Ekspert: NemID uden mobiladgang er pinlig og tåbelig

En forsker ved Aarhus Universitet kritiserer NemID sønder og sammen for ikke at understøtte mobiltelefoner og smartphones. Vi er på vej, siger IT- og Telestyrelsen.

Udviklingen af Danmarks nye fælles logon-løsning, NemID, er sket fuldstændig uden skelen til én af de mest forudsigelige teknologiske tendenser de seneste år - nemlig at vi alle sammen i stigende grad klarer vores daglige, digitale gøremål fra mobilen eller smartphonen.

Det mener ph.d. og adjunkt ved Institut for Informations- og Medievidenskab på Aarhus Universitet, Martin Brynskov, skriver Videnskab.dk.

Han forsker i verdens digitale udvikling og sender en bredside af sted mod folkene bag NemID for ikke at have tænkt mobiltelefoner med ind i løsningen fra begyndelsen.

»Jeg er ingen stor tilhænger af sensationalistiske overskrifter, men beslutningen om ikke fra starten at have en plan for at understøtte almindelige mobiltelefoner kan simpelthen sætte Danmarks fine placering i de internationale it-rankings over styr. Det er ret pinligt, grænsende til det tåbelige og næsten kriminelle,« siger forskeren til Videnskab.dk.

Martin Brynskov mener, at NemID teknologisk set er en potentiel katastrofe, som i fremtiden kan koste Danmark en topplacering på listerne over lande, der fører an i den teknologiske udvikling.

NemID-hjemmesiden oplyser, at de fleste danskere forventes at bruge NemID inden udgangen af 2010.

»Tænk på, at NemID skal være vores alle sammens adgang til det offentlige på nettet og alle mulige andre services. Den er lige så vigtig som vand og kloakering, og så har man ingen strategi for, hvordan man vil bruge mobiler. Det er lige til at tude over,« siger Martin Brynskov til Videnskab.dk.

IT- og Telestyrelsen: Verden så anderledes ud i 2007

Én af de ansvarlige personer bag NemID, centerleder i Center for Digital Signatur under IT- og Telestyrelsen, Palle H. Sørensen siger til netmediet, at verden så anderledes ud i 2007, da planer og krav til NemID blev nedfældet.

»På det tidspunkt fandtes stort set ikke smartphones, og der var ingen standarder for dem, og derfor indgik ingen krav om, at NemID skulle have mobiladgang,« siger han ifølge Videnskab.dk

»NemID er et stort projekt - vi taler blandt andet en omfattende kravspecifikation og en længerevarende EU-udbudsproces - og man laver ikke bare om i projektet undervejs. Det har taget tid at bygge sådan en digital Storebæltsbro, og det har været præget af koordinering til mange offentlige myndigheder og den finansielle sektor,« siger Palle H. Sørensen.

Ifølge Palle H. Sørensen forsikrer, at man er i gang med at finde en løsning på mobilproblemet.

»Sikkerheden er helt central, og da smartphones adskiller sig fra en konventionel pc-platform, skal vi gennemføre en række sikkerhedsmæssige analyser først. Så jeg vil ikke love noget, men jeg håber på, at en løsning kan blive klar i 2011, hvis vi kan finde ordentlige forretningsmodeller, som blandt andet inkluderer finansiering,« lyder det fra Palle H. Sørensen.

Tidligere på måneden lancerede Danske Bank sin egen iPhone-applikation, iDanske, som blandt andet kan bruges til at tjekke saldoen og overføre penge fra iPhone.

**LÆS OGSÅ **Danske Banks mobilbank til iPhone bruger NemID-papkort ? men ikke Java

Danske Bank har fremstillet en midlertidig løsning, som gør det muligt at logge på netbank via mobilen ved hjælp af NemID, men sådan en enkelstående løsning kan ikke bare overføres generelt til andre virksomheder og myndigheder, fortæller Palle H. Sørensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter H. Rankin Hansen

Det kan godt være, at du anser pap kort som "totalt gammeldags", men det fungerer! Pap kort er, modsat SMP passcodes, totalt umulige at omgå med man-in-the middle metoder. Desuden har disse "totalt gammeldags" pap kort indbygget noget som ingen af de elektroniske nøgler har, nemlig en verifikation af den forespørgsel du modtager. Den sikkerhed kan ikke indbygges i en SMS-løsning

  • 0
  • 0
Erik Haahr

---Palle H. Sørensen siger til netmediet, at verden så anderledes ud i 2007, da planer og krav til NemID blev nedfældet.

»På det tidspunkt fandtes stort set ikke smartphones, og der var ingen standarder for dem, og derfor indgik ingen krav om, at NemID skulle have mobiladgang,«---

Jeg synes ovenstående citat siger temmelig meget!

Jeg synes, det var ganske almindeligt med smartphones i 2004 - På det tidspunkt havde jeg selv haft to forskellige, hvilket vil sige i flere år. At påstå at de stort set ikke fandtes i 2007 (altså tre år senere) må betyde at de personer, der har været med til at skrive kravene har været fuldstændig ude af takt med virkeligheden! Alle inden for IT- og telebranchen vidste, at de kom og at væksten var og ville fortsætte med at være eksplosiv. (Ja, åbenbart skal det modificeres til "næsten alle" - der sad åbenbart nogle gemt på støvede kontorer, der ikke fulgte med).

Når man har valgt et overordnet design, hvor alt ligger hos udbyderen, så er det uforståeligt, at man har valgt en implementering, hvor der skal installeres et modul på klienten før Nem ID kan benyttes. Det er der absolut ingen grund til. At flere fornuftige personer så kritiserer det overordnede design er en helt anden historie, som jeg ikke vil kommentere.

Lån&Spar bank har ligesom Danske bank lanceret en mobilbank. Lån&SPar banks er baseret på WAP (!) og er dermed platformuafhængig i modsætning til Danske banks. Om den har samme sikkerhedsniveau aner jeg ikke, men det er formodentlig tilstrækkeligt. Den vil med garanti blive flittigt brugt.

Det kan godt være, at mange vil have et Nem ID ved udgangen af 2010. Men når mange samtidig vil benytte andre løsninger end den generelle, så går det hen og bliver urimeligt dyrt for samfundet. Det er bare ikke synligt i Nem ID projektet, som det burde være.

  • 0
  • 0
Peter Andersen

Er der noget jeg har misforstået, eller kræver nemid ikke bare en browser og java? Ifølge java.com "Java runs on more than 850 million personal computers worldwide, and on billions of devices worldwide, including mobile and TV devices."

Har de dersens smartphones ikke både browser og java, eller?

  • 0
  • 0
Sune Højfeldt

Pap kort er, modsat SMP passcodes, totalt umulige at omgå med man-in-the middle metoder.

Peter, jeg vil nok mene at postvæsenet, som står for at viderebringe og overbringe dit papkort, må anses for at være man-in-the-middle (faktisk flertal: men-in-the-middle).

Jeg tror ikke der er nogen der har fuld tillid til postvæsenet, så ikke alene er der men-in-the-middle, det er også særdeles upålidelige men-in-the-middle.

  • 0
  • 0
Casper Bang

Er der noget jeg har misforstået, eller kræver nemid ikke bare en browser og java?

Jo, men Java som det meste anden plugin-teknologi, er seriøst outdated og ringe i forhold til native web og HTML, der understøttes over alt. Du finder bl.a. ikke Java (JSE) på iPhone, iPad, Android, Blackberry etc.

Jeg synes det er et meget ringe design at basere sin løsning på Java appletter, en (dengang) proporitær teknologi der aldrig rigtig slog igennem og istedet vækker minder om 90'erne med blinkene og scrollende tekst bannere!

Ligeledes er det en dårlig undskyldning at sige at verden så anderledes ud i 2007, det betyder at 1) NemId slet ikke har haft fingeren på pulsen og 2) at udviklingsprocessen er ufleksibel og gammeldags.

Få nu bare afskaffet den skide applet og rykket ind i det nye årtusinde!

  • 0
  • 0
Per Gøtterup

Postvæsenet er en meget stor men-in-the-middle faktor. De har efter sigende lukket det værste hul, nemlig det med at alle uden verifikation kunne omdirigere andres post (krævede kun et postkort til Post Danmark). Hvis offeret ikke skal opdage noget så bliver man selvfølgelig nødt til selv at viderebringe de breve man ikke ønsker at beholde, men det var trivielt at fange breve med offerets navn og CPR-nummer, og derefter de ekstra kreditkort man opretter på grundlag af disse oplysninger. I dag skal man vise billedlegitimation for at kunne omdirigere post.

Men vi har allerede set en sag hvor postbudet stod stod for 'omdirigeringen' så sikkerheden er ikke bedre end kontrollen af Post Danmarks medarbejdere, og den skal nærmest være Big Brother agtig for at kunne fange sådan noget.

  • 0
  • 0
Anonym

Diskussionen om mobiltelefoner glemmer at problemet ikke kun er den ekstra sårbarhed fordi mobiltelefonerne ikke er sikre.

Det ligger en væsentlig problemstilling i og med at det etablerer lock-in både kommercielt og sikkerhedsmæssigt.

Hvis det er fungere forudsætter at man har adgang til sin mobiltelefon, så skal der meget lidt til førend noget går helt galt.

Med andre ord - eng i at mobil adgang selvfølgelig er vigtig. Men IKKE låst til en mobiltelefon. Nøgledevices må ikke låses til hverken kommunikationskanal eller serviceproviders med interesser.

  • 0
  • 0
Lars Christoffersen

Man må betvivle Palle H. Sørens "Ekspert" niveau, når han dømmer en fungerende og eksisterende løsning fra Danske Bank, som midlertidig? Er det fordi det ellers ikke passer ind i hans verden, sammen med de øvrige tåbelige indlæg i den her debat. Det virker på smart phones. What is the problem?

  • 0
  • 0
Niels Dybdahl

Har de dersens smartphones ikke både browser og java, eller?

Jo det har de. Men desværre er Java ikke lig Java. Suns Java er delt op i to: Standard Edition og Micro Edition, som især er forskellig i display håndteringen.
- Appletter som man kører dem i en browser er baseret på Standard Edition.
- Nokias (og de fleste andre) mobiltelefoner er baseret på Micro Edition.
- Microsofts Windows Mobile kører vist nok med Standard Edition, så de burde kunne understøtte NemID.
- Googles Android har valgt et helt andet skærmsystem til Java end det der er i Standard Edition og Micro Edition.
- WebOS (Palm/HP) og Blackberry understøtter vist også Java, men jeg ved ikke om det er Standard eller Micro Edition.
- iPhone understøtter ikke Java.

  • 0
  • 0
Rune Ploug

Hey Sune: Du glemmer lige at man ikke kan se det et nem-id-kort der er i blevet samt at det ikke kan åbnes og lukkes ingen - ihvertfald har de gjort meget for dette ikke burde være muligt for alle og en hver. Samt du bliver oplyst at man skal være opmærksom og straks kontakte nemid hvis kuverten har været åben. Desuden er det jo ens personlige kode og CPR nummer den anden del så kode kortet i sig selv giver jo ikke så meget.

Se det sjove er at jeg kan se flash og køre javascript i min Google Nexus One browser og alle apps er lavet i android java hvilken er kompatible med alle de mest normale moduler og jeg kender ikke lige til nogen grænser altså ud over man selv skal kunne kompilere java koden i android kompileren. Og her er det sjove - Google kunne samarbejde med Java så de kan køre apk's i deres web browser men de vil ikke grundet HTML 5 som de + crApple + Mozilla 100% bag ved at støtte til eventuelt også at gøre flash overflødigt som de selv skriver.
Det noget hø men alverdens sikre forbindelser som vi jo normalt oplever i java fordi det så nemt at lave og porte vil nok ikke opleves på de mobile platforme.
Kan ikke lige komme på en måde nemid kan gøre det sikkert nok. Med mindre altså at det er mobile apps nemid vil udvikle. Så vidt jeg kan komme i tanke om understøtter mobil browserne, selv på android, ikke nogen god sikkerheds metoder eller sprog osv.

  • 0
  • 0
Casper Bang

@Niels: Teknisk set er der 3 officielle versioner, JME, JSE og JEE. Og så er der uofficielle versioner så som Harmony og Android mv. Forskellen er ikke kun mht. UI system (Swing), faktisk fylder Android 2.1 kun 1/10 af JSE6 når man tæller antallet af klasser.

@Rune: Google har valgt, bevist, ikke at bruge Sun's JME eller JSE model af mange årsager. Økonomisk set ville en Android mobil baseret på JME bliver dyrere, fordi Sun/Oracle skulle have en bid af kagen. Teknisk set er JME gammel og svag imens JSE er bloated og langsomt.

Det betyder at det IKKE bare er ligetil at compile JSE -> Android, og du vil i bedste fald skulle reimplementerer al UI logikken... hvis du altså havde adgang til NemId's source. Men den har de obfuscated/krypteret godt og grundigt.

  • 0
  • 0
Thomas Lønskov Luther

Man må sige at der er sket en del indenfor mobil teknologi de sidste 3 år, så på et punkt kan jeg godt forstå hvorfor man i 2007 ikke har medtaget mobil/smartphones i usecasen, for dengang var der egentlig ikke ret mange der seriøst brugte deres mobil-telefoner til så meget som man har gjort det sidste år. Man må erkende at iPhone flyttede smartphone markedet en del.

SMS challenges kan være rimelig problematisk, jeg har flere gange herhjemme oplevet at min telefon ikke modtog SMS'er "real-time" og så vil det sgu være træls at man så ikke kan få lavet det man gerne ville have lavet. Det samme gør sig i høj grad gældende hvis man har bevæget sig til udlandet... oplevede bla. i sommer at SMS'er fra Danmark til USA (på min danske tlf) var op til flere timer forsinket.

Thomas

  • 0
  • 0
Carsten Helsted

Egentlig synes jeg det er fint lige at slappe af med at nye teknikker skal kunne alt fra starten. At kunne komme på NetBank el. tjekke sundhedsoplysninger fra mobilen synes (for mig i hvertfald) ikke at være top-vigtigt.

Et eller andet sted er jeg da glad for at man ikke allerede nu kan benytte mobilen, da det ville have udstillet problemet omkring manglende udlogning fra NetBanker endnu mere.

Hvorfor er tonen altid så evigt hysterisk blandt vores "eksperter" ?

  • 0
  • 0
Casper Bang

Et eller andet sted er jeg da glad for at man ikke allerede nu kan benytte mobilen, da det ville have udstillet problemet omkring manglende udlogning fra NetBanker endnu mere.

Du låner måske meget din tlf. ud til folk du ikke kender?

Hvorfor er tonen altid så evigt hysterisk blandt vores "eksperter" ?

Desværre er det sådan at det kun er eksperter man lytter til. Faktum er jo at det er os, dig om mig, der er kunden i det her foretagende. Og hvis du har fulgt med på Version2, så ved du at der er generel utilfredshed blandt kunderne.

Ja man kommer jo helt i tvivl om NemId mon har hentet feedback fra egentlige slutbrugere ude i marken, det lader ikke til det. Der ligger sikkert en kravspec fra 2007 som nogle høje herrer er blevet enige om i sin tid og som der ikke er rørt ved siden.

  • 0
  • 0
Carsten Helsted

Du låner måske meget din tlf. ud til folk du ikke kender?

Næh, men det er før sket at nogen har "lånt" min telefon uden at spørge?

Jeg har sågar også glemt den i toget en gang...

Desværre er det sådan at det kun er eksperter man lytter til. Faktum er jo at det er os, dig om mig, der er kunden i det her foretagende. Og hvis du har fulgt med på Version2, så ved du at der er generel utilfredshed blandt kunderne

Jada, hvis version2's debatører skal forestille at være den generelle kundeskare? Umiddelbart vil jeg ikke tro at vi der læser version2 udgør et særlig bredt kundesegment.

I øvrigt skrev jeg "eksperter", som skal forstås ironisk. Ekspert er en temlig subjektiv benævnelse.

  • 0
  • 0
Kai Birger Nielsen

Hmm, jeg har lige fået mit NemID brev. Der står 24. september på det, så forhåbentlig er det DanID selv der har haft det lagret i den mellemliggende tid, men jeg har da nået at tænke tanken at der kunne være en anden forklaring.

Nu nåede jeg at tage brevet ud og kigge på det, så måske har jeg byttet rundt på de tre ark, der var indeni, men jeg er næsten sikker på at man i adressefeltet kunne se en 2-D stregkode + et stort C + en lodret placeret nummer der er identisk med nummeret på det medfølgende nøglekort. Desuden kan man tydeligt mærke at der er noget lamineret indeni kuverten. Jeg kom af en eller anden grund til at tænke på de meget anonymt klædte kriminalbetjente fra Olsen-banden filmene.

Er der ikke lige en behjertet sjæl, der ikke har nået at åbne sin kuvert endnu, der kan be-/afkræfte min formodning?
Jeg tror ikke at nummeret på nøglekortet er specielt hemmeligt, men hvorfor skal det stå i adressefeltet?

  • 0
  • 0
Tore Green

Man må betvivle Palle H. Sørens "Ekspert" niveau, når han dømmer en fungerende og eksisterende løsning fra Danske Bank, som midlertidig?

Hvis du følger linket til artiklen om Danske Bank-løsningen vil du se at det er Danske Bank selv der kalder den midlertidig (-fordi der selvfølgelig bør komme en "officiel" NemID-løsning til mobilmarkedet snarest!)

  • 0
  • 0
Per Lind

Jae ham Palle har den Danske etat sgu ikke vaeret saerlig heldig med. Han minder mig om Danmarks mindst teknisk begavede person og saa sidder han og er "ekspert". Der er sgu noget raadent i staten Danmark! Jeg kan lige se ham for mig, fodformede sko og hjemmestrikket sweater fra pædagog konen! Afskaf disse institutioner og udliciter til Dankort, som man jo har gjort alligevel! Det vaerste er nok at han tjaener en del over en halv million i loen om aaret! Foej hvor det lugter af selv optagelse og embeds misbrug!

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize