Nets og Digitaliseringsstyrelsen advarer mod nøglekort-apps

Illustration: REDPIXEL.PL/Bigstock
Apps, der gør det muligt at slippe af med det fysiske NemID-nøglekort ved at lagre det digitalt på en smartphone, underminerer sikkerheden i login-løsningen og er i strid med reglerne, lyder det fra Nets og Digitaliseringsstyrelsen.

Hverken hos Digitaliseringsstyrelsen eller hos Nets er der begejstring at spore over apps, der i bekvemmelighedens navn tilbyder brugere at lagre NemID-nøglekortet digitalt på en smartphone. Heller ikke selvom det sker krypteret. Det forringer sikkerheden og er imod reglerne, lyder det samstemmende fra de to organisationer.

Tidligere har Version2 omtalt den netop udkomne app NemmereID til iPhone, der gør det muligt at fotografere flere nøglekort og lagre dem krypteret på telefonen. Herefter kan det lade sig gøre at få vist den relevante nøgle fra et af kortene ved at indtaste det firecifrede nøglenummer. En anden app, e-nøglekort, tilbyder tilsyneladende lignende funktionalitet.

Læs også: Iphone-app krypterer NemID-kort og finder den rigtige nøgle med tekstgenkendelse

Men selvom det kan lyde smart, er det en dårlig idé at anvende den slags apps, fortæller kontorchef i Digitaliseringsstyrelsen Cecile Christensen i en mail:

»Digitaliseringsstyrelsen tager afstand fra løsninger som 'NemmereID'-appen, fordi den er i strid med NemID-reglerne og udgør en risiko for NemID-brugernes sikkerhed,« skriver hun og fortsætter:

»Nets DanID er ansvarlige for at administrere og håndhæve, at NemID-reglerne overholdes, og jeg vil derfor henvise til Nets DanID for yderligere informationer i forhold til håndtering af den nævnte løsning.«

Kommunikationskonsulent i Nets Ulrik Marschall peger også på, at det er i strid med brugerreglerne for NemID at lagre sit nøglekort digitalt.

»Selvom formålet er at øge brugervenligheden ved NemID, accepterer vi ikke apps, der opfordrer NemID-brugere til dette, uanset hvilken sikkerhed der knytter sig til løsningen. En væsentlig del af sikkerheden omkring NemID består i, at der anvendes to faktorer – noget, du har 'i hovedet', og noget, du har 'i hånden'. Det forudsætter, at man ikke anvender og lagrer sine koder på samme medie, eksempelvis telefonen,« skriver han i en mail og fortsætter:

»Det øger sårbarheden omkring NemID, og derfor følger vi generelt op, når vi bliver bekendt med apps eller andre foranstaltninger, der på uheldig vis bidrager til dette. I det konkrete tilfælde er vi i gang med at kontakte producenten,« skriver Ulrik Marschall med henvisning til iDeal Development, der står bag NemmereID-appen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (36)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Dan Villiom Podlaski Christiansen

De forskellige faktorer består for eksempel i noget man ved, har eller er. Typiske eksempler er henholdsvis kodeord, papkort/nøglelæser og iris eller fingeraftryk. Det kan godt være tofaktorautentificering selvom man lagrer sit papkort digitalt; kravet er blot at den enhed man lagrer det på ikke kan bruges til at tilgå den beskyttede løsning, og helst opbevares seperat. Desværre gælder ingen af delene for en smartphone.

Morten Hansen

Det er ret simpelt, og ganske enkelt en af de virkeligt gode ting ved NemID:
Hvis din telefon bliver inficeret, og du har dit nøglekort liggende på den, så kender angriberen både dit login, og dit password, og dit fulde nøglekort idét du logger ind på telefonen én gang.
Hvis du bruger det som foreskrevet, så vil inficering af telefonen (eller din computer, hvis du opbevarer nøglekortet på den) kun medføre at angriberen kender dit brugernavn og password, og lige præcis den nøgle du taster ind, som bliver konsummeret med det samme.
Det er altså ikke nok til yderligere misbrug.

Morten Hansen

Nej, det gør det ikke overfor digitale trusler som uanset hvordan du vender det er den mest realistiske trussel.
Hvis din nøglekort bliver stjålet fysisk så kender personen der tager den ikke dit password, hvis telefonen bliver inficeret af virus/trojaner/andet så kender personen der styrer din telefon ikke dit nøglekort.
Ingen af de to situationer medfører altså kompromittering af dit NemID, modsat hvis du opbevarer dit nøglekort på en enhed digitalt, så er du screwed i mindst ét af tilfældene.

Christian Nobel

Hvordan kan det ikke være to-faktor når man stadig kun har koden i hovedet? Uden koden kan man jo ikke komme ind..

Fordi Nets og den såkaldte "Digitaliseringsstyrelse" ikke vil se den virkelige verden i øjnene - nemlig den hvor folks NemID kort alligevel ligger i tegnebogen eller flyder på skrivebordet, hvorved hele konstruktionen er reduceret til en simpel brugernavn/password løsning.

Uden at have belæg for det vil jeg tro at det drejer sig om sted mellem 80 og 90% der har en så lemfældig omgang med nøglekortet at snakken om to-faktor er et blålys.

Jens Henrik Skuldbøl
Anders Rosendal

Uden at have belæg for det vil jeg tro at det drejer sig om sted mellem 80 og 90% der har en så lemfældig omgang med nøglekortet at snakken om to-faktor er et blålys.


Aaaargh, det er vel stadig lidt nemmere at kopiere et billede fra min mobil/pc hvis den er inficeret med malware, end at købe en flybillet fra Rusland til København, finde ud af hvor jeg arbejder. Komme ind i bygningen. Finde mit skrivebord OG tage mit nøglekort uden at blive opdaget.

Det er ihvertfald noget billigere at bare kopiere det.

Jeg synes stadig løsningen med at kopiere sit nøglekort fysisk er en meget bedre løsning.

Claus Jensen

Jeg ser intet problem med at bruge min smartphone til at gemme mit nøglekort på, der er stadig ligeså meget to-faktor over det, som der ville være ved at kortet lå ved siden af den - ja, teoretisk set kan en kompromitteret app give folk adgang til mit nøglekort, men de har stadig ikke min kode og kan heller ikke få den, med mindre de da også har fået en keylogger ind på min computer, for jeg tilgår ikke Nem-ID fra min telefon.

Sådan vil det selvfølgelig ikke være for alle. Men jeg mener bare lidt, at de skyder sig selv i foden ved at sætte den slags sort/hvide regler op, der gør at selv hvis man har fuldt overblik over konsekvenserne af, hvad man gør, så er printede koder på pap det eneste lovlige. (Jeg tror stadig, det er nemmere at få adgang til folks taske i middagspausen end at hacke deres telefon...)

Anders Rosendal
Steen Secher Schmidt

Nøglekortet er udtænkt af højpandede folk uden tanke på brugeren.

For normale applikationer gælder den regel at ligegyldigt hvor smart eller nødvendigt en given funktion er, hvis brugeren enten ikke kan finde den eller synes den er for besværligt at bruge, så er denne funktion i bedste fald værdiløs.

I nøglekortets tilfælde er der bare ingen alternativer, så folk omgår det. Enten er sikkerheden lig nul alligevel, da nøglekortet nemt fysisk vil kunne stjæles (det er på brugeren), eller brugeren har slet ikke mulighed for eller lyst til at have det på sig (og så genskaber man nøglekortet på den facon det hele tiden burde have været tilgængeligt - digitalt).

Hele NemID-realiseringen er dybt ubrugelig i praksis:

1) Folk fatter ikke at skaffe sig et NemID - især erhvervsløsningerne er kummerlige. Man skal omkring flere forskellige hjemmesider med modstridende forklaringer, der er intet telefonnummer til personlig betjening når man fatter hat af forklaringerne, og man modtager umulige emails (eksempelvis "Du er ikke længere din NemID administrator, kontakt din NemID administrator (dig selv) hvis du skal have yderligere forklaring."). Så er der f.eks hele begrebet om medarbejdersignaturer (hvad er dette - et begreb, et login-level, et alias for en fysisk NemID-løsning, noget fjerde?), samt sammenkobling af ens private og erhvervsmæssige NemID'er - sort, sort snak.

Jeg har 4 NemID-konti, og jeg er stadig ikke sikker på hvilke erhvervsløsninger der er knyttet til min private løsning (det kan jeg ikke finde nogen oversigt over nogen steder, og begreberne er tågede, så den 1-årige proces med at få det til at fungere står lidt uklart for mig)

2) Løsningen er alt for besværlig i praksis. Nogle dage skal jeg logge ind 20 gange. Om jeg gider gå i bankboksen efter mine 4 nøglekort hver gang? Det tror jeg ikke jeg gider.

3) Sikkerheden er defekt, alene af den grund at løsningen er så besværlig at bruge at folk omgår den. Folk sætter deres browsere til at huske logins, eller stopper login'et i en password-husker (så er alle dine logins kompromitteret ved et enkelt indbrud - fantastisk). Nøglekortene bliver scannet, filmet, kopieret, er tapet på kanten af skærmen, stoppet i autocomplete-apps og hvad ved jeg.

Kommer ovenstående bag på Nets? Derfor "højpandede"...

Og alt dette er inden vi overhovedet har talt om den interne sikkerhed i løsningen, hvis alt blev fulgt til punkt og prikke (lad os holde dén del ude af denne diskussion).

Mvh
Steen

Anders Rosendal

Løsningen er alt for besværlig i praksis. Nogle dage skal jeg logge ind 20 gange. Om jeg gider gå i bankboksen efter mine 4 nøglekort hver gang? Det tror jeg ikke jeg gider.


Du er klar over at du ikke behøver have dit nøglekort i en bankboks ikke?

Altså det er fint nok du angriber et tænkt eksempel, men skal vi ikke holde os til hvordan NemId FAKTUELT ser ud?

Thorvald Johannes Pedersen

Fordi Nets og den såkaldte "Digitaliseringsstyrelse" ikke vil se den virkelige verden i øjnene - nemlig den hvor folks NemID kort alligevel ligger i tegnebogen eller flyder på skrivebordet, hvorved hele konstruktionen er reduceret til en simpel brugernavn/password løsning.

Uden at have belæg for det vil jeg tro at det drejer sig om sted mellem 80 og 90% der har en så lemfældig omgang med nøglekortet at snakken om to-faktor er et blålys.

Men selvom man så får fat i papkortet skal man jo stadig bruge login og password. Man kan så sige at hvis det er en indbrudstyv, som har god tid, så kan disse oplysninger nok findes i huset - i hvert fald cpr-nummeret ville være nemt at finde, men så skal man stadig gætte passwordet. Og hvem indbrudstyve, har tid til det? Ikke at det ikke kan forekomme - men enhver sikkerhed kan stort brydes på en eller anden måde. Jeg synes faktisk NemID fungerer enormt fint og kan ikke se hvorfor man skulle lave noget væsentligt om på det.

Christian Nobel

Men selvom man så får fat i papkortet skal man jo stadig bruge login og password.

Ja, og hvad er der så tilbage?

Og når man så også tager in mente, at rigtig mange bruger deres CPR nummer som brugernavn, så er der meget lidt sikkerhed tilbage.

Jeg synes faktisk NemID fungerer enormt fint og kan ikke se hvorfor man skulle lave noget væsentligt om på det.

Hvordan fungere fint, papkortet eller det bagvedliggende system?

Papkortet er hvad papkortet er, men det bagvedliggende system er en katastrofe, der på ingen måde tilgodeser borgerenes sikkerhed, udelukkende prøver at reducere bankernes tab.

Og det tilbyder ikke helt fundamentale ting som en ægte digital signatur, udelukkende et NSA overvåget SSO system.

Jakob Bruun Hansen

Jeg er uenig med dig Steen omkring sikkerheden. Hvis sikkerhedsforanstaltningerne er strikse nok, vil der altid være nogen der finder en måde at omgå det med uansvarlige handlinger, men i det mindste giver nøglekortet dig muligheden for at beskytte dig. Og det er simpelt at tage sine forholdsregler, også for folk der ikke er teknisk kyndige. Det er evigt populært at hakke på nets, af mange gode grunde, men her synes jeg de har en god pointe.

Thorvald Johannes Pedersen

Og når man så også tager in mente, at rigtig mange bruger deres CPR nummer som brugernavn, så er der meget lidt sikkerhed tilbage.


Kan man bruge andet end sit cpr-nummer??? Og hvis ja (det vidste jeg ikke), hvordan skifter man sit login? CPR-nummer fremgår jo ret tydeligt af sygesikringsbevis eller lignende som man har i sin pung, hvor nogen måske også har sit nøglekort. Det har jeg nu ikke - det ligger herhjemme - måske med mindre jeg er ude at rejse i længere tid.

Steen Secher Schmidt

Du er klar over at du ikke behøver have dit nøglekort i en bankboks ikke?

Altså det er fint nok du angriber et tænkt eksempel, men skal vi ikke holde os til hvordan NemId FAKTUELT ser ud?

Jo, jeg skulle have skrevet "bankboksen" i anførselstegn. Ifølge NemID er nøglekortet jo noget man ikke skal have liggende frit fremme.

Så man skulle måske have nøglekortet i sin pung. Nogle i dag har ikke engang en pung, da de betaler med deres smartphone eksempelvis, eller blot har et kreditkort i en lille holder - digital betaling, og dermed ingen fysiske kort, er helt sikkert noget der bliver mere og mere af (dét kan da vel heller ikke komme bag på et firma som Nets?). Skal man så løbe rundt med nøglekortet i lommen?

Under alle omstændigheder skal det fremdrages ét eller andet sted fra, hvilket er mere besværligt end den helt åbenlyse model som langt flere ville kunne have gavn af, nemlig digitalt i folks smartphone. Det er jo dér folk stopper nøglekortet hen alligevel.

Jeg opponerer imod at nøglekortet skal have en så dominerende fysisk tilstedeværelse i mit liv.

/Steen

Steen Secher Schmidt

Kan man bruge andet end sit cpr-nummer??? Og hvis ja (det vidste jeg ikke), hvordan skifter man sit login? CPR-nummer fremgår jo ret tydeligt af sygesikringsbevis eller lignende som man har i sin pung, hvor nogen måske også har sit nøglekort. Det har jeg nu ikke - det ligger herhjemme - måske med mindre jeg er ude at rejse i længere tid.

CPR-nummeret må ikke længere anses for en sikkerhedsfaktor - det er slået fast for længst. Man kan godt skifte brugernavnet til noget andet end CPR-nummeret.

Som erhvervsdrivende kan jeg ikke have mine 4(!) nøglekort liggende hjemme, da jeg jo skal bruge dem til al adgang efterhånden, hvilket jo i sagens natur foregår på alle mulige lokaliteter. Jeg er tvunget til at have alle 4 nøglekort på min person. For mig er det lige så tåbeligt som hvis jeg var tvunget til at gå rundt med mit pas på mig.

/Steen

Steen Secher Schmidt

Jeg er uenig med dig Steen omkring sikkerheden. Hvis sikkerhedsforanstaltningerne er strikse nok, vil der altid være nogen der finder en måde at omgå det med uansvarlige handlinger, men i det mindste giver nøglekortet dig muligheden for at beskytte dig. Og det er simpelt at tage sine forholdsregler, også for folk der ikke er teknisk kyndige. Det er evigt populært at hakke på nets, af mange gode grunde, men her synes jeg de har en god pointe.

Jeg er enig i at sikkerheden er ok hvis man bruger nøglekortet som det er krævet. Mit argument er at denne løsning med et fysisk papkort er så besværlig i praksis, at folk uvægerligt vil omgå sikkerheden med papkortet, hvorfor sikkerheden by proxy er defekt.

En god sikker løsning ville være så nem at bruge at ingen ville finde det nødvendigt at omgå sikkerheden - de ville bare bruge den tilbudte løsning. Vi skal huske på at vi ikke taler om teoretisk sikkerhed her, men om den realiserede sikkerhed.

Tag dine brugere i øjesyn, og design en løsning, som når året er omme har givet mindst misbrug. Dét mener jeg ikke papkortet lever op til. Alene denne artikel vi kommenterer på her beviser min påstand.

/Steen

Steen Secher Schmidt

Jeg har two-factor koder til Facebook, Gmail, Amazon AWS, Dropbox, hosting, Evernote mm. på min iPhone. Selvom jeg også bruger disse services på min iPhone, ser jeg det stadigvæk som two-factor :)

En angriber ville skulle nøjes med at skaffe sig adgang til din iPhone, så kan han bruge dine tjenester uden yderligere krav om identifikation (fordi den anden faktor sikkert kommer som en kode på en sms eller lignende).

Ergo har du dermed kun 1-faktor beskyttelse (din pin-kode på din iPhone). Dette kunne endda vise sig at være 0-faktor beskyttelse, hvis der viser sig en sårbarhed i iOS som tillader folk at logge sig ind på din iPhone udenom pin-koden (et helt igennem tænkt eksempel selvfølgelig ;-).

/Steen

Steen Secher Schmidt

Ergo har du dermed kun 1-faktor beskyttelse (din pin-kode på din iPhone). Dette kunne endda vise sig at være 0-faktor beskyttelse, hvis der viser sig en sårbarhed i iOS som tillader folk at logge sig ind på din iPhone udenom pin-koden (et helt igennem tænkt eksempel selvfølgelig ;-).

Jeg må tilføje at Apple (og andre) endda i disse måneder åbner op for flere og flere angrebsvektorer. Allerede nu kan du få redirected dine opkald automatisk til alle dine Apple-enheder. Der er ikke mange skridt til at Apple vil kunne tilbyde at enhver af "dine" Apple-apparater vil kunne optræde som ethvert af dine andre Apple-apparater. Så kræver det bare et hul i denne protokol, som tillader en angriber at få et Apple-apparat/emulator til at fremstå som dit (i Apples øjne), så kræves der ikke længere fysisk adgang til din iPhone. Apple vil i så tilfælde sørge for at al nødvendig data er til rådighed for angriberen.

/Steen

Finn Aarup Nielsen

Problemet med at folk kopierer deres nøglekort kan løses ved at gøre nøglekortet ukopierbart ved at lade det være et hardwaretoken. Det kan også delvis løse det problem at en kompromiteret computer kan aflæse nøglekortet med computerens kamera (hvilket forhåbentligt sker sjældent).

Problemet med at erhvervsdrivende skal slæbe rundt på mange kort, kunne løses ved at et hardwaretoken kan virke til flere forskellige NemID. Burde det ikke være muligt?

Bjarke Alling

Finn, det er muligt at bruge et standard smart card (JavacardOS+FIPS 140 godkendt) til NemID medarbejdersignatur. Også til flere CVR numre. Bruger selv dagligt et smart card til 3 firmaer + andre certifikater til blandt andet OpenVPN. Det virker på Linux, Win og MacOS. iOS og Android et mere kringlet pt.

Bo Zachariasen

Kan man bruge andet end sit cpr-nummer???

https://www.nemid.nu/dk-da/
SELVBETJENING

Copy:
Under Mit NemID kan du se oplysninger om dit NemID

Du kan blandt andet

Ændre dit bruger-id
Ændre din adgangskode
Angive en alternativ forsendelsesadresse
Angive eller opdatere din e-mail-adresse
Angive eller opdatere dit mobilnummer
Spærre nøglekort
Bestille ekstra nøglekort
Spærre certifikater
Se hændelseslog
Slette NemID

Og til den øvrige debat:
Sikkerhed er besværligt/irreterinde/dyrt. Som fx sikkerhedssele, cykelhjelm og login. Det ville fx være noget af en lettelse hvis man kunne slippe helt af med password og så bare skrive sit fornavn. Ved login er det netop det besværlige (langt password med specieltegn og tal uden anvendelse af ord m.v. + en eller flere andre faktorer) der går løsningen mere resistent mod indbrud.

Som det er fremført så kan computeren være inficeret. Fx med virus der sender skærmkopier af det aktive vindue af sted fx hvert 3. og ditto med keylogger. Virussen kunne være specifikt så den genkender nøglekortet og kun sender dette afsted. Derfor er sikkerheden reduceret væsentlig hvis nøglekortet er kopieret over i en billedfil.

Henrik Wahlberg

Jeg tror at mange sikkerhedsbrud kunne være undgået hvis det fra starten havde været lavet som et alm kredit kort.
Det er i kredit kort form factor, CHECK
men fylder ca som 3 kredit kort. :-(

Man kunne indskrænke reklame og anden info fra 3 til 1 "overlade" så kunne samme antal nøgler (3 "overflader") være på et mindre kort med kun en foldning.

Man kunne også gå helt radikalt til værks, og benytte begge sider på et enkelt pap/plastic stykke stadig i KK størrelse. Enten med mindre font, eller med færre nøgler pr kort.

At disse overvejelser ikke skete i test perioden for snart mange år siden er lidt uforståeligt.

Men det er nok naivt at tro at det er lavet for at være praktisk.
En dobbeltsidet plastik kort løsning er nok nogle få ører dyrere pr stk i produktion, og derfor straks valgt fra, da den ville gøre indhug i profit.

Så hellere fotografere det og opbevare det i mobilos, så kan "NemId" jo være overraskede og alle er glade.

/Henrik

Allan Høiberg

Problemet med at erhvervsdrivende skal slæbe rundt på mange kort, kunne løses ved at et hardwaretoken kan virke til flere forskellige NemID. Burde det ikke være muligt?

Det burde - allerede i dag - løses ved at det bagvedliggende system kan vide at der er tale om den samme person med adgang til forskellige roller - og at det ikke skal være nødvendigt for brugeren at tænke i at skifte roller hele tiden.

Det burde - allerede i dag - være muligt for almindelige mennesker, uden videre at vide og styre, hvad man har adgang til. Hvis det "bare fungerede" ville det at der er tale om et papkort kunne reduceres til et mindre irritationsmoment i et velgennemtænkt system i stedet for en dråbe i et stort hav af frustrerende brugeroplevelser.

Vagn Rydeng

Bo Ørsted har henvist til hvordan man kan få en ny bruger-id, men det fjerner IKKE muligheden for at bruge CPR-NR!

Det opdagede jeg efter at have skiftet bruger-id, jeg kom af gammel vane til at bruge personummeret, og kom ind.

Nu har jeg slået den mulighed fra, men fatter ikke hvorfor det ikke sker når man opretter en ny bruger-ID, eller at man i det mindste får en meget tydelig mulighed for at tage stilling til det.

Log ind eller Opret konto for at kommentere