad organisationen kalder 'password overload'. Begrebet dækker blandt andet over situationen, hvor brugere begynder at skrive kodeord ned på gule sedler, eller hvor brugere anvender det samme kodeord alle steder.

Som hjælp til at mindske overloadet fremhæver NCSC kodeordshusker-software. Altså som LastPass og deslige.

»At tillade pasting af kodeord betyder, at web-formularer fungerer godt med password managers (på dansk også kaldet kodeordshuskere, red.). Password managers er software (eller tjenester), der vælger, lagrer og indtaster passwords i onlineformularer for dig.«

Og kodeordshuskere er ifølge NCSC nyttige af følgende grunde, hvoraf Version2’s læsere sikkert er bekendt med flere:

  • De gør det langt lettere at have forskellige kodeord for hvert website, man besøger

  • De forbedrer din produktivitet og reducerer frustrationer ved at forhindre tastefejl under login

  • De gør det simplere at anvende lange, komplekse kodeord.

»Uden kodeordshuskere vil det være nødvendigt at gøre slemme (eng. bad) ting,« bemærker NCSC og bringer i den forbindelse følgende liste:

  • genbruge de samme kodeord på forskellige websites

  • vælge simple (og derfor let gætbare) kodeord

  • skrive kodeord steder, der er lette at finde (såsom post-it sedler ved siden af skærmen)

»Det er derfor, vi mener, SPP er slemt, og at tillade pasting er kodeord er godt. Fordelene vejer langt tungere end ulemperne,« oplyser NCSC.

Mulige SSP-forklaringer

Herefter fortsætter indlægget med at skyde tre argumenter i sænk, der handler om at forsvare blokering for pasting af kodeord.

Helt kort, læs evt. original-indlægget for detaljer:

Det første argument er, at passwords-pasting gør brute forcing lettere. Her peger NCSC på, at det ikke er nødvendigt med et felt i en formular for at brute force med en masse kodeordsgæt.

Det andet argument er, at pasting af kodeord betyder, at brugerne har lettere ved at glemme kodeordene - da de jo aldrig selv skal indtaste dem. Her anfører NCSC, at folk i den virkelige verden tvinges til at anvende kodeord til sjældent brugte tjenester, mens der til andre - og måske oftere brugte tjenester - konstant skal skiftes kodeord.

»Kodeordshuskere er en krykke, folk kan støtte sig til, og SPP sparker den væk igen.«

Det sidste argument for at anvende SPP, som NCSC skyder i sænk, handler om, at kodeordet ligger i clipboard, når det bliver kopieret og pasted. Altså hvor alle mulige ondsindede folk og programmer kan få fat i det.

Her bemærker NCSC, at det mest vil være et problem, hvis folk kopierer det fra et dokument, da de fleste kodeordshuskere sletter indholdet af clipboardet igen, når kodeordet er sat ind. Andre kodeordshuskere skulle ifølge NCSC helt undlade at anvende clipboardet for så i stedet at inputte kodeordet via et virtuelt keyboard.

I slutningen af NCSC-indlægget bliver der henvist til et blogindlæg fra sikkerhedsmanden Troy Hunt og til en artikel hos Wired. Begge handler om, hvorfor det er en dårlig idé at blokere for kodeordsindsættelse.

Digitaliseringsstyrelsen er tavs »af hensyn til sikkerheden.«

Version2 har spurgt Digitaliseringsstyrelsen til, hvilke sikkerhedsmæssige overvejelser, der ligger bag, at der i NemID er blokeret for pasting af kodeord. Digitaliseringsstyrelsen har været i kontakt med Nets.

Hverken hos Digitaliseringsstyrelsen eller hos NemID-leverandøren brænder man dog umiddelbart efter at forklare, hvorfor NemID ikke tillader pasting af kodeord - modsat anbefalingerne fra blandt andet NCSC.

»Det er vigtigt, at ens password er beskyttet bedst muligt. Et af vores sikkerhedstiltag omfatter bl.a., at man ikke kan copy/paste passwords ind i NemID login-feltet. De nærmere forhold og detaljer, der ligger bag vores valg af sikkerhedsforanstaltninger, kan vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen,« oplyser Digitaliseringsstyrelsen i et skriftligt svar, der skulle stamme fra en ikke nærmere specificeret kilde i Nets.

Det hører med til historien også, at det danske NemID som bekendt er beskyttet med 2-faktor-autentifikation, blandt andet i form af nøglekortet. Og derfor er login-løsningen i udgangspunktet også bedre sikret end så mange andre login-løsninger, der måske kun er beskyttet af et svagt kodeord, der aldrig bliver skiftet. Når det er sagt, så er der - som Version2 tidligere har fortalt - intet der teknisk forhindrer brugere i at vælge et særdeles svagt NemID-kodeord, som tilmed ikke skal skiftes.

Læs også: 'giraf1' uden nøglekort er godt nok til netbanken

Men hvad tænker Version2’s læsere? Har NCSC overhovedet en valid pointe i, at det er dårlig praksis at forhindre pasting af kodeord i webformularer? Eller det i virkeligheden den britiske cyber-sikkerhedstjeneste, der er galt afmarcheret?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thue Kristensen

»De nærmere forhold og detaljer, der ligger bag vores valg af sikkerhedsforanstaltninger, kan vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen,« oplyser Digitaliseringsstyrelsen i et skriftligt svar, der skulle stamme fra en ikke nærmere specificeret kilde i Nets.

Jeg er efterhånden rigtig godt træt af Nets og Digitaliseringstyrelsen. NemID er fuld af åbenlyst defekte valg, og de kan/vil ikke forsvare dem. Så vi ender med "vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen" fra "en ikke nærmere specificeret kilde i Net".

På baggrund af hvad vi har set fra Nets og Digitaliseringstyrelsen, så antager jeg klart at der ikke ligger et grundigt argument bag dette designvalg, som kan tåle at se dagens lys, og at det er derfor begrundelsen er hemmelig.

Martin Storgaard Dieu

De har sikkert tænkt - "meh, der er alligevel ikke så mange som skal bruge den funktion".

Jeg bruger selv Lastpass, men har hørt mange argumenter for og i mod brug af 'Kodeordshuskere'. Men der har lige været en artikel i et af tabloidaviserne, som påstår at danske unge er IT-dumme (måske var det ikke det ord de brugte), og dem får man næppe til at bruge noget ekstra software. For slet ikke at snakke om Hr. og Fru. Danmark.

Det virker som endnu et forsøg på 'Security through obscurity' (red. på dansk også kaldet Sikkerhed gennem uklarhed)

Mark Klitgaard

På baggrund af hvad vi har set fra Nets og Digitaliseringstyrelsen, så antager jeg klart at der ikke ligger et grundigt argument bag dette designvalg, som kan tåle at se dagens lys, og at det er derfor begrundelsen er hemmelig.

Det er samme som når folk/firmaer laver deres egne krypteringsalgoritmer og ikke vil sige noget nærmere. Hvis dit sikkerhedsinitiativ ikke kan tåle at komme frem i lyset, så er det ikke rigtig sikkerhed men security by obscurity,

Jesper Foldager

De har en anti-paste funktion, men skelner ikke mellem store og små bogstaver. passwordene giraf1, giRaf1, giRaF1 osv. er det samme password. Heldigvis har min password manager en anti-anti-paste funktion. Så jeg bliver kun ramt hvis jeg manuelt forsøger at paste.

Kjeld Flarup Christensen

Jeg kan langt hen ad vejen følge logikken. Langt de fleste af mine passwords ligger i browseren, ud fra en betragtning om, at de egentligt ikke særligt vigtige. Nogen gange ryster jeg på hovedet af nogle inferiøre sites kræve både store bogstaver og tal.

Og så er der passwords som kun er et sted - i mit hovede. Det gælder f.eks. nemid og paypal.

Netop for nemid er det faktisk en god ide at man ikke kan gemme kodeordet elektronisk. Det er trods alt en så central og vigtig kode for alle danskere efterhånden, at man godt kan forvente den skille sig ud fra f.eks. koden til Version2.

Om nogen skulle hugge min kode til Version2 er jeg rimeligt kold overfor. Men mit nemid og min bankkonto!!!

Jens Astrup

Jeg forstår ikke hvorfor alle folk er så vilde med at anbefale password managers. For mig lyder det som et oplagt mål for en hacker, hvis man kan skaffe sig adgang til en persons passwordmanager. Hvorfor anses det det for mere sikkert en en gul seddel gemt godt af vejen i en aflåst skuffe?

Mark Klitgaard

Om nogen skulle hugge min kode til Version2 er jeg rimeligt kold overfor. Men mit nemid og min bankkonto!!!

Men så kræver det også at de hugger dit nøglekort, hvilket er hvori den største sikkerhed ligger. Uanset om du paster dit password ind eller ej, så hvis din computer er inficeret kan du stadigvæk risikere at der er en keylogger der følger med, og så er det ligegyldigt om kodeordet kom fra hovedet eller f.eks. LastPass.

Kjeld Flarup Christensen
Povl H. Pedersen

Jeg bruger password managers, og forsøger at bruge 15-20 tilfældige tegn på alle websider.
Det giver mig ekstra sikkerhed, da jeg aldrig bruger samme password 2 steder, og et hack et sted vil kun kunne kompromitere det ene site, og crack af mit password vil være vanskeligt.
Genbrug af password mellem mere eller mindre trustede sites er skod. Og hvis man skal taste, så vælger de fleste et kortere kodeord.

Jeg bruger 1password på tværs af mine devices. Den bruger DropBox som "delemedie". Jeg har 2-FA på min dropbox.
Derudover bruger 1password 256-bit AES kryptering, og nøglen afledes af master password der kører 100.000 gange gennem PBKDF2.
Så mit master password kan ikke brute forces, men er muligvis sårbart for mere intelligente angreb, såsom dictionary attacks kobineret med et regelsæt. Men det vil alligevel tage lang tid.

Lars Bjerregaard
Mark Klitgaard

To sikre er bedre end en.

Og hvori præcis ligger sikkerheden ved at du taster kodeordet selv, eller om du bruger din password manager? Hvis det er fordi man frygter for at en password manager kan brydes el. lign., så kan man opbevare sin password database på en removable USB, så den kun er i nærheden af internettet når det er nødvendigt.

Nicolai Heilbuth

Ja en password manager kan kompromiteres ligesom en gul seddel eller et word dokument.
Pointen er at password managers gør det nemt at bruge komplekse passwords, som almindelige mennesker ikke vil kunne huske i hovedet og som ikke er sårbare overfor dictionary attacks.
Desuden giver de mulighed for at bruge forskellige password for hvert site/tjeneste så hvis én tjeneste bliver kompromiteret (hvilket jo er sket adskillige gange over de sidste par år), så giver det ikke hackere adgang til alle dine tjenester.

Er jeg den eneste der savner et argument for at bruge SPP?
Det eneste argument jeg kan se er at man tror man kan opdrage brugerne til ikke at gemme passwords i klartekst. Realiteten er bare at det ikke er nogen garanti og at folk så i stedet vælge simple passwords som er nemme at huske eller skriver dem på gule sedler

Michael Hansen

Bruger personligt også en password manager til de fleste sites hvor login'et er vigtigt, men ikke til simple sites som version2.dk hvor der ikke rigtigt er det store på spil hvis ens login skulle blive gættet.

Min password manager (Password Safe) er dog ikke web/browser/extension baseret, det kører rent lokalt uden for browseren.

Rent personligt var mit valg på ovenstående, pga. jeg stoler på Bruce Schneier, og stoler på han ved hvad han laver når det kommer til kryptering. (Hvis du ikke ved hvem han er, så google ham, men han er nu en ret kendt/respekteret kryptograf).

Jeg stoler ikke på random zyz person der har lavet en password manager, eller en eller anden browser extension af et ukendt firma, eller noget someone at somewhere hosts at some cloud.

Mit "master" password er totalt random >30 tegn jeg har lært uden af, der er ingen ord eller mening bag det, men sådan er vi jo forskellig :)

Bruger heldigvis ikke nemid ret tit, man kan kun håbe de tænker ordentlig sikkerhed ind i den næste version, men tvivler, hvis det er the usual suspects der kommer til at stå for det.

Matthijs Wensveen

At blive tvunget til at indtaste password, gør det også nemmer til smugkigger og kameraer.

Er der iøvrigt nogle gode argumenter for at bruge f.eks. lastpass, 1password eller lignende frem for browserens indbyggede password-huske funktion?

Password-managere virker på alle dine browsere og andre programmer der har brug for autentifikation. Men fordelen af indbyggede password-huske funktioner er, at man ikke behøver at bruge clipboard'et.

Password-managere som bruger en virtuel tastatur (kan sandsynligvis ikke stoppes af SPP) er nok det bedste løsning.

Yoel Caspersen Blogger

For at kunne kopiere behøver password at findes på samme computer i elektronisk form. Min mor ville lægge en word fil med navnet "mine passwords.doc" i user Documents. Ved at forbyde copy and paste håber man at opnå at min mor istedet skriver dem på et stykke papir.

Hvis effekten er, at din mor skriver sit password på et stykke papir i stedet for at gemme det i en ukrypteret Word-fil, har man igen mindsket sikkerheden i stedet for at øge den.

Ideen med to-faktor authentication (password + kode fra fysisk papkort) er jo netop, at man skal adskille de to faktorer.

Hvis en tasketyv tager din mors Nem-ID-papkort og hendes gule lap med passwordet på, har han fuld adgang. Ligger passwordet derimod i en Word-fil, er sandsynligheden for at han både får fat i Word-filen OG papkortet væsentligt mindre.

I øvrigt er det tæt på ligegyldigt for sikkerheden, om din mor gemmer sit password i en Word-fil eller husker det i hovedet. Hvis hendes maskine bliver kompromitteret, kan passwordet aflures gennem en keylogger, og så er vi lige vidt.

Det værste ved Nets' og Digitaliseringsstyrelsens manglende forståelse for sikkerheden er næsten den arrogance, de samtidig udviser.

Richard Flamsholt

kodeordspraksissen, der altså blandt andet lader til at blive anvendt i NemID

Efter flere års sporadisk brug af password-manager gik jeg all-in for nogle måneder siden og har nu 150 nye passwords på hver 30 uhuskelige tegn. Det fungerer overraskende godt, både på pc og mobil.

Kun to services voldte problemer:

NemID, fordi paste var slået uløseligt fra på fx iOS. NemID var den eneste service ud af mine 150, hvor copy-paste var slået fra.

Og Rejsekortet, fordi passwords max må være 15 tegn lange og kun indeholde store og små bogstaver samt tal, hvilket giver en skidt score for kompleksiteten.

Jeg fik stor lyst til at ruske begge to.

Henrik Madsen

Det ville da være naivt at tro. Ctrl-V, så husk lige at gemme clip board også.

Hvis keyloggeren også scraper dit clipboard så ja, men de fleste keyloggers gør jo netop det...."Logs keys".

Zoz nævner her at han ikke kunne forstå hvorfor han ingen passwords så.

https://www.youtube.com/watch?v=U4oB28ksiIo

Han kunne så dekryptere de passwords der var, fordi det var hans computer og passwords var krypteret med hans kode.

Videoen er rimelig sjov og se-værdig hvis du har tid.

Yoel Caspersen Blogger

Umiddelbart mener jeg ikke at sikkerheden behøver at være ringe hvis man skriver sit password på en seddel frem for at have det liggende i et word dokument. Sedlen er ikke nem at tilgå udefra, så det kræver fysisk adgang for at kunne misbruge det.

Men det er præcis den rolle, papkortet har - en fysisk ting, der ikke kan tilgås uden fysisk adgang.

Og hvis man får fysisk adgang til papkortet, er der ikke sket nogen skade, medmindre man også har adgang til adgangskoden - og det må man antages at have, hvis adgangskoden er skrevet på et stykke papir, der opbevares sammen med papkortet (tænk lommebøger, dametasker, skriveborde m.v.).

Man kan hævde, at sikkerheden under alle omstændigheder er kompromitteret, hvis angriberen har fysisk adgang - og det er jo rigtigt nok, hvis angriberen både kan aflure password og papkort, fx gennem USB-keyloggers og kopiering af papkort i et ubevogtet øjeblik. Men ved at adskille password og papkort, så kun papkortet findes i fysisk tilstand, kan man undgå, at en tilfældig kriminel får serveret begge dele på et sølvfad ved fx tasketyveri, indbrud i hjemmet o.l.

Men selv hvis man vurderer sandsynligheden for fysiske angreb som lav, berettiger det ikke, at man fjerner muligheden for copy-paste i password-feltet og derved sænker sikkerheden for alle.

Det virker som en af de gamle 90'er-doktriner, hvor et godt password var et, der var besværligt for mennesker at huske og skrive. Og på grund af Nets' og myndighedernes sædvanlige arrogance og tyrkertro på security by obscurity finder vi aldrig ud af, om der vitterligt er nogen som helst rationel tanke bag.

Empirien taler dog sit klare sprog om den sag.

Henrik Madsen

Men det er præcis den rolle, papkortet har - en fysisk ting, der ikke kan tilgås uden fysisk adgang.

Men hvad hjælper det så når folk tager billeder af kortet og lægger på deres computer eller mobil, simpelthen fordi et analogt stykke papir ikke passer ind i deres digitale verden.

Eller når Moster Oda får en mail fra "Tech-support" som beder hende om at sende et billede af hendes kort samt hendes brugernavn og adgangskode.

Det er jo her papkortet viser sin svaghed, altså ved at koderne er statiske og man får udleveret 50 af gangen.

Papkortet er dybt dybt forældet, den eneste måde hvorpå man kan sikre sig rimeligt imod misbrug er at lade kodegenereringen foregå i det øjeblik man rent faktisk skal bruge den og lade den løbe ud kort tid efter.

De findes løsninger hvor man får en "øjebliks kode" som genereres i en ekstern device og koden er kun gyldig i ganske kort tid.

På den måde bliver det sværere at udsende en masse mails og bede om koder og brugernavne og man forhindrer at folk kan lagre disse koder (Foto af papkort) på det device de bruger til at gennemføre transaktionen med.

Henrik Madsen

Enig, det er en langt mere elegant løsning end et papkort. Og så fjerner det afhængigheden af Post Danmark, hvilket er endnu et plus.

Ja det er også et stort plus.

Dog mangler de så stadigvæk en løsning som giver mig som bruger, mulighed for, selv at opbevare hele, eller dele af min digitale signatur og ikke som idag hvor det hele ligger på en norsk server, drevet af et amerikansk firma.

Altså en elegant løsning som virker både med netbank og OCES.

Ja i bund og grund er det vi rent faktisk mangler noget konkurrence på området. Monopoler har aldrig gjort noget godt.

Bente Hansen

Ja i bund og grund er det vi rent faktisk mangler noget konkurrence på området.


Det er jo stærkt på vej, nok ikke den offentlige del. Der er nok for mange politiker som har købt aktier i NET.

Men på betalingsområdet, kan man snart fravælge sig bankerne helt*, der kommer nye direktiver og regler fra EU, som betyder at bankerne skal åbne op overfor andre udbyder. Det bliver slagtet nogle banker og institutioner, der lever af betalinger. Også fordi mange aktiv, vil fravælge de hovedet ansvarlig for finanskrisen. Det heder PSD2

Tro mig bankerne er for øjeblikket ved at skide i bukserne, samtidig vil Facebook, Google og Apple ramme dem meget hårdt. Og som vi så med swift, de har meget svært ved at være innovative, da de kommer til at slagte gulvgåsen, hvis de vil det.

"
PSD2 indebærer en betydelig økonomisk udfordring for bankerne. It-omkostningerne vil formentlig stige på grund af nye sikkerhedskrav og åbne API’er. 9 procent af indtægterne fra detailbetalinger forventes desuden at gå til PISP-tjenester i 20201. Og efterhånden som ikke bank-leverandører overtager interaktionen med kunderne, vil det blive sværere og sværere for bankerne at differentiere sig på långivermarkedet. "

"Det nye betalingstjenestedirektiv (direktiv (EU) 2015/2366) (PSD2) indfører nye regler, som gør det lettere for finansielle teknologivirksomheder at tilbyde deres betalingstjenester inden for EU.

De nye regler indebærer blandt andet, at banker er forpligtede til at give adgang til deres brugeres betalingskonti. Derudover indebærer PSD2, at de såkaldte tredjepartsudbydere får mulighed for at udbyde nye tjenester i form af betalingsinitieringstjenester og kontooplysningstjenester."

https://www.evry.com/da/news/artikler/psd2-the-directive-that-will-chang...

http://kammeradvokaten.dk/viden/alt-om-psd2/introduktion-til-psd2/

Henrik Madsen

Det er jo stærkt på vej, nok ikke den offentlige del. Der er nok for mange politiker som har købt aktier i NET.

Men på betalingsområdet, kan man snart fravælge sig bankerne helt*, der kommer nye direktiver og regler fra EU, som betyder at bankerne skal åbne op overfor andre udbyder. Det bliver slagtet nogle banker og institutioner, der lever af betalinger. Også fordi mange aktiv, vil fravælge de hovedet ansvarlig for finanskrisen. Det heder PSD2

Det vil jeg bestemt lige læse op på.

Har forsøgt mig med spiir men der skal man så alligevel lige bruge NemID til at give dem lov til at få adgang til mine bankoplysninger.

Logisk nok at der skal valideres på en måde men håber da at det kan gøres uden NemID fremadrettet.

Den dag der er en bank der lader deres kunder lave bankforretninger uden NemID er den dag jeg skifter til den bank.

Henrik Madsen

Er der noget om hvordan man definerer dette :

"En bank er forpligtet til at give en kontooplysningstjeneste adgang til brugerens betalingskonti, hvis brugeren giver sit udtrykkelige samtykke hertil."

Hvis den eneste måde at give "udtrykkelig samtygge" bliver med NemID så er man jo lige vidt.

Bente Hansen

Er der noget om hvordan man definerer dette :

"En bank er forpligtet til at give en kontooplysningstjeneste adgang til brugerens betalingskonti, hvis brugeren giver sit udtrykkelige samtykke hertil."

Hvis den eneste måde at give "udtrykkelig samtygge" bliver med NemID så er man jo lige vidt.


Jeg tror at du skal se det den anden vej rundt, krævet brug af NEM id, undtagen første gang man skal give godkendelse, vil nok blive betragtet som en handelshindring i den størrelse hvor vi taler om bøder nær milliard størrelsen.

Det er nok mere for at beskytte forbrugeren, så en installation af en app, ikke giver fuld adgang til forbrugerens konto, fordi det står med småt i "Betingelser for brug og salgsvilkår"
Med at brugeren explicit skal have givet adgang, nok med et ."er du helt sikker på at du vil" og et enkelt NEM id login.

Efterfølgende vil application hente data ved banken, og det burde ikke foregå på brugerniveau, så NEM id har intet med dette at gøre, da loven jo netop siger at der skal være adgang til maskinrummet ved bankerne.

Som jeg forstår det, så var den første PSD lov, kravet om at dette så skulle se nogenlunde ens ud ved alle banker i EU

Henrik Madsen

Det er nok bare mig der ikke er så klog, men jeg blev ikke helt klar over om du mener at man også i fremtiden kan tvinges til at bruge NemID som eneste "Ja de må godt få adgang" mulighed, eller om det vil være en hindring. :)

Altså om man kan tvinges til at skulle bruge NemID første gang, eller om de skal tilbyde en anden måde at gøre det på også.

Log ind eller Opret konto for at kommentere