Digitaliseringsstyrelsen: Slut med NemID-links fra det offentlige

DanID's sikkerhedsprincipper tilsiger, at NemID-partnere ikke sender links til login-sider. Så nu er det slut med brugervenlige e-mails med pædagogiske links fra det offentlige.

Skat gør det. Danske Bank gør det.

Eller rettere: gjorde det. For både bankerne og det offentlige er enige med DanID i, at e-mails med links direkte til NemID-login-siden er en dårlig ide.

»Der ligger nogle principper om, at man ikke gør sådan. Så fremadrettet vil der ikke blive sendt uopfordrede e-mails fra det offentlige med den slags links i,« siger lederen af center for digital signatur i Digitaliseringsstyrelsen, Palle H. Sørensen, til Version2.

Han fortæller videre, at parterne i NemID-infrastrukturen, dvs. DanID, bankerne og det offentlige, fra begyndelsen har aftalt, at man ikke bør linke til login-sider i udsendte e-mails.
Skat, der har sendt millioner af e-mails med links til NemID-login-siden, vil efter Version2's fokus på sagen nu tage initiativ til en dialog med Digitaliseringsstyrelsen for at få slået principperne fast med syvtommersøm. Men de principper ligger efter Palle H. Sørensens udsagn allerede helt fast: Det offentlige sender ingen links til login-sider i uopfordrede e-mails.

Hvorfor ikke?

»Det gør det lettere at kommunikere til borgerne, at man ikke skal klikke på den slags ting, men det er da også klart, at brugervenligheden lider lidt under beslutningen,« siger Palle H. Sørensen.

Er det prisen værd at ofre brugervenligheden på sikkerhedens alter?

»Ja, for det skader jo ikke noget. Folk har typisk også bogmærker, så besværet er ikke så stort,« siger Palle H. Sørensen til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thue Kristensen

Husk at DanID's regler kun siger, at man ikke må linke direkte til login-sider. Det er stadig fuldt "lovligt" at linke til en forside, hvor man derefter skal klikke sig videre til en login-form.

Dette er ifølge DanID vigtigt, fordi hackerne åbenbart ikke kan lave to falske sammenhængende sider: »Det ’farlige’ link i den mail går til Tastselv-login og derefter Nemlogin. Så den it-kriminelle skal lave to forsider.«, som kommunikationschef hos DanID Jette Knudsen skriver. Hvilket selvfølgelig er noget vrøvl, for man kan bare bruge en proxy-server som sslstrip, som forwarder de rigtige sider indtil brugeren går ind på login-siden.

Reglen er selvfølgelig latterlig. Men spørgsmålet er også, om brugerne overhovedet ved at der er denne (ineffektive) sikkerhedsregel. Her vil jeg gerne vædde med, at hvis Version2 gik ned på gaden og spurgte 20 tilfældige mennesker, så ville ingen af dem kende reglen. Hvis skat.dk og andre offentlige institutioner indtil nu har sendt millioner af emails ud med direkte links til login-formen, og ingen har rapporteret dem som fishing-emails, så begynder folk jo ikke at se emails med login-links som phishing lige pludselig. Og jeg har ikke lagt mærke til nogen oplysnings-kampagne, ud over hvad jeg har læst på Version2.

  • 1
  • 0
Daniel Udsen

Hvorfor kunne det ske at godt et dusin meget "proffesionelle", og meget burokratiske organistioner, ikke overholdt en sikkerheds relateret procedure, hvilke "sikkehed via burokrati" tiltag fra danid manglede/fejlede?

Hvad beløg har vi for at forvente at der A: eksistere korrekte procedure. og B: de bliver overholdt, især hvis man frigiver nemid til brug for mindre organistioner.

Husk at danid's løsning modsat en konventionel PKI ligger meget mere kontrol inden i danid's lukkede/hemmelige systemer.

  • 1
  • 0
Log ind eller Opret konto for at kommentere