Version2's historie om passwords til NemID, som ikke skelner mellem store og små bogstaver, førte til en ny diskussion blandt V2-læserne: Når en NemID-konto bliver låst efter fem forkerte forsøg, må det da være nemt at låse andre folks NemID?
Og svaret fra DanID er ja - hvis man kender enten folks CPR-nummer, deres NemID-nummer eller deres selvvalgte brugernavn. Til gengæld er det ikke noget stort besvær at få låst en konto op igen, lyder det fra DanID.
**Læs også: **DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn
I første omgang vil kontoen være låst i otte timer og er derefter klar igen. Men bliver der igen brugt fem forkerte forsøg på at logge ind, kræver det en ny, midlertidig adgangskode. Har man tilknyttet et mobiltelefonnummer til sin NemID, kan man få adgangskoden med det samme. Ellers kan man gå ned i banken og få en, eller hvis det ikke haster, få en pr. brev.
»Spørgsmålet er, om det er et stort problem. Er der mange, der både kender hinandens CPR-nummer og vil chikanere hinanden? Jeg kender ikke min chefs CPR-nummer, hvis jeg for eksempel ville chikanere ham,« siger Jette Knudsen, kommunikationschef hos DanID.
Bøvlet, men ikke kritisk
Firmaet bag NemID har ikke oplevet problemer i den retning i den nye digitale signaturs første måned, så foreløbigt er diskussionen rent teoretisk.
»Derfor kan vi ikke sige, om det er et problem. Det vil være bøvlet med den slags chikane, men det er ikke identitetstyveri. Der er ingen, som kommer ind og kan bruge andres NemID,« siger hun.
Fra september kommer en ny funktion, der kan dæmme op for eventuel chikane. Her kan folk nemlig vælge, at CPR-nummeret ikke skal kunne bruges i stedet for brugernavn. Er det ens NemID-nummer eller selvvalgte bruger-ID, der er havnet i forkerte hænder, vil der dog ikke være en stopknap for chikane.
»Det vil være nærtstående personer, der kender dit CPR-nummer eller brugernavn. Så chikanen vil formentlig kun kunne ske inden for små cirkler,« vurderer Jette Knudsen.
**Vil forhindre denial-of-service-angreb **
Et andet scenarie, hvor for eksempel hackere fra udlandet forsøger at logge ind på millioner af NemID-konti, og dermed får dem spærret efter fem forsøg, er der også taget forholdsregler imod. Men dem kan DanID ikke løfte sløret for.
»DanID har mekanismer, der skal forhindre denial-of-service-angreb. Af sikkerhedsmæssige grunde vil vi ikke fortælle, hvordan vi overvåger og imødegår denne type angreb. Og det er ikke et område, vi kan give nogle garantier på,« siger kommunikationschefen.
Sker den slags angreb, vil det rent juridisk heller ikke være i afdelingen drengestreger eller chikane, understreger hun.
»Det ville være kriminalitet i det helt store gear, som politiet ville efterforske og forsøge at få nogen straffet for. Sådan et angreb ville være en stor sag, som hvis man forsøgte at bryde ind i CPR-registret,« siger Jette Knudsen.