De første 200.000 danskere er bedt om at migrere til MitID

Illustration: Nanna Skytte
Onsdag morgen er de første 200.000 danskere blevet kontaktet af deres pengeinstitut med henblik på at overgå fra Nemid til det nye Mitid.

Fra i dag vil de første Nemid-brugere begynde at flytte over i identifikationsløsningens efterfølger, MitID. Det siger partnerskabet bag MitID, Digitaliseringsstyrelsen og Finans Danmark, på et pressemøde onsdag morgen.

»Vi er rigtig stolte og ydmyge over i dag at kunne præsentere MitID,« siger Adam Lebech, der er vicedirektør i Digitaliseringsstyrelsen i sin indledende bemærkning på pressemødet. Den anden del af partnerskabet blev repræsenteret ved digitaliseringsdirektør i Finans Danmark, Michael Busk-Jepsen.

Adam Lebech uddyber ved at sige, at man er stolt af at kunne præsentere NemID’s erstatning, og ydmyg overfor de udfordringer man har haft med udviklingen.

»Nu tager vi endnu et skridt. Med MitID ruster vi os til fremtidens digitale udfordringer og muligheder,« siger han.

Læs også: MitID forsinket endnu en gang: Testperioden forlænges med flere måneder

Sikkerheden i højsædet

På pressemødet fortæller Adam Lebech, at den primære årsag til at man overgår til MitID, er at man vil højne sikkerheden.

Helt specifikt peger han på tre punkter, hvor man har højnet sikkerheden fra NemID til MitID. Det handler om det tekniske aspekt, identifikationsaspektet, og dokumentationsaspektet, som Version2 også tidligere har skrevet om.

Desuden bliver der med overgangen til MitID sagt farvel til papkortet. Fremover skal man bruge sin telefon eller en af de andre identifikationsmidler, der er en hardware-kodeviser eller en kodeoplæser.

Læs også: Derfor kræver MitID, at du scanner dit pas

Tre væsentlige forskelle for borgeren

For borgeren kommer der til at være tre væsentlige forskelle. Man vil ikke længere kunne bruge sit cpr-nummer som brugernavn, appen kommer ikke til at åbne automatisk som den nuværende NemID-nøgleapp gør, og papkortet udgår, som skrevet ovenfor.

Digitaliseringsstyrelsen og Finans Danmark opfordrer til at man venter med at overgå til MitID, til man bliver kontaktet af sit pengeinstitut, således at supportafdelingerne ikke risikerer at blive overbelastede.

Til trods for en forsinkelse på ni måneder grundet coronapandemien, så regner partnerskabet fortsat med at NemID vil blive endegyldigt udfaset 30. juni 2022.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Uffe Kousgaard

Jeg har installeret MitID uden nogen problemer her til morgen. Det foregik med verifikation via en SMS (en kode), e-mail (endnu en kode) og endelig NemID.

Relativt ukompliceret.

  • 8
  • 0
#4 Kasper Olsen

scanning af pas / validering af din identitet er noget der skal ske inden du begynder at migrere til MitID. Hvis ikke du har mulighed for at scanne dit pas så må du vente med at komme på MitID til foråret hvor du skal forbi Borgerservice fysisk.

  • 6
  • 0
#7 Martin Pedersen

Det undrer mig at man med MitID skal nøjes med et bruger-id til at logge ind med, og ikke som før både bruger-id og adgangskode. Det er da en væsentlig forringelse af sikkerheden så vidt jeg kan se. De skriver dog på mitid.dk hvordan der vælges et sikkert bruger-id, og at det skal holdes hemmeligt. Men når man så eksempelvis logger ind via nemlog-in, så er bruger-id feltet et normalt tekstfelt, så alle kan se hvad man skriver i det. Der er noget der ikke helt hænger sammen her.

  • 26
  • 2
#9 Christian Nobel

Vil man blive ved med at postulere at MitID også er en digital signatur?

Og er man selv 100% herre over nøglen (så man vitterlig kan tale om MITid), eller skal man stadig lige en tur ind over Nets' HSM?

  • 21
  • 2
#12 Troels Müller

pin koden er så vidt jeg kan se KUN til at åbne appen.

Så for at bruge MITID er rækkefølgen:

  1. Gå ind på side der bruger MITID
  2. Indtast dit brugernavn
  3. Åben din app (eller anden device du har købt)
  4. Indtast pin (eller fingeraftryk/faceid)
  5. Tryk godkend
  6. Retur til siden og du er logget på/godkendt

Dette er modsat NEMID der kræver et brugernavn/cpr + en kode og så en godkendelse i app/kodeviser/papoprt

  • 5
  • 0
#14 Michael Cederberg

Vil man blive ved med at postulere at MitID også er en digital signatur?

Og er man selv 100% herre over nøglen (så man vitterlig kan tale om MITid), eller skal man stadig lige en tur ind over Nets' HSM?

Ingen har sagt at den almindelige version af NemID eller MitID er digitale signature i kryptografisk forstand. Det har vi ikke haft siden TDC's oprindelige version. Det ændrer ikke ved at man godt kan skriver under med både NemID eller MitID ... det er bare en løsning hvor man stoler på det website man er logget ind på registrerer ens underskift korrekt og ikke snyder på vægten. Det er således en tillidbaseret digital signatur og ikke en cryptografisk sikker digital signatur.

Når vi endte der var det netop fordi TDC's oprindelige løsning viste sig at have problemer (https://www.version2.dk/artikel/skarp-kritik-af-dansk-netbank-sikkerhed-...). Hackere fik adgang til folks computere og kopierede nøglefiler til digital signatur. Et andet problem med den gamle løsning var at den ikke virkede på alle devices.

Problemet er grundlæggende at hvis man vil have en kryptografisk sikker digital signatur, så skal man have et sikkert sted at gemme nøgler og en sikker device at skrive under på. Det betyder i praksis at alle HTML baserede løsninger er ude. Det betyder også at man skal udvikle og supportere software på en myriade af devices.

Det skægge er at der mig bekendt ikke findes en eneste sag med NemID hvor der har været tvivl om hvorvidt brugerens credentials rent faktisk blev brugt. Der har heller ikke været en eneste sag om hvorvidt registreringen af brugerens "underskrift" har været forket. I stedet har vi haft en række sager hvor folk har afleveret deres credentials til andre på den ene eller anden måde. Det er ikke svært at forestille sig at folk også vil overdrage deres nøgler hvis de bliver bedt om det.

Det nye MitID synes godt på vej. Jeg er ikke glad for at man både authentikerer på sin telefon og logger ind samme sted. Det giver mulighed for at hacke telefonen og rende afsted med både nøgler og pincode. Jeg så gerne en dedikeret bluetooth hardware dims med en skærm hvor det jeg approver dukker op. På den måde ved jeg præcist hvad jeg approver og risikoen for hacks er lille. Jeg ser ingen grund til at MitID ikke kan udvides i den retning.

  • 18
  • 0
#16 Martin Pedersen

Lige for at svare på mig egen tidligere kommentar, så er jeg faldet over følgende MitID whitepaper: https://digst.dk/media/24710/om-mitid-baggrund-whitepaper_webtilgaengeli...

Deri er nogle gode beskrivelser af tankerne bag manglende adgangskode og app notifikationer på side 11 og 12, hvis nogen er interesseret.

Jeg ved endnu ikke om jeg selv er enig i det, men det lyder meget fornuftigt.

  • 7
  • 0
#17 Klavs Klavsen

Lad nu være MitID / digitaliseringsstyrelsen og LÆS loven..

"Du skal give brugerne besked om, hvad du og eventuelle tredjeparter bruger cookies til på din hjemmeside, og få deres samtykke hertil, med mindre der alene anvendes cookies til rent teknisk nødvendige formål."

Så når i bare prompter for "Accepter nødvendige cookies" - så skal i bare lade HELT VÆRE med at spørge/genere besøgende.

https://erhvervsstyrelsen.dk/vejledning-cookiebekendtgoerelse

  • 12
  • 0
#19 Gert Madsen
  • 5
  • 1
#20 Jørgen L. Sørensen

Det giver mulighed for at hacke telefonen og rende afsted med både nøgler og pincode. Jeg så gerne en dedikeret bluetooth hardware dims med en skærm hvor det jeg approver dukker op.

Derfor kan jeg godt lide den nuværende løsning med papkort med nøgler/koder --- så skal banditterne fysisk have fat i mit muldvarpeskind for at kunne logge ind, eller have adgang til en boks med reservekortet.

  • 6
  • 1
#21 Klavs Klavsen

Og NETOP af samme årsag foretrækker mange FIDU2 - og så hvis vi kunne få Fidu2 device med vores EGEN private nøgle - så er muligheden for at nogen kan stjæle den (via remote adgang til vores computer) = 0,- - hvis de bibeholder TDCs model - hvor man SELV udstedte sin private nøgle (hvilket var fantastisk).

Der skal det dog siges at en FIDU2 (gpg) baseret nøgle som f.ex. Yubikey SKAL være opsat korrekt (dvs. med touch enabled) - så det taler for at de nok bør lave en key selv - til "almindelige borgere" - hvor de udsteder nøglen på en airgap'ed maskine (kan de gøre fordi de ikke skal bruge den private nøgle i normal brug - som de skal med HSM) og dermed kan man have noget højere tillid til at de opbevarer den private nøgle for dem der ønsker det.

  • 1
  • 0
#22 Jacob Nielsen

Om du skal scanne pas afhænger af, hvilken måde du i sin tid fik dit NemID, og hvilke legitimationsoplysninger der blev registreret om dig dengang. Dvs. nogle brugere kan med NemID oprette MitID, uden at blive bedt om at scanne NFC chip i pas. Andre brugere vil blive kontaktet af deres bank - og MitID flowet vil kræve - at der er behov for scanning af NFC chip i pas. For dem er alternativet at afvente, og på et senere tidspunkt få NemID via personligt fremmøde og legitimering hos Borgerservice.

Dette svar er baseret på min dialog med NemID og MitID support funktioner. Det viste sig, at jeg selv var i kategorien, hvor jeg kunne oprette MitID uden at scanne NFC chip i pas.

  • 0
  • 0
#26 Michael Hansen

Og hvad er så den - dårlige - undskyldning, som man nu har fundet på, der skulle retfærdiggøre at det skulle være nødvendigt, at erodere folks privatliv bare LIDT mere, og "tvinge" dem til at udlevere deres private nummer og mail (og endda i nogle tilfælde, "tvinge" folk til at oprette/købe et nummer og mail først), for at benytte noget så banalt som MitID?

Tror hvertfald en af dem er frivillig, der er en spring over knap nederst, opgav kun mobil nummer siden de har det alligevel, ikke email.

Skulle ikke bruge pas heller / har navne/adresse beskyttelse.

Men er heller ikke imponeret over designet, eller den måde det nu virker på.

  • 4
  • 0
#28 Morten Borg

Jeg har frivilligt migreret for at prøve det.

Nogle gange når man logger ind i Jyske Netbank med NemID kommer der en teknisk fejl - og så må man lige prøve igen. Sådan har det været længe nu.

Sammen fejl sker også med Mit ID desværre.

Men når fejlen sker bare én gang og man prøver at logge ind igen med Mit ID, så bliver man spærret i 60 minutter af Mit ID systemet.

Godt man har sin mobilbank også...

Derudover kommer der ingen notifikationer på min iPhone når der skal godkendes, man skal hele tiden ind i app'en.

Så... gider man ikke bøvl, så vent!

  • 6
  • 2
#29 Ole Andersen

Når vi endte der var det netop fordi TDC's oprindelige løsning viste sig at have problemer (https://www.version2.dk/artikel/skarp-kritik-af-dansk-netbank-sikkerhed-...). Hackere fik adgang til folks computere og kopierede nøglefiler til digital signatur. Et andet problem med den gamle løsning var at den ikke virkede på alle devices.

Jeg kan desværre ikke finde tal på hvor mange der blev bestjålet pga. dette problem.

Men jeg husker, at jeg dengang tænkte at det var ret få tilfælde, på et endnu ikke modnet system.

Og at det var et bemærkelsesværdigt eksempel på; "Se nu dér. Der var nogen der kom til skade fordi vi gav dem en selvstændighed som de ikke kunnne administrere. That's why you can't have nice things..! Så nu tager vi den og udstyrer jer istedet med støttehjul og kosteskaft, så vi hele tiden har en hånd på styret så i ikke kommer til skade..."

Jeg ser ingen grund til at man ikke kan give folk valget, selv at håndtere deres digitale identitet eller lade den overdrage til et konsortie. Eller rettere.... det kan jeg godt se grunde til, de er bare ikke i ret manges grundlæggende interesse. Sikkert samme årsag som vi er klinisk renset for valgmuligheder og selvbestemmelse, når det handler om omgang med vore persondata i øvrigt.

  • 10
  • 0
#30 Michael Hansen

Derudover kommer der ingen notifikationer på min iPhone når der skal godkendes, man skal hele tiden ind i app'en.

Er det netop ikke et design valg de har taget?, så det kan du komme til at vente længe på.

"Brugerne modtager ikke notifikation til at åbne MitID app

Med MitID modtager brugerne ikke længere en notifikation på deres mobile enheder, hvorigennem de kan åbne MitID appen automatisk. Når en bruger har indtastet sit bruger-ID og skal godkende MitID autentifikationen, skal han eller hun selv gå ind i MitID appen og åbne denne. På den måde styrkes sikkerheden ved at mindske risikoen for, at brugere ikke uforvarende kommer til at godkende en handling med MitID, som de ikke selv har starte"

  • 2
  • 0
#34 Martin Høyer

Hvor sikker er iPhone/ Android fingeraftryk? Når det nu er det eneste, som står mellem en godkendelse og en ondsindet bruger. For konsekvenserne er pænt store, når man tænker på, hvad man kan i det digitale Danmark. Jeg undlader helt tanken om, at et brugernavn er sikkerhed, når f.eks. support har adgang. Security by obscurity er ikke en valid sikkerhedsmetode.

  • 1
  • 0
#36 Kenneth Andersen

Jeg har installeret MitID uden nogen problemer her til morgen. Det foregik med verifikation via en SMS (en kode), e-mail (endnu en kode) og endelig NemID.

Relativt ukompliceret.

Okay. Hvordan kom du igang med den proces? Skal man ind på en bestemt netside, for at kunne benytte denne model?

Systemet har nemlig udelukket mig. Min Android fortæller mig, at jeg pænt må vente, indtil jeg bliver kontaktet. For selvom jeg har modtaget flere dokumenter i min e-boks om, at jeg skulle se at komme igang med konverteringen, så tillader det uduelige system mig ikke at gøre det.

1: Man skal have mulighed for at benytte en NFC-chip i verifikations-processen. Og det kan man vel ikke forvente, at alle brugere har.

2: Jeg har naturligvis rootet min telefon i det håb, at jeg kunne installere en Custom ROM, hvormed jeg ville være mere fri for overvågning og andet. Det opdager konverterings-processen, selvom jeg har forsøgt at skjule mit root via Magisk (hvilket virker overfor nogle andre apps). Så opgraderings-processen stopper under konverteringen, når mit root opdages.

Her du en anden mere gavnlig opgraderings-proces?

Eller måske skal jeg blot genskabe hele skidtet fra fabriks-udgivelsen her i næste uge (ferie), så jeg dermed også kan opgradere til sidste nyeste Android-version (det tillader det korrupte system mig nemlig heller ikke at gøre som en opgradering).

  • 2
  • 0
#41 Michael Cederberg

Og at det var et bemærkelsesværdigt eksempel på; "Se nu dér. Der var nogen der kom til skade fordi vi gav dem en selvstændighed som de ikke kunnne administrere. That's why you can't have nice things..! Så nu tager vi den og udstyrer jer istedet med støttehjul og kosteskaft, så vi hele tiden har en hånd på styret så i ikke kommer til skade..."

Hele showet med MitID er lavet sådan at hele befolkningen skal kunne bruge det. Historien viste at de fleste danskere ikke kunne finde ud af at håndtere en løsning med egne nøgler, at det ikke virkede på flere devices og at det gjorde det meget interessant at hacke folks computere sådan at man kunne få fat i deres nøgler. Men der er intet der hindrer dig i at lave din eget digitale signatur. Du skal bare ikke forvente at staten interesserer sig for den.

Men selv med de digitale nøgler kunne staten vælger at ignorere digitale signaturer. Hvis staten mente at nogen havde stjålet dine nøgler eller hvis den mente at du var blevet truet til at underskrive overdragelsen af din strandvejsvilla til kriminelle så kan den vælge at se bort fra en digital signature. Med andre ord: signaturen er ikke specielt meget værd i sig selv. Det er kun med cryptocurrencies at vi er nået til at den digitale signatur (blockchain) er det eneste gyldige.

Jeg ser ingen grund til at man ikke kan give folk valget, selv at håndtere deres digitale identitet eller lade den overdrage til et konsortie. Eller rettere.... det kan jeg godt se grunde til, de er bare ikke i ret manges grundlæggende interesse. Sikkert samme årsag som vi er klinisk renset for valgmuligheder og selvbestemmelse, når det handler om omgang med vore persondata i øvrigt.

Jeg har intet problem med at lave en federeret infrastruktur for authentication. Jeg mener også at MitID åbner for det. Der hvor problemet opstår er når Hr. Ole Andersen ønsker at holde sine egne nøgler og bruge dem til authentication. For hvis det skal give nogen mening så skal du have software på din egen computer der kan interacte med det website du tilgår. Det er således ikke bare en browser løsning længere og derfor også noget der kræver en hel del mere af alle de websites der skal give dig adgang til information og/eller registrere din underskrift.

At forestille sig at staten skulle komplicere adgang til alle dens myriader af websites for at tilgodese 1000 nørder vil ikke være fornuftig brug af skatteborgernes penge. Specielt ikke set i lyset af at det i sidste ende er staten (her domstolene) som er arbitrator hvis der er tvivl om din underskrift.

I sidste ende er det staten der bestemmer din identitet i forhold til staten. Hvis den kommer til at give to personer samme CPR nummer, så er I begge samme person overfor staten indtil staten får fikset sit problem. Hvis staten mener du ikke er borger i Danmark så er du det ikke uanset hvor mange blockchains, digitale signaturer, underskrevne papirer, etc. du kan fremvise.

Heldigvis er den danske stat ganske fornuftig. Men der er bunker af stater rundt om på jorden der ikke anerkender at nogle af de personer der bor i deres land som statsborgere og hvor intet andet land gør det samme. Det gør dem statsløse.

  • 3
  • 0
Log ind eller Opret konto for at kommentere