NemID 2.0: Digitaliseringsboss holder døren på klem til NemID-nøglekort

Jeg føler lidt jeg den eneste der er yderst tilfreds med papkortet?

Han åbner dog også for, at fingeraftrykket kan blive det eneste, man skal afgive for at få adgang gennem NemID. I så fald skal sikkerheden omkring teknologien dog forbedres.

Biometri er for mig at se ikke en løsning, da det istedet for vi alle skal rende rundt med et papkort, skal rende rundt med et device der kan scanne vores fingeraftryk (Som er nemt at forfalske) eller scanne vores iris som også kan snydes, endda mere simpelt end fingeraftryk scammere: iris-biometric-security-bypass - og når det først går galt, kan hverken fingreaftryk eller iris skiftes, ergo er man udelukket fra det offentlige IT og benytte netbank resten af ens liv.

Det kan også være, at man vil sende en sms-besked

Og vi vil herefter se en stigning i malware rettet mod mobiltelefoner, som også lige vil lytte med på de SMS beskeder du modtager, så de kan få lov at logge direkte ind på din Netbank og tømme kontoen.

"De teknologiforskrækkede" ??? Hvad med de privacy-ønskende, eller de sikkerhedsmindede?

Jeg skal ikke have hængt noget så centralt på biometriske data. De er alt for nemme at forfalske og man kan ikke skifte dem ud.

Det gode ved et papkort er, at det ikke har nogen forbindelse til de enheder jeg skal bruge koderne på. Man kan ikke kontakte et papkort via internettet og aflurer nogen en kode, skal den kun bruges den ene gang.

Hvis papkortet ikke er smart nok, må man have en dims ved siden ad, med et display som kan vise koder.

Det gode ved et papkort er, at det ikke har nogen forbindelse til de enheder jeg skal bruge koderne på.

Ja, det er deprimerende at digitaliseringsstyrelsen ikke har gennemskuet den del. Der er meget galt med NemID som det er i dag, men papkortet er en del der faktisk er helt som den skal være. Revokerbar og analog.

Taget i betragtning at der er noget der ligner 5 mio (mere eller mindre frivillige) brugere, er der rigelig volumen til at designe noget fornuftig "Something you have" hardware til priser der er råd til.

Hvis man gør det rigtigt, åbner man for en masse nye anvendelser der ikke er afhængige af centrale systemer, fra elektroniske dørlåse til krypteret email der faktisk kan bruges til noget.

Men det lader desværre til at det primære og centrale designkrav stadig er at private aktører skal kunne tjene styrtende med penge på skatteydernes bekostning og belemring :-(

Hvis papkortet ikke er smart nok, må man have en dims ved siden ad, med et display som kan vise koder.

Nuværende kodeviser virker nu ganske godt, selvom den ikke holder så længe som de lover... Lidt mere bekvent end "hele tiden" at løbe tør for koder på et papkort.

Men tilbyd gerne flere alternative muligheder hvor papkortet nemt stadig kan være backup'en. SMS løsninger er ikke altid velegnede når man er i udlandet eller bare udfordret på mobildækning eller strøm. Jeg er også helst fri for at skulle have knyttet biometri på den slags vigtige ting ...

• Papkort
• Nummerviser
• SMS kode

I lighed med Googles Authenticator. Så kan man vælge den eller et papkort. Det er for mig smartere end en sms for de, som hyppigt skifter sim kort.

Problemet med en app er, at den ligger på en telefon som har forbindelse til Internettet og som du installere en masse andre apps på. Dermed er det alt for let for en angriber at opnå adgang.

Til Google, Facebook mfl. bruger jeg selv sådan en app og det virker godt. Men med NemID kan an angriber tømme min bankkonto, sælge mit hus, skifte mit navn etc. Den slags bør være svært at angribe, og her er noget der ikke har kontakt med et andet netværk det eneste der dur.

Hvorfor går al diskussion på papkortet - man kan sige hvad man vil om papkortet, men løsningen er trods alt rimelig lavpraktisk.

Men det er slet ikke det centrale spørgsmål i debatten, men den grundliggende fejl at borgeren ikke selv har kontrol over egen nøgle.

Så debatten bør gå på:

Vil den kommende version af NemID leve op til lovens krav om at nøglen er 100% under borgerens kontrol, og at nøgle og certifikat vil være adskilt?

Dernæst, vil det være muligt med egen nøgle at lave afledte nøgler, og vil det være muligt klart at kunne adskille stat og bank?

Så debatten bør gå på:

Vil den kommende version af NemID leve op til lovens krav om at nøglen er 100% under borgerens kontrol, og at nøgle og certifikat vil være adskilt?

Fuldstændig enig.

Det er denne problematik der gør at jeg stadigvæk den dag idag ikke har NemID og får de ikke rettet denne designfejl så vil jeg heller ikke springe på NemID 2.0

Jeg synes faktisk ikke papkortet er så skidt, og den seneste udvikling med kun at kræve en kode fra kortet, når man fortager noget af betydning, gør jo brugeroplevelse meget bedre.

Det er med nogen bekymring jeg læser tankerne om at anvende biometri. Jeg ønsker på ingen måde at mine fingeraftryk og iris skanninger m.m. skal ligge centralt. Af flere årsager er dette meget bekymrende, ikke mindst pga:

• Disse data ville være alt for fristene at bruge in andre sammenhæng - jubi, nu har politiet adgang til alles fingeraftryk ad omveje. Det kan jo være meget besnærende at synes dette er godt, men...

• Data systemerne driftes af mennesker, som ikke altid har de bedste intentioner. Det er kendt viden at den største sikkerhedsrisiko er medarbejdere der har adgang, som fører til...

• Data vil blive lækket. Det er kun muligt at beskytte data hvis man har zero-knowledge systemer.

• Når disse data først er lækket, så har andre mennesker med kriminelle intentioner pludselig fingeraftrykkene på nærmest samtlige voksne mennesker i landet...

Det skal tilføjes at jeg bruger TouchID på mine devices, men det er kun fordi jeg ved følgende ting om det.

• Det er on-device only

• Det er ikke billeder af mine fingeraftryk, men matematiske modeller der gemmes, som ikke kan reverse-engineeres.

• Der er ikke adgang til disse data fra iOS systemet.

Jeg vil aldrig anvende biometri på android eller andre systemer - simpelthen pga af implementeringen.

Vil den kommende version af NemID leve op til lovens krav om at nøglen er 100% under borgerens kontrol, og at nøgle og certifikat vil være adskilt?

Det kan den skam godt være med deres "nemid på hardware".

Så hjælper det bare ikke det store når ens harddisk dør, og det ikke lige er til at få driverne installeret igen på ubuntu 16.04 :-( Og hverken nemid eller gemalto gider at komme med lidt tips til hvordan det skal gøres :-(

Nå Men så må jeg jo bre leve uden, indtil det lykkes. Nogen som det er lykedes for?

/Henning

Det kan den skam godt være med deres "nemid på hardware".

Men er det ikke den løsning som stadigvæk forlanger at man har java installeret ?

Derudover er løsningen uinteressant al den stund at den ikke virker på netbank og man derfor alligevel skal have et Papkort for at få adgang til netbanken.

Som Nets selv skriver :

Hvis jeg får NemID på hardware, kan jeg så smide mit nøglekort væk

Hvis du allerede har NemID med nøglekort, kan du i nogle tilfælde stadig få brug for det. Det gælder fx, hvis du ønsker at logge på din netbank, for NemID på hardware virker ikke i netbanken. Der kan også være tjenester, som endnu ikke tilbyder log-in med NemID på hardware.

NemId på hardware ville være interessant hvis den :

1. Var uafhængig af Java
2. Virkede både med netbank og OCES.
3. Kunne suppleres med en kontokig på mobilen.

Så kunne man have en app til at konto-kigge på mobilen og skulle man så overføre penge eller betale girokort så kunne det foregå fra computeren.

NemID på hardware er med vilje lavet så håbløst som det er for det er ikke en løsning Nets ønsker at folk bruger, de var bare nødt til at udvikle den fordi det stod i udbudsmaterialet at de skulle.

Men er det ikke den løsning som stadigvæk forlanger at man har java installeret ?

Jo desværre.

Derudover er løsningen uinteressant al den stund at den ikke virker på netbank og man derfor alligevel skal have et Papkort for at få adgang til netbanken.

Enig. Men jeg har ikke nogen interesse i at afgve en generalfuldmagt til Nets. Derfor var der kun muligheden med nsb-sticken der var tilbage, for at kunne bruge den påtvingne e-boks.

NemId på hardware ville være interessant hvis den :

Var uafhængig af Java    
Virkede både med netbank og OCES.    
Kunne suppleres med en kontokig på mobilen.  

Det ville ihvertfald hælpe gevaldigt.

Det sjove er at jeg sagtens kan snakke med chip-kortet med pcsc-tools, men NemIDs tigens vil ikke snakke med den uden e driver so jeg ikke kan få compileret ;-)

Skrammel.

Nå så må jeg jo klare mig uden e-boks.

/Henning

Jo desværre.

Hvilket gør at ihvertfald jeg, ikke kan bruge den, jeg har ikke haft java på min maskine i årevis.

Enig. Men jeg har ikke nogen interesse i at afgve en generalfuldmagt til Nets. Derfor var der kun muligheden med nsb-sticken der var tilbage, for at kunne bruge den påtvingne e-boks.

Jeg har så aldrig været tvunget til at bruge E-boks, jeg brugte den indtil for et par år siden ved at jeg loggede ind på e-posthuset med mit login der og så kunne jeg få adgang til eboks den vej.

Da de fjernede den mulighed, meldte jeg alt i e-boksen fra så nu får jeg bare de ting der normalt ryger i e-boks, i min postkasse ude ved vejen.

Nå så må jeg jo klare mig uden e-boks.

Det gør jeg og det går egentligt forbavsende godt.

Det er meget få breve der skulle have været i e-boks jeg modtager alligevel.

Syn af bilerne, årsopgørelse fra skat (Der logger jeg bare ind med tast-selv kode) og et par andre breve, men ellers ikke noget.

Indtil for nyligt fik jeg også aflæsningskort til el/vand/varme, men der har de skiftet målerne så nu er det fjernaflæst og man kan følge med på en app, som IKKE kræver NemID.