Digitaliseringsstyrelsen: Slut med NemID-links fra det offentlige

5 kommentarer.  Hop til debatten
DanID's sikkerhedsprincipper tilsiger, at NemID-partnere ikke sender links til login-sider. Så nu er det slut med brugervenlige e-mails med pædagogiske links fra det offentlige.
16. november 2011 kl. 10:43
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Skat gør det. Danske Bank gør det.

Eller rettere: gjorde det. For både bankerne og det offentlige er enige med DanID i, at e-mails med links direkte til NemID-login-siden er en dårlig ide.

»Der ligger nogle principper om, at man ikke gør sådan. Så fremadrettet vil der ikke blive sendt uopfordrede e-mails fra det offentlige med den slags links i,« siger lederen af center for digital signatur i Digitaliseringsstyrelsen, Palle H. Sørensen, til Version2.

Han fortæller videre, at parterne i NemID-infrastrukturen, dvs. DanID, bankerne og det offentlige, fra begyndelsen har aftalt, at man ikke bør linke til login-sider i udsendte e-mails.
Skat, der har sendt millioner af e-mails med links til NemID-login-siden, vil efter Version2's fokus på sagen nu tage initiativ til en dialog med Digitaliseringsstyrelsen for at få slået principperne fast med syvtommersøm. Men de principper ligger efter Palle H. Sørensens udsagn allerede helt fast: Det offentlige sender ingen links til login-sider i uopfordrede e-mails.

Artiklen fortsætter efter annoncen

Hvorfor ikke?

»Det gør det lettere at kommunikere til borgerne, at man ikke skal klikke på den slags ting, men det er da også klart, at brugervenligheden lider lidt under beslutningen,« siger Palle H. Sørensen.

Er det prisen værd at ofre brugervenligheden på sikkerhedens alter?

»Ja, for det skader jo ikke noget. Folk har typisk også bogmærker, så besværet er ikke så stort,« siger Palle H. Sørensen til Version2.

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
16. november 2011 kl. 12:37

Hvorfor kunne det ske at godt et dusin meget "proffesionelle", og meget burokratiske organistioner, ikke overholdt en sikkerheds relateret procedure, hvilke "sikkehed via burokrati" tiltag fra danid manglede/fejlede?

Hvad beløg har vi for at forvente at der A: eksistere korrekte procedure. og B: de bliver overholdt, især hvis man frigiver nemid til brug for mindre organistioner.

Husk at danid's løsning modsat en konventionel PKI ligger meget mere kontrol inden i danid's lukkede/hemmelige systemer.

4
16. november 2011 kl. 11:50

Er det prisen værd at ofre brugervenligheden på sikkerhedens alter?</p>
<p>»Ja, ...« siger Palle H. Sørensen til Version2.

Det var da nye toner eller hvad?

2
16. november 2011 kl. 11:30

Husk at DanID's regler kun siger, at man ikke må linke direkte til login-sider. Det er stadig fuldt "lovligt" at linke til en forside, hvor man derefter skal klikke sig videre til en login-form.

Dette er ifølge DanID vigtigt, fordi hackerne åbenbart ikke kan lave to falske sammenhængende sider: »Det ’farlige’ link i den mail går til Tastselv-login og derefter Nemlogin. Så den it-kriminelle skal lave to forsider.«, som kommunikationschef hos DanID Jette Knudsen skriver. Hvilket selvfølgelig er noget vrøvl, for man kan bare bruge en proxy-server som sslstrip, som forwarder de rigtige sider indtil brugeren går ind på login-siden.

Reglen er selvfølgelig latterlig. Men spørgsmålet er også, om brugerne overhovedet ved at der er denne (ineffektive) sikkerhedsregel. Her vil jeg gerne vædde med, at hvis Version2 gik ned på gaden og spurgte 20 tilfældige mennesker, så ville ingen af dem kende reglen. Hvis skat.dk og andre offentlige institutioner indtil nu har sendt millioner af emails ud med direkte links til login-formen, og ingen har rapporteret dem som fishing-emails, så begynder folk jo ikke at se emails med login-links som phishing lige pludselig. Og jeg har ikke lagt mærke til nogen oplysnings-kampagne, ud over hvad jeg har læst på Version2.

1
16. november 2011 kl. 10:48

.. så stopper phisherne jo også med at sende falske mails

Hvor er Palle, Jette, Lars, et al dog himmelråbende naive, når de tror man løser de grundlæggende problemer vha. symptombehandling eller stikken hovedet i busken.