Eksperter revser MitID: »Det fungerer ikke«

Det kan være, at professoren skulle gøre sig sin titel værdig og faktisk undersøge i stedet for at erindre. Søger man på NemID bare her på version2.dk, så finder man 70 siders søgeresultater. De strækker sig over:

• I hørte det her først: NemID dropper at overholde EU lovkrav til digitale signaturer, fordi det er for dyrt (og her henviser de til, at man ville skulle verificeres med sit pas). Et oldgammelt problem, man har udskudt og udskudt, og nu har vi endelig en utroligt forsinket løsning med MitID: https://www.version2.dk/artikel/ny-digital-signatur-foelger-ikke-loven-det-var-dyrt
• NemID forsinkelser igen og igen
• NemID i sort på lanceringsdatoen
• NemID lægger CPR-registret (og version2.dk) ned
• NemID volder problemer for udlandsdanskere
• NemID der ikke virker i andet end Internet Explorer
• Nemid.dk er ikke den officielle side, det er nemid.nu
• NemID der ikke virker fra mobiltelefoner pga. Java og forældet teknologi
• NemID skal laves helt om forfra, fordi nøglerne ligger centralt
• Løbende certifikatproblemer, der lægger NemID ned
• osv. osv.

Og denne artikel om NemID er jo nærmest et deja-vu til i dag:https://www.version2.dk/artikel/it-advokat-til-nemid-kritikere-saet-dog-tingene-i-perspektiv

NemID og nu også MitID har i mange år været et emne der kan få mange teknikkyndige læseres blod i kog. Noget kritik er bestemt berettiget, men langt det meste af det skyldes i mine øjne manglende indsigt i området, der er ekstremt komplekst når man dykker ned under kølerhjelmen og ser, hvilke krav løsningen rent faktisk skal leve op til.
Jeg tænker det ville have hævet kvaliteten af denne artikel voldsomt, hvis de to forskere - og måske journalisten bag(?) - havde sat sig lidt ind i NSIS standarden ( ikke mindst kravene fra den underliggende eIDAS forordning fra EU) samt de krav bankerne står over for fra PSD2 ift. autentifikation og autorisation af banktransaktioner. Så kunne man på et kvalificeret grundlag diskutere, hvilket sikringsniveau, der skal til for hvilke typer af tjenester, samt hvordan man bedst opfylder de forskellige krav til sikkerhedsniveauerne. Det er helt fair at have en holdning til brugeroplevelsen og være irriteret over Borgerservice's nye rolle ift. MitID. Men at bebrejde systemet for stærke koblinger og integrationsproblemer udstiller kun kritikerens manglende indsigt.

Det lyder ikke, som om MitID bliver klar til mig. inden fristen udløber 31/10.

Nå, så længe NETS kan sende mig en SMS, hver gang jeg handler fødevarer på mit Dankort er det vel OK? Og ellers???

Er der IT-kyndige folk i DK? Næppe - måske er imdervisningen problemet. Og så hjælper open source jo heller ikke. Det er synd for de andre ingeniører, som skal bruge IT i deres fag.

Jeg er ikke tryg ved 2-faktor sikkerheden i mitid. Mange (de fleste?) bruger biometrisk id som godkendelse på deres telefoner. Enten fingeraftryk eller ansigtsgenkendelse. Dermed er meget af sikkerheden overladt til noget software på pågældende device. Den software har myndighederne ingen kontrol over, heller ikke dens kvalitet. Min egen telefon godkender indimellem håndfladen eller andre dele af fingeren. Det kan betyde, at du bare skal stjæle (eller låne) en telefon og gætte det selvvalgte brugernavn for at kunne misbruge mitid. For at opnå samme sikkerhed som nemid skal vi nu behandle vores telefoner som vi behandler vores nøglekort. Eller har jeg misforstået noget?

Som anden infrastruktur, så bør NemID/MitID være ejet af staten og open source, så at man osse kunne samarbejde med andre stater om at lave en fælles løsning med flere øjne på kvalitet, sikkerhed, aftestning, integration osv. Det er gjort før! Bare spørg de danske biblioteker, der samarbejder om at lave open source software til deres fælles/delte behov https://github.com/DBCDK

Oveni problemet med at MitID ofte ikke virker, så skal man bruge et Dansk pas med RIF brikke (og en telefon der kan læse denne). Ellers er der borgerservice næste. Men nu er der faktisk også ret mange i Danmark som ikke har et Dansk pas. Så for os er der kun borgerservice der er løsningen.

Det er et reelt problem (ike kun i Danmark - jeg ser det samme i Norge) at der laves digitale løsninger der ikke fungerer for:

• Pendlere med adresse i et andet land (eks. Norge, Sverige, Tyskland)
• Beboere uden Dansk pas (fra eks. Norge, Sverige, Tyskland)

Vi har alle arbejde i Danmark, betaler fuld skat og bidrager ellers til samfundet som om vi var Danske statsborgere.

Blot endnu et eksempel på hovedløs digitalisering.

Det er altid spændende at læse alle de her skrækhistorier. Jeg installerede MitID lige så snart min bank gav mig muligheden, og da den erhvervskonto min forening benytter åbnede for MitID nød jeg at jeg nu kunne bruge min private MitID og ikke skulle holde styr på et større antal NemID afhængig af de roller jeg havde i forskellige sammen. Datamodellen er tydeligvis ændret i forhold til NemID. Og bortset fra driftsproblemer hos Nets har det bare kørt. Jeg har også installeret det for min mor på 91½ og hun har heller ikke problemer med det. Det spiller bare.

Hihi:https://www.dr.dk/nyheder/seneste/fn-kaarer-danmark-som-verdensmester-i-digital-infrastruktur

Noget tyder altså på, at digitaliseringen ikke kan gøres bedre :-(

Det burde vel få nogen til at tænke sig om en ekstra gang. Måske er fremtiden slet ikke fortsat fuld fart frem med hovedet under armen? Måske er det lige en tand for skruppelløst? Hvis de mennesker overhovedet har evnen til at have skrupler.

Digitaliseringen - du ved, den med "fuld fart frem, hovedet under armen" - er simpelthen blevet politikeres og IT-toplederes private ka(m)pløb om kæmpebonusser og galopperende aktiekurser og svingdørskarrierer. Intet sted er der længere fokus på kerneopgaven: At skabe gode løsninger for samfundet.

Her er et par eksempler mere:"Op mod 2 millioner borgere forhindres i fuldt at bruge bus, tog og særtilbud på grund af trafikselskabernes digitale krav, siger rapport. Kan være i strid med handikapkonventionen, siger Institut for Menneskerettigheder. "https://politiken.dk/indland/art8981290/Borgere-uden-sk%C3%A6rme-eller-it-evner-skubbes-v%C3%A6k-fra-den-kollektive-trafik

" Eva Lise Bendixen har opgivet at købe DSB-billetter på nettet: »Så er jeg også fri for ydmygelsen, når jeg erkender, at jeg ikke kunne finde ud af det« Borgere forhindres i at købe Orange-billetter i skranken i billetsalget på landets stationer."https://politiken.dk/indland/art8985825/Eva-Lise-Bendixen-har-opgivet-at-k%C3%B8be-DSB-billetter-p%C3%A5-nettet-%C2%BBS%C3%A5-er-jeg-ogs%C3%A5-fri-for-ydmygelsen-n%C3%A5r-jeg-erkender-at-jeg-ikke-kunne-finde-ud-af-det%C2%AB

Hvordan får vi vendt den udvikling? De har jo simpelthen sat sig på alle beslutningsgangene, og ganske som selve digitaliseringen er beslutningsgangene blevet så altomfattende og uigennemskuelige, at dette snyltelag kan boltre sig, uden at menigmand har en chance for at gennemskue, hvem man evt. skal stemme på i stedet for at få det ændret. Hvis der overhovedet er nogle folkevalgte alternativer.

Måske er første skridt at insistere på, at Mørklægningsloven revideres, så vi faktisk har en chance for at se, hvem der gør hvad. Men netop derfor bliver den nok aldrig ændret - ikke til det bedre, i hvert fald.

MitID WWW login brugergrænsefladen er i sig selv et sikkerhedsproblem, da der spørges om brugerid og kodeord via 2 forskellige dialoger, der endvidere ser ens ud. Det vil sige at borgeren skal nærlæse dialogteksten for at finde ud af hvad dialogen beder om, hvilket giver både discoverability og feedback problemer.

Dette giver i forbindelse med MitID blandt andet ophav til forskellige sikkerhedsproblemer, som for eksempel:

• De anvendte dialoger kan forvirre borgere og giver efterfølgende avalability problemer — hvilket jeg selv har set hos især ældre borgere, og dokumenteres af artiklen.
• Grænsefladen kan imidlertid også let bringes til at lække brugerid information, der kan misbruges til et denial of service angreb på mere eller mindre tilfældige borgeres MitID adgang. Dette kan medføre at borgernes tillid til systemet forringes.

Disse problemer i forbindelse med brugervalidering har været kendt og løst de sidste 50 år, så man kan undre sig over at de usability- og sikkerheds-eksperter der (forhåbentligt) har været spurgt, ikke har reageret på dette.

Dette valg bunder muligtvis i et tidligere design af MitID funktionaliteten, der siden er blevet ændret. Man har imidlertid på det tidspunkt valgt enten ikke at genoverveje grænsefladedesignet, eller at lappe på den eksisterende grænseflade — uden fuldt at gennemskue konsekvenserne af valget.

At ændre på grænsefladen på nuværende tidspunkt kan imidlertid forventes at skabe yderligere forvirring.

Ringere sikkerhed end men NemID? Har man trukket landet igennem dette kaos, og torteret hundredetusinder af sårbare borgere i en grad, så de er kronisk stressede nu, for at opnå ringere sikkerhed? Eller er det for at opnå gyldne bonusser og overskud og statsautoriseret korruption, blæse være med befolkningen? Det burde få konsekvenser et eller andet sted.

Men hvordan gør man det, når det ser ud til at selve Nets har udviklet sig til et "single point of failure"?:

"»Fordi de har designet systemet. Hvis der ikke er nok eksperter, der hjælper Digitaliseringsstyrelsen, så vil myndigheden ikke kunne løse disse problemer, fordi de ikke nødvendigvis er eksperter i et system, der er udviklet af en ekstern leverandør, som – forhåbentlig – kender alle detaljerne i, hvordan systemet er kodet.«"

Så vi er håbløst og hovedløst bundet til Nets, og hvis Nets går ned - eller beholder alle de IT-folk, som har indsigt i systemet, ved salget - så kan vi ikke rigtigt drive MitId mere? Hvad gør vi så?

Hvem er de idioter, som er ansvarlige for dette endnu et eksempel på fuldstændig hovedløs digitalisering? De bør forklare sig, så mistanken om lidt rigelig smøring undervejs kan manes i jorden.

Måske er det erkendelsen af MitID som en dødssejler i længden, som pludseligt har givet NETS trang til at springe overbord og sælge?

DR har en god artikel i dag om, hvor amatøragtigt det hele er gennemført, og hvor hjælpeløse vi nu er overfor NETS:https://www.dr.dk/nyheder/indland/nemid-og-mitid-skal-saelges-det-er-elendig-timing