Derfor skal du vente en time på godkendelse i NemID-app

10. september 2018 kl. 05:117
Derfor skal du vente en time på godkendelse i NemID-app
Illustration: Version2.
Det tager en time, og papkortet skal bruges to gange, før nøglekort-appen kan bruges.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når nøglekort-appen til NemID skal aktiveres første gang, tager det en time, og papkortet skal bruges to gange. Det kan virke besværligt, men som med så meget andet er der en forklaring.

Appen blev lanceret tidligere i år og gør det muligt at validere NemID-login via mobiltelefonen i stedet for papkortet.

Når appen registreres første gang, skal brugeren bruge papkortet til login. Så skal der gå en time, før brugeren igen skal validere sig via NemID og papkort. Og endelig fungerer appen som alternativ til papkortet.

»Man skal vente en time, fra man registrerer sig første gang, til man gør det anden gang. Og det er jo blandt andet for at reducere muligheden for phishing og man-in-the-middle-angreb,« siger vicedirektør i Digitaliseringsstyrelsen Adam Lebech om registreringen i forhold til NemID-appen.

Demonstration

For at forstå, hvordan det nærmere hænger sammen, giver det mening at tage afsæt i en historie om NemID-angreb, som Version2 bragte forleden.

Artiklen fortsætter efter annoncen

Her havde udvikler Søren Louv-Jansen lavet en demonstration af et NemID-angreb, der udnytter, at det som udgangspunkt er umuligt for en gængs bruger at gennemskue, hvorvidt en NemID-boks på en hjemmeside er legitim eller et forsøg på svindel.

På den måde kan en bruger narres til at afgive NemID-oplysninger til en angriber, som så kan bruge oplysningerne til at logge ind som brugeren i netbanken, på borger.dk eller andre steder.

Hvis appen umiddelbart kunne registreres ved, at en bruger bare brugte nøglekortet en enkelt gang, så kunne en angriber som i Søren Louv-Jansens eksempel få en bruger til at taste oplysninger i en falsk login-boks og derefter registrere appen på brugerens vegne.

Og så ville angriberen – der jo nu har fuld kontrol over både brugernavn, kodeord og app – kunne validere sig som brugeren i et hav af sammenhænge uden yderligere interaktion fra offeret.

Brugervenlighed vs. sikkerhed

I princippet kan brugeren med den nuværende løsning stadig narres til igen at afgive NemID-oplysninger til angriberen efter en time, men det komplicerer unægteligt angrebet.

»Her har vurderingen været, at det øger sikkerheden markant i forhold til den type angreb. Det er et eksempel på noget, man kan (ift. phishing, red.),« siger Adam Lebech og tilføjer:

»Det besværliggør det jo også en lille smule at få registreret nøgle-appen. Sådan er det med den udfordring, der er. Det kan reducere brugervenligheden, hvis man indfører meget stærk sikkerhed.«

Med NemID-appen er det muligt at se den kontekst, som brugeren er ved at logge ind i.

Han nævner som eksempel, at det givetvis også ville styrke sikkerheden yderligere, hvis brugere skulle møde personligt op, hver gang de skulle have udstedt et nyt nøglekort. Det er som bekendt ikke nødvendigt.

»Men det ville nok også være meget besværliggørende for de fleste borgere. Det er en balancegang, og det er noget, vi tænker meget grundigt over.«

App kan give mere sikkerhed

Digitaliseringsstyrelsen oplyser, at nøgle-appen indtil videre er hentet 780.000 gange. Som Version2 tidligere har fortalt, så giver appen potentielt også mere sikkerhed end papkortet i forhold til den type angreb, som Søren Louv-Jansen har demonstreret.

Når brugeren anvender appen, fremgår login-konteksten nemlig også på mobiltelefonen. Så hvis en bruger tror, at hun eller han er ved at logge ind på et gambling-site, men appen viser borger.dk, ja, så kan det tyde på, noget er helt galt.

Ved login hos flere offentlige hjemmesider står der dog foreløbig bare NemLog-in som kontekst i appen – altså ikke videre sigende.

Digitaliseringsstyrelsen har oplyst, at der bliver arbejdet på at konkretisere login-sammenhængen hos flere offentlige tjenester, end det er tilfældet i dag.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
11. september 2018 kl. 10:08

Ok, så det er for at man ikke kan logge een kode ud af folk og så få adgang.

Men hvis hackeren / MitM'eren kan få fat i een papkode så kan vedkommende vel bruge denne til at ændre min adresse til en fiktiv adresse hvor banditten så har hængt en postkasse op.

Når adressen er ændret så bestilles et nyt nøglekort fordi det gamle er blevet væk og det leveres så til "min" nye adresse.

14 dage senere når PostDanmark har fået sig snøvlet sammen til at aflevere brevet med det nye nøglekort så kan banditten jo overtage mit liv og endda selv aktivere appen på sin egen telefon med 2 koder fra "mit nye" papkort.

Hvis det kræver en kode mere at bestille et nyt kort, så venter jeg blot til brugeren selv har brugt tilstrækkeligt med koder til at det trigger en kortudsendelse.

6
10. september 2018 kl. 16:26

Det virker som en meget fin løsning. Jeg undre mig dog over at eftersom Nemid kender både mit telefonnummer og mail-adresse, hvorfor sender de så ikke information til alle mine kontaktflader så snart nogen forsøger at aktivere app'en på en telefon?

Jeg troede faktisk at en af årsagerne til det skulle tage en time var fordi man så evt. kunne nå at reagere hvis nogen forsøgte at crack sig ind på ens nemid via denne vej (er klar over man så kunne gøre det om natten men du ville så stadig være informeret når du vågner at der er sket et sikkerhedsbrud).

Som det er lige nu så skal du logge ind på nemid.nu for at få oplyst om der er tilmeldt en nøgleapp til din konto og jeg vil næppe tro alm. danskere logger jævnligt herind... :)

4
10. september 2018 kl. 12:53

Hvis man bruger Magisk, så kan man vælger at telefonen skal lade som om den ikke er rootet overfor visse apps.

3
10. september 2018 kl. 11:02

True That

2
10. september 2018 kl. 10:35

..Så mangler vi bare at man kan bruge app'en på en jailbroken/root'ed telefon.

..Forstår ikke hvorfor man lukker helt ned - jailbreaking/rooting er jo ganske lovlig brug af egen enhed.

1
10. september 2018 kl. 08:17

Den times venten er godt givet ud for livet er mangefold mere enkelt med den nye app.