NemID's nye nøgleviser flopper på mobilen

En ny nøgleviser til 99 kroner skulle gøre livet lettere for NemID-brugere. Nu må de alligevel hive papkortet frem fra skuffen, for nøgleviseren virker ikke som standard i mobilbanker, og i Danske Banks mobilbank kommer den ikke til det foreløbig.

14.000 danskere har betalt DanID 99 kroner for at få en nøgleviser i forvisningen om at kunne slippe for papkortet, men det viser sig nu at have lange udsigter, hvis de bruger NemID til at logge på deres mobilbank hos Danske Bank.

Årsagen er, at mange af landets banker lader deres kunder bruge deres netbank på mobilen, selv om mobiltelefoner teknisk set ikke understøtter NemID.

Det har nu den konsekvens, at kunder med nøgleviseren ikke kan udføre transaktioner på Danske Mobilbank, som de har været vant til at kunne med papkortet.

Hos Danske Bank er firmaets mobilbank blevet downloadet flere end 400.000 gange på koncernniveau. Flere af brugerne brokker sig nu på bankens Facebook-side over, at de ikke kan bruge mobilbanken med den nye nøgleviser. Det tager Danske Bank dog med ro.

»Vi vidste godt, at nøgleviseren ville komme, og at den ikke ville virke med vores mobilapplikation. Vi besluttede ikke at begynde at udvikle noget, fordi DanID er i gang med at udvikle en rigtig mobilløsning, der kommer til at virke på Android og iOS. Den vil både understøtte papkort og og nøgleviser og er klar om et halvt år,« forklarer Esben Torpe Jørgensen, der er seniorkonsulent for forretningsudvikling, til Version2.

Forskellige NemID-nøgler

Problemet skyldes forskelle i genereringen af NemID-nøgler med henholdsvis papkort og nøgleviser.

På computere benyttes en Java-applikation til at verificere de oplysninger, der bliver indtastet via DanID’s servere. Den er i stand til både at håndtere papkortet og nøgleviseren, selv om nøglegenereringen altså er forskellig. Og det er det, der er problemet med mobilapplikationen, hvor Danske Bank - og alle andre banker, der ønsker en mobilbank - ville skulle udvikle en specialløsning til nøgleviseren.

»Teknisk set skal man have lavet en anden løsning for at kunne understøtte nøgleviseren, fordi den genererer koderne på en anden måde. Nøgleviseren genererer koderne løbende, hvor koderne på papkortet er prægenererede,« siger Esben Torpe Jørgensen til Version2.

Derfor har man i Danske Bank prioriteret anderledes, fortæller Esben Torpe Jørgensen:

»Vi har været i meget tæt dialog med vores kunder om, hvad de har haft af ønsker til mobilbanken, og det er de ting, de efterspørger mest, vi har valgt at fokusere på. Hvis det viser sig, at mange af vores kunder er frustrerede over ikke at kunne bruge nøgleviseren i mobilbanken, må vi revurdere situationen,« siger Esben Torpe Jørgensen til Version2.

Han påpeger, at banken som udgangspunkt vil afvente, at der kommer en fælles mobilløsning.

Papkortet kan mere end nøgleviseren

Nøgleviseren har i det hele taget en række begrænsninger i forhold til papkortet, vi ellers kender til, og som vi gratis kan få sendt med posten.

For eksempel kan man ikke bruge nøgleviseren til at ændre i NemID-certifikatet. Det vil sige, at hvis man vil ændre sin e-mail-adresse, adgangskode eller godkende sit NemID til brug i det offentlige, såkaldt OCES, så skal man altså alligevel hive papkortet frem. Det samme gør sig gældende, hvis man skal melde sin nøgleviser stjålet.

Men det fremgår ikke af DanID’s salgsside for nøgleviseren, som er til salg for lige under 100 kroner, omend det oplyses, at nøgleviseren er 'et supplement til nøglekortet'. Hos DanID fortæller man, at man vil gøre mere ud af at oplyse om det, der gør, at man stadig skal holde fast i papkortet:

»Jeg synes faktisk, vi har gjort meget ud af, at fortælle, at man altid har brug for sit papkort. Når det er sagt, så vil vi skrive en kommentar på hjemmesiden om, at nøgleviseren ikke virker til mobilapplikationer på nuværende tidspunkt,« siger Jette Knudsen til Version2.

NemID på mobilen er på vej

Jette Knudsen erkender dog, at brugerne godt kan blive forvirrede.

»Der ligger en forklaringsopgave i det. Vi skal også passe på ikke at forvirre forbrugerne til at tro, at der lige pludselig er en hel masse ting, man ikke kan med nøgleviseren. Men det er altså kun på mobilsiden og ændringer i certifikatet, hvor den ikke kan det samme som papkortet.«

Som en del af den leveringsaftale, DanID har indgået med bankerne og staten, er DanID slet ikke forpligtede til at levere en mobilløsning. Jette Knudsen fortæller dog, at et mobilprodukt lige nu er i 'grønt' og kører, som det skal. Det forventes afleveret til bankerne i foråret, hvorefter de kan implementere det – blandt andet i deres mobilbanksapplikationer.

I Danske Bank oplyser man, at 14 procent af alle logins i systemerne foretages via bankens mobilløsninger, hvor fem procent af alle transaktioner også foretages.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Casper Bang

Ja så er en nøgleviser da ligepludselig ikke særlig interesant. Men jeg forstår ikke helt, hvorfor DanIDs auth server ikke blot transparant håndterer begge modes. Om den kun skal lave lookup i en database eller også have fallback til at sammenligne med en token-værdi regnet ud on-the-fly, kan vel være ligefedt?!

  • 0
  • 0
#2 Lars Haagen

Jeg undrer mig over alt den ballade omkrinde den nøglering. Tag dog et billede med telefonen af papkortet og smid kortet i skuffen derhjemme. Mobilen er altid med og dermed billedet af kortet. Sæt en kode på mobilen, hvis ikke du har det i forvejen, så er du sikret den vej og slipper for at betale for en nøglering der ikke virker alligevel.

  • 0
  • 5
#3 Christian Nobel
  • 6
  • 0
#8 Rasmus Faber-Espensen

Hvor står det?

Regler for NemID §3.2:

Du skal være opmærksom på, at du [...] ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne

Hvor meget du derefter hæfter afhænger af en fortolkning af Betalingstjenestelovens § 62. Jeg vil gætte på 8.000,-, for groft uansvarlig adfærd (altså langt fra den fulde byrde).

  • 2
  • 0
#9 Baldur Norddahl

Mon ikke det er den her lovtekst der er relevant og som Rasmus henviser til:

Stk. 3. Medmindre videregående hæftelse følger af stk. 6, hæfter betaleren med op til 8.000 kr. for tab som følge af andres uberettigede anvendelse af betalingsinstrumentet, hvis betalers udbyder godtgør, at den til betalingsinstrumentet hørende personlige sikkerhedsforanstaltning er anvendt, og ... 3) at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse.

Man hæfter altså kun hvis man har "muliggjort" anvendelsen. Så hvis det der sker, er at nogen får fat i telefonen med billedet og samtidig kan gætte id og kode, så hæfter man (måske).

Men hvis der er et problem i NemID og billedet på telefonen kun har været brugt som en del af at udnytte en sårbarhed, da vil jeg mene man har et godt forsvar.

Mere mudret er det måske hvis der er brugt en keylogger eller lignende til at opsnappe kodeordet. Der skal en dommer til for at vurdere om det er groft uansvarligt at tage et billede hvis man samtidig har valgt et stærkt kodeord. Det kan godt ske at der står i §3.2 at man ikke må, men det gør det ikke automatisk til "groft uansvarligt". Det var trods alt den sikkerhedsmodel bankerne har kørt med i mange år - og så kan det vel ikke være groft uansvarligt?

Nu står der så også at man hæfter med samme beløb hvis papkortet bliver stjålet og man ikke får det meddelt hurtigt nok.

Alt i alt, må jeg indrømme at jeg ikke finder risikoen ved at tage et billede for at være særlig stor. Jeg mister et større beløb på selvrisiko og trin-tab hvis jeg dummer mig i min bil.

  • 0
  • 0
#10 Lars Bruun

DanID har givet version2.dk forkerte oplysninger.

Alle pengeinstitutterne herunder understøtter brug af nøgleviser i deres mobilbanker:

Jyske Bank Sydbank Alm. Brand Bank Djurslands Bank Kreditbanken Nordfyns Bank Nordjyske Bank Nørresundby Bank Ringkjøbing Landbobank Skjern Bank Sparekassen Sjælland Tønder Bank Vestfyns Bank Østjysk Bank Aarhus Lokalbank

(jeg har selv været med til at udvikle nøgleviserløsningen til pengeinstitutterne)

  • 1
  • 0
#12 Deleted User

Hej Lars og Flemming,

I har ret i, at der er mange af landets banker, der understøtter nøgleviseren, fordi de har lavet et workaround. Derfor er det nu præciseret i manchetten, at der er tale om danske mobilbank.

Vi har i morges bragt en artikel, der gennemgår, hvilke banker, der blandt andet understøtter nøgleviseren.

Mvh Christian, Version2

  • 0
  • 0
Log ind eller Opret konto for at kommentere