Digitaliseringsstyrelsen får »alvorlig kritik« og påbud af Datatilsynet: MitID er for dårligt sikret

Plus9. marts kl. 03:4241
MitID
Illustration: Ingeniøren.
Det viser sig nu, at Digitaliseringsstyrelsen er blevet tvunget til at forbedre sikkerheden i MitID.  
Mads Lorenzen
Mads Lorenzen
Journalist
Mads Lorenzen
Mads Lorenzen
Journalist

Mens borgerne hobede sig op i køer foran Borgerservice i landets kommuner for at få adgang til det nye MitID, var der bag kulissen alvorlige problemer med sikkerheden i vores allesammens id-løsning.

Borgere begyndte nemlig at logge hinanden ind ved uheld og tilfældigheder, kun fordi deres MitID-brugernavne og logintidspunkt var tæt på hinanden.

close
Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip?
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Fortsæt med MitIDA
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
41 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
41
Kim Bygum
12. marts kl. 12:55

Svar #40: Det er bevidst lavet om. Personlig synes jeg ændringen er tåbelig.

  • more_vert
    • insert_linkKopier link
42
Christian Nobel
12. marts kl. 14:43

Personlig synes jeg ændringen er tåbelig.

Det er meget forstyrrende for workflowet, for det er helt unaturligt at skulle taste brugernavn ind, finde nøgleviser (jeg holder viseren i venstre hånd og bruger det numeriske tastatur), og så taste igen for password på tastaturet.

Og det gør det ikke bedre at i flere browsere placeres cursoren ikke automatisk, så man skal også have fat i musen.

Men når det så er sagt, så er der langt mere alvorlige problemer med MitID, nemlig at det er pivåbnet over for MIM angreb.

Der er ingen kobling mellem klient og backend, andet end en ca. tid - i NemID (hvis man ellers havde tillid til Nets' HSM modul) skulle nøglen trods alt svare til en forespørgsel).

Nøglen er ovenikøbet valid i flere minutter, så MIM angriberen har godt tid til at logge ind, fortælle brugeren at noget gik galt, og så tømme kontoen med den nye nøgle (jeg har ikke prøvet, men ville ikke blive overrasket hvis nøglen kunne bruges mere end en gang).

Det er utilgiveligt usikkert.

  • more_vert
    • insert_linkKopier link
43
Nis Schmidt
12. marts kl. 19:50

Godt, at se dig tilbage på Version2!

Og det gør det ikke bedre at i flere browsere placeres cursoren ikke automatisk, så man skal også have fat i musen.

Som bemærket af en tidligere kommentator, kan man skifte felt med 'TAB'. Der må være en finger på venstre hånd du kan nå den med.

  • more_vert
    • insert_linkKopier link
40
Ditlev Petersen
11. marts kl. 23:52

Jeg havde en spøjs oplevelse for kort tid siden. Jeg skulle logge på et sted med MitId. Angav userid. Og så bad den om engangs-talkoden før den bad om password. Spørgsmålet er så stadig, om man kan de-validere et userid ved at fyre tilfældige koder afsted? De "hidtidige erfaringer" gør mig lidt skeptisk - og jeg har ikke noget ekstra MitId liggende, jeg kan prøve på.

  • more_vert
    • insert_linkKopier link
30
Peter Nielsen
10. marts kl. 13:05

inkompetence-er-vores-spidskompetence-digitaliseringsforstyrrelsen

  • more_vert
    • insert_linkKopier link
29
Jan Heisterberg
10. marts kl. 12:58

I artiklen omtales "referenceteksten", som jeg går ud fra er den tekst som vises inden swipe. Derber bare det problem, at et antal webpages IKKE viser noget meningsfuldt.

Naturligvis BURDE der være en kontrol som sikrer at dette er meningsfuldt ......

Men måske skal jeg samle en liste over "dumme" referencetekster......

  • more_vert
    • insert_linkKopier link
23
Lars Jensen
10. marts kl. 08:06

En anden forbedring til MitID kunne være information om nedbrud. Jeg har endnu ikke kunne finde en forklaring på det flere timer lange nedbrud i december i dagtimerne Igen-igen: MitID ramt af nedbrud.

  • more_vert
    • insert_linkKopier link
11
Freddy Vejen
9. marts kl. 09:12

Jeg bruger en kodeviser på computer, og Firefox på Linux giver stadig fejl ved login til borger.dk og andre offentlige sider. Login til netbank ved Lån & Spar fungerer fint i Firefox på Linux, men der kommer en fejlmeddelelse, som dog hurtigt forsvinder og ikke forhindrer login.

Der er ændret i rækkefølgen ved login, så det nu er brugernavn, engangskode, adgangskode. Før ændringen var det brugernavn, adgangskode, engangskode.

Desværre er cursor ikke længere i første felt ved engangskoden, så jeg skal trykke tab for at skrive koden.

  • more_vert
    • insert_linkKopier link
12
Anne-Marie Krogsbøll
9. marts kl. 09:18

Jeg bruger en kodeviser på computer, og Firefox på Linux giver stadig fejl ved login til borger.dk og andre offentlige sider. Login til netbank ved Lån & Spar fungerer fint i Firefox på Linux, men der kommer en fejlmeddelelse, som dog hurtigt forsvinder og ikke forhindrer login.

Nu, du siger det, så kommer der nogen gange en fejlmeddelelse, som man bare kan gå forbi. Husker ikke ordlyden.

Jeg kører desværre ikke Linux for tiden. Gid jeg gjorde.

  • more_vert
    • insert_linkKopier link
15
Maciej Szeliga
9. marts kl. 11:34

Jeg kører desværre ikke Linux for tiden. Gid jeg gjorde.

Det kan fikses... :-)

  • more_vert
    • insert_linkKopier link
17
Anne-Marie Krogsbøll
9. marts kl. 12:37

Jeps :-) Skal lige have fixet en arbejdskrævende familiesituation først.

  • more_vert
    • insert_linkKopier link
8
Lidar Jensen
9. marts kl. 08:52

og MitID virker stadig ikke med Firefox !

Med App, nummerviser, oplæser og/eller hardware chip?

  • more_vert
    • insert_linkKopier link
24
Mads Linnemann Filskov
10. marts kl. 09:03

det virker nu - App., linux, firefox version 110.0.1

  • more_vert
    • insert_linkKopier link
7
Anne-Marie Krogsbøll
9. marts kl. 08:19

Det virker mystisk nok i min Firefox...Så spørgsmålet er, om det er Firefox, der er problemet.

  • more_vert
    • insert_linkKopier link
9
Lidar Jensen
9. marts kl. 08:53

Med App, nummerviser, oplæser og/eller hardware chip?

  • more_vert
    • insert_linkKopier link
10
Anne-Marie Krogsbøll
9. marts kl. 08:54

Jeg bruger nummerviser på computer. Ingen mobil.

  • more_vert
    • insert_linkKopier link
14
Jens B
9. marts kl. 10:10

Er det ikke et spørgsmål om at din Firefox er opdateret til 110.0.1, Anne-Marie og andre har ikke opdateret. Version 110.0.1 skulle specifikt fikse et problem med MitID - det fremgår af Firefox' release notes - se https://www.mozilla.org/en-US/firefox/110.0.1/releasenotes/. .

  • more_vert
    • insert_linkKopier link
25
Jens B
10. marts kl. 11:02

Problemet med MitID i Firefox ser ud til at være startet efter opdatering til 110.0.0 og de rettede så problemet i 110.0.1. Se https://bugzilla.mozilla.org/show_bug.cgi?id=1819096. Så nok derfor at det virker i din gamle version.

Men aktiver lige automatisk opdatering af Firefox så du for alle sikkerhedsopdateringerne med der er kommet siden 106.

  • more_vert
    • insert_linkKopier link
26
Anne-Marie Krogsbøll
10. marts kl. 11:30

Tsk for svar Jens B. Ja, jeg må jo nok hellere få taget mig sammen,,,

  • more_vert
    • insert_linkKopier link
3
Anne-Marie Krogsbøll
9. marts kl. 06:57

Det er jo både en katastrofe og en skandale. Og det er hårrejsende, at den slags sager nu foregår for helt lukkede døre - oven i købet mens kritikken raser i fuld offentlighed. Hvad mon der mere forekommer af samme type sager i det skjulte?

Og helt utroligt, at Datatilsynet må tage true-stemmen på for at få et eller andet svar. Utroligt, at Digi-forstyrrelsen simpelthen har ignoreret det problem, som er udgangspunkt for Datatilsynets påbud. Igen får jeg denne tanke: Hvad bilder de sig egentligt ind i de Hovedet-under-armen-digitaliseringsinstanser? Har det været så meget amok-digitalisering, at de er kommet til at føle sig så vigtige, ligefrem fredede af magthaverne, at de er hævet over love og regler - små overlords, som ikke behøver stå til regnskab? Det er skræmmende. Jeg håber, at de bliver sat godt og grundigt på plads nu.

Eller er der så meget panik, at man bare trækker tiden ud og håber, at problemerne går væk af sig selv, og at Datatilsynet glemmer, at man har rejst en sag og sat en deadline?

De seneste dage har der være en ny procedure, når man logger ind med MitID: Man skal taste talkode, inden man taster kodeord. Har det mon noget med dette at gøre? Udbedrer det i et eller andet omfang denne sårbarhed? Eller hvad er mon grunden til denne ændring?

  • more_vert
    • insert_linkKopier link
19
Merete Munch
9. marts kl. 13:08

Ja, det er under alt kritik - svesken på disken!

  • more_vert
    • insert_linkKopier link
16
Andrew Rump
9. marts kl. 12:10

De seneste dage har der være en ny procedure, når man logger ind med MitID: Man skal taste talkode, inden man taster kodeord. Har det mon noget med dette at gøre? Udbedrer det i et eller andet omfang denne sårbarhed? Eller hvad er mon grunden til denne ændring?

Nogle i mine Facebook gruppe MitID (og NemID) samt mit.dk tips, teknik, fejl og mangler fortæller at: Det er for at gøre løsningen klar til, at man senere vil kunne bruge kodeviser/kodeoplæser til at godkende kortbetalinger på nettet.

  • more_vert
    • insert_linkKopier link
2
Pernille Tranberg
9. marts kl. 06:51

nogen der ved om vi som individer kan gøre noget for at beskytte os selv indtil tilliden til systemet forhåbentlig er genskabt?

  • more_vert
    • insert_linkKopier link
34
Kim Bygum
10. marts kl. 16:14

For det andet:

Det hjælper bare ikke, hvis man glemmer at fjerne krydset i "husk mig" ...

  • more_vert
    • insert_linkKopier link
35
Peter Nielsen
10. marts kl. 17:11

Det er ikke et kryds, men et såkaldt "flueben" og det er ikke noget man skal fjerne (som default) men noget man aktivt kan - og ja enig med dig - men ikke bør tilvælge.

At funktionen - efter min mening - så overhovedet ikke burde være der i første omgang, er så en hel anden snak - og måske endda også en sag i sig selv, for Datatilsynet.

  • more_vert
    • insert_linkKopier link
36
Kim Bygum
10. marts kl. 18:05

Jo, jeg har oplevet på flere sider at det er default.

  • more_vert
    • insert_linkKopier link
37
Peter Nielsen
10. marts kl. 18:27

Det vil jeg gerne se, før jeg tror på det. Jeg har personligt aldrig oplevet det nogen steder med MitID (eller andet for den sags skyld)

Og hvis det virkelig er sandt, så er det ekstremt problematisk. Den funktion skal ALTID være fra, og ikke til.

Kan jeg ikke få dig til at finde ud af, hvilke sider der er tale om, og så skrive dem i et svar tilbage her, så jeg kan teste det?

  • more_vert
    • insert_linkKopier link
39
Kim Bygum
11. marts kl. 15:14

Svar #37, jeg kan ikke huske det, det var tidligere, bl.a. diverse banksider (jeg har mange), det var dér jeg brugte MitId i starten da det blev påtvunget. Jeg har ikke set det for nylig, regnede med det var fordi den huskede mine valg.

  • more_vert
    • insert_linkKopier link
38
Ditlev Petersen
11. marts kl. 13:26

Jeg har testet nrgi.dk og borger.dk, der er ikke flueben som default. Jeg er ret sikker på, at jeg ikke har brugt MitId der. Det er så kun et meget lille udsnit. BBR plejer at gå ned, hvis jeg besøger den, jeg får så dårlig samvittighed hver gang. ;-)

  • more_vert
    • insert_linkKopier link
31
Henrik Hansen
10. marts kl. 13:49

nogen der ved om vi som individer kan gøre noget for at beskytte os selv indtil tilliden til systemet forhåbentlig er genskabt?

Ja, du kan bestille en nummerviser og gå væk fra at bruge mobilen til at godkende logins. Når man bestiller en nummerviser bliver man nemlig "desværre" tvunget til at oprette en adgangskode også, så man skal bruge brugernavn (som ikke er mere hemmeligt end et CPR-nr. reelt), adgangskode (som reelt er hemmelig) og engangskode til at logge ind.

Så må man leve med at man ikke kan bruge mobilen, men sådan bestilte jeg i hvert fald MitID fra starten af, da jeg på ingen måde havde fidus til deres "dit brugernavn, som alle kan slå op om eksisterer er helt klart hemmeligt"-klamhuggeri.

  • more_vert
    • insert_linkKopier link
32
Peter Nielsen
10. marts kl. 14:00

Man kan da sagtens bruge en mobil enhed, sammen med en kodeviser, til at få godkendt sine egne logins, på alle sider der tilbyder MitId...

  • more_vert
    • insert_linkKopier link
5
Kim Bygum
9. marts kl. 07:07

kan gøre noget for at beskytte os selv

Tja ... vælge et underligt brugernavn, sikre sig at ikke nogen ser det, huske at fjerne krydset i "husk mig på denne pc" (som ikke giver mening, hvis brugernavnet skal behandles som et password), bruge kodeviser konsekvent, ...

  • more_vert
    • insert_linkKopier link
1
Frithiof Andreas Jensen
9. marts kl. 06:38

Der er lidt for meget baseret på "håber", men, det eneste der hjælper er regulering!

Som først fungerer når den fører til at et par af de værste hundehoveder er fyret med personligt erstatningsansvar eller i fængsel. Det der blokerer er at "hundehovederne" desværre nok inkluderer Minsteren (uanset farve og parti i øvrigt, der er et bredt og veletableret flertal i Folketinget om at alt på IT-området skal sejle).

  • more_vert
    • insert_linkKopier link
27
Gert Madsen
10. marts kl. 11:53

Som først fungerer når den fører til at et par af de værste hundehoveder er fyret med personligt erstatningsansvar eller i fængsel.

Hvis der er noget vi har lært af de seneste sager, specielt minksagen, så er det at embedsmænd er ansvarsfri.

De har besvisligt løjet, de har beviseligt udført, og beordret aktiviteter, som de vidste var ulovlige, men ifalder ingen straf.

Det bedste ville være at udflytte Digitaliseringsstyrelsen så langt væk, at cheferne af sig selv forlader deres stillinger.

Alt peger mod at det kan ske helt uden kompetencetab.

  • more_vert
    • insert_linkKopier link