NemID får nyt navn

Illustration: Digitaliseringsstyrelsen
Den næste udgave af NemID skal hedde MitID.

Aarhus. Den næste udgave af NemID betyder også en navneændring til den danske login- og signatur-løsning. Det kunne minister for offentlig innovation Sophie Løhde (V) løfte sløret for på konferencen Offentlig Digitalisering, som Dansk IT står bag, og som finder sted i Aarhus i disse dage.

Digitaliseringsstyrelsen har også udsendt en pressemeddelelse om samme. Her er direktør Lars Frelle-Petersen citeret for at sige:

»Navnet MitID er ikke bare et nyt navn, men varsler en klar forbedring af det nuværende NemID. De 4,7 mio. brugere er faktisk meget tilfredse. Alligevel kræver den teknologiske udvikling, at vi sætter os nye mål. Vi skal sikre brugerne en mere brugervenlig og mobil løsning og en løsning, som er mere fleksibel end i dag. Det arbejde er godt i gang og har nu også fået et navn.«

Version2 har flere gange tidligere skrevet om den næste generation af NemID, blandt andet at Digitaliseringsstyrelsen i den forbindelse har planer om at gøre den nye version af NemID mere modulær og fleksibel samt at få kontrakten fordelt blandt flere leverandører.

Hvad løsningen mere konkret kommer til at indebære, forventer vi at kunne komme nærmere ind på ved en senere lejlighed - måske allerede i forlængelse af et indlæg på konferencen, som Digitaliseringsstyrelsen står for, og som blandt andet handler om den næste udgave af NemID, altså MitID.

En hjemmeside er netop gået i luften på mitid.dk Hjemmeside er måske så meget sagt, men domænet linker i hvert fald videre til en underside hos Digitaliseringsstyrelsen, hvor der blandt andet er et link til en lille video om MitID og et logo for den kommende løsning.

Opdateret 12:18 med link og info ift. mitid.dk

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (39)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Er det naivt at håbe at der så virkelig bliver tale om MIT id?

Altså fuldstændig separation af stat og kirke ^^^^^ bank, ingen direkte binding til det håbløse CVR system, samt nøgler der 100% er under min, og ingen andres kontrol.

Samt selvfølgelig ægte PKI, således at det også kan bruges til signering mellem to private parter, og mulighed for afledte nøgler.

Jeg er nok bange for at dette overstiger Lars&Co's formåen.

  • 29
  • 2
Kristian Sørensen

Fordi DIGST var dumme nok til at forære Nets varemærket "NemID" i sidste runde.

En strøtanke: Kunne man forestille sig en situation hvor "MitID" er i drift og har overtaget de opgaver "NemId" nu løser, men hvor Nets genbruger deres varemærke "NemID" til noget andet?

Det ville skabe forvirring og mulighed for forveksling, hvilket kan have sikkerhedsmæssige konsekvenser for folk.

Jeg håber, jeg håber, jeg håber at der er taget forholdsregler for at undgå den situation.

  • 6
  • 0
Per Gøtterup

Det vil altid hedde SlemID i min verden. Den nuværende sikkerhed er totalt til grin, hvis det altså ikke lige handlede om netbanker og dokumenter fyldt med personhenførbare oplysninger. Det er faktisk tragisk. For eksempel har måske halvdelen af befolkningen et billede af deres nøglekort liggende på deres mobil for så har man det altid ved hånden. Men vi kan ikke få et softtoken (nøgleviser) på mobiltelefonen for det er for usikkert...

  • 5
  • 4
Tim Wentzlau

"Mit id" som udtryk, giver sproglige udfordringer.

I support:

supporter: Har du "mit id"
kunde: Nej (kunde, kender ikke supporters id)
supporter: For at logge på vores tjeneste skal du have "mit id"
kunde: OK.. og hvad er det?
supporter: "mit id" er den login tjeneste.... (samtale kørt af sporet)

Til gengæld er det svært, at lave en phising mail, der giver mening.

Hej xx
Der er problemer med "mit id", klik her for at rette dit "mit id".

  • 13
  • 0
Bjarne Nielsen

Er det naivt at håbe at der så virkelig bliver tale om MIT id?

Nu skal du ikke være fjollet. Hvis det havde været dit, så ville det hedde ditID, ikk'? :-)

Men det bekræfter bare iagttagelsen om, at hvis noget er vigtigt at få med i navnet, at så er det ofte en tilståelsessag at det mangler i indholdet: Den tyske demokratiske republik, Udlændingeservice, Hjemmelavet marmelade fra den gamle fabrik etc.

  • 12
  • 0
Oliver Billing

Har vi vist prøvet med den digitale signatur. Var så brugerfjendsk at det aldrig blev en succes, og bandt os til en PC.

Hvis sikkerhed er besværlig så bruges det ikke. Det er lidt ærligt at facebook/google sidder på alt privat/casual identificering, men det skyldes jo nok at NemID er for besværlig og dyr.

  • 1
  • 2
Allan Astrup Jensen

For eksempel har måske halvdelen af befolkningen et billede af deres nøglekort liggende på deres mobil


Hvis dette er tilfældet, så er folk godt nok ligeglade med sikkerheden. Det er netop fordi nøglekortet ikke er digitalt, at sikkerheden ved NEMID er så høj. Og nøglekortet fylder ikke mere end et betalingskort, sygesikringskort eller kørekort, som de fleste formentlig bærer rundt med?

Hvorfor skal i øvrigt et system, som befolkningen efterhånden har lært at bruge, og som fungerer, så hurtigt laves om? Det er da ikke produktivt og kun spild af tid og penge. Der må da være vigtigere ting for Sophie at beskæftige sig med?
Hvis MitID bliver 100% digitalt, vil sikkerheden blive meget ringere, uden det bliver lettere at bruge for de fleste.

  • 2
  • 1
Christian P. Broe Petersen

Det er netop fordi nøglekortet ikke er digitalt, at sikkerheden ved NEMID er så høj. Og nøglekortet fylder ikke mere end et betalingskort, sygesikringskort eller kørekort, som de fleste formentlig bærer rundt med?

Jeg betalte lige med mit nye MasterCard i udlandet. Da det endnu ikke var bundet op på et mobilnummer kommer der en nemID boks op, hvor jeg to gange skal indtaste brugernavn, password og nemID, før jeg så får en kode på min mobil, og kan få lov til at betale. Men det kom jo fra et site jeg ikke anede noget om. Jeg forstår simpelthen ikke, at man vænner folk på den måde til, at det er lige meget hvem der spørger efter NemID, så skal man da bare hamre det ind. Burde man ikke altid ryge over på NemID's site, og undre sig, hvis man ikke gjorde?

  • 9
  • 1
Daniel Rasmussen

Men det kom jo fra et site jeg ikke anede noget om. Jeg forstår simpelthen ikke, at man vænner folk på den måde til, at det er lige meget hvem der spørger efter NemID, så skal man da bare hamre det ind. Burde man ikke altid ryge over på NemID's site, og undre sig, hvis man ikke gjorde?


Bare rolig, man skal bare kigge efter den grønne hængelås ;-).

Men på den seriøse side er det svært bekymrende, og ovenikøbet er det stærkt kritisabelt at benytte .nu TLDet, man kan næsten formode at man har vendt befolkingen, til at være mindre opmærksomme på hvilket TLD et domæne har.

Iøvrigt forstår jeg ikke man ikke bare kalder det fx BorgerSig(natur), det er immervæk lidt trættende at de omdøber det til etellerandet-ID, bare fordi de selvforskyldt bliver nødt til det.

  • 3
  • 1
Henrik Biering Blogger

Bare rolig, man skal bare kigge efter den grønne hængelås ;-).

Nej det hjælper ikke at der er hængelås på siden for det site, du logger ind på - og sidst jeg tjekkede NemID betingelserne (sommer 2016) var der slet ikke krav om om krypteret forbindelse til sitet. På det tidspunkt kørte NemID validering f.eks. ukrypteret på GulOgGratis.

Så der er mindst 2 og formentlig mindst 3 MITM use-cases, hvor en angriber får fat i brugerens elektroniske identifikationsmidler (brugernavn, password og kortkode) ved at erstatte den officielle loginboks med sin egen look-alike kopi:

  1. Angriberen tilegner sig brugerens elektroniske identifikationsmidler ved kompromittering af en NemID registreret RP med lav sikkerhed (dem er der flere af).

  2. Angriberen tilegner sig brugerens elektroniske identifikationsmidler ved at gennemføre MITM angreb på den (af NETS tilladte) ukrypterede forbindelse mellem RP og bruger.

  3. Angriberen tilegner sig brugerens elektroniske identifikationsmidler via kopiering af et af brugeren allerede kendt website (phishing) eller via oprettelse af et nyt website med simuleret NemID login, som brugeren måtte finde det attraktivt at logge ind på (f.eks. GratisSlik.dk).

Det er af samme grund at alle andre federationsstandarder kræver at login foregår via et selvstændigt vindue, hvor adresselinien skal være synlig (og selvfølgelig vise en hængelås). Det gælder f.eks. selv første generation af OpenID, der primært var tiltænkt at man kunne kommentere hinandens blogposts.

  • 1
  • 0
Christian Nobel

Læste lige hos konkurrenten følgende:

At der så vil gå helt op mod tre år, før vi reelt kan benytte den nye løsning, forklarer Charlotte Jacoby blandt andet med, at styrelsens etablering af det fremtidige MitID-samarbejde med bankerne har taget længere tid end forventet.

Og så er det man undres - hvorfor i alverden skal staten løse bankernes login problemer, det må de da selv rode med.

Jeg har heller ikke samme nøgle til min bil som til mit hus - på den måde behøver jeg ikke at frygte at en ondsindet mekaniker tømmer huset efter bilen har været på værksted.

Lad os nu bare i stedet få et statsdrevet CA, så vi kan få en rigtig digital signatur, hvor vi selv er ansvarlige for nøglen - så kan der samtidig være fri konkurrence (hvor der sagtens kunne stilles krav til godkendelse) for de firmaer der vil tilbyde at være nøgleopbevarere for dem der ikke selv vil påtage sig ansvaret for eget liv.

  • 3
  • 0
Tauno Suikkanen

Er der en, der kan give et godt hint til hvordan jeg kommer ind på e-Boks.
Det er til erhverv. Jeg har en nemid til erhverv, men e-Boks kender mig ikke. Det er sikkert et nemid, som jeg engang har været nødt til at oprette gennem banken. Så hvis jeg gætter rigtigt, så dur det kun til banken ?

Jeg finder ikke umiddelbart noget e-Boks i min netbank.

Men nu har det offentlige altså været så ondskabsfulde at sende en regning gennem e-Boks og den kan jeg ikke få adgang til. Jeg har overvejet at oprette en ny nemid, men den kan vel ikke give adgang til min nuværende e-Boks ?

Jo, og man kan jo ringe til nets...Koster kr 250

  • 0
  • 0
Log ind eller Opret konto for at kommentere