Nets og Digitaliseringsstyrelsen advarer mod nøglekort-apps

29. oktober 2014 kl. 10:0536
Apps, der gør det muligt at slippe af med det fysiske NemID-nøglekort ved at lagre det digitalt på en smartphone, underminerer sikkerheden i login-løsningen og er i strid med reglerne, lyder det fra Nets og Digitaliseringsstyrelsen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hverken hos Digitaliseringsstyrelsen eller hos Nets er der begejstring at spore over apps, der i bekvemmelighedens navn tilbyder brugere at lagre NemID-nøglekortet digitalt på en smartphone. Heller ikke selvom det sker krypteret. Det forringer sikkerheden og er imod reglerne, lyder det samstemmende fra de to organisationer.

Tidligere har Version2 omtalt den netop udkomne app NemmereID til iPhone, der gør det muligt at fotografere flere nøglekort og lagre dem krypteret på telefonen. Herefter kan det lade sig gøre at få vist den relevante nøgle fra et af kortene ved at indtaste det firecifrede nøglenummer. En anden app, e-nøglekort, tilbyder tilsyneladende lignende funktionalitet.

Men selvom det kan lyde smart, er det en dårlig idé at anvende den slags apps, fortæller kontorchef i Digitaliseringsstyrelsen Cecile Christensen i en mail:

»Digitaliseringsstyrelsen tager afstand fra løsninger som 'NemmereID'-appen, fordi den er i strid med NemID-reglerne og udgør en risiko for NemID-brugernes sikkerhed,« skriver hun og fortsætter:

Artiklen fortsætter efter annoncen

»Nets DanID er ansvarlige for at administrere og håndhæve, at NemID-reglerne overholdes, og jeg vil derfor henvise til Nets DanID for yderligere informationer i forhold til håndtering af den nævnte løsning.«

Kommunikationskonsulent i Nets Ulrik Marschall peger også på, at det er i strid med brugerreglerne for NemID at lagre sit nøglekort digitalt.

»Selvom formålet er at øge brugervenligheden ved NemID, accepterer vi ikke apps, der opfordrer NemID-brugere til dette, uanset hvilken sikkerhed der knytter sig til løsningen. En væsentlig del af sikkerheden omkring NemID består i, at der anvendes to faktorer – noget, du har 'i hovedet', og noget, du har 'i hånden'. Det forudsætter, at man ikke anvender og lagrer sine koder på samme medie, eksempelvis telefonen,« skriver han i en mail og fortsætter:

»Det øger sårbarheden omkring NemID, og derfor følger vi generelt op, når vi bliver bekendt med apps eller andre foranstaltninger, der på uheldig vis bidrager til dette. I det konkrete tilfælde er vi i gang med at kontakte producenten,« skriver Ulrik Marschall med henvisning til iDeal Development, der står bag NemmereID-appen.

36 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
34
30. oktober 2014 kl. 18:37

Bo Ørsted har henvist til hvordan man kan få en ny bruger-id, men det fjerner IKKE muligheden for at bruge CPR-NR!

Det opdagede jeg efter at have skiftet bruger-id, jeg kom af gammel vane til at bruge personummeret, og kom ind.

Nu har jeg slået den mulighed fra, men fatter ikke hvorfor det ikke sker når man opretter en ny bruger-ID, eller at man i det mindste får en meget tydelig mulighed for at tage stilling til det.

27
29. oktober 2014 kl. 13:45

Problemet med at folk kopierer deres nøglekort kan løses ved at gøre nøglekortet ukopierbart ved at lade det være et hardwaretoken. Det kan også delvis løse det problem at en kompromiteret computer kan aflæse nøglekortet med computerens kamera (hvilket forhåbentligt sker sjældent).

Problemet med at erhvervsdrivende skal slæbe rundt på mange kort, kunne løses ved at et hardwaretoken kan virke til flere forskellige NemID. Burde det ikke være muligt?

33
30. oktober 2014 kl. 15:49

Problemet med at erhvervsdrivende skal slæbe rundt på mange kort, kunne løses ved at et hardwaretoken kan virke til flere forskellige NemID. Burde det ikke være muligt?

Det burde - allerede i dag - løses ved at det bagvedliggende system kan vide at der er tale om den samme person med adgang til forskellige roller - og at det ikke skal være nødvendigt for brugeren at tænke i at skifte roller hele tiden.

Det burde - allerede i dag - være muligt for almindelige mennesker, uden videre at vide og styre, hvad man har adgang til. Hvis det "bare fungerede" ville det at der er tale om et papkort kunne reduceres til et mindre irritationsmoment i et velgennemtænkt system i stedet for en dråbe i et stort hav af frustrerende brugeroplevelser.

28
29. oktober 2014 kl. 21:48

Finn, det er muligt at bruge et standard smart card (JavacardOS+FIPS 140 godkendt) til NemID medarbejdersignatur. Også til flere CVR numre. Bruger selv dagligt et smart card til 3 firmaer + andre certifikater til blandt andet OpenVPN. Det virker på Linux, Win og MacOS. iOS og Android et mere kringlet pt.

29
29. oktober 2014 kl. 21:59

Kan supplere at brug af kort kun kræver min. en 4 cifret pinkode, at det spærres efter 3 forkerte forsøg og det samme kort også kan bruges til kryptering af filer, diske mv.

14
29. oktober 2014 kl. 12:18

Jeg har two-factor koder til Facebook, Gmail, Amazon AWS, Dropbox, hosting, Evernote mm. på min iPhone. Selvom jeg også bruger disse services på min iPhone, ser jeg det stadigvæk som two-factor :)

23
29. oktober 2014 kl. 13:27

Jeg har two-factor koder til Facebook, Gmail, Amazon AWS, Dropbox, hosting, Evernote mm. på min iPhone. Selvom jeg også bruger disse services på min iPhone, ser jeg det stadigvæk som two-factor :)

En angriber ville skulle nøjes med at skaffe sig adgang til din iPhone, så kan han bruge dine tjenester uden yderligere krav om identifikation (fordi den anden faktor sikkert kommer som en kode på en sms eller lignende).

Ergo har du dermed kun 1-faktor beskyttelse (din pin-kode på din iPhone). Dette kunne endda vise sig at være 0-faktor beskyttelse, hvis der viser sig en sårbarhed i iOS som tillader folk at logge sig ind på din iPhone udenom pin-koden (et helt igennem tænkt eksempel selvfølgelig ;-).

/Steen

24
29. oktober 2014 kl. 13:38

Ergo har du dermed kun 1-faktor beskyttelse (din pin-kode på din iPhone). Dette kunne endda vise sig at være 0-faktor beskyttelse, hvis der viser sig en sårbarhed i iOS som tillader folk at logge sig ind på din iPhone udenom pin-koden (et helt igennem tænkt eksempel selvfølgelig ;-).

Jeg må tilføje at Apple (og andre) endda i disse måneder åbner op for flere og flere angrebsvektorer. Allerede nu kan du få redirected dine opkald automatisk til alle dine Apple-enheder. Der er ikke mange skridt til at Apple vil kunne tilbyde at enhver af "dine" Apple-apparater vil kunne optræde som ethvert af dine andre Apple-apparater. Så kræver det bare et hul i denne protokol, som tillader en angriber at få et Apple-apparat/emulator til at fremstå som dit (i Apples øjne), så kræves der ikke længere fysisk adgang til din iPhone. Apple vil i så tilfælde sørge for at al nødvendig data er til rådighed for angriberen.

/Steen

11
29. oktober 2014 kl. 11:16

Nøglekortet er udtænkt af højpandede folk uden tanke på brugeren.

For normale applikationer gælder den regel at ligegyldigt hvor smart eller nødvendigt en given funktion er, hvis brugeren enten ikke kan finde den eller synes den er for besværligt at bruge, så er denne funktion i bedste fald værdiløs.

I nøglekortets tilfælde er der bare ingen alternativer, så folk omgår det. Enten er sikkerheden lig nul alligevel, da nøglekortet nemt fysisk vil kunne stjæles (det er på brugeren), eller brugeren har slet ikke mulighed for eller lyst til at have det på sig (og så genskaber man nøglekortet på den facon det hele tiden burde have været tilgængeligt - digitalt).

Hele NemID-realiseringen er dybt ubrugelig i praksis:

  1. Folk fatter ikke at skaffe sig et NemID - især erhvervsløsningerne er kummerlige. Man skal omkring flere forskellige hjemmesider med modstridende forklaringer, der er intet telefonnummer til personlig betjening når man fatter hat af forklaringerne, og man modtager umulige emails (eksempelvis "Du er ikke længere din NemID administrator, kontakt din NemID administrator (dig selv) hvis du skal have yderligere forklaring."). Så er der f.eks hele begrebet om medarbejdersignaturer (hvad er dette - et begreb, et login-level, et alias for en fysisk NemID-løsning, noget fjerde?), samt sammenkobling af ens private og erhvervsmæssige NemID'er - sort, sort snak.

Jeg har 4 NemID-konti, og jeg er stadig ikke sikker på hvilke erhvervsløsninger der er knyttet til min private løsning (det kan jeg ikke finde nogen oversigt over nogen steder, og begreberne er tågede, så den 1-årige proces med at få det til at fungere står lidt uklart for mig)

  1. Løsningen er alt for besværlig i praksis. Nogle dage skal jeg logge ind 20 gange. Om jeg gider gå i bankboksen efter mine 4 nøglekort hver gang? Det tror jeg ikke jeg gider.

  2. Sikkerheden er defekt, alene af den grund at løsningen er så besværlig at bruge at folk omgår den. Folk sætter deres browsere til at huske logins, eller stopper login'et i en password-husker (så er alle dine logins kompromitteret ved et enkelt indbrud - fantastisk). Nøglekortene bliver scannet, filmet, kopieret, er tapet på kanten af skærmen, stoppet i autocomplete-apps og hvad ved jeg.

Kommer ovenstående bag på Nets? Derfor "højpandede"...

Og alt dette er inden vi overhovedet har talt om den interne sikkerhed i løsningen, hvis alt blev fulgt til punkt og prikke (lad os holde dén del ude af denne diskussion).

Mvh Steen

18
29. oktober 2014 kl. 12:43

Jeg er uenig med dig Steen omkring sikkerheden. Hvis sikkerhedsforanstaltningerne er strikse nok, vil der altid være nogen der finder en måde at omgå det med uansvarlige handlinger, men i det mindste giver nøglekortet dig muligheden for at beskytte dig. Og det er simpelt at tage sine forholdsregler, også for folk der ikke er teknisk kyndige. Det er evigt populært at hakke på nets, af mange gode grunde, men her synes jeg de har en god pointe.

22
29. oktober 2014 kl. 13:23

Jeg er uenig med dig Steen omkring sikkerheden. Hvis sikkerhedsforanstaltningerne er strikse nok, vil der altid være nogen der finder en måde at omgå det med uansvarlige handlinger, men i det mindste giver nøglekortet dig muligheden for at beskytte dig. Og det er simpelt at tage sine forholdsregler, også for folk der ikke er teknisk kyndige. Det er evigt populært at hakke på nets, af mange gode grunde, men her synes jeg de har en god pointe.

Jeg er enig i at sikkerheden er ok hvis man bruger nøglekortet som det er krævet. Mit argument er at denne løsning med et fysisk papkort er så besværlig i praksis, at folk uvægerligt vil omgå sikkerheden med papkortet, hvorfor sikkerheden by proxy er defekt.

En god sikker løsning ville være så nem at bruge at ingen ville finde det nødvendigt at omgå sikkerheden - de ville bare bruge den tilbudte løsning. Vi skal huske på at vi ikke taler om teoretisk sikkerhed her, men om den realiserede sikkerhed.

Tag dine brugere i øjesyn, og design en løsning, som når året er omme har givet mindst misbrug. Dét mener jeg ikke papkortet lever op til. Alene denne artikel vi kommenterer på her beviser min påstand.

/Steen

32
30. oktober 2014 kl. 11:44

Jeg tror at mange sikkerhedsbrud kunne være undgået hvis det fra starten havde været lavet som et alm kredit kort. Det er i kredit kort form factor, CHECKmen fylder ca som 3 kredit kort. :-(

Man kunne indskrænke reklame og anden info fra 3 til 1 "overlade" så kunne samme antal nøgler (3 "overflader") være på et mindre kort med kun en foldning.

Man kunne også gå helt radikalt til værks, og benytte begge sider på et enkelt pap/plastic stykke stadig i KK størrelse. Enten med mindre font, eller med færre nøgler pr kort.

At disse overvejelser ikke skete i test perioden for snart mange år siden er lidt uforståeligt.

Men det er nok naivt at tro at det er lavet for at være praktisk. En dobbeltsidet plastik kort løsning er nok nogle få ører dyrere pr stk i produktion, og derfor straks valgt fra, da den ville gøre indhug i profit.

Så hellere fotografere det og opbevare det i mobilos, så kan "NemId" jo være overraskede og alle er glade.

/Henrik

20
29. oktober 2014 kl. 13:11

Du er klar over at du ikke behøver have dit nøglekort i en bankboks ikke?</p>
<p>Altså det er fint nok du angriber et tænkt eksempel, men skal vi ikke holde os til hvordan NemId FAKTUELT ser ud?

Jo, jeg skulle have skrevet "bankboksen" i anførselstegn. Ifølge NemID er nøglekortet jo noget man ikke skal have liggende frit fremme.

Så man skulle måske have nøglekortet i sin pung. Nogle i dag har ikke engang en pung, da de betaler med deres smartphone eksempelvis, eller blot har et kreditkort i en lille holder - digital betaling, og dermed ingen fysiske kort, er helt sikkert noget der bliver mere og mere af (dét kan da vel heller ikke komme bag på et firma som Nets?). Skal man så løbe rundt med nøglekortet i lommen?

Under alle omstændigheder skal det fremdrages ét eller andet sted fra, hvilket er mere besværligt end den helt åbenlyse model som langt flere ville kunne have gavn af, nemlig digitalt i folks smartphone. Det er jo dér folk stopper nøglekortet hen alligevel.

Jeg opponerer imod at nøglekortet skal have en så dominerende fysisk tilstedeværelse i mit liv.

/Steen

13
29. oktober 2014 kl. 11:52

For debatten vil det være mere brugbart at argumentere for sin uenighed end blot give "thumbs down".

9
29. oktober 2014 kl. 11:03

Jeg ser intet problem med at bruge min smartphone til at gemme mit nøglekort på, der er stadig ligeså meget to-faktor over det, som der ville være ved at kortet lå ved siden af den - ja, teoretisk set kan en kompromitteret app give folk adgang til mit nøglekort, men de har stadig ikke min kode og kan heller ikke få den, med mindre de da også har fået en keylogger ind på min computer, for jeg tilgår ikke Nem-ID fra min telefon.

Sådan vil det selvfølgelig ikke være for alle. Men jeg mener bare lidt, at de skyder sig selv i foden ved at sætte den slags sort/hvide regler op, der gør at selv hvis man har fuldt overblik over konsekvenserne af, hvad man gør, så er printede koder på pap det eneste lovlige. (Jeg tror stadig, det er nemmere at få adgang til folks taske i middagspausen end at hacke deres telefon...)

2
29. oktober 2014 kl. 10:34

..så hvis NemID har et sikkerhedsproblem må de selv håndtere det.. Om man opbevarer nøglekortet sammen med telefonen eller på telefonen giver jo samme (u-)sikkerhed.

5
29. oktober 2014 kl. 10:39

Nej, det gør det ikke overfor digitale trusler som uanset hvordan du vender det er den mest realistiske trussel. Hvis din nøglekort bliver stjålet fysisk så kender personen der tager den ikke dit password, hvis telefonen bliver inficeret af virus/trojaner/andet så kender personen der styrer din telefon ikke dit nøglekort. Ingen af de to situationer medfører altså kompromittering af dit NemID, modsat hvis du opbevarer dit nøglekort på en enhed digitalt, så er du screwed i mindst ét af tilfældene.

1
29. oktober 2014 kl. 10:25

Hvordan kan det ikke være to-faktor når man stadig kun har koden i hovedet? Uden koden kan man jo ikke komme ind..

6
29. oktober 2014 kl. 10:39

Hvordan kan det ikke være to-faktor når man stadig kun har koden i hovedet? Uden koden kan man jo ikke komme ind..

Fordi Nets og den såkaldte "Digitaliseringsstyrelse" ikke vil se den virkelige verden i øjnene - nemlig den hvor folks NemID kort alligevel ligger i tegnebogen eller flyder på skrivebordet, hvorved hele konstruktionen er reduceret til en simpel brugernavn/password løsning.

Uden at have belæg for det vil jeg tro at det drejer sig om sted mellem 80 og 90% der har en så lemfældig omgang med nøglekortet at snakken om to-faktor er et blålys.

16
29. oktober 2014 kl. 12:26

Fordi Nets og den såkaldte "Digitaliseringsstyrelse" ikke vil se den virkelige verden i øjnene - nemlig den hvor folks NemID kort alligevel ligger i tegnebogen eller flyder på skrivebordet, hvorved hele konstruktionen er reduceret til en simpel brugernavn/password løsning.</p>
<p>Uden at have belæg for det vil jeg tro at det drejer sig om sted mellem 80 og 90% der har en så lemfældig omgang med nøglekortet at snakken om to-faktor er et blålys.

Men selvom man så får fat i papkortet skal man jo stadig bruge login og password. Man kan så sige at hvis det er en indbrudstyv, som har god tid, så kan disse oplysninger nok findes i huset - i hvert fald cpr-nummeret ville være nemt at finde, men så skal man stadig gætte passwordet. Og hvem indbrudstyve, har tid til det? Ikke at det ikke kan forekomme - men enhver sikkerhed kan stort brydes på en eller anden måde. Jeg synes faktisk NemID fungerer enormt fint og kan ikke se hvorfor man skulle lave noget væsentligt om på det.

17
29. oktober 2014 kl. 12:41

Men selvom man så får fat i papkortet skal man jo stadig bruge login og password.

Ja, og hvad er der så tilbage?

Og når man så også tager in mente, at rigtig mange bruger deres CPR nummer som brugernavn, så er der meget lidt sikkerhed tilbage.

Jeg synes faktisk NemID fungerer enormt fint og kan ikke se hvorfor man skulle lave noget væsentligt om på det.

Hvordan fungere fint, papkortet eller det bagvedliggende system?

Papkortet er hvad papkortet er, men det bagvedliggende system er en katastrofe, der på ingen måde tilgodeser borgerenes sikkerhed, udelukkende prøver at reducere bankernes tab.

Og det tilbyder ikke helt fundamentale ting som en ægte digital signatur, udelukkende et NSA overvåget SSO system.

19
29. oktober 2014 kl. 12:57

Og når man så også tager in mente, at rigtig mange bruger deres CPR nummer som brugernavn, så er der meget lidt sikkerhed tilbage.

Kan man bruge andet end sit cpr-nummer??? Og hvis ja (det vidste jeg ikke), hvordan skifter man sit login? CPR-nummer fremgår jo ret tydeligt af sygesikringsbevis eller lignende som man har i sin pung, hvor nogen måske også har sit nøglekort. Det har jeg nu ikke - det ligger herhjemme - måske med mindre jeg er ude at rejse i længere tid.

30
30. oktober 2014 kl. 00:56

Kan man bruge andet end sit cpr-nummer???

https://www.nemid.nu/dk-da/SELVBETJENING

Copy: Under Mit NemID kan du se oplysninger om dit NemID

Du kan blandt andet

Ændre dit bruger-id Ændre din adgangskode Angive en alternativ forsendelsesadresse Angive eller opdatere din e-mail-adresse Angive eller opdatere dit mobilnummer Spærre nøglekort Bestille ekstra nøglekort Spærre certifikater Se hændelseslog Slette NemID

Og til den øvrige debat: Sikkerhed er besværligt/irreterinde/dyrt. Som fx sikkerhedssele, cykelhjelm og login. Det ville fx være noget af en lettelse hvis man kunne slippe helt af med password og så bare skrive sit fornavn. Ved login er det netop det besværlige (langt password med specieltegn og tal uden anvendelse af ord m.v. + en eller flere andre faktorer) der går løsningen mere resistent mod indbrud.

Som det er fremført så kan computeren være inficeret. Fx med virus der sender skærmkopier af det aktive vindue af sted fx hvert 3. og ditto med keylogger. Virussen kunne være specifikt så den genkender nøglekortet og kun sender dette afsted. Derfor er sikkerheden reduceret væsentlig hvis nøglekortet er kopieret over i en billedfil.

21
29. oktober 2014 kl. 13:16

Kan man bruge andet end sit cpr-nummer??? Og hvis ja (det vidste jeg ikke), hvordan skifter man sit login? CPR-nummer fremgår jo ret tydeligt af sygesikringsbevis eller lignende som man har i sin pung, hvor nogen måske også har sit nøglekort. Det har jeg nu ikke - det ligger herhjemme - måske med mindre jeg er ude at rejse i længere tid.

CPR-nummeret må ikke længere anses for en sikkerhedsfaktor - det er slået fast for længst. Man kan godt skifte brugernavnet til noget andet end CPR-nummeret.

Som erhvervsdrivende kan jeg ikke have mine 4(!) nøglekort liggende hjemme, da jeg jo skal bruge dem til al adgang efterhånden, hvilket jo i sagens natur foregår på alle mulige lokaliteter. Jeg er tvunget til at have alle 4 nøglekort på min person. For mig er det lige så tåbeligt som hvis jeg var tvunget til at gå rundt med mit pas på mig.

/Steen

8
29. oktober 2014 kl. 11:03

Uden at have belæg for det vil jeg tro at det drejer sig om sted mellem 80 og 90% der har en så lemfældig omgang med nøglekortet at snakken om to-faktor er et blålys.

Aaaargh, det er vel stadig lidt nemmere at kopiere et billede fra min mobil/pc hvis den er inficeret med malware, end at købe en flybillet fra Rusland til København, finde ud af hvor jeg arbejder. Komme ind i bygningen. Finde mit skrivebord OG tage mit nøglekort uden at blive opdaget.

Det er ihvertfald noget billigere at bare kopiere det.

Jeg synes stadig løsningen med at kopiere sit nøglekort fysisk er en meget bedre løsning.

6
29. oktober 2014 kl. 11:00

Well, det kræver jo stadig, at man får fat i kortet, og dermed er rent digitalt misbrug ikke muligt.

4
29. oktober 2014 kl. 10:35

Det er ret simpelt, og ganske enkelt en af de virkeligt gode ting ved NemID: Hvis din telefon bliver inficeret, og du har dit nøglekort liggende på den, så kender angriberen både dit login, og dit password, og dit fulde nøglekort idét du logger ind på telefonen én gang. Hvis du bruger det som foreskrevet, så vil inficering af telefonen (eller din computer, hvis du opbevarer nøglekortet på den) kun medføre at angriberen kender dit brugernavn og password, og lige præcis den nøgle du taster ind, som bliver konsummeret med det samme. Det er altså ikke nok til yderligere misbrug.

3
29. oktober 2014 kl. 10:35

De forskellige faktorer består for eksempel i noget man ved, har eller er. Typiske eksempler er henholdsvis kodeord, papkort/nøglelæser og iris eller fingeraftryk. Det kan godt være tofaktorautentificering selvom man lagrer sit papkort digitalt; kravet er blot at den enhed man lagrer det på ikke kan bruges til at tilgå den beskyttede løsning, og helst opbevares seperat. Desværre gælder ingen af delene for en smartphone.