Derfor skal du vente en time på godkendelse i NemID-app

Illustration: Version2
Det tager en time, og papkortet skal bruges to gange, før nøglekort-appen kan bruges.

Når nøglekort-appen til NemID skal aktiveres første gang, tager det en time, og papkortet skal bruges to gange. Det kan virke besværligt, men som med så meget andet er der en forklaring.

Appen blev lanceret tidligere i år og gør det muligt at validere NemID-login via mobiltelefonen i stedet for papkortet.

Når appen registreres første gang, skal brugeren bruge papkortet til login. Så skal der gå en time, før brugeren igen skal validere sig via NemID og papkort. Og endelig fungerer appen som alternativ til papkortet.

»Man skal vente en time, fra man registrerer sig første gang, til man gør det anden gang. Og det er jo blandt andet for at reducere muligheden for phishing og man-in-the-middle-angreb,« siger vicedirektør i Digitaliseringsstyrelsen Adam Lebech om registreringen i forhold til NemID-appen.

Demonstration

For at forstå, hvordan det nærmere hænger sammen, giver det mening at tage afsæt i en historie om NemID-angreb, som Version2 bragte forleden.

Her havde udvikler Søren Louv-Jansen lavet en demonstration af et NemID-angreb, der udnytter, at det som udgangspunkt er umuligt for en gængs bruger at gennemskue, hvorvidt en NemID-boks på en hjemmeside er legitim eller et forsøg på svindel.

På den måde kan en bruger narres til at afgive NemID-oplysninger til en angriber, som så kan bruge oplysningerne til at logge ind som brugeren i netbanken, på borger.dk eller andre steder.

Læs også: Udvikler demonstrerer elegant og automatiseret NemID-angreb

Hvis appen umiddelbart kunne registreres ved, at en bruger bare brugte nøglekortet en enkelt gang, så kunne en angriber som i Søren Louv-Jansens eksempel få en bruger til at taste oplysninger i en falsk login-boks og derefter registrere appen på brugerens vegne.

Og så ville angriberen – der jo nu har fuld kontrol over både brugernavn, kodeord og app – kunne validere sig som brugeren i et hav af sammenhænge uden yderligere interaktion fra offeret.

Brugervenlighed vs. sikkerhed

I princippet kan brugeren med den nuværende løsning stadig narres til igen at afgive NemID-oplysninger til angriberen efter en time, men det komplicerer unægteligt angrebet.

»Her har vurderingen været, at det øger sikkerheden markant i forhold til den type angreb. Det er et eksempel på noget, man kan (ift. phishing, red.),« siger Adam Lebech og tilføjer:

»Det besværliggør det jo også en lille smule at få registreret nøgle-appen. Sådan er det med den udfordring, der er. Det kan reducere brugervenligheden, hvis man indfører meget stærk sikkerhed.«

Med NemID-appen er det muligt at se den kontekst, som brugeren er ved at logge ind i. Illustration: Version2

Han nævner som eksempel, at det givetvis også ville styrke sikkerheden yderligere, hvis brugere skulle møde personligt op, hver gang de skulle have udstedt et nyt nøglekort. Det er som bekendt ikke nødvendigt.

»Men det ville nok også være meget besværliggørende for de fleste borgere. Det er en balancegang, og det er noget, vi tænker meget grundigt over.«

App kan give mere sikkerhed

Digitaliseringsstyrelsen oplyser, at nøgle-appen indtil videre er hentet 780.000 gange. Som Version2 tidligere har fortalt, så giver appen potentielt også mere sikkerhed end papkortet i forhold til den type angreb, som Søren Louv-Jansen har demonstreret.

Når brugeren anvender appen, fremgår login-konteksten nemlig også på mobiltelefonen. Så hvis en bruger tror, at hun eller han er ved at logge ind på et gambling-site, men appen viser borger.dk, ja, så kan det tyde på, noget er helt galt.

Læs også: Digitaliseringsstyrelsen efter udvikler-angreb: Ja, NemID er sårbar over for phishing

Ved login hos flere offentlige hjemmesider står der dog foreløbig bare NemLog-in som kontekst i appen – altså ikke videre sigende.

Digitaliseringsstyrelsen har oplyst, at der bliver arbejdet på at konkretisere login-sammenhængen hos flere offentlige tjenester, end det er tilfældet i dag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jacob Bang

Det virker som en meget fin løsning. Jeg undre mig dog over at eftersom Nemid kender både mit telefonnummer og mail-adresse, hvorfor sender de så ikke information til alle mine kontaktflader så snart nogen forsøger at aktivere app'en på en telefon?

Jeg troede faktisk at en af årsagerne til det skulle tage en time var fordi man så evt. kunne nå at reagere hvis nogen forsøgte at crack sig ind på ens nemid via denne vej (er klar over man så kunne gøre det om natten men du ville så stadig være informeret når du vågner at der er sket et sikkerhedsbrud).

Som det er lige nu så skal du logge ind på nemid.nu for at få oplyst om der er tilmeldt en nøgleapp til din konto og jeg vil næppe tro alm. danskere logger jævnligt herind... :)

Henrik Madsen

Ok, så det er for at man ikke kan logge een kode ud af folk og så få adgang.

Men hvis hackeren / MitM'eren kan få fat i een papkode så kan vedkommende vel bruge denne til at ændre min adresse til en fiktiv adresse hvor banditten så har hængt en postkasse op.

Når adressen er ændret så bestilles et nyt nøglekort fordi det gamle er blevet væk og det leveres så til "min" nye adresse.

14 dage senere når PostDanmark har fået sig snøvlet sammen til at aflevere brevet med det nye nøglekort så kan banditten jo overtage mit liv og endda selv aktivere appen på sin egen telefon med 2 koder fra "mit nye" papkort.

Hvis det kræver en kode mere at bestille et nyt kort, så venter jeg blot til brugeren selv har brugt tilstrækkeligt med koder til at det trigger en kortudsendelse.

Log ind eller Opret konto for at kommentere