Eksperter revser MitID: »Det fungerer ikke«

Plus29. september kl. 05:0015
MitID, App, Digitaliseringsstyrelsen
Illustration: Pr-Foto.
Dårligt design og ringere sikkerhed end NemID karakteriserer MitID-løsningen, mener akademiske eksperter. Digitaliseringsstyrelsen afviser kritikken.
Artiklen er ældre end 30 dage

»Der er noget galt med MitID.«

Sådan lyder det klart i mælet fra Carsten Schürmann, der er professor ved IT-Universitetet i København.

»En kollega har lige fortalt mig, at han skulle logge ind i sin bank, og der var et problem – det virkede ikke. Autentifikationen med MitID virkede, men der var noget galt med bankens server. Han prøvede et par gange og mistede så adgangen sit MitID. Nu er han nødt til at gå til borgerservice, fordi hans ID er blokeret.  Brugerflade-aspektet er ikke gennemtænkt nok, og det bør rettes hurtigst muligt.«

Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip? Log ind east
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
15 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
15
20. oktober kl. 19:03

Det kan være, at professoren skulle gøre sig sin titel værdig og faktisk undersøge i stedet for at erindre. Søger man på NemID bare her på version2.dk, så finder man 70 siders søgeresultater. De strækker sig over:

  • I hørte det her først: NemID dropper at overholde EU lovkrav til digitale signaturer, fordi det er for dyrt (og her henviser de til, at man ville skulle verificeres med sit pas). Et oldgammelt problem, man har udskudt og udskudt, og nu har vi endelig en utroligt forsinket løsning med MitID: https://www.version2.dk/artikel/ny-digital-signatur-foelger-ikke-loven-det-var-dyrt
  • NemID forsinkelser igen og igen
  • NemID i sort på lanceringsdatoen
  • NemID lægger CPR-registret (og version2.dk) ned
  • NemID volder problemer for udlandsdanskere
  • NemID der ikke virker i andet end Internet Explorer
  • Nemid.dk er ikke den officielle side, det er nemid.nu
  • NemID der ikke virker fra mobiltelefoner pga. Java og forældet teknologi
  • NemID skal laves helt om forfra, fordi nøglerne ligger centralt
  • Løbende certifikatproblemer, der lægger NemID ned
  • osv. osv.

Og denne artikel om NemID er jo nærmest et deja-vu til i dag:https://www.version2.dk/artikel/it-advokat-til-nemid-kritikere-saet-dog-tingene-i-perspektiv

12
29. september kl. 16:22

NemID og nu også MitID har i mange år været et emne der kan få mange teknikkyndige læseres blod i kog. Noget kritik er bestemt berettiget, men langt det meste af det skyldes i mine øjne manglende indsigt i området, der er ekstremt komplekst når man dykker ned under kølerhjelmen og ser, hvilke krav løsningen rent faktisk skal leve op til.
Jeg tænker det ville have hævet kvaliteten af denne artikel voldsomt, hvis de to forskere - og måske journalisten bag(?) - havde sat sig lidt ind i NSIS standarden ( ikke mindst kravene fra den underliggende eIDAS forordning fra EU) samt de krav bankerne står over for fra PSD2 ift. autentifikation og autorisation af banktransaktioner. Så kunne man på et kvalificeret grundlag diskutere, hvilket sikringsniveau, der skal til for hvilke typer af tjenester, samt hvordan man bedst opfylder de forskellige krav til sikkerhedsniveauerne. Det er helt fair at have en holdning til brugeroplevelsen og være irriteret over Borgerservice's nye rolle ift. MitID. Men at bebrejde systemet for stærke koblinger og integrationsproblemer udstiller kun kritikerens manglende indsigt.

14
29. september kl. 17:26

Undskyld men de standarder og forordninger skal alle i EU overholde så jeg har lidt svært ved at forestille mig at kravene til den danske løsning er meget anderledes end dem til den franske, svenske eller hollandske løsning.

Hovedproblemet i Danmark er at alt skal tvinges ind over MitID uden nogen reel grund ud over at sådan vil politikerne have det (sandsynligvis udelukkende for at myndighederne skal kunne følge med i hvad hansen, jensen og thorvaldsen foretager sig).

Gad vide om jeg får lov til at bestille mit nye tag uden MitID.

13
29. september kl. 16:29

Jeg kan ikke vurdere, om du har ret i dette, Anders Højbjerg Andersen. Det kan sagtens tænkes. Men det ændrer ikke ved, at det er helt uacceptabelt, at man har tvunget løsningen igennem på en måde, hvor hundredetusinder af borgere lades i stikken. På den led er det prototypen på mislykket og uacceptabel digitalisering - i mine øjne en form for magtmisbrug.

11
29. september kl. 16:18

Det lyder ikke, som om MitID bliver klar til mig. inden fristen udløber 31/10.

Nå, så længe NETS kan sende mig en SMS, hver gang jeg handler fødevarer på mit Dankort er det vel OK? Og ellers???

Er der IT-kyndige folk i DK? Næppe - måske er imdervisningen problemet. Og så hjælper open source jo heller ikke. Det er synd for de andre ingeniører, som skal bruge IT i deres fag.

10
29. september kl. 15:06

Jeg er ikke tryg ved 2-faktor sikkerheden i mitid. Mange (de fleste?) bruger biometrisk id som godkendelse på deres telefoner. Enten fingeraftryk eller ansigtsgenkendelse. Dermed er meget af sikkerheden overladt til noget software på pågældende device. Den software har myndighederne ingen kontrol over, heller ikke dens kvalitet. Min egen telefon godkender indimellem håndfladen eller andre dele af fingeren. Det kan betyde, at du bare skal stjæle (eller låne) en telefon og gætte det selvvalgte brugernavn for at kunne misbruge mitid. For at opnå samme sikkerhed som nemid skal vi nu behandle vores telefoner som vi behandler vores nøglekort. Eller har jeg misforstået noget?

9
29. september kl. 13:57

Som anden infrastruktur, så bør NemID/MitID være ejet af staten og open source, så at man osse kunne samarbejde med andre stater om at lave en fælles løsning med flere øjne på kvalitet, sikkerhed, aftestning, integration osv. Det er gjort før! Bare spørg de danske biblioteker, der samarbejder om at lave open source software til deres fælles/delte behov https://github.com/DBCDK

7
29. september kl. 11:54

Oveni problemet med at MitID ofte ikke virker, så skal man bruge et Dansk pas med RIF brikke (og en telefon der kan læse denne). Ellers er der borgerservice næste. Men nu er der faktisk også ret mange i Danmark som ikke har et Dansk pas. Så for os er der kun borgerservice der er løsningen.

Det er et reelt problem (ike kun i Danmark - jeg ser det samme i Norge) at der laves digitale løsninger der ikke fungerer for:

  • Pendlere med adresse i et andet land (eks. Norge, Sverige, Tyskland)
  • Beboere uden Dansk pas (fra eks. Norge, Sverige, Tyskland)

Vi har alle arbejde i Danmark, betaler fuld skat og bidrager ellers til samfundet som om vi var Danske statsborgere.

Blot endnu et eksempel på hovedløs digitalisering.

6
29. september kl. 11:52

Det er altid spændende at læse alle de her skrækhistorier. Jeg installerede MitID lige så snart min bank gav mig muligheden, og da den erhvervskonto min forening benytter åbnede for MitID nød jeg at jeg nu kunne bruge min private MitID og ikke skulle holde styr på et større antal NemID afhængig af de roller jeg havde i forskellige sammen. Datamodellen er tydeligvis ændret i forhold til NemID. Og bortset fra driftsproblemer hos Nets har det bare kørt. Jeg har også installeret det for min mor på 91½ og hun har heller ikke problemer med det. Det spiller bare.

8
29. september kl. 12:01

Det er vel sådan set forholdsvis irrelevant, at det går rigtigt godt hos nogen, når det går helt elendigt, eller slet ikke, hos andre?

4
29. september kl. 09:57

Digitaliseringen - du ved, den med "fuld fart frem, hovedet under armen" - er simpelthen blevet politikeres og IT-toplederes private ka(m)pløb om kæmpebonusser og galopperende aktiekurser og svingdørskarrierer. Intet sted er der længere fokus på kerneopgaven: At skabe gode løsninger for samfundet.

Her er et par eksempler mere:"Op mod 2 millioner borgere forhindres i fuldt at bruge bus, tog og særtilbud på grund af trafikselskabernes digitale krav, siger rapport. Kan være i strid med handikapkonventionen, siger Institut for Menneskerettigheder. "https://politiken.dk/indland/art8981290/Borgere-uden-sk%C3%A6rme-eller-it-evner-skubbes-v%C3%A6k-fra-den-kollektive-trafik

" Eva Lise Bendixen har opgivet at købe DSB-billetter på nettet: »Så er jeg også fri for ydmygelsen, når jeg erkender, at jeg ikke kunne finde ud af det« Borgere forhindres i at købe Orange-billetter i skranken i billetsalget på landets stationer."https://politiken.dk/indland/art8985825/Eva-Lise-Bendixen-har-opgivet-at-k%C3%B8be-DSB-billetter-p%C3%A5-nettet-%C2%BBS%C3%A5-er-jeg-ogs%C3%A5-fri-for-ydmygelsen-n%C3%A5r-jeg-erkender-at-jeg-ikke-kunne-finde-ud-af-det%C2%AB

Hvordan får vi vendt den udvikling? De har jo simpelthen sat sig på alle beslutningsgangene, og ganske som selve digitaliseringen er beslutningsgangene blevet så altomfattende og uigennemskuelige, at dette snyltelag kan boltre sig, uden at menigmand har en chance for at gennemskue, hvem man evt. skal stemme på i stedet for at få det ændret. Hvis der overhovedet er nogle folkevalgte alternativer.

Måske er første skridt at insistere på, at Mørklægningsloven revideres, så vi faktisk har en chance for at se, hvem der gør hvad. Men netop derfor bliver den nok aldrig ændret - ikke til det bedre, i hvert fald.

3
29. september kl. 09:35

MitID WWW login brugergrænsefladen er i sig selv et sikkerhedsproblem, da der spørges om brugerid og kodeord via 2 forskellige dialoger, der endvidere ser ens ud. Det vil sige at borgeren skal nærlæse dialogteksten for at finde ud af hvad dialogen beder om, hvilket giver både discoverability og feedback problemer.

Dette giver i forbindelse med MitID blandt andet ophav til forskellige sikkerhedsproblemer, som for eksempel:

  • De anvendte dialoger kan forvirre borgere og giver efterfølgende avalability problemer — hvilket jeg selv har set hos især ældre borgere, og dokumenteres af artiklen.
  • Grænsefladen kan imidlertid også let bringes til at lække brugerid information, der kan misbruges til et denial of service angreb på mere eller mindre tilfældige borgeres MitID adgang. Dette kan medføre at borgernes tillid til systemet forringes.

Disse problemer i forbindelse med brugervalidering har været kendt og løst de sidste 50 år, så man kan undre sig over at de usability- og sikkerheds-eksperter der (forhåbentligt) har været spurgt, ikke har reageret på dette.

Dette valg bunder muligtvis i et tidligere design af MitID funktionaliteten, der siden er blevet ændret. Man har imidlertid på det tidspunkt valgt enten ikke at genoverveje grænsefladedesignet, eller at lappe på den eksisterende grænseflade — uden fuldt at gennemskue konsekvenserne af valget.

At ændre på grænsefladen på nuværende tidspunkt kan imidlertid forventes at skabe yderligere forvirring.

1
29. september kl. 08:15

Ringere sikkerhed end men NemID? Har man trukket landet igennem dette kaos, og torteret hundredetusinder af sårbare borgere i en grad, så de er kronisk stressede nu, for at opnå ringere sikkerhed? Eller er det for at opnå gyldne bonusser og overskud og statsautoriseret korruption, blæse være med befolkningen? Det burde få konsekvenser et eller andet sted.

Men hvordan gør man det, når det ser ud til at selve Nets har udviklet sig til et "single point of failure"?:

"»Fordi de har designet systemet. Hvis der ikke er nok eksperter, der hjælper Digitaliseringsstyrelsen, så vil myndigheden ikke kunne løse disse problemer, fordi de ikke nødvendigvis er eksperter i et system, der er udviklet af en ekstern leverandør, som – forhåbentlig – kender alle detaljerne i, hvordan systemet er kodet.«"

Så vi er håbløst og hovedløst bundet til Nets, og hvis Nets går ned - eller beholder alle de IT-folk, som har indsigt i systemet, ved salget - så kan vi ikke rigtigt drive MitId mere? Hvad gør vi så?

Hvem er de idioter, som er ansvarlige for dette endnu et eksempel på fuldstændig hovedløs digitalisering? De bør forklare sig, så mistanken om lidt rigelig smøring undervejs kan manes i jorden.

Måske er det erkendelsen af MitID som en dødssejler i længden, som pludseligt har givet NETS trang til at springe overbord og sælge?

DR har en god artikel i dag om, hvor amatøragtigt det hele er gennemført, og hvor hjælpeløse vi nu er overfor NETS:https://www.dr.dk/nyheder/indland/nemid-og-mitid-skal-saelges-det-er-elendig-timing

2
29. september kl. 08:55

Hvem er de idioter, som er ansvarlige for dette endnu et eksempel på fuldstændig hovedløs digitalisering? De bør forklare sig, så mistanken om lidt rigelig smøring undervejs kan manes i jorden.

Jamen de ansvarlige er politikerne på Chrristiansborg... og de har jo næsten altid den undskyldning at det var forgængeren som gjorde det.

Det værste er jo at der findes næsten "of the shelf" løsninger som gør EKSAKT det samme som NemID og MitID gør til billigere penge og det eneste det i virkeligheden kræver er et CA som er drevet af staten. Det ville gøre det langt mere fleksibelt og ville være billigere at implementere i forsk. andre løsninger og det kunne også implementeres internationelt. Borgeren ville fortsat have en brik a'la NemID / MitID (også "of the shelf" f.eks. en YubiKey) og alt ville køre på helt alm. certifikater.

...og det har utallige mennesker talt højt og lavt om utallige steder men politikerne er ramt af "Not Invented Here" syndromet og danske virksomheder er naturligvis mere end glade for at genopfinde den dybe tallerken og sælge den dyrt.

Det tætteste vi har haft på en rimelig standard løsning var TDC's SikkerPost løsning fra eDag2, den hedder i øvrigt SEPO (ikke at forvæksle med SäPo det svenske PET) - det er græsseligt.