NemID's nye nøgleviser flopper på mobilen

14.000 danskere har betalt DanID 99 kroner for at få en nøgleviser i forvisningen om at kunne slippe for papkortet, men det viser sig nu at have lange udsigter, hvis de bruger NemID til at logge på deres mobilbank hos Danske Bank.

Årsagen er, at mange af landets banker lader deres kunder bruge deres netbank på mobilen, selv om mobiltelefoner teknisk set ikke understøtter NemID.

Det har nu den konsekvens, at kunder med nøgleviseren ikke kan udføre transaktioner på Danske Mobilbank, som de har været vant til at kunne med papkortet.

Hos Danske Bank er firmaets mobilbank blevet downloadet flere end 400.000 gange på koncernniveau. Flere af brugerne brokker sig nu på bankens Facebook-side over, at de ikke kan bruge mobilbanken med den nye nøgleviser. Det tager Danske Bank dog med ro.

»Vi vidste godt, at nøgleviseren ville komme, og at den ikke ville virke med vores mobilapplikation. Vi besluttede ikke at begynde at udvikle noget, fordi DanID er i gang med at udvikle en rigtig mobilløsning, der kommer til at virke på Android og iOS. Den vil både understøtte papkort og og nøgleviser og er klar om et halvt år,« forklarer Esben Torpe Jørgensen, der er seniorkonsulent for forretningsudvikling, til Version2.

Forskellige NemID-nøgler

Problemet skyldes forskelle i genereringen af NemID-nøgler med henholdsvis papkort og nøgleviser.

På computere benyttes en Java-applikation til at verificere de oplysninger, der bliver indtastet via DanID’s servere. Den er i stand til både at håndtere papkortet og nøgleviseren, selv om nøglegenereringen altså er forskellig. Og det er det, der er problemet med mobilapplikationen, hvor Danske Bank - og alle andre banker, der ønsker en mobilbank - ville skulle udvikle en specialløsning til nøgleviseren.

»Teknisk set skal man have lavet en anden løsning for at kunne understøtte nøgleviseren, fordi den genererer koderne på en anden måde. Nøgleviseren genererer koderne løbende, hvor koderne på papkortet er prægenererede,« siger Esben Torpe Jørgensen til Version2.

Derfor har man i Danske Bank prioriteret anderledes, fortæller Esben Torpe Jørgensen:

»Vi har været i meget tæt dialog med vores kunder om, hvad de har haft af ønsker til mobilbanken, og det er de ting, de efterspørger mest, vi har valgt at fokusere på. Hvis det viser sig, at mange af vores kunder er frustrerede over ikke at kunne bruge nøgleviseren i mobilbanken, må vi revurdere situationen,« siger Esben Torpe Jørgensen til Version2.

Han påpeger, at banken som udgangspunkt vil afvente, at der kommer en fælles mobilløsning.

Papkortet kan mere end nøgleviseren

Nøgleviseren har i det hele taget en række begrænsninger i forhold til papkortet, vi ellers kender til, og som vi gratis kan få sendt med posten.

For eksempel kan man ikke bruge nøgleviseren til at ændre i NemID-certifikatet. Det vil sige, at hvis man vil ændre sin e-mail-adresse, adgangskode eller godkende sit NemID til brug i det offentlige, såkaldt OCES, så skal man altså alligevel hive papkortet frem. Det samme gør sig gældende, hvis man skal melde sin nøgleviser stjålet.

Men det fremgår ikke af DanID’s salgsside for nøgleviseren, som er til salg for lige under 100 kroner, omend det oplyses, at nøgleviseren er 'et supplement til nøglekortet'. Hos DanID fortæller man, at man vil gøre mere ud af at oplyse om det, der gør, at man stadig skal holde fast i papkortet:

»Jeg synes faktisk, vi har gjort meget ud af, at fortælle, at man altid har brug for sit papkort. Når det er sagt, så vil vi skrive en kommentar på hjemmesiden om, at nøgleviseren ikke virker til mobilapplikationer på nuværende tidspunkt,« siger Jette Knudsen til Version2.

NemID på mobilen er på vej

Jette Knudsen erkender dog, at brugerne godt kan blive forvirrede.

»Der ligger en forklaringsopgave i det. Vi skal også passe på ikke at forvirre forbrugerne til at tro, at der lige pludselig er en hel masse ting, man ikke kan med nøgleviseren. Men det er altså kun på mobilsiden og ændringer i certifikatet, hvor den ikke kan det samme som papkortet.«

Som en del af den leveringsaftale, DanID har indgået med bankerne og staten, er DanID slet ikke forpligtede til at levere en mobilløsning. Jette Knudsen fortæller dog, at et mobilprodukt lige nu er i 'grønt' og kører, som det skal. Det forventes afleveret til bankerne i foråret, hvorefter de kan implementere det – blandt andet i deres mobilbanksapplikationer.

I Danske Bank oplyser man, at 14 procent af alle logins i systemerne foretages via bankens mobilløsninger, hvor fem procent af alle transaktioner også foretages.

Kommentarer (12)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

#1 Casper Bang 1. november 2011 - 11:16

Mindre interesant

Ja så er en nøgleviser da ligepludselig ikke særlig interesant. Men jeg forstår ikke helt, hvorfor DanIDs auth server ikke blot transparant håndterer begge modes. Om den kun skal lave lookup i en database eller også have fallback til at sammenligne med en token-værdi regnet ud on-the-fly, kan vel være ligefedt?!

#2 Lars Haagen 1. november 2011 - 14:06

Hmm

Jeg undrer mig over alt den ballade omkrinde den nøglering. Tag dog et billede med telefonen af papkortet og smid kortet i skuffen derhjemme. Mobilen er altid med og dermed billedet af kortet. Sæt en kode på mobilen, hvis ikke du har det i forvejen, så er du sikret den vej og slipper for at betale for en nøglering der ikke virker alligevel.

#3 Christian Nobel 1. november 2011 - 14:22

Re: Hmm

Og dermed overtræder du de regler DanID har udstukket for brugen af det såkaldte NemID, og dermed bærer du selv den fulde byrde når din konto bliver lænset.

#4 Gorm Ruge 1. november 2011 - 15:35

På Jyske Mobilbank kan du både bruge papkort og nøgleviser

Lad mig bekende kulør med det samme - jeg er Jyske Bank-ansat. Vil lige rette en eventuel misforståelse. Den nye nøgleviser flopper ikke på mobiltelefoner, der har Jyske Mobilbank installeret. Her kan du både bruge det gamle nøgle(pap)kort og den nye digitale nøgleviser:-)

#5 lars jensen 1. november 2011 - 16:07

Hos Sydbank virker både nøglekort og nøgleviser til mobilbank

Min nøgleviser virker fint til Sydbanks mobilbank. Den husker hvad jeg sidst brugte i min netbank automatisk, men kan skifte til nøglkort hvis man ønsker.

#6 Rasmus Faber-Espensen 1. november 2011 - 17:31

Virker også med Jyske Banks app

Jyske Bank har også opdateret deres mobilapp til at understøtte nøgleviseren.

Overskriften er vist lidt misvisende. Det er jo tydeligvis ikke et generelt problem at nøgleviseren ikke virker på mobilen, men blot at Danske Bank ikke har opdateret deres apps til at virke med nøgleviseren.

#7 Baldur Norddahl 1. november 2011 - 20:18

Hvor står det?

#8 Rasmus Faber-Espensen 1. november 2011 - 20:33

Regler for NemID §3.2:

Du skal være opmærksom på, at du [...] ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne

Hvor meget du derefter hæfter afhænger af en fortolkning af Betalingstjenestelovens § 62. Jeg vil gætte på 8.000,-, for groft uansvarlig adfærd (altså langt fra den fulde byrde).

#9 Baldur Norddahl 1. november 2011 - 23:31

Mon ikke det er den her lovtekst der er relevant og som Rasmus henviser til:

Stk. 3. Medmindre videregående hæftelse følger af stk. 6, hæfter betaleren med op til 8.000 kr. for tab som følge af andres uberettigede anvendelse af betalingsinstrumentet, hvis betalers udbyder godtgør, at den til betalingsinstrumentet hørende personlige sikkerhedsforanstaltning er anvendt, og ... 3) at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Man hæfter altså kun hvis man har "muliggjort" anvendelsen. Så hvis det der sker, er at nogen får fat i telefonen med billedet og samtidig kan gætte id og kode, så hæfter man (måske).

Men hvis der er et problem i NemID og billedet på telefonen kun har været brugt som en del af at udnytte en sårbarhed, da vil jeg mene man har et godt forsvar.

Mere mudret er det måske hvis der er brugt en keylogger eller lignende til at opsnappe kodeordet. Der skal en dommer til for at vurdere om det er groft uansvarligt at tage et billede hvis man samtidig har valgt et stærkt kodeord. Det kan godt ske at der står i §3.2 at man ikke må, men det gør det ikke automatisk til "groft uansvarligt". Det var trods alt den sikkerhedsmodel bankerne har kørt med i mange år - og så kan det vel ikke være groft uansvarligt?

Nu står der så også at man hæfter med samme beløb hvis papkortet bliver stjålet og man ikke får det meddelt hurtigt nok.

Alt i alt, må jeg indrømme at jeg ikke finder risikoen ved at tage et billede for at være særlig stor. Jeg mister et større beløb på selvrisiko og trin-tab hvis jeg dummer mig i min bil.

#10 Lars Bruun 1. november 2011 - 23:33

Nøgleviseren virker i mange mobilbanker

DanID har givet version2.dk forkerte oplysninger.

Alle pengeinstitutterne herunder understøtter brug af nøgleviser i deres mobilbanker:

Jyske Bank Sydbank Alm. Brand Bank Djurslands Bank Kreditbanken Nordfyns Bank Nordjyske Bank Nørresundby Bank Ringkjøbing Landbobank Skjern Bank Sparekassen Sjælland Tønder Bank Vestfyns Bank Østjysk Bank Aarhus Lokalbank

(jeg har selv været med til at udvikle nøgleviserløsningen til pengeinstitutterne)

#11 Flemming Seerup 2. november 2011 - 06:53

Re: Nøgleviseren virker i mange mobilbanker

Så overskriften burde have været: "Danske Bank flopper på mobilen med den nye nummerviser" ?

#12 Deleted User 2. november 2011 - 09:52

Hej Lars og Flemming,

I har ret i, at der er mange af landets banker, der understøtter nøgleviseren, fordi de har lavet et workaround. Derfor er det nu præciseret i manchetten, at der er tale om danske mobilbank.

Vi har i morges bragt en artikel, der gennemgår, hvilke banker, der blandt andet understøtter nøgleviseren.

Mvh Christian, Version2

Log ind eller Opret konto for at kommentere

NemID's nye nøgleviser flopper på mobilen

Forskellige NemID-nøgler

Papkortet kan mere end nøgleviseren

NemID på mobilen er på vej

Mere om Digital signatur

Routing-fejl sendte Nem-login til tælling i 17 timer: Borgere kunne ikke få corona-svar