DanID i sælgertøjet: Den nye digitale signatur skal bruges til alle slags login

25. marts 2010 kl. 11:08105
Debatfora, webbutikker og firmaer skal alle sammen bruge den nye digitale signatur, hvis det står til DanID. Lige nu er der travlt med salgsarbejdet.
Artiklen er ældre end 30 dage

Har du en webside med en login-funktion, får du måske inden længe en sælger fra PBS eller DanID i røret. Firmaet bag den nye digitale signatur har nemlig sat gang i en større salgskampagne for at få alle mulige slags brugere til at bruge den nye digitale signatur, NemID.

»Det er vores opgave at få udbredt NemID til tredjeparts-virksomheder, så lige nu ringer vi ud for at indgå aftaler,« forklarer Jette Knudsen, kommunikationschef hos DanID.

Tiltaget bliver ifølge Jette Knudsen modtaget godt.

»Mange synes, at det er super interessant, at der kommer en enhedsløsning. Så har kunderne rutinen med at logge ind i forvejen, og virksomhederne slipper for selv at sende pin-koder ud med brev og stå for det hele selv,« siger hun.

Artiklen fortsætter efter annoncen

Lige nu tæller listen over firmaer, der har sagt ja tak, forsikringsselskaber, pensionskasser, en fagforening og Klasselotteriet. Nogle af dem bruger også allerede den nuværende digitale signatur og opgraderer altså bare til den nye løsning.

Og selvom login via digital signatur selvfølgeligt er mest oplagt for firmaer, der håndterer personlige oplysninger, er der ingen 'nedre' grænse for, hvem DanID mener kan have brug for sikker, personlig identifikation og autentificering.

Blandt andet er Version2 blevet ringet op og spurgt, om ikke det var oplagt at bruge NemID som login fremover.

»For nogle vil det måske være overkill, fordi man ikke har brug for så sikker en autentificering. Men jeg tror, at det også vil blive udbredt på debatfora, hvor det i dag er for let at blive oprettet. Det er et kommende marked, og på den lange bane kan det brede sig som en bølge,« siger Jette Knudsen.

Hvis Version2 valgte at tage imod tilbuddet, ville det betyde, at hver gang, en debattør ønskede at logge på, skulle han eller hun hive et papkort op af lommen for entydigt at identificere sig.

Webbutikker er et andet mål for salgsfremstødet.

»Som webbutik kan man få sikkerhed for, at kunderne er dem, de siger, de er. Det dæmmer op for misbrug, hvor nogle bliver spammet med ting, de ikke har bestilt,« siger kommunikationsdirektøren.

Da DanID er ejet af PBS, der igen er ejet af de danske banker, er det også nærliggende at tænke i en sammenkobling mellem NemID og betaling for varerne, hvor man logger på og derefter kan købe løs, uden at skulle indtaste sine kort-data. Men hvad planerne eventuelt er på dette område, kan DanID ikke sige noget om endnu.

NemID adskiller sig fra den nuværende digitale signatur ved at bruge engangskoder på et lille papkort som supplement til nøglefiler. Løsningen går i luften den 1. juli, og efterfølgende vil bankerne skifte til NemID for deres netbanker. Det skal give signaturen den gennemslagskraft, som forgængeren aldrig rigtig fik.

105 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
25. marts 2010 kl. 11:19

Hvorfor laver NemID ikke blot en OpenID-provider?

3
25. marts 2010 kl. 11:52

Hørt!

4
25. marts 2010 kl. 11:55

Når nu NemID ikke gør det, så burde man vel selv gøre det?

Mon ikke der, måske på sigt, kunne vise sig et marked for en betalingsservice som udbyder en OpenID-provider?

8
25. marts 2010 kl. 12:07

PÅ et tidspunk havde vi TDC som internet provider og derigennem en email adresse, pludselig nedlagde de vores email og slettede meget personlige email, trods mange henvendelser nægtede de at genetablere vores email og henviste til betingelser og jurister. Et andet senarie var da vores Bank slettes alle vores PBS aftaler og saagde at det ikke var deres ansvar og ikke ville hjælpe med at genetablere det og henviste til betingelser og jurister. Dette har lært mig aldrig at blande ting sammen, som ikke hører sammen. DanID er åbenbart ejet af bankerne ligesom PBS, de er til for bankerne. Og derfor vil jeg aldrig benytte et sådant system, hvad jeg køber og hvor jeg logger ind og hvile diskusions fora jeg deltager i er ikke information som jeg stiller til rådighed for min bank. Hvad havde de forestillet sig...!

7
25. marts 2010 kl. 12:07

Man kunne nemt lave en OpenID provider der uden videre understøtter alle brugere med digital signatur.

Problemet er bare at være troværdig nok til at folk tør stole på ens OpenID provider.

6
25. marts 2010 kl. 12:04

Firmaet bag den nye digitale signatur har nemlig sat gang i en større salgskampagne for at få alle mulige slags brugere til at bruge den nye digitale signatur, NemID.

Aldrig i livet om jeg skal have en 3. part til at kende den samme private nøgle som jeg bruger til bank og debat-sider.

De må have spist søm og skulle slås på maven med Bruce Schneiers samlede værker.

Vanvittige mennesker.

24
25. marts 2010 kl. 15:21

Aldrig i livet om jeg skal have en 3. part til at kende den samme private nøgle som jeg bruger til bank og debat-sider.

Enig, men det ville da være meget smart for DanID, hvis version2.dk gjorde upfront identifikation og overvågning med NemID til den eneste login mulighed på sitet. Så ville en stor del af kritikken af den digitale "signatur" forsvinde fra debatten helt af sig selv :-)

Jeg foretrækker min nuværende løsning, hvor jeg har forskellige passwords til ca 150-200 sites. PasswordSafe [1] hjælper mig med at huske dem. Klientside administration er vejen frem til øget sikkerhed, ikke en central server som logger på sites på vores vegne og opsamler en masse "nyttig" information om os.

[1] Et levn fra dengang jeg brugte Windoze, men det kører nu meget fint under Wine på Linux.

95
Indsendt af Anonym (ikke efterprøvet) den tir, 03/30/2010 - 19:53

Det fremgår af Børsen i dag at SKAT nu uden lovhjemmel vil tvinge borgerne over på NemId.

Der er intet legalt grundlag for NemId, så ingen offentlig service eller infrastruktu må være betinget af NemId.

Samtidig overholdt NemId ikke udbuddet, dvs. hele udbudsprocessen var ulovlig.

96
31. marts 2010 kl. 04:57

@Stephan Kan du uddybe det, eller kan du henvise mig til steder, hvor jeg kan læse mere om lovgrundlaget for NemId og om udbudsprocessen?

Nu skriver du ganske vist, at der ikke er noget legalt grundlag for NemId, med den kommer vel ikke af intet. Der må vel være et grundlag, eller i hvert fald en historie.

25
25. marts 2010 kl. 15:39

[quote]Aldrig i livet om jeg skal have en 3. part til at kende den samme private nøgle som jeg bruger til bank og debat-sider.

Enig, men det ville da være meget smart for DanID, hvis version2.dk gjorde upfront identifikation og overvågning med NemID til den eneste login mulighed på sitet. Så ville en stor del af kritikken af den digitale "signatur" forsvinde fra debatten helt af sig selv :-)

Jeg foretrækker min nuværende løsning, hvor jeg har forskellige passwords til ca 150-200 sites. PasswordSafe [1] hjælper mig med at huske dem. Klientside administration er vejen frem til øget sikkerhed, ikke en central server som logger på sites på vores vegne og opsamler en masse "nyttig" information om os.

[1] Et levn fra dengang jeg brugte Windoze, men det kører nu meget fint under Wine på Linux.[/quote]

Det er en god løsning (der findes linux alternativer), men den løser ikke problemet for fru olsen. Og det er trods alt den jævne computerbruger der er relevant i denne sammenhæng. Ikke superbrugeren.

14
25. marts 2010 kl. 14:16

Aldrig i livet om jeg skal have en 3. part til at kende den samme private nøgle som jeg bruger til bank og debat-sider.

Der arbejdes stærkt på at tvinge dig til det... medmindre du vil møde op i banken, skattevæsnet, kommunen etc. personligt.

De må have spist søm og skulle slås på maven med Bruce Schneiers samlede værker.

Hele problemet er vist at de aldrig har hørt om Bruce.

16
25. marts 2010 kl. 14:33

[qoute][qoute]Aldrig i livet om jeg skal have en 3. part til at kende den samme private nøgle som jeg bruger til bank og debat-sider.[/qoute]

Der arbejdes stærkt på at tvinge dig til det... medmindre du vil møde op i banken, skattevæsnet, kommunen etc. personligt.[/qoute]

Der vel ikke nogen der tvinger ham til at bruge den signatur på debat sider? Han kan vel lade være med at debatere ;-)

[qoute][qoute]De må have spist søm og skulle slås på maven med Bruce Schneiers samlede værker. [/qoute] Hele problemet er vist at de aldrig har hørt om Bruce.[/qoute]

Iøvrigt stoler man vel idag også på NetID når man laver en signatur. Ja jeg ved godt den ifølge dem bliver kreeret hos dig selv, men har i tjekket om den også rent faktisk gør det? Jeg forstår heller ikke hvorfor man er så glad for OpenID, men ikke vil stole på en nøgleudbyder som NetID? Det er vel præcis samme problematik.

20
25. marts 2010 kl. 15:04

Iøvrigt stoler man vel idag også på NetID når man laver en signatur. Ja jeg ved godt den ifølge dem bliver kreeret hos dig selv, men har i tjekket om den også rent faktisk gør det? Jeg forstår heller ikke hvorfor man er så glad for OpenID, men ikke vil stole på en nøgleudbyder som NetID? Det er vel præcis samme problematik.

Jeg stoler per. definition kun på mig selv, min computer og min hund, jeg har ikke OpenID, Digital Signatur og jeg får heller ikke NemID... og jeg her sendt mit Dankort retur da de fjernede ID kortet (og billedet) fra det.

22
25. marts 2010 kl. 15:18

Jeg stoler per. definition kun på mig selv, min computer og min hund, jeg har ikke OpenID, Digital Signatur og jeg får heller ikke NemID... og jeg her sendt mit Dankort retur da de fjernede ID kortet (og billedet) fra det.

Og du har droppet at have et sygesikringskort?

35
26. marts 2010 kl. 07:31

Og du har droppet at have et sygesikringskort?

Den luxus har man ikke, men jeg mener at der er seriøst sikkerhedsproblem med sysikringskortet da en person skal bare være af samme køn og tilnærmelsesvis samme alder som mig for at kunne misbruge mit sygesikringskort.

36
Indsendt af Anonym (ikke efterprøvet) den fre, 03/26/2010 - 08:50

Jeg vil ikke her gentage hvad der allerede er sagt andetsteds - og som staten så tydeligt ignorerer hvormed Staten selv underminerer selve Statens legitimitet til at udøve magt.

Individuel Suverænitet er en kritisk del af kritisk infrastruktur - det er forudsætningen for alt andet. Her sælger man det til magtmisbrug. Tanken ledes hen på kammerateri i kølvandet på sammenbrudet i den tidligere Sovjetstat førte til salg af samfundsressourcer langt under værdi. (SKAT ikke nævnt)

Der er efter min opfattelse kun en måde dette kan undgå at føre til kaos - den nye Vidensskabsminister erkender er der under den tidligere Videnskabsminister var grove fejl i udbudsprocessen og at NemId ikke levede op til udbudskravene fordi de ikke overholdt kravene som var gældende på udbudstidspunktet, dvs. at der var tale om en administrativ fejl.

Udbuddet bør gå om så der kan etableres en lovlig og trustworthy PKI CA som ikke blander sig i samfundstransaktioner.

Hvis dette ikke sker er det totale sammenbrud et faktum og vi taler efter min opfattelse om kriminelle handlinger på flere niveauer.

Der ligger efter min mening klart en sag for Ministeransvar og venter - på trods af at det fremgår åbenlyst at det er er embedsmandssystemet med Finansministeriet i spidsen og samtlige kontrolfunktioner i ryggen som har fejlet her, dvs. at det klart er embedsfolk som bør ståt til ansvar for samfundsskadelig virksomhed - men de har sikkert som sædvanligt fået andre (politikere og nederste ansatte i administrationen) til uvidende at påtage sig ansvar for deres handlinger.

Jeg vil blot påpege at når Staten svigter er Civil Ulydighed sidste udvej.

Den nemmeste måde at påvise systemet ulovlighed er ved at demonstrere dets ubruglighed.

Hvis man "mister" sit nøglekort og "aflures" sit password kan det sælges åp internettet og enhver kan gøre alt på dine vegne og dermed er der ingen som kan have tillid til systemet og tør tage det i brug.

En falsk flytteanmeldelse eller aktiekøb på dine vegne med tab og systemet er i forudsigeligt totalt kaos.

NemId bør aldrig tages i brug - der er INGEN samfundsgavnlig effekt. Og Hvis der var kunne den være opnået lovligt, sikkert og samfundsunderstøttende.

40
26. marts 2010 kl. 10:44

Udbuddet bør gå om så der kan etableres en lovlig og trustworthy PKI CA som ikke blander sig i samfundstransaktioner.

Hvad mener du her? At den nye PKI CA ikke skal kunne bruges til offentlige tjenester eller? Iøvrigt er en 100% software PKI CA ikke en løsning fordi brugernes PC'ere ikke er sikre. Vi kommer ikke udenom papir/aktivcard/token.

Hvordan ville en software løsning være mere sikker end one-time password løsning?

37
26. marts 2010 kl. 09:13

Der er efter min opfattelse kun en måde dette kan undgå at føre til kaos - den nye Vidensskabsminister erkender er der under den tidligere Videnskabsminister var grove fejl i udbudsprocessen og at NemId ikke levede op til udbudskravene fordi de ikke overholdt kravene som var gældende på udbudstidspunktet, dvs. at der var tale om en administrativ fejl.

Kunne man måske hjælpe en sådan beslutning på vej ved at få andre politikere til at stille spørgsmålstegn ved processen?

Og evt få adgang til den aftale der er lavet og så holde den op mod udbudet og reglerne fra dengang. Jeg er ret sikker på at opositionen ville mæske sig i mulighederne for at daske regeringen oven i hovedet med en sådan sag.

39
26. marts 2010 kl. 10:34

Jeg er ret sikker på at der er mulighed for agtindsigt, hvis du gerne vil det.

17
25. marts 2010 kl. 14:41

Jeg forstår heller ikke hvorfor man er så glad for OpenID, men ikke vil stole på en nøgleudbyder som NetID? Det er vel præcis samme problematik.

Jeps, ift. en løsning, hvor man selv sidder med sin private key, sådan som keypair ideen er designet til at virke, så er de lige ringe.

5
25. marts 2010 kl. 12:03

Når nu NemID ikke gør det, så burde man vel selv gøre det?</p>
<p>Mon ikke der, måske på sigt, kunne vise sig et marked for en betalingsservice som udbyder en OpenID-provider?

I Danmark går al elektronisk betaling gennem PBS som sætter kravene til hvordan det skal implementeres... og der er lovgivning på området som støtter den valgte danske løsning.

2
25. marts 2010 kl. 11:51

Fordi det ville være for nemt og billigt, så der er ingen mulighed for at spilde millioner på at lave en løsning der ikke virker!

Der er nogle problemer med OpenID, f.eks. følsomhed over for DNS spoofing hvis man ikke passer på, men de er til at overkomme.

Selvfølgelig burde man bruge en allerede kendt single-signon protokol som OpenID til sin single-signon løsning, samtidigt bør man også holde op med at kalde det for "digital signatur", for SSO har intet med en signatur at gøre.