Digitaliseringsstyrelsen: Slut med NemID-links fra det offentlige

16. november 2011 kl. 10:435
DanID's sikkerhedsprincipper tilsiger, at NemID-partnere ikke sender links til login-sider. Så nu er det slut med brugervenlige e-mails med pædagogiske links fra det offentlige.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Skat gør det. Danske Bank gør det.

Eller rettere: gjorde det. For både bankerne og det offentlige er enige med DanID i, at e-mails med links direkte til NemID-login-siden er en dårlig ide.

»Der ligger nogle principper om, at man ikke gør sådan. Så fremadrettet vil der ikke blive sendt uopfordrede e-mails fra det offentlige med den slags links i,« siger lederen af center for digital signatur i Digitaliseringsstyrelsen, Palle H. Sørensen, til Version2.

Han fortæller videre, at parterne i NemID-infrastrukturen, dvs. DanID, bankerne og det offentlige, fra begyndelsen har aftalt, at man ikke bør linke til login-sider i udsendte e-mails.
Skat, der har sendt millioner af e-mails med links til NemID-login-siden, vil efter Version2's fokus på sagen nu tage initiativ til en dialog med Digitaliseringsstyrelsen for at få slået principperne fast med syvtommersøm. Men de principper ligger efter Palle H. Sørensens udsagn allerede helt fast: Det offentlige sender ingen links til login-sider i uopfordrede e-mails.

Artiklen fortsætter efter annoncen

Hvorfor ikke?

»Det gør det lettere at kommunikere til borgerne, at man ikke skal klikke på den slags ting, men det er da også klart, at brugervenligheden lider lidt under beslutningen,« siger Palle H. Sørensen.

Er det prisen værd at ofre brugervenligheden på sikkerhedens alter?

»Ja, for det skader jo ikke noget. Folk har typisk også bogmærker, så besværet er ikke så stort,« siger Palle H. Sørensen til Version2.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
16. november 2011 kl. 12:37

Hvorfor kunne det ske at godt et dusin meget "proffesionelle", og meget burokratiske organistioner, ikke overholdt en sikkerheds relateret procedure, hvilke "sikkehed via burokrati" tiltag fra danid manglede/fejlede?

Hvad beløg har vi for at forvente at der A: eksistere korrekte procedure. og B: de bliver overholdt, især hvis man frigiver nemid til brug for mindre organistioner.

Husk at danid's løsning modsat en konventionel PKI ligger meget mere kontrol inden i danid's lukkede/hemmelige systemer.

4
16. november 2011 kl. 11:50

Er det prisen værd at ofre brugervenligheden på sikkerhedens alter?</p>
<p>»Ja, ...« siger Palle H. Sørensen til Version2.

Det var da nye toner eller hvad?

2
16. november 2011 kl. 11:30

Husk at DanID's regler kun siger, at man ikke må linke direkte til login-sider. Det er stadig fuldt "lovligt" at linke til en forside, hvor man derefter skal klikke sig videre til en login-form.

Dette er ifølge DanID vigtigt, fordi hackerne åbenbart ikke kan lave to falske sammenhængende sider: »Det ’farlige’ link i den mail går til Tastselv-login og derefter Nemlogin. Så den it-kriminelle skal lave to forsider.«, som kommunikationschef hos DanID Jette Knudsen skriver. Hvilket selvfølgelig er noget vrøvl, for man kan bare bruge en proxy-server som sslstrip, som forwarder de rigtige sider indtil brugeren går ind på login-siden.

Reglen er selvfølgelig latterlig. Men spørgsmålet er også, om brugerne overhovedet ved at der er denne (ineffektive) sikkerhedsregel. Her vil jeg gerne vædde med, at hvis Version2 gik ned på gaden og spurgte 20 tilfældige mennesker, så ville ingen af dem kende reglen. Hvis skat.dk og andre offentlige institutioner indtil nu har sendt millioner af emails ud med direkte links til login-formen, og ingen har rapporteret dem som fishing-emails, så begynder folk jo ikke at se emails med login-links som phishing lige pludselig. Og jeg har ikke lagt mærke til nogen oplysnings-kampagne, ud over hvad jeg har læst på Version2.

1
16. november 2011 kl. 10:48

.. så stopper phisherne jo også med at sende falske mails

Hvor er Palle, Jette, Lars, et al dog himmelråbende naive, når de tror man løser de grundlæggende problemer vha. symptombehandling eller stikken hovedet i busken.