Hvis du som en ekstra sikkerhedsforanstaltning lige tjekker, om der er grøn hængelås på den side, du er ved at indtaste dine NemID-oplysninger på, så kan du godt spare dig. Der er nemlig ikke noget krav fra Nets om, at de sider, der anvender NemID, kører med HTTPS, som i flere populære browsere viser sig i form af en grøn hængelås.
»Nej, der er ikke et specifikt krav om HTTPS, men det er et krav at NemID tjenesteudbyderne skal stå for sikkerheden for deres egen løsning. Nets står for sikkerheden for NemID,« oplyser pressekonsulent hos Nets Ulrik Marschall via mail.
Han tilføjer, at det drejer sig om at gøre det så smidigt for tjenesteudbyderen som muligt, men at Nets samtidig holder øje med udviklingen for at se, om der på sigt skal være et krav om at det skal være en HTTPS løsning.
Den grønne hængelås indikerer ikke blot, at forbindelsen til den pågældende hjemmeside er krypteret, den viser i udgangspunktet også, at brugeren faktisk befinder sig på det domæne, som fremgår af adressefeltet i browseren.
Og dermed kan hængelåsen også signalere, at der ikke er en man-in-the-middle - eksempelvis i form af et ondsindet wifi-hotspot - på færde, som i virkeligheden kontrollerer indholdet på den pågældende side.
Nets: Ville ikke forhindre phishing-angreb
»Vores erfaring er, at hovedparten af de phishing angreb, som vi reelt bliver ramt af ikke ville være forhindret af, at brugerne skulle være opmærksom på en nøgle og en grøn bar i adresselinjen. Hovedparten af phishing angreb mod NemID er forholdsvis simple angreb, hvor brugeren modtager en meddelelse om at noget er galt med netbanken eller med brugerens betalingskort og at brugeren skal indtaste koder og nøglekort på en specifik side for at undgå spærring – en side som typisk er uden SSL/TLS og har en anden adresse end den legitime tjenesteudbyder,« står der i mailen fra Marschall, som fortsætter:
»I det forløb er brugeren allerede 'gået på historien' og har ikke været opmærksom på URL-adressen i venstre hjørne af skærmbilledet, og spørgsmålet er om en ekstra adressebar med egen SSL/TLS hængelås i pop-up’en ville have gjort nogen forskel.«
Derudover så er det vurderingen hos Nets, at brugeren kan narres til at tro, at forbindelsen er sikret uden at være det.
»Et andet element er, at en svigagtig tjenesteudbyder (eller kompromitteret webside) også i et vist omfang ville kunne simulere et grafisk udtryk, der ville se ud som om logon-boksen var sikret med TLS/SSL. Dette blot for at understrege, at sikkerhed og brugervenlighed er to sider, som konstant skal afvejes i forhold til hinanden,« står der i mail-svaret, hvor det slutteligt er tilføjet, at Nets følger udviklingen i forhold til, om det skal være et krav med HTTPS på sider, der anvender NemID.
Hos Digitaliseringsstyrelsen bliver der anvendt HTTPS i forbindelse på den fælles-offentlige login-side NemLogin. Teamleder hos Digitaliseringsstyrelsen Kenneth Mose Kruuse oplyser følgende via mail om den beslutning:
»Den offentlige sektor anvender den fælles login side NemLog-in til at udstille et NemID-login. Denne side er beskyttet af HTTPS. Dette er valgt for, at brugeren har mulighed for at kontrollere, hvem der er afsender af siden.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
