Her er statens bedste bud på mobil NemID-løsning

30. april 2012 kl. 06:5919
En analyse af forskellige tekniske muligheder for at få NemID på mobilen peger på en webbaseret løsning uden engangskoder. Skal sikkerheden være højere, skal login ske gennem en applikation på telefonen.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

NemID skal også kunne bruges på mobilen, men hvordan den nød knækkes, er Digitaliseringsstyrelsen i gang med at tænke over.

To analyser af forskellige løsninger har nemlig vist, at det enten bliver væsentligt dyrere at udvikle end de 8 millioner kroner, der var afsat, eller at sikkerheden skal sænkes i mobilløsningen.

Her er de løsninger, som får den bedste vurdering i analyserne, som Rambøll står bag.

Højeste sikkerhedsniveau: Lokal applikation er bedst

I den første analyse, hvor udgangspunktet er samme sikkerhedsniveau som NemID på desktoppen, peger pilen på lokale applikationer, der så skal udvikles til Android, iOS og Windows Phone.

Artiklen fortsætter efter annoncen

Forskellige bud på en ren webbaseret løsning, hvor man logger ind via browseren på mobilen, bliver forkastet som enten teknisk umulig eller for usikker. Hybrid-løsninger, hvor lokale applikationer bliver kombineret med webløsninger, er mindre brugervenlige end en ren app-løsning, lyder konklusionen.

Dermed er det to løsninger med login via lokalt installerede applikationer, som trækker det længste strå. Konceptet her er, at de forskellige tjenesteudbydere, altså for eksempel Skat, kan udvikle en mobil-applikation, der rummer en centralt udviklet NemID-komponent, nemlig et såkaldt statisk indlejret bibliotek, der kommunikerer med serverne hos DanID.

Da bankerne er på vej med en løsning, der bruger samme princip, vil man kunne genbruge kode til denne komponent, lyder det.

En variant deler opgaverne op, så brugerne skal installere en dedikeret NemID-applikation, som kun står for kontakten til DanID, mens en anden applikation så står for login og selve den service, som brugeren ønsker. Dermed skal man downloade to applikationer for at komme i gang.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Men denne løsning kræver, at applikationerne kan ’kalde’ hinanden på telefonen, hvilket Windows Phone 7 ikke understøtter. I version 8 af Microsofts mobilplatform skulle den funktion dog være på plads.

Disse to mobil-app-bårne løsninger lå altså bedst placeret i vurderingen af forskellige løsninger - men var som sagt for dyre.

Derfor tog Digitaliseringsstyrelsen og Rambøll en runde 2 med en ny analyse, hvor sikkerhedskravene blev sænket.

Lavere sikkerhedsniveau: Webproxy er billigst

I stedet for at bruge en engangskode fra papkortet ved hvert login, blev der set på løsninger, hvor man kunne logge på med NemID på desktoppen og så aktivere mobiladgang og få login-koder til formålet - på samme måde som bankerne giver mobiladgang til netbank.

Artiklen fortsætter efter annoncen

Her er det en webbaseret løsning, der vinder skønhedskonkurrencen.

Tanken er her, at en bruger ligesom på desktoppen logger på via browseren. Men i stedet for at blive præsenteret for den fulde, Java-drevne NemID-login, sendes mobil-brugeren videre til en anden webside for at logge ind med mobil-NemID-koderne.

Efter vellykket login ekspederes brugeren tilbage til tjenesten, dog med et stort stempel i panden om, at der blev brugt et lavere sikkerhedsniveau end med fuld NemID, og at adgangen til fx personfølsomme oplysninger så skal tilpasses. Det er heller ikke muligt at bruge signering.

Det smukke ved denne løsning er mulighed for at få den klar hurtigere end de andre. NNIT, som driver Nemlogin.dk, kan nemlig få opgaven uden et nyt, tidskrævende udbud, fordi opgaven kan tilføjes den eksisterende kontrakt. Og med en samlet pris på 7-13 millioner kroner er løsningen væsentligt billigere end alternativerne, fordi der ikke skal udvikles og opdateres en applikation til tre platforme, ligesom tjenesteudbyderne som en kommune eller Skat heller ikke har store udgifter.

På minus-siden er risikoen for man-in-the-middle-angreb, hvor en hacker kan efterligne den officielle mobil-login-webside og lokke brugerne til. Her foreslår rapporten forskellige tricks til at mindske problemet, for eksempel at login-siden skal vise et billede eller et spørgsmål, som brugeren selv på forhånd har valgt.

Hvilken løsning, det ender med, afhænger nu af en ny analyse, som Digitaliseringsstyrelsen har sat i gang, nemlig en afdækning af, hvordan mobil NemID-adgang vil blive brugt, og om det er en gangbar vej at skrue ned for sikkerhedsniveauet for mobil adgang, på samme måde som bankerne har gjort det.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
Per Lind
1. maj 2012 kl. 20:14

Hol da kaje for nogle klaphatte i Digitaliseringsstyrelsen!

Der findes et meget højere sikkerheds niveau end de viste eksempler ved at bruge voice biometrics som sign op og authentication process!!!! Derudover får mange af de svageste i samfundet mulighed for ikke at rende rundt med en nåleskov pap i baglommen for at bruge UnemID! Tåberne hos IT Styrelsen og hos UnemID er så over kloge at de ikke kan se skoven for bare træer. Der er noget som stinker i kongeriget Danmark!!!

Vågn nu op og tag et kik på en teknologi som kan hjælpe de Danske borgere og næsten udrydde snyd og bedrageri! (For alle kvaksalverne der kommenterer her, bemærk venligst at der blev sagt "NÆSTEN"!)

Det er utroligt at i disse "oplyste" tider at det er embedsidioter som sidder i disse offentlige organer og "ved" at de ved altså bedst!

Opskriften haves og kan vises til en uvildig journalist!

  • more_vert
    • insert_linkKopier link
15
Hans Schou
30. april 2012 kl. 23:00

Det er meget fornuftigt at der er nogen der tænker over hvordan man kan lave en løsning der virker med smartphones, for det er jo hvad de unge bruger, og det er nok også fremtidens løsning.

I lørdags (d. 2012-04-28) var der dog det problem, et en hel del banker måtte reklamere med, at det ikke helt var så godt. Jyske Bank formulerede det således: »En farlig virus er i omløb, som kan hacke kunders pc og derigennem opsamle brugerID, kodeord og nøgler. Et faresignal kan blandt andet være, at der i login-boksen på forsiden af netbanken står et andet pengeinstitutnavn end Jyske Bank. Pengeinstitutnavnet står oven over feltet hvor brugerID skal indtastes. Hvis du oplever dette eller andre uregelmæssigheder i forbindelse med logon på netbanken, skal du kontakte Jyske Banks Helpdesk. Ved henvendelse udenfor Helpdesks åbningstid, kan følgende mailboks anvendes: nemid-support@jyskebank.dk« Det står der nok endnu: https://www.jyskenetbank.dk/

Problemet skyldes bl.a. at man henter noget HTML fra Jyske Bank. Herefter henter man noget Java-jar fra applet.danid.dk. Her er det så at den trojanske hest/virus skriver i /etc/hosts eller hvad den hedder på Windows, og så får applet.danid.dk et andet IP-nummer - som er styret af den kriminelle. NemID har allerede for nogle uger siden lært deres brugere, at hvis de ser en sikkerhedsadvarsel om at der er noget galt, så skal de bare ignorer den.http://www.version2.dk/artikel/danids-support-se-bort-fra-sikkerhedsadvarsel-44433

Så det problem man står med nu, er at man har nogle borgere som er meget opmærksomme på afvigelser, de har et godt opdateret EDB-miljø, hvor borgeren af en eller anden årsag har tillid til det meste af sin software. og alligevel er der nogle af disse der bliver ramt af den slags.

Pyh-ha. Og nu vil man så til at lave mobile apps! Og udråbstegn igen! Jeg ved ikke hvor meget tillid I har til de apps i installere på Jeres smartphones, men min er altså ret begrænset. Igen og igen høre man om apps der skal have adgang til dette og hint (GPS, foto og hvad ved jeg), og NemID der skanner borgernes PC'er for data, og nu forestiller man sig så at borgerne frivilligt vil installere spionsoftware på deres egen smartphone? Nej, det går ikke!. Min tillid til facebook er ret begrænset, så det site har jeg tildelt ip-nummeret 127.1 i min /etc/hosts fil. Sådan ville jeg også helst gøre med min smartphone, men det er ret besværligt. Men så dernæst at installere software til banktransaktioner, hvor der kontaktes hostnames via DNS/SSL, men borgeren bliver ikke ordentligt advaret. Det går ikke.

Det er lidt bombastisk at sige sige det, men jeg tror altså at det er en alvorlig trussel mod hele samfundet. En sikkerhed der er så dårlig, og så installeret på halvdelen af alle landets computere. Er det mig der er helt paranoia, eller har det reelt større konsekvenser?

Hvis nu alle borgere kørte netbank i virtual machine, ikke brugte java, kun brugte mobile apps hvor det er tydeligt om der certifikat-spoofing, og blev ved med at bruge engangskoder (ja, det er besværligt, men det er en del af sikkerheden), så kunne der blive plads til en artikel ala ovenstående, hvor der kunne komme nogle ordentlige forslag på bordet, det reelt kunne bruges i vort samfund.

Undskyld, det blev lidt langt.

  • more_vert
    • insert_linkKopier link
13
Slettet bruger
30. april 2012 kl. 18:53
  • og blev tilbudt PBS (da de hed sådan) for mere end 2 år siden, men man ville med djævlens vold og magt genopfinde hjulet - sandsynligvis i skæret af de 5 mia., som man fik af ITST for den eksisterende løsning - og det gjorde man så med begrænset succes, som det har vist sig.

Java løsningen er en dødssejler og har altid været det - alt for nem at omgå og hacke, altfor gumpetung og platforms afhængig.

HTTP + SSL kryptering er fint nok - men dataforbindelserne er for usikre og dyre. Re-authentication efter et udfald (som sker hele tiden) kræver enten, at begge ender genbruger parametrene eller man skal helt forfra. Genbrug er en diekte invitation til Man-in-the-Middle angreb og skal nok blive udnyttet.

  • more_vert
    • insert_linkKopier link
14
Hans Schou
30. april 2012 kl. 22:34

HTTP + SSL kryptering er fint nok

Ikke helt, men Jyske Bank har tidligere bevist at man kan lægge et ekstra lag ovenpå SSL, og derved få en lidt bedre sikkerhed.

  • more_vert
    • insert_linkKopier link
12
Slettet bruger
30. april 2012 kl. 13:11

vil efter min bedste overbevisning give den billigste (også for sites, der ønsker at implementere NemID-login) og mest kompatible (ingen native app-kode) løsning. Risikoen for Man in the middle er ikke større på mobile web end den er på desktop web og det brugervalgte billede vil kunne reducere risikoen for dette betydeligt. Læg hertil princippet om at fx bankoverførsler altid forbruger en ny engangskode.

Det er som om NemID-kontrakten kræver at JAVA (eller native app-kode) anvendes, der konstant refereres til den ældgamle erkendelse af applets ikke understøttes i mobilbrowsere?

  • more_vert
    • insert_linkKopier link
11
Thue Kristensen
30. april 2012 kl. 12:55

På minus-siden er risikoen for man-in-the-middle-angreb, hvor en hacker kan efterligne den officielle mobil-login-webside og lokke brugerne til. Her foreslår rapporten forskellige tricks til at mindske problemet, for eksempel at login-siden skal vise et billede eller et spørgsmål, som brugeren selv på forhånd har valgt.

Det lyder som om NemID-logindialogen vil være embedded i en anden app eller en anden hjemmeside. Det giver jo ingen sikkerhed mod MitM!

Browseren garanterer, at den adresse som står i adresselinjen faktisk er den adresse som man taler med. Det giver så god sikkerhed som det er muligt at få. Brug dog dette, i stedet for åbenlyse usikre halve løsninger...

  • more_vert
    • insert_linkKopier link
10
Jens Larsen
30. april 2012 kl. 11:54

Hvilken løsning ville entenlig være bedst?

Løsningen skal jo helst gerne holde 2 faktor sikkerheden, og kunne udvides når det endelig bliver muligt at få sin egen private nøgle.

  • more_vert
    • insert_linkKopier link
6
Michael Bisbjerg
30. april 2012 kl. 11:08

.. kan nemlig ikke udføres, hvis serveren sender et billede til klienten som brugeren så kan verificere... ... eller ... nårh nej :P

  • more_vert
    • insert_linkKopier link
4
Michael Lykke
30. april 2012 kl. 10:26

Det virker som om man gør hvad man kan for at overtænke applikationen. Inden vi får flere løsnigner med billedfiler med kode i og lign. tåbeligheder som vi har set med den nuværende NemID løsning, så var det på høje tid at DanID tog KISS princippet til sig.

Der skal IKKE laves en løsning hvor man skal bruge 2 eller flere apps for at logge ind og hver serviceudbyder skal heller ikke lave deres egen app til at håndtere login.

Der har i årevis eksisteret små "nøgler" hvor der genereres en random kode man skal indtaste ved login og ligeledes findes der flere apps der benytter denne funktionalitet på smartphones. Fx. benytter Blizzard en mobil authenticator med automatisk genererede koder når man skal logge på deres Battle.Net platform.

Det fungere ganske simpelt med én app der generere en ny kode hvert 10 sekund - Den kode skal så indtastes ved login. Det er en lign. simpel løsning der bør laves til NemID.

Der er ingen grund til at en løsning har behov for at blive delt i flere separate apps. Sørg for at serviceudbyderne får et mobilt login komponent de kan embedde i deres apps og hav så en decideret NemID app der konstant generere nye koder som man så kan indtaste i den app elle rbrowser hvor man forsøger at logge ind. Og sørg nu for at de mobil genererede koder også kan bruges i almindelig NemID login så vi ikke ender med en tåbelig løsning hvor mobilen kan bruges i nogle situationer af papkortet i andre.

  • more_vert
    • insert_linkKopier link
5
Anders Hessellund Jensen
30. april 2012 kl. 10:55

Hvis koden generes på mobilen og kodeordet indtastes på mobilen, så er der jo ikke længere tale om en 2-faktor løsning.

Dvs. at hvis du får hacket din telefon, så er dit NemID totalt kompromitteret - en hacker vil kunne foretage sig lige så mange logins og transaktioner som han måtte ønske, og du har ingen mulighed for at opdage der foregår noget suspekt før du får et brev fra banken om at der er overtræk på kontoen.

Den nuværende løsning er selvfølgelig ikke 100% sikker, da det bl.a. er muligt at foretage et live MITM angreb, men et sådant angreb er sværere at udføre, og skaden er mere begrænset. Hackeren kan trods alt kun lave én transaktion eller login pr. engangskode som hackeren får lokket ud af brugeren.

  • more_vert
    • insert_linkKopier link
7
Michael Lykke
30. april 2012 kl. 11:12

Med mindre du har gemt dit kodeord og brugerid på telefonen så vil en stjålet telefon ikke give adgang til noget som helst. Det vil være nøjagtig den samme situation som hvis dit papkort bliver stjålet.

Løsningen med automatisk genererede nøgler har fungeret i mange andre løsninger og det vil fint kunne fungere i denne sammenhæng også. Det er ikke sikkerhed at man gør tingene besværligt - Det eneste man får ud af det, en en elendig løsning ingen ønsker at benytte. Hele konceptet med papkortet idag er mildest talt en joke som er mere end almindelig svært at tage seriøst.

  • more_vert
    • insert_linkKopier link
9
Anders Hessellund Jensen
30. april 2012 kl. 11:17

Problemet er IKKE hvis telefonen bliver stjålet. Problemet er, hvis telefonen bliver HACKET, dvs. der bliver installeret en bagdør på telefonen - f.eks. via et sikkerhedshul i telefonens webbrowser.

Så kan en hacker både generere nøgler (vilkårligt mange af slagsen), og han kan opsnappe kodeordet. Og det vil være nemmere at automatisere fuldt ud og gennemføre angrebet mod et stort antal brugere.

  • more_vert
    • insert_linkKopier link
16
Michael Lykke
1. maj 2012 kl. 12:48

@Anders - Lad os først blive enig om at 100% sikkerhed ikke findes. Med det sagt så er der ingen grund til at nogen skulle forsøge at hacke individuelle telefoner når man istedet bare kan lave et MitM angreb. Papkortet gør altså ikke NemID til nogen Fort Knox løsning... en fremtidig løsning bør ikke klamre sig til noget så tåbeligt som et papkort med et begrænset antal koder hvor der konstant skal sendes nye kort ud til folk.

  • more_vert
    • insert_linkKopier link
17
Jesper Lund
1. maj 2012 kl. 14:36

Lad os først blive enig om at 100% sikkerhed ikke findes. Med det sagt så er der ingen grund til at nogen skulle forsøge at hacke individuelle telefoner når man istedet bare kan lave et MitM angreb.

Korrekt, 100% sikkerhed findes ikke. Men det store problem med NemID er at vi bliver tvunget ind i nogle "digital signatur" konstruktioner som vi ikke har nogen indflydelse på.

Staten og/eller DanID træffer nogle valg om hvilken sikkerhed og privacy (et andet aspekt) der et "god nok" for os (læs: passer deres økonomiske interesser), og derefter har vi bare at acceptere de betingelser som DanID fastsætter. Hvis lovforslag L 159 og L 160 vedtages, kan du ikke overholde dansk lov medmindre du underkaster dig DanIDs ensidigt fastsatte betingelser for brugen af OCES NemID. Kan du ikke lide Facebook, kan du droppe Facebook. Kan du ikke lide DanID? Det er bare ærgerligt..

Man kan lave en digital signatur, som ikke er udsat for MiTM angreb, og hvor enhver brug af signaturen ikke involverer en central server hos DanID (relevant for privacy). Men det bliver borgerne bare ikke tilbudt (selvom DanID faktisk er forpligtet til at udbyde denne løsning). DanID har jo ingen økonomisk interesse i denne løsning, og staten foretrækker sikkert også en model med centrale servere da det gør overvågning af borgerne nemmere.

Hvis vi en dag bliver udsat for identitetstyveri på grund af en kompromittering af sikkerheden i NemID, og der er jo mange muligheder her, skal vi selv løse de problemer som andre (læs: staten og DanID) har skabt for os med deres usikre digitale "signatur".

Naturligvis er der også mulighed for identitetstyveri i dag, så problemet er ikke helt nyt, men man kan frygte at det bliver sværere at komme ud af kontokortgæld som andre har optaget i dit navn, hvis kreditor kan henvise til at låneaftalen er "underskrevet" med din digitale "signatur", og både DanID og staten siger at systemet er meget sikkert blah blah blah...

  • more_vert
    • insert_linkKopier link
3
Indsendt af Thomas Hansen (ikke efterprøvet) den man, 04/30/2012 - 09:51

Det beskrevne, er der andre der har de imaterielle rettigheder til. Der må derfor være tale om, at Digitaliseringsstyrelsen agerer i mod loven, når de inddrager 3 part i denne udvikling.

  • more_vert
    • insert_linkKopier link
8
Jens Larsen
30. april 2012 kl. 11:14

Det beskrevne, er der andre der har de imaterielle rettigheder til. Der må derfor være tale om, at Digitaliseringsstyrelsen agerer i mod loven, når de inddrager 3 part i denne udvikling.

Som det er lige nu, er der ikke udviklet(eller påbegyndt på) et endeligt produkt. Sålængde det bare er på koncept nivue, kan det jo sagtens snakkes om flere forskellige konceptionelle løsninger, uanset om de er under imaterielle rettigheder.

Det er først når man har bestemt sig for koncepted, at der bliver kigget på om der er nogle imaterielle rettigheder. Hvis der er imaterielle rettigheder til løsningen, tror jeg godt vi kan gå ud fra at Digitaliseringsstyrelsen/DanID/anden part indkøber de nødvendige licenser/indgå aftaler til at bruge dem.

  • more_vert
    • insert_linkKopier link
2
Claus Jepsen
30. april 2012 kl. 08:54

Alting har som bekendt sin pris og værdien bør naturligvis afvejes i forhold hertil.

Men er NemID på mobil ikke et af de specielle tilfælde, hvor kritikalitet er så vital og udbredelse er så massiv, at andre parametrer betyder mere end pris?

Mere end 60% af danskerne har eller får meget snart en Smartphone. Samme antal bruger netbank og online tjenester med følsomme data. NemID er DEN ene sikkerhedsnøgle til det hele.

Det ville virke logisk at finde frem til den mest sikre og mest brugervenlige løsning og så finde pengene, fremfor at spare 10-15 mio. kortsigtet (Til sammenligning bruger flere kommuner 10 mio. på 2-3 kunstgræsbaner til fodbold - NemId på mobil virker mere samfundskritisk).

  • more_vert
    • insert_linkKopier link
19
Finn Christensen
2. maj 2012 kl. 04:09

...finde frem til den mest sikre og mest brugervenlige løsning og så finde pengene, fremfor at spare 10-15 mio. kortsigtet....

Jeg er enig med Claus her, og meget forbavset over de her "..8 millioner kroner, der var afsat..", som der nævnes ovenfor. Jeg fatter overhovet ikke, at man uden en kompetent løsning kan afsætte X mio. - hvem pokker er ansvarlig for så useriøs budgettering ?

Vi har især gennem de seneste 10-15 år set en række tumpede eller klodsede løsninger, der ikke var særlige billige, fremsynede kunne overholde tidsplanen etc. - tag jer nu sammen, og undlad endnu en fuser i rækken !

NemID var er klokkerent eksempel på hvordan det her ikke skal skrues sammen.

Vi skal alle også være digitaliseret (offentligt) ved udgangen af 2015, så endnu et område maser sig ind og bliver højaktuelt de næste få år.

Så når vi nu ved at smartdims eller smartdims-lignende mobil nok er kommet for at blive og e r fremtidens platform, så er selv 20-30 mio. småpenge ift. en stensikker og brugbar mobil platform.

'MobilID' er i k k e en blindtarm til NemID, som de stokkonservative banker stadig forestiller sig, det er faktisk den kommende hovedvej! (Motorvejen er nok PC'en endnu i de næste 4-5 år)

De anvendelige dimserne til den tid 2013-14-15 udvikles så hurtigt (samt udskiftes hastigt af brugerne), at det ikke overhovedet kan være problematisk at udvikle er brugbart mobil system.

Og glem - for en gangs skyld - at tilpasse systemet til et eller andet indelukket og bøvlet smartdims fabrikat. Det vil kræve enorme fremtidige driftsudgifter til vedligeholdelses- og konstante ændringer. Så...

  1. vælg platform/krav
  2. meld det ud til befolkningen og så kan de selv vælge, når den gamle skal udskiftes, om de vil have en (mærkværdig) smartdims - ubrugelig til 'MobilID' eller en brugbar.
  3. få det i drift uden gentagelse af NemID's medfødte tåbeligheder.
  • more_vert
    • insert_linkKopier link
1
Henrik Baastrup
30. april 2012 kl. 08:42

Som udlands dansker bruger jeg ikke NemID og kender ikke til alle problemmerne til denne lidt klodset løsning. Men har OAuth-2 standarden ikke løst meget af dette problem som beskrives her?

  • more_vert
    • insert_linkKopier link