Nets til kamp mod NemID-nøglekort-apps: Forbrugerombudsmanden er på vores side

Illustration: leowolfert/Bigstock
Nets optrapper kampen mod NemID-apps, der i strid med NemID-brugerregler digitaliserer nøglekort efter at have fået ny støtte i en udtalelse fra Forbrugerombudsmanden. Udvikler af NemID-appen mener dog, at brugere digitaliserer nøglekort, om der er apps eller ej, og opfordrer derfor til nytænkning.

Siden NemID kom frem, er der med jævne mellemrum opstået nye apps, der giver mulighed for at scanne nøglekortet, så det ligger digitalt på mobilen. Disse apps opstår på trods af, at de opfordrer brugerne til at bryde med Nets' brugerregler om ikke at digitalisere sit nøglekort.

Nets optrapper nu kampen mod disse apps, efter at Forbrugerombudsmanden for nyligt har udtalt, at det er i strid med loven at markedsføre produkter, der kræver, at brugeren anvender et betalingsinstrument på en usikker måde eller overtræder brugerreglerne.

»Vi mener ikke, at det er rimeligt at forvente, at brugerne skal kunne overskue de mulige konsekvenser ved at bryde brugerreglerne for NemID. Det er Forbrugerombudsmanden enig i,« siger pressechef i Nets Ulrik Marschall til Version2.

Ifølge Nets har Forbrugermandens støtte udløst flere sager om at fjerne NemID-apps fra markedspladser.

Brugerreglerne er utopi

Men papkort i en digital tidsalder er utopi, hvis man spørger Peter Thorsen Lund, som har udviklet NEM Scanner, der er et af de seneste skud på NemID app-stammen.

Her skal brugeren scanne sit NemID-nøglekort ind, og appen kan efterfølgende læse koden højt for en. Den beskytter nøglekortet med en personlig kode samt 256 bit AES-kryptering.

Peter Thorsen Lund er klar over, at hans app opfordrer brugere til at bryde Nets' brugerregler, men siger til Version2:

»I forbindelse med udvikling af min app har jeg snakket med mange om, hvordan de bruger NemID, og de fleste siger: 'Jeg har bare taget et billede'.«

Han fortsætter:

»Nets må se indad og se på, hvorfor folk vælger at digitalisere kortet. De må erkende, at de ikke kan forhindre folk i at gøre det, og overveje, hvad den sikreste måde for digitalisering så er.«

Peter Thorsen Lund har ikke foretaget en undersøgelse, men blot spurgt i sin omgangskreds, hvordan de benytter NemID.

Vores regler beskytter mod phishing

»Helt grundlæggende skal man få fat i nøglekort på en eller anden måde for at misbruge NemID. Hvis du har nøglekortet i din tegnebog, så er det ikke til at få fat i via phishing – men det er det, så snart du scanner det ind,« lyder modargumentet fra Ulrik Marschall.

Nets har desuden oplevet flere forsøg på phishing af nøglekort, og her kan det være en fordel ikke at have nøglekortet liggende digitalt.

»Hvis du allerede har et billede af NemID-nøglekortet liggende på din mobil, er det nemt at sende det, og så er du et skridt nærmere at blive et offer for phishing,« siger Ulrik Marschall.

Ifølge ham er det en del af NemID’s filosofi at have 'noget i hovedet og noget i hånden', og det er det, systemet er bygget til.

Det kan være en bjørnetjeneste at informere om Nets' regler

Peter Thorsen Lund mener alligevel, at NEM Scanner er den sikreste løsning, da et papkort kan blive afluret af hvem som helst, hvis det ligger fremme.

Og hvis folk alligevel trodser brugerreglerne, som Peter Thorsen Lund mener, at mange gør, giver NEM Scanner en større sikkerhed.

Den kræver, at man logger ind og tager tre screenshots, hvis man skal sende sit NemID-nøglekort, og skaber derfor en større barriere mod phishing, sammenlignet med hvis det ligger i fotomappen.

I forhold til, om han vil informere brugere om, at de bryder Nets' regler med hans app, lyder svaret:

»Det har jeg ikke overvejet. Det, der taler imod det, er, at man kan risikere at gøre brugerne en bjørnetjeneste, hvis det får nogle til at lade være med at bruge appen - nu jeg selv mener, at det er et mere sikkert alternativ.«

Flere udviklere har trukket sig

I dag har Nets kendskab til fem NemID-apps.

Der har været flere gange, hvor Nets har kontaktet udviklerne og bedt dem fjerne dem. Det har fået bugt med nogle af appsene, og virker den tilgang ikke, går Nets til selve markedspladsen, som appen ligger på. Virker det ikke, vil Nets ’overveje yderligere retslige skridt, hvilket dog endnu ikke har været aktuelt’, skriver Ulrik Marschall til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (50)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Münster

Hvad er der galt med nøgleviseren? Den forhindrer endda phishing, når nu den kun viser én kode ad gangen og denne virker i øvrigt kun i 15 sekunder eller lign.
Jeg havde da også et billed af mit nøglekort på min mail, gemt som vedhæftet fil under andet filnavn og filtype.
Det gik jeg væk fra med det samme da jeg hørte om nøgleviseren. Du er fri for at sidde der og føle du er tilbage i 1998 og den løber aldrig tør for numre.

  • 6
  • 6
Mads Claus Henriksen

Kære Nets, istedet for at jagte de udviklere, der forsøger at gøre jeres papkortssystem anvendeligt, så kunne I jo gøre jeres eget system mere fleksibelt og brugerorienteret.

Papkortstofaktorautentifikationsteknologien (kunne ikke stå for dét sammensatte ord) har omtrent været tilgængelig for almindelige brugere i 20 år. Vi kan vel roligt antage at der findes bedre og mere brugerorienterede teknologier i dag. Har I overvejet, hvorfor hverken Facebook, Google, Amazon eller fx ING-Bank bruger en papkortsteknologi i dag? Det gør de ikke, fordi brugernes naturlige work-around (at tage et foto og have det liggende på deres telefoner) gør denne teknologi utroligt sårbar i dag. At bruge de forskellige papkortsscannerapps gør netop denne work-around mindre usikker - meget mindre usikker.

Lad mig foreslå, at Nets laver apps til de forskellige platforme, der kan spytte one-time koder ud. Her kan I selv kontrollere den aktuelle implementering af sikkerhedsforanstaltninger. PIN, Biometri.....

Til gengæld scorer Nets top-point i disciplinen Monopolistadfærd - når brugeren finder på smart adfærd for at kompensere for Monopolets frosne løsning, så er det selvsagt brugeren og den smarte adfærd, der er problemet. Det samme kan ses med Taxa/Uber-historien. Gæt hvem der kommer til at vinde på mellemlang bane? (der er høje odds på monopolerne)

  • 10
  • 9
Morten Hansen

Saboteret sikkerheden? Overfor bruteforcing?
Hvis du hentyder til de nye koder på 4 tal så er det helt i skoven at mene det er "usikkert" når du kombinerer begrænsede login-forsøg med 2 faktor pinkoden.
Chancen for at gætte den korrekte 4 cifrede kode i 3 forsøg er jo forsvindende lille, og når det så endelig lykkes skal du også lige have personens papkort.

  • 1
  • 2
Bjarne Oldrup

Google har for nyligt opdateret deres to-faktor login. Under aktiveringen, tjekkes det om man har en skærmlås på sin telefon (mønster, pinkode, fingeraftryk). Når man logger på et nyt sted, bliver man ganske enkelt bedt om at bekræfte login på sin telefon via en JA eller NEJ knap. Tænker at ræsonnementet er, at har man adgang til telefonen (efter skærmlås), er det lige sikkert om man skal aflæse en 6 cifret kode og indtaste denne på websitet, eller bare trykke JA. Hermed er to-faktor login så simpelt, at selv børn og gamle kan være med - og det er vel også en faktor.

Nøgleviseren et et rigtig godt supplement til nemid-kortet, og ligeledes nemmere for dem der har udfordringer med korttidshukommelsen. Papkortet er bare ikke særligt brugervenligt.

  • 4
  • 1
Kim Brouer

IMHO, naturligvis.
Ingen app, der skal konfigureres, hvis man wiper sin telefon (for at køre f.eks. Cyanogen), og intet papkort, der sjældent er lige ved hånden.
Og hvis man har et ur, der viser notifikationer fra telefonen, gør det ikke engang noget, at telefonen ligger i et andet rum.

Og så virker det jo også med gammeldags mobiltelefoner. (Og Windows Phone.)

  • 0
  • 2
Michael Jensen

Nogle af jer anbefaler koderne skal ligge i en app, eller sendes pr sms.

Begge dele er mere sårbart end papkort eller fysiske nøglevisere, der ikke er på internettet.

Efterhånden som mere og mere aktivitet sker på mobilen, og mobilen efterhånden er "den nye pc" og altid på internettet, er den naturligt større mål for malware.
At have koderne liggende der på, er lige så godt som at have dem i en nøglefil på PC'en, eller få dem via email. Det virkede sikkert OK og sikkert nok i 1990. Løsningen på mobiltelefonerne virkede sikkert også sikre i år 2000.

Så det skal gentænkes lidt. Papkort er primitivt, og det er da irriterende at have flere kort og kodelæsere osv med sig rundt. Men det er stadig mere sikkert, end at have koderne liggende på den enhed de sandsynligvis også skal bruges på, som typisk er internetforbundet hele tiden.

  • 16
  • 2
Mads Claus Henriksen

Ja, papkort er mere sikkert - helt enig.

Men problemet er at papkortet er en kluntet løsning, der selvsagt forudsætter at man har papkortet med sig. Indenfor en overskuelig årrække er begreber som: tegnebog, kørekort, pas, kontanter, kreditkort, sygesikringskort osv. alt sammen konsolideret ind i den enhed vi alligevel bærer rundt på. Her vil det virke rimeligt fjollet at bære rundt på en omnipotent smartphone og et PAPKORT.

Ergo skal to-/tre-faktor-autentifikation foregå på den enhed man alligevel har med sig. Det er altså et spørgsmål om veludført implementering af disse sikkerhedsmekanismer.

Hvis ikke man gør det nemt for brugeren at gøre det rigtigt, så finder brugeren som regel en uhensigtsmæssig work-around. Og det er præcist papkortets største svaghed - det lader sig alt for nemt kopiere på maksimal usikker vis.

  • 3
  • 6
Anton GG.

Der er flere år siden jeg scannede mit nøglekort og skrev en stump javascript som via en simpel function i browserens konsol finder den 6ciferede kode ud fra de 4 første. Kan ikke se hvorfor dette er mere usikkert end nets nøglefiler eller et papkort i pungen.

  • 1
  • 12
Erling Jacobsen

Papakort contra apps. Lad os antage at man anvender en app. Først skal telefonen stjæles, dernæst skal den åbnes med en kode, så skal appen findes blandt mange apps, derefter skylden have en kode på f.eks fire tal som så generes til tal vedkommende skal skrive i den Nemid åbning der står på tabletten, computeren eller telefonen. Den kræver at vedkommende kender mit brugerid og der tilhørende kode for at komme ind. Jeg tror at det ville være lette at stjæle papkortet så har man da sprunget et par trin over, ihvertfald tre kode der skal til for at bruge telefonen. Men jeg er kun en ikke uddannet skolelærer der ikke har forstand på alt det tekniske, men jeg bruger jo hellere ikke app det må man jo ikke år 2016 der skal man bruge et papkort som mine tidligere elever i børnehaveklassen sidder og roder med. Fred være med dem.

  • 2
  • 12
Peter Lindemann

Michael, du har uden tvivl teknisk og teoretisk ret, men en gang imellem må man lægge øret til jorden og se hvilken adfærd ens brugere har. Uhensigtsmæssig eller risikabel, ja muligt, men hvis det er det de gør, så er det dem der har "ret". Sorry.

  • 0
  • 9
Claus Petersen

Jeg mener at papkortet er ret genialt i alt dets simpelhed.
Løsningen er så lav teknologisk at mediet er tilgængeligt helt uafhængigt af anden teknologi så den nødvendige information for at gennemføre en validering er tilgængelig for brugeren uden at kræve andet end det udstyr som de fleste er udstyret med fra naturens side (jeg ved ikke om papkortet også kan leveres med braille skrift).
Desuden er mediet nemt at sikre mod uvedkommende snagende øjne (gem det et sikkert sted, undlad at kopiere det).

Jeg syntes derfor at kritikken imod papkortet er uretfærdig.

Jeg kan da godt forstå at nogle hellere vil have en mobil løsning og det syntes jeg da at man skal tillade, mod at dem der anvender den langt mere usikre løsning til gengæld fraskriver sig retten til kompensation hvis deres konto bliver tømt via nemid.

Under alle omstændigheder er der som nævnt et alternativ til papkortet, nemlig nøgleviseren, der ganske vist koster hele 99 kroner, men så er fragten til gengæld inkluderet i prisen.
Den kan ikke kobles til mobil telefonen, men den er udformet så man kan hænge den i nøgleringen.

  • 15
  • 1
Jesper Hansen

Problemet med disse Apps er at ansvaret for skadeserstatning er væk. Hvis nøglekort eller kode ikke er udleveret til andre er det Nets eller bankerne som vil kompensere en borger for tabt som følge af andres uretmæssige adgang til f.eks bankkonti. Hvis man har lagt følsomme data ind i en app er det ikke givet at man kan stille det krav overfor bank/nets, men må sagsøge app-udvikleren for den skade man har lidt. Og app-udvikleren er jo ikke nødvendigvis hverken troværdig eller indstillet på at tage reelt ansvar for sikkerheden.

  • 9
  • 0
Claus Jepsen

Det kan godt være at papkort er genialt sikkerhedsmæssigt, men ligesom VISA og Dankort bruger vi dem jo ikke digitalt.

De fleste e-butikker, Paypal etc. gemmer VISA-kortoplysninger, og efterhånden er det vel kun i de fysiske butikker de bruges - det forsvinder meget snart, fx via MobilePay i forretninger.

Når jeg sidder ved min pc på arbejde har jeg ikke mit NEMID kort ved mig. Min telefon og pung er smeltet sammen i et smart cover - og jeg synes det er mere uforsigtig at have telefon og kort samme sted. Så mit kort er scannet og ligger i en krypteret folder på mit cloud-drev, beskyttet med password. Der ligger mine koder og visa-kort numre også, så jeg kan copy-paste ved ehandel køb.

Måske ikke bedste løsning, men ufattelig praktisk og - for mig - sikkerhedsmæssigt balanceret fordele og ulemper imellem.

PS. Efter 4 defekte kortlæsere (4 x kr. 100,00) er jeg færdig med dem. Kvaliteten er alt for ringe. De RSA-kortlæsere jeg har haft fra arbejde har der aldrig været bøvl med, så NETS har købt noget billigt skidt.

  • 2
  • 11
Jesper Høgh

For det første finder jeg det underligt, at den overvejende del af brugerne af et IT-relateret site som dette, hvis de stilles overfor valget mellem papkort og nøgleviser, tilsyneladende foretrækker papkort(!?)

Com on ... 100 kr. hvert 2. eller 3. år...

For det andet undrer det mig også, at så mange har blind tillid til, at indskanning af papkortet til mobilen skulle være en bare tilnærmelsesvis sikker løsning.

Da NemID jo kan benyttes fra selvsamme enhed, svarer det vel næsten til at notere koden til værdiboksen bag på det maleri, som hænger foran boksen.

At benytte en skanner app, kræver jo således grænseløs tillid til ikke bare skanner app'en, men også til OS og samtlige øvrige apps på enheden!

  • 9
  • 1
Klavs Klavsen

Fordi det forlader sig på at mobilen ikke er kompromitteret.

Følger i bare en lille smule med i nyhederne, vil i læse at millioner (+++) er blevet hacket pga. bl.a. stagefrigth og andre remote sårbarheder i android : se f.ex. https://source.android.com/security/bulletin/2016-05-01.html - langt de fleste telefoner af android typen kan hackes ved bare at sende en mms til telefonen (man behøver ikke åbne den selv - så man opdager det ikke).

Opdateringssituationen for de fleste android leverandører (til dels undtagen Google's egen Nexus serie) er så ringe at de fleste ALDRIG modtager sikkerhedsopdateringer.. og så vil i opbevare jeres nøglekort på sådan en enhed og argumenterer for at DET er sikkert?

Folk køber telefoner efter features og pris - og det udvikles der så efter. Det koster nu engang noget at have styr på sikkerheden og at sørge for sikkerhedsopdateringer til dem der ER solgt - så det sker IKKE før noget ændres der. F.ex. software ansvars lovgivning som f.ex. PHK har advokeret for.

At forsøge at blande sikkerhed, sammen med features - giver sjovt nok altid køb på sikkerheden.. og jeg har ikke specielt lyst til at være nogle af de første der får mit NemID kompromiteret på en eller anden vis, hvor det ikke nemt kan ses at det er hvad der er sket (eller at jeg bare får af vide at kunne de koden fra mit nøglekort, er det min egen skyld) - for så står jeg i præcis samme mega trælse situation som mange bilejere - selv den dag idag - står med mht. startspærren.. forsikringsselskaberne vil ikke udbetale erstatning for en stjålen bil (for den kan jo ikke stjæles) og startspærren er defakto ubehageligt nem at omgå på rigtig mange modeller..

Med NemID bliver det der kan stjæles bare ubehageligt værre end min bil.

  • 9
  • 0
Nicolai Lindskov Knudsen

I Norge findes der allerede en digital løsning. Det er en app (udviklet i samarbejde med bankerne tror jeg - min er fra Danske Bank), som fungerer på samme måde som den lille nøglebrik man kan købe bortset fra, at app'en skal have en 4-cifret pin før man får en engangskode. Jeg venter blot på, at det bliver muligt at bruge fingeraftryksscanneren i stedet for PIN til at komme ind ligesom på min mobilbank.

  • 0
  • 1
Klavs Klavsen

med tanke på hvor nemt de fleste android's er 'roote' - så man f.ex. kan installere en keylogger og dermed snuppe din pinkode og så derefter scripte sig ud af resten (som spammere mm. allerede er super dygtige til at gøre) - så ville jeg dælme ikke stole på en app - på et usikkert system som de fleste mobiltelefoner er.

  • 7
  • 0
Claus Petersen

...som fungerer på samme måde som den lille nøglebrik man kan købe bortset fra, at app'en skal have en 4-cifret pin før man får en engangskode

Så man skal tænde for mobilen, klikke app'en frem, derefter indtaste en 4-cifret pinkode før end man får de 6 cifre til validering.
Det er sikkert bare mig men er nøgleviseren ikke nemmere?
Der skal man bare trykke på en knap og så får man de 6 cifre.

  • 8
  • 1
Jesper Høgh

Der har været sendinger med alt for lav kvalitet og du har så været uheldig. Men du har to års garanti på den, så dør den i den periode får du ombyttet den

Jeg har haft 2 nøglevisere, som har fungeret upåklageligt.

Dit svar var vidst egentlig henvendt til Claus Jepsen, som har købt 4 defekte - tilsyneladende uden at forlange dem byttet i henhold til garantien ;o)

  • 2
  • 0
Allan Klausen

Man kan altid øge sikkerheden. F.eks. bliver det klart mere sikkert hvis jeg graver mit nøglekort ned i haven. Man bør spørge hvor stor grad af sikkerhed der kan forlanges hvis systemet stadig skal være attraktivt at bruge. E-boks fik den smarte idé at tillade touch-Id hvilket har forbedret brugeroplevelsen markant og gør at jeg langt oftere går på E-boks. Var det ikke en idé for nem-Id? Jeg ved godt at nogen kan skære min finger af (eller med snedig teknologi kopiere mit fingeraftryk), stjæle min tlf og dermed få fuld adgang men det er nok nemmere at stjæle mit nøglekort, hvis de altså kan finde det ude i haven. Jeg har aldrig det elendige papkort på mig så jeg er sjældent mobil med nem-Id

  • 2
  • 3
Jesper Høgh

Jeg har aldrig det elendige papkort på mig så jeg er sjældent mobil med nem-Id


Hvis årsagen til, at du sjældent er mobil med NemID, er, at du ikke har dit elendige papkort på dig, så kunne du vel rette op på dette ved at anvende denne ret lavpraktiske løsning: Placer dit papkort i din tegnebog/kortholder ;o)

Alternativt kunne du spare sammen til en nøgleviser, og så placere denne i din nøglering. Det har jeg gjort. Og jeg har ikke oplevet, at vægtforøgelsen af min nøglering har været af en så drastisk karakter, at indkøb af seler har været påkrævet ;o)

  • 10
  • 1
Henning Wangerin
  • 2
  • 0
Nicolai Lindskov Knudsen

Det er sikkert bare mig men er nøgleviseren ikke nemmere?
Der skal man bare trykke på en knap og så får man de 6 cifre.


Pointen er at du har det på mobilen. Om du slæber et papkort eller nøgleviseren med rundt er for mig at se det samme bøvl.

Hvis det er Nets der har udviklet løsningen her i Norge, så må det være Nem-ID som holder igen af en eller anden årsag - eller hvad?

  • 0
  • 2
Jesper Høgh

Stadiet mellem tillid og paranoia kan man vel med god ret karakterisere som omtanke.

Og jeg kan ikke se, at omtanke kan forenes med, at adgang til NemID og identifikation overfor NemID kan befinde sig på samme enhed.

Ligesom vore betalingskort kun kan bruges v.h.a. dels et fysisk kort og derudover en biologisk lagret pin kode, så må en bare nogenlunde sikker håndtering af NemID vel også kræve, at adgangen gives udelukkende hvis to, af brugeren indgivne, kriterier er opfyldt.

Og før i farer i blækhuset: Ja jeg bruger selv primært touch-and-go med mit kort. Og dette er jo, indtil videre begrænset til 200 kr.

  • 4
  • 0
Kjeld Flarup Christensen

Nu har jeg ikke prøvet nogle af disse Apps, men hvad siger deres brugerbetingelser? Fraskriver de sig ikke enhver form for ansvar hvis der sker misbrug?
(Hvis der tilfældigvis er nogen som har læst betingelserne!)

Ellers er det bedste jeg kan sige om sikkerheden i disse app's at det ikke er NETS som har lavet dem, altså der er ikke kun een App at hacke. Men der er Apps som kan hackes.

Den der med at tage et billede og gemme det er jo meget usikkert, og dog så kræver det at det findes, derfor er der faktisk security by obscurity. Det kræver næsten at der er nogen som laver et dedikeret angreb på en enkelt person.

Hvis jeg skulle tage et billede, så ville jeg aldrig lade billedet ligge på den device som jeg bruger til NemID. Sikkerheden ligger i at der skal mindst to devices til, og et papkort er blot et device,

  • 3
  • 0
Claus Petersen

Problemet er nok nærmere at folk ikke gider slæbe to ting med rundt - helt ligesom diskutionen for nylig om nemid på hardware.

Som jeg vist har nævnt før er den digitale nøgleviser designet så den nemt kan passes sammen med eksisterende nøgler, f.eks. bil eller husnøgler, hvorfor der egentlig ikke er tale om at øge en i forvejen besværlig byrde da løsningen "piggybacker" på et eksisterende nøglebundt.

Men det kan være at jeg er underlig og helt har misset at normale mennesker i moderne tider åbner døren til huset/lejligheden med mobilen og starter deres køretøj med samme.

  • 8
  • 1
Claus Petersen

Nu har jeg ikke prøvet nogle af disse Apps, men hvad siger deres brugerbetingelser? Fraskriver de sig ikke enhver form for ansvar hvis der sker misbrug?

Det har jeg heller ikke, men jeg er faktisk helt sikker på at de ikke på nogen måde kompenserer brugeren i tilfælde af misbrug.
Hvis de gjorde ville både nets og bankerne nok gøre en undtagelse fra reglerne.

  • 4
  • 0
Michael Jensen

MEN det behøver måske heller ikke være en sikker løsning.?

Hvis jeg kan få banken til at erstatte misbrug, fordi løsningen ikke er sikker, så er det da også helt OK med mig.
Hvis jeg må scanne mit kort, lægge min nøgle-app-backup i clouden, modtage SMS'erne på familiens fælles hotmailkonto osv osv, og jeg samtidig kan undgå at stå til ansvar for brugen af mit nemid, så er det da ok med mig.

"Nej, jeg overførte ikke de 100kr til en konto i nigeria" - "nå, ok, her er pengene retur"

"Jeg har ikke skrevet under på det aktiekøb"
"Jeg har ikke oprettet det realkreditlån"
"Det er altså ikke mig, der har underskrevet den skilsmisseattest"
...

Der er noget HELT grundlæggende vedrørende juridisk binding og ansvar vi skal have på plads, når vi begynder at slække sikkerheden.

  • 4
  • 0
Sune Marcher

For det første finder jeg det underligt, at den overvejende del af brugerne af et IT-relateret site som dette, hvis de stilles overfor valget mellem papkort og nøgleviser, tilsyneladende foretrækker papkort(!?)


Fordi det er en simpel, billig og lavpraktisk løsning der fungerer ret godt.

Hvis jeg skulle bruge NemID flere gang om dagen ville jeg klart foretrække en keyfob, men til max et par gange om ugen er papkortet perfekt. Der er ingen grund til at hælde magisk IT-sovs på når det ikke er nødvendigt :-)

  • 4
  • 2
Henrik Kramshøj Blogger

Fordi det er en simpel, billig og lavpraktisk løsning der fungerer ret godt.

hmm, hvordan definerer du fungerer?

Jeg hader NemID og har gjort det siden indførelsen. Det bruges derfor kun når det er absolut nødvendigt, og derfor er antallet af logins fra mig begrænset. Det samme gør bankerne som sådan også, derfor har min banks egen applikation kun et simpelt login, hvorefter jeg kan gøre mange ting, se konto osv. Ligeledes er Mobile Pay jo en fucking STOR success, fordi man ikke skal bruge NemID for at overføre penge.

Papkort er tåbeligt og en one-size fits nobody. Kun med tvang er det indført, og kun med tvang forsøges det udbredt til ALTING, hvorefter en del indser balladen og laver alternativer - som min bank og Mobile Pay.

Fuck NemID, lyt til brugerne, lav en ordentlig løsning - gerne med mindst to konkurrenter.

  • 1
  • 3
Sune Marcher

hmm, hvordan definerer du fungerer?


Som i at det er simpelt at anvende - samtidig med at det er 2FA. Ja, man skal have kortet med sig, men værre er det altså heller ikke (bortset fra folk der har behov for flere personaer, her har Nets ikke en brugervenlig løsning - men det er ikke papkortets skyld).

En app eller SMS ville ikke give 2FA hvis du bruger mobilen som NemID-enhed, men det har andre allerede kommenteret på.

Det er fint nok hvis du vil nøjes med pinkode eller passphrase til bankadgang, men (som andre også har kommenteret på) giver NemID adgang til en hel masse mere - og der vil jeg i hvert fald nødig undvære 2FA.

Papkortet er dén ene ting Nets har gjort korrekt i forhold til NemID. Vi kan hurtigt begynde at liste alle de ting der er galt med det forbandede system, men det er en anden diskussion :)

  • 4
  • 1
Maciej Szeliga

Michael, du har uden tvivl teknisk og teoretisk ret, men en gang imellem må man lægge øret til jorden og se hvilken adfærd ens brugere har. Uhensigtsmæssig eller risikabel, ja muligt, men hvis det er det de gør, så er det dem der har "ret". Sorry.


Jeg har lidt svært ved at se hvorfor denne er blevet "sablet" ned.

Peter har fuldkommen ret i at når man giver noget til nogen så skal det være 100% idiotsikret ellers vil det blive voldbollet til ukendelighed af dem man giver det til (det er ikke det Peter siger men det er det som er essensen af det):
* Papkortet er en nøgle, idioter scanner så nøglen og har den på sin mobiltelefon eller DropBox.
* Rukonøglen er en nøgle, idioter lader den ligge under dørmåtten.

Hvis man nu i stedet for papkort udleverede den elektroniske brik (første gratis, hvis man taber den så skal man betale 250 kr) så ville man ikke have haft noget problem med papkort, indscannede papkort, og Apps til indscannede papkort.

I øvrigt køber jeg ikke at man ikke kunne forudsige at papkort ville give de problemer, det vil være totalt useriøst.

  • 1
  • 0
Jesper Høgh

Kære Version2, kunne i dog ikke droppe disse absurde, og for længst outdatede orddelinger?

Eller i det mindste vedligeholde systemet?!

Eksempler:

Ne-
mID

Ble-
grød

Sko-
vrider

Men sproget er jo taknemmeligt, hvad med f.eks. denne 'latinske' sæting:

lægti læskul itorum femi hvertrum

  • 0
  • 2
Leif Neland

De fleste e-butikker, Paypal etc. gemmer VISA-kortoplysninger, og efterhånden er det vel kun i de fysiske butikker de bruges - det forsvinder meget snart, fx via MobilePay i forretninger.

Nej, det gør de fleste e-butikker ikke.
Hovedparten af danske netbutikker bruger en betalingsudbyder som Nets eller ePay.
Betalingen foregår i et vindue fra deres servere, og butikken får kun et transaktionsnummer (og måske de sidste 4 cifre af kortnummeret), der skal bruges, når pengene skal hæves. (Når varen sendes)

At gemme kortoplysningerne er måske attraktivt for meget store firmaer, der måske kan opveje fordelene ved en lettere kundeoplevelse med de omkostninger der skal til for at have sikkerheden på plads for at få lov til at gemme kortoplysningerne.

I øvrigt mener jeg at det burde være muligt at få virtuelle kort, så man f.ex. havde et ebay-kort, der kunne begrænses til x kr/md, og kun til ebay eller et "suspekt-butik-jeg-tager-chancen", hvor der kun kan hæves det beløb, jeg har givet lov til.

Man bør vel bruge visaDebit eller lignende "kontant-kort", hvor saldoen kontrolleres, og kontoen kun kan tømmes, ikke overtrækkes. (Og ikke have hele millionarven stående på den konto)

  • 2
  • 0
Leif Neland

Jeg har været ude for at der via mobilen kun gives mulighed for at bruge nøglekort, ikke nøgleviser.

Og hvis jeg vil signere et dokument ved hjælp af nemid

https://www.nemid.nu/dk-da/om_nemid/hvad_er_nemid/sikker_e-mail/signerin...

så skal jeg også have fat i nøglekortet.

Ellers fungerer det fint i både foxit og openoffice at signere et dokument.
(Selvom jeg må indrømme at jeg mest gjorde det for at blære mig ;-) )

  • 1
  • 0
Mogens Bluhme

I det øjeblik mobiltelefonen selv er devicet har vi en kæmpeudfordring. Man bør ALTID som default gå ud fra at den er kompromitteret og at pågældende har fuld kontrol over telefonen.

OTP som SMS eller apps er dermed udelukket. Nogle vil protestere men bl.a. Lacoon har demonstreret på BlackHat-konferencer, hvordan containeropdeling kan brydes.

Så er papkortet en reel mulighed - derudover er der også USB cloud keys - hvis der ikke er USB på mobiltelefonen har en del løsninger med understøttelse for Bluetooth eller NFC.

Man skal derfor altid have to ting på sig - laptop + mobiltelefon/token/cloudkey/papkort eller smartphone + papkort/token/cloudkey.

Det hjælper ikke mod man-in-the-middel på applikationsniveau eller sessionshijacking men så er vi forbi brugervalideringsprocessen og ovre i fraud protection.

  • 2
  • 0
Thomas Toft
  • 0
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize