Lektor: Gør NemID obligatorisk for adgang til Rejsekort

En nyligt rettet fejl i Rejsekortsystemet har givet brugere adgang til andre personers konti. NemID bør være påkrævet for at undgå lignende sikkerhedshuller, mener ekspert.

Rejsekortsystemet har indtil for ganske nyligt ikke skelnet mellem store og små bogstaver i brugernavnet. Det har i flere tilfælde betydet, at brugere har fået adgang til andres konti, hvor man for eksempel kan se rejsehistorikken.

Selvom fejlen nu er rettet, bør Rejsekort A/S tage yderligere midler i brug for at sikre sine kunder, siger Kristian Olesen, der er institutleder på Institut for Datalogi ved Aalborg Universitet, til DR.

»NemID er en gennemprøvet løsning. De fleste har det, det er velfungerende, og så er der trods alt så stor en organisation bag, at man bør kunne sikre sig mod de almindeligt forekommende fejl,« siger Kristian Olesen.

Læs også: Pudsig rejsekort-fejl rettet: Forskel på små og store bogstaver gav adgang til andre brugerkonti

Indtil for nylig tillod selvbetjeningen på rejsekort.dk, at brugerne oprettede sig med enslydende brugernavne, hvis blot der var forskel på små og store bogstaver. Problemet opstod, når en bruger bestilte en ny adgangskode, for her skelnede systemet ikke mellem små og store bogstaver, og brugeren kunne derfor i stedet nulstillede adgangskoden til kontoen med det enslydende brugernavn og efterfølgende få adgang til denne brugers konto.

Lektor Kristian Olesen kalder det for uprofessionelt, at en fejl som den Rejsekortet netop har fikset, har kompromitteret brugerne. Ifølge Rejsekortet A/S har brugere ikke haft adgang til andres bank eller CPR-oplysninger.

Direktør i Rejsekort A/S Bjørn Wahlsten vil nu overveje, om NemID skal være et krav for at komme ind i systemet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rene Madsen

NemID er en gennemprøvet løsning. De fleste har det, det er velfungerende, og så er der trods alt så stor en organisation bag, at man bør kunne sikre sig mod de almindeligt forekommende fejl

NemID sikre ikke mod at dem som implementere resten af systemet ikke har fulgt 101 i brugeradskildelse.

NemID er en dyrtkøbt løsning på et fundementalt designproblem.

Christian Nobel

Hvis rejsekortet overhovedet skal overleve, drop enhver form for personhenførbarhed på det - at sovse det ind i NETS' SSO system er da kun at prøve at standse en ulykke ved at skabe en større ulykke.

»NemID er en gennemprøvet løsning. De fleste har det, det er velfungerende, og så er der trods alt så stor en organisation bag, at man bør kunne sikre sig mod de almindeligt forekommende fejl,« siger Kristian Olesen.

Stor er måske lig sikker, som eksempelvis CSC?

Og er der ikke en stor organisation bag rejsekortet - noget må der da gemme sig bag de 2 milliarder kr.?

Men måske autobranchen har en stor aktie i rejsekortet, for de er da vist dem der får mest ud af alle deres håbløsheder.

Thomas Alexander Frederiksen

Nu er jeg ikke universitetslektor, men jeg har praktisk erfaring med drift og sikkerhed. Om det gør mig til ekspert eller ej skal jeg ikke bedømme, men det her forslag er ca. det sidste jeg ville komme med. Man kan ikke bare bolte et ekstra lag på et system med så grundlæggende designfejl som den her sag har afsløret i rejsekortet, og så forvente at alt er godt - man får i bedste fald bare skabt flere problemer.

Add-on security is not security, sådan sat lidt på spidsen.

Steen Poulsen

Ekspert - klap hat - Vi er blevet lovet at man kunne rejse anonymt - men at bruge NemID vil jo nok lige være det stik modsatte ! - Man snakker om at vi skal spare penge - måske var det snart på tide at lukke Ålborg universitet - så alle de ekspert - som har de mange bizarre ideer, som kommer der fra - kan få frihed til at finde nye jobs ! - det snart for meget !!! de cirkler konstant omkring mere overvågning !! - det også derfra røsterne om Roadprice kommer fra.... flere forslag til indskrænkelser af privatlives fred ???

Thomas Larsen

Jeg synes jeg får brugt engangskoderne på mit papkort hurtigt nok. Hvis rejsekortet også begyndte at kræve NemID-login så ville jeg jo komme til at bruge mere end én engangskode om dagen bare fordi jeg følger almindelig sund fornuft og gerne vil tjekke at mit rejseforbrug rent faktisk er registreret korrekt hos rejsekortet.

Det ville være rigtigt uheldigt hvis lektorens forslag får som konsekvens at brugerne begynder at tjekke deres registreringer mindre hyppigt. Som enhver vil vide er rejsekortets registreringer jo smækfyldt med fejl.

Bo Frese

Det ville være en usability katastrofe at gøre NemID obligatorisk.

Rejsekortet kæmper med rigeligt problemer allerede. En afgørende ting i debatten er brugernes usikkerhed på om deres rejser er registreret korrekt. Derfor har man som Rejsekort bruger et oplagt behov for løbende at checke sine rejsekort registreringer.
Den eneste mulighed for at gøre dette er via Rejsekortets Selvbetjenings side (som iøvrigt ikke er særlig mobil venlig) eller via 3. parts apps som f.eks. "Mine Rejser":
http://appstore.com/minerejser

Men med et obligatorisk NemID login ville begge disse løsninger bryde sammen. Det ville simpelthen tage for lang tid, og være alt for besværligt at checke sine rejseregistreringer, mens man er på farten i en travl hverdag.

Peter Mogensen

... ja det tænkte jeg også. Det er efterhånden sådan at når man ser en artikel-overskridt med ordet "ekspert" i, så ved man at den med stor sandsynlighed totalt misforstår et eller andet.

Anyway ... NemID for at bruge Rejsekort.... hmm... hvad var det nu en ny bil kostede?

Thomas Larsen

Med anonymt rejsekort er der ikke mulighed for Adgang til online selvbetjening.


Hvilket er en total omgang bullshit for der er ikke noget der forhindrer vores venner hos rejsekortet i at give adgang til selvbetjeningsgrænsefladen for anonyme brugere også. De har bare ikke lyst til at gøre det for lækkert for de anonyme brugere fordi det vil gøre det anonyme kort mere attraktivt og det ødelægger jo hele deres Google-inspirerede forretningsmodel.

Claus Tøndering

Min kone og jeg er tit i London og har derfor et anonymt londonsk rejsekort - det såkaldte Oyster Card.

Vi kan tjekke vores saldo online, men vi har hverken opgivet adresse eller telefonnummer. Websitet bad ganske vist om disse oplysninger, men det ville ikke acceptere udenlandske adresser og telefonnumre. Jeg ringede til transportfirmaet og forklarede problemet. Deres svar lød: "Skriv vores adresse i stedet for din egen, og sæt telefonnummeret til lutter nuller." Det virkede fint.

Kristian Sørensen

Ah, jamen så er det vel bare at få implementeret NemID hos lokoførerne på IC-4!

Hvorfor nøjes med lokoførerne?

Indret IC-4 dørene så togføreren kun kan lukke dem før afgang ved at logge ind med sin NemId på en konsel placeret ved hver dør. På den måde sikrer man både sporbarhed om hvem der lukker dørene og at ingen uautoriserede personer sniger sig til at lukke en dør.

Jeg går ud fra at brugerne allerede skal logge på IC-4 toget vha. NemId ved ombordstigning for at oplyse togets sæde reservationssystem om at de er mødt op og klar til at indtage deres reserverede sæde?

Jakob Damkjær

Giver det nu rimelig løsning. Men til appen (periodekort og andre evt lignede apps) ville det være en glædelig nyhed med applepay/touchID eller Google wallet integration ville være bedre.

Alternativt til nemid kunne man vælge en anden 2 Factor løsning som Authy der findes til alle platforme (https://www.authy.com).

Som Google, Microsoft og facebook bruger.... Men som et site/tjeneste der opbevare kreditkort info bør de tilbyde en eller anden form for 2-Factor løsning...

Peter Kyllesbeck

De har bare ikke lyst til at gøre det for lækkert for de anonyme brugere fordi det vil gøre det anonyme kort mere attraktivt


Det anonyme er jo et forsøg på at opfylde et ønske, ellers er der flex
Forskellen på anonym og flex jo netop anonymiteten, dvs
ingen tank-op-aftale, ingen online selvbetjening, ingen mulighed for spærring, kan kun købes i butik.
http://www.rejsekort.dk/koeb-rejsekort/sammenlign-rejsekort.aspx

Thomas Larsen

Er du anonym, når du har knyttet et login til dit taletidskort, og hvor du kan overføre penge til kortet?


Du er tydeligvis lige så sneblind hvad angår mulighederne med anonyme kort som rejsekortets ledelse. Men det er vel heller ikke så underligt hvis man i forvejen har castet sig selv som rejsekortets defensor.

Der er intet i vejen for at lave en løsning hvor et anonymt rejsekort udstedes med et prædefineret login og password (hint: login != email) og hvor den selvbetjeningsgrænseflade man efterfølgende får adgang til alene giver en oversigt over gennemførte rejser.

Peter Kyllesbeck

Du er tydeligvis lige så sneblind hvad angår mulighederne med anonyme kort som rejsekortets ledelse. Men det er vel heller ikke så underligt hvis man i forvejen har castet sig selv som rejsekortets defensor.


Det er jo så din holdning.
Mange har en panisk angst for at deres anonymitet bliver kompromitteret bare de skal betale med et betalingskort. (det gælder også ved rejsekortautomaterne for det 'anonyme' rejsekort).
Og så lige til den sidste sætning. Nej jeg er ikke "rejsekortets defensor", men citerer ofte de gældende regler og betingelse for rejsekortet. Mange har tilsyneladende ikke givet sig tid til at læse dem. Desuden kommer mange med forslag, som mildt sagt ikke er gennemtænkte og kun løser/ændrer den funktion, de netop har fokuseret på, og glemmer, at det skal være brugbart også for andre.

Mange foreslår f. eks. Oyster card (også et MIFARE Classic) men det bruges i et miljø med gates (som udelukker brug af andre billettyper (papir, SMS/smartphone (klippekort) etc)
Mange har f. eks. påpeget den håbløse tank-op-procedure for Rejsekortet, men læs hvordan det er for Oyster:
http://en.wikipedia.org/wiki/Oyster_card#Online_and_telesales

Oyster card ticket renewals and pay-as-you-go top-ups made online allow users to make purchases without the need to go to a ticket office or vending machine. However there are certain limitations to this system:

  • tickets and pay-as-you-go funds can only be added to the
    Oyster card from the day after purchase (if bought online);
  • users must select a station or tram stop where they must
    touch in or out as part of a normal journey to complete the purchase (as cards cannot be credited remotely);
  • users must nominate the station in advance – failure to
    enter or exit via this station means that the ticket is not added to the card;
  • tickets purchased in this way cannot be added from a bus
    reader (due to these not being fixed in a permanent location)

Samme sted er der også noget om 'privacy'. http://en.wikipedia.org/wiki/Oyster_card#Privacy

For Rejsekortet er plads til (mange) forbedringer i back-end-systemet, men det fysiske kort og læsere er standard.

Rejsekortet er MiFare Classic med 4k RAM.
Det følger ISO 14443A, som er den altdominerende standard for
rejsekort.
MiFare Classic er tilsvarende det mest gængse type rejsekort med
100+ mio. kort i brug verden over.

Henrik Bøgh

Mange foreslår f. eks. Oyster card (også et MIFARE Classic) men det bruges i et miljø med gates (som udelukker brug af andre billettyper (papir, SMS/smartphone (klippekort) etc)


Aaaahhh... Finsbury Park er f.eks. kun delvist dækket af ticket barriers. Kommer du fra en retning skal du forbi en stander. Kommer du fra en anden skal du igennem en barrier gate. Du kan også bruge Oyster Card på busser og der er der ingen barriers overhovedet. I øvrigt tillader TFL også contact less credit card betalinger.

Forskellen er vist primært her, at Londons zonesystem er mindre tåget end det danske og at de har bedre procedurer for at håndtere incomplete journeys.

Peter Kyllesbeck

Du kan også bruge Oyster Card på busser og der er der ingen barriers overhovedet. I øvrigt tillader TFL også contact less credit card betalinger.


Jeg tror vi kan være enige om, at contact less credit card og de øvrige metoder nævnt alle er baseret på NFC.
Nu er dørene vel en form for barriers, der gør det nemmere at huske 'to touch your card on a contactless card reader'.

Most contactless payments are made with cards. However, mobile phone payments, key fobs, stickers and other methods of contactless payment are becoming more common.
Some of these other methods of contactless payment will be accepted on our services.

Svjv gør zonesystemet (og takstsystemt) det også enklere i London, da busser ofte kun kører i en zone og 'touch' kun er nødvendig ved indstigning.
Men der er både yelleow og pink card readers på nogle stationer.

bedre procedurer for at håndtere incomplete journeys.

Ja måske for 'refunds', men 'staffen' for manglende check/'touch' er max fare. (dummebøden) ;-)

Jesper Rasmussen

Ja de forskellige apps vil ikke have chance hvis man skal bruge nem-id til login.
Ja altså lige bortset fra Caspers rejsekort scanner selvfølgelig.

Selvom jeg har lavet app'en Mit Rejsekort, og derfor er farvet af at miste mine brugere hvis man skal bruge nem-id til login, synes jeg nu stadig, som helt alm bruger, at det er umanerligt bøvlet at skulle hive papkortet frem bare for at checke sin saldo.
Derudover har jeg mange brugere som har oprettet flere konti i app'en så de kan checke alle familiens rejsekort et samlet sted, og uden at skulle logge på 4-5 gange. App'en checker også automatisk for opdateringer på kortene, og det ville naturligvis også dø, hvis man ikke kan logge ind med et simpelt brugernavn/adgangskode.

Så nej, det er et utroligt dårligt foreslag.

Log ind eller Opret konto for at kommentere