Lektor: Gør NemID obligatorisk for adgang til Rejsekort

5. december 2014 kl. 10:2328
En nyligt rettet fejl i Rejsekortsystemet har givet brugere adgang til andre personers konti. NemID bør være påkrævet for at undgå lignende sikkerhedshuller, mener ekspert.
person
Magnus Boye
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Magnus Boye
Journalist

Rejsekortsystemet har indtil for ganske nyligt ikke skelnet mellem store og små bogstaver i brugernavnet. Det har i flere tilfælde betydet, at brugere har fået adgang til andres konti, hvor man for eksempel kan se rejsehistorikken.

Selvom fejlen nu er rettet, bør Rejsekort A/S tage yderligere midler i brug for at sikre sine kunder, siger Kristian Olesen, der er institutleder på Institut for Datalogi ved Aalborg Universitet, til DR.

»NemID er en gennemprøvet løsning. De fleste har det, det er velfungerende, og så er der trods alt så stor en organisation bag, at man bør kunne sikre sig mod de almindeligt forekommende fejl,« siger Kristian Olesen.

Artiklen fortsætter efter annoncen

Indtil for nylig tillod selvbetjeningen på rejsekort.dk, at brugerne oprettede sig med enslydende brugernavne, hvis blot der var forskel på små og store bogstaver. Problemet opstod, når en bruger bestilte en ny adgangskode, for her skelnede systemet ikke mellem små og store bogstaver, og brugeren kunne derfor i stedet nulstillede adgangskoden til kontoen med det enslydende brugernavn og efterfølgende få adgang til denne brugers konto.

Lektor Kristian Olesen kalder det for uprofessionelt, at en fejl som den Rejsekortet netop har fikset, har kompromitteret brugerne. Ifølge Rejsekortet A/S har brugere ikke haft adgang til andres bank eller CPR-oplysninger.

Direktør i Rejsekort A/S Bjørn Wahlsten vil nu overveje, om NemID skal være et krav for at komme ind i systemet.

Emner
28 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
Lasse Lasse
6. december 2014 kl. 00:31

Log på Rejsekortet med NemID, og så en tur med IC4 ;)

  • more_vert
    • insert_linkKopier link
16
Jakob Damkjær
5. december 2014 kl. 15:02

Giver det nu rimelig løsning. Men til appen (periodekort og andre evt lignede apps) ville det være en glædelig nyhed med applepay/touchID eller Google wallet integration ville være bedre.

Alternativt til nemid kunne man vælge en anden 2 Factor løsning som Authy der findes til alle platforme (https://www.authy.com).

Som Google, Microsoft og facebook bruger.... Men som et site/tjeneste der opbevare kreditkort info bør de tilbyde en eller anden form for 2-Factor løsning...

  • more_vert
    • insert_linkKopier link
13
Claus Jensen
5. december 2014 kl. 13:00

Man ved, at man har en skidt løsning, når Nem-ID kommer på banen som en forbedring :D

  • more_vert
    • insert_linkKopier link
15
Kristian Sørensen
5. december 2014 kl. 14:03

Ah, jamen så er det vel bare at få implementeret NemID hos lokoførerne på IC-4!

Hvorfor nøjes med lokoførerne?

Indret IC-4 dørene så togføreren kun kan lukke dem før afgang ved at logge ind med sin NemId på en konsel placeret ved hver dør. På den måde sikrer man både sporbarhed om hvem der lukker dørene og at ingen uautoriserede personer sniger sig til at lukke en dør.

Jeg går ud fra at brugerne allerede skal logge på IC-4 toget vha. NemId ved ombordstigning for at oplyse togets sæde reservationssystem om at de er mødt op og klar til at indtage deres reserverede sæde?

  • more_vert
    • insert_linkKopier link
8
Bo Frese
5. december 2014 kl. 11:15

Det ville være en usability katastrofe at gøre NemID obligatorisk.

Rejsekortet kæmper med rigeligt problemer allerede. En afgørende ting i debatten er brugernes usikkerhed på om deres rejser er registreret korrekt. Derfor har man som Rejsekort bruger et oplagt behov for løbende at checke sine rejsekort registreringer. Den eneste mulighed for at gøre dette er via Rejsekortets Selvbetjenings side (som iøvrigt ikke er særlig mobil venlig) eller via 3. parts apps som f.eks. "Mine Rejser":http://appstore.com/minerejser

Men med et obligatorisk NemID login ville begge disse løsninger bryde sammen. Det ville simpelthen tage for lang tid, og være alt for besværligt at checke sine rejseregistreringer, mens man er på farten i en travl hverdag.

  • more_vert
    • insert_linkKopier link
7
Slettet bruger
5. december 2014 kl. 11:10

Jeg synes jeg får brugt engangskoderne på mit papkort hurtigt nok. Hvis rejsekortet også begyndte at kræve NemID-login så ville jeg jo komme til at bruge mere end én engangskode om dagen bare fordi jeg følger almindelig sund fornuft og gerne vil tjekke at mit rejseforbrug rent faktisk er registreret korrekt hos rejsekortet.

Det ville være rigtigt uheldigt hvis lektorens forslag får som konsekvens at brugerne begynder at tjekke deres registreringer mindre hyppigt. Som enhver vil vide er rejsekortets registreringer jo smækfyldt med fejl.

  • more_vert
    • insert_linkKopier link
6
Steen Poulsen
5. december 2014 kl. 11:09

Ekspert - klap hat - Vi er blevet lovet at man kunne rejse anonymt - men at bruge NemID vil jo nok lige være det stik modsatte ! - Man snakker om at vi skal spare penge - måske var det snart på tide at lukke Ålborg universitet - så alle de ekspert - som har de mange bizarre ideer, som kommer der fra - kan få frihed til at finde nye jobs ! - det snart for meget !!! de cirkler konstant omkring mere overvågning !! - det også derfra røsterne om Roadprice kommer fra.... flere forslag til indskrænkelser af privatlives fred ???

  • more_vert
    • insert_linkKopier link
28
Lasse Lasse
13. december 2014 kl. 02:13

Det bliver meget svært at holde anonymt hvis du kan binde det sammen med et betalingskort... eller ?

Du kan da tanke op ved at købe taletid kontant i butikker. Og oprette dig som bruger med en vilkårlig anonym emailadresse for at se din historik.

  • more_vert
    • insert_linkKopier link
22
Slettet bruger
6. december 2014 kl. 13:30

Er du anonym, når du har knyttet et login til dit taletidskort, og hvor du kan overføre penge til kortet?

Du er tydeligvis lige så sneblind hvad angår mulighederne med anonyme kort som rejsekortets ledelse. Men det er vel heller ikke så underligt hvis man i forvejen har castet sig selv som rejsekortets defensor.

Der er intet i vejen for at lave en løsning hvor et anonymt rejsekort udstedes med et prædefineret login og password (hint: login != email) og hvor den selvbetjeningsgrænseflade man efterfølgende får adgang til alene giver en oversigt over gennemførte rejser.

  • more_vert
    • insert_linkKopier link
23
Peter Kyllesbeck
6. december 2014 kl. 21:35

Du er tydeligvis lige så sneblind hvad angår mulighederne med anonyme kort som rejsekortets ledelse. Men det er vel heller ikke så underligt hvis man i forvejen har castet sig selv som rejsekortets defensor.

Det er jo så din holdning. Mange har en panisk angst for at deres anonymitet bliver kompromitteret bare de skal betale med et betalingskort. (det gælder også ved rejsekortautomaterne for det 'anonyme' rejsekort). Og så lige til den sidste sætning. Nej jeg er ikke "rejsekortets defensor", men citerer ofte de gældende regler og betingelse for rejsekortet. Mange har tilsyneladende ikke givet sig tid til at læse dem. Desuden kommer mange med forslag, som mildt sagt ikke er gennemtænkte og kun løser/ændrer den funktion, de netop har fokuseret på, og glemmer, at det skal være brugbart også for andre.

Mange foreslår f. eks. Oyster card (også et MIFARE Classic) men det bruges i et miljø med gates (som udelukker brug af andre billettyper (papir, SMS/smartphone (klippekort) etc) Mange har f. eks. påpeget den håbløse tank-op-procedure for Rejsekortet, men læs hvordan det er for Oyster:http://en.wikipedia.org/wiki/Oyster_card#Online_and_telesales

Oyster card ticket renewals and pay-as-you-go top-ups made online allow users to make purchases without the need to go to a ticket office or vending machine. However there are certain limitations to this system:</p>
<ul><li>tickets and pay-as-you-go funds can only be added to the
Oyster card from the day after purchase (if bought online);</li>
<li>users must select a station or tram stop where they must
touch in or out as part of a normal journey to complete the purchase (as cards cannot be credited remotely);</li>
<li>users must nominate the station in advance – failure to
enter or exit via this station means that the ticket is not added to the card;</li>
<li>tickets purchased in this way cannot be added from a bus
reader (due to these not being fixed in a permanent location)

Samme sted er der også noget om 'privacy'. http://en.wikipedia.org/wiki/Oyster_card#Privacy

For Rejsekortet er plads til (mange) forbedringer i back-end-systemet, men det fysiske kort og læsere er standard.

Rejsekortet er MiFare Classic med 4k RAM.
Det følger ISO 14443A, som er den altdominerende standard for
rejsekort.
MiFare Classic er tilsvarende det mest gængse type rejsekort med
100+ mio. kort i brug verden over.

  • more_vert
    • insert_linkKopier link
24
Slettet bruger
7. december 2014 kl. 13:18

Mange foreslår f. eks. Oyster card (også et MIFARE Classic) men det bruges i et miljø med gates (som udelukker brug af andre billettyper (papir, SMS/smartphone (klippekort) etc)

Aaaahhh... Finsbury Park er f.eks. kun delvist dækket af ticket barriers. Kommer du fra en retning skal du forbi en stander. Kommer du fra en anden skal du igennem en barrier gate. Du kan også bruge Oyster Card på busser og der er der ingen barriers overhovedet. I øvrigt tillader TFL også contact less credit card betalinger.

Forskellen er vist primært her, at Londons zonesystem er mindre tåget end det danske og at de har bedre procedurer for at håndtere incomplete journeys.

  • more_vert
    • insert_linkKopier link
26
Peter Kyllesbeck
7. december 2014 kl. 18:43

Du kan også bruge Oyster Card på busser og der er der ingen barriers overhovedet. I øvrigt tillader TFL også contact less credit card betalinger.

Jeg tror vi kan være enige om, at contact less credit card og de øvrige metoder nævnt alle er baseret på NFC. Nu er dørene vel en form for barriers, der gør det nemmere at huske 'to touch your card on a contactless card reader'.

Most contactless payments are made with cards. However, mobile phone payments, key fobs, stickers and other methods of contactless payment are becoming more common.
Some of these other methods of contactless payment will be accepted on our services.

Svjv gør zonesystemet (og takstsystemt) det også enklere i London, da busser ofte kun kører i en zone og 'touch' kun er nødvendig ved indstigning. Men der er både yelleow og pink card readers på nogle stationer.

bedre procedurer for at håndtere incomplete journeys.

Ja måske for 'refunds', men 'staffen' for manglende check/'touch' er max fare. (dummebøden) ;-)

  • more_vert
    • insert_linkKopier link
11
Slettet bruger
5. december 2014 kl. 12:07

Med anonymt rejsekort er der ikke mulighed for Adgang til online selvbetjening.

Hvilket er en total omgang bullshit for der er ikke noget der forhindrer vores venner hos rejsekortet i at give adgang til selvbetjeningsgrænsefladen for anonyme brugere også. De har bare ikke lyst til at gøre det for lækkert for de anonyme brugere fordi det vil gøre det anonyme kort mere attraktivt og det ødelægger jo hele deres Google-inspirerede forretningsmodel.

  • more_vert
    • insert_linkKopier link
17
Peter Kyllesbeck
5. december 2014 kl. 16:45

De har bare ikke lyst til at gøre det for lækkert for de anonyme brugere fordi det vil gøre det anonyme kort mere attraktivt

Det anonyme er jo et forsøg på at opfylde et ønske, ellers er der flex Forskellen på anonym og flex jo netop anonymiteten, dvs ingen tank-op-aftale, ingen online selvbetjening, ingen mulighed for spærring, kan kun købes i butik.http://www.rejsekort.dk/koeb-rejsekort/sammenlign-rejsekort.aspx

  • more_vert
    • insert_linkKopier link
12
Claus Tøndering
5. december 2014 kl. 12:36

Min kone og jeg er tit i London og har derfor et anonymt londonsk rejsekort - det såkaldte Oyster Card.

Vi kan tjekke vores saldo online, men vi har hverken opgivet adresse eller telefonnummer. Websitet bad ganske vist om disse oplysninger, men det ville ikke acceptere udenlandske adresser og telefonnumre. Jeg ringede til transportfirmaet og forklarede problemet. Deres svar lød: "Skriv vores adresse i stedet for din egen, og sæt telefonnummeret til lutter nuller." Det virkede fint.

  • more_vert
    • insert_linkKopier link
5
Thomas Alexander Frederiksen
5. december 2014 kl. 10:53

Nu er jeg ikke universitetslektor, men jeg har praktisk erfaring med drift og sikkerhed. Om det gør mig til ekspert eller ej skal jeg ikke bedømme, men det her forslag er ca. det sidste jeg ville komme med. Man kan ikke bare bolte et ekstra lag på et system med så grundlæggende designfejl som den her sag har afsløret i rejsekortet, og så forvente at alt er godt - man får i bedste fald bare skabt flere problemer.

Add-on security is not security, sådan sat lidt på spidsen.

  • more_vert
    • insert_linkKopier link
10
Peter Mogensen
5. december 2014 kl. 11:50

... ja det tænkte jeg også. Det er efterhånden sådan at når man ser en artikel-overskridt med ordet "ekspert" i, så ved man at den med stor sandsynlighed totalt misforstår et eller andet.

Anyway ... NemID for at bruge Rejsekort.... hmm... hvad var det nu en ny bil kostede?

  • more_vert
    • insert_linkKopier link
4
Birger Heede
5. december 2014 kl. 10:52

Og det ville i så fald være slut på 'Mit Rejsekort' App går jeg ud fra.

  • more_vert
    • insert_linkKopier link
27
Jesper Rasmussen
8. december 2014 kl. 21:07

Ja de forskellige apps vil ikke have chance hvis man skal bruge nem-id til login. Ja altså lige bortset fra Caspers rejsekort scanner selvfølgelig.

Selvom jeg har lavet app'en Mit Rejsekort, og derfor er farvet af at miste mine brugere hvis man skal bruge nem-id til login, synes jeg nu stadig, som helt alm bruger, at det er umanerligt bøvlet at skulle hive papkortet frem bare for at checke sin saldo. Derudover har jeg mange brugere som har oprettet flere konti i app'en så de kan checke alle familiens rejsekort et samlet sted, og uden at skulle logge på 4-5 gange. App'en checker også automatisk for opdateringer på kortene, og det ville naturligvis også dø, hvis man ikke kan logge ind med et simpelt brugernavn/adgangskode.

Så nej, det er et utroligt dårligt foreslag.

  • more_vert
    • insert_linkKopier link
3
Steen Thomassen
5. december 2014 kl. 10:50

Det vil være overkill at bruge NemID til daglig brug...

  • more_vert
    • insert_linkKopier link
2
Christian Nobel
5. december 2014 kl. 10:45

Hvis rejsekortet overhovedet skal overleve, drop enhver form for personhenførbarhed på det - at sovse det ind i NETS' SSO system er da kun at prøve at standse en ulykke ved at skabe en større ulykke.

»NemID er en gennemprøvet løsning. De fleste har det, det er velfungerende, og så er der trods alt så stor en organisation bag, at man bør kunne sikre sig mod de almindeligt forekommende fejl,« siger Kristian Olesen.

Stor er måske lig sikker, som eksempelvis CSC?

Og er der ikke en stor organisation bag rejsekortet - noget må der da gemme sig bag de 2 milliarder kr.?

Men måske autobranchen har en stor aktie i rejsekortet, for de er da vist dem der får mest ud af alle deres håbløsheder.

  • more_vert
    • insert_linkKopier link
1
Rene Madsen
5. december 2014 kl. 10:32

NemID er en gennemprøvet løsning. De fleste har det, det er velfungerende, og så er der trods alt så stor en organisation bag, at man bør kunne sikre sig mod de almindeligt forekommende fejl

NemID sikre ikke mod at dem som implementere resten af systemet ikke har fulgt 101 i brugeradskildelse.

NemID er en dyrtkøbt løsning på et fundementalt designproblem.

  • more_vert
    • insert_linkKopier link