Nets trækker i land om single point of failure i MitID: »Det var et upræcist ordvalg«

Plus28. september kl. 06:003
MitID, App, Digitaliseringsstyrelsen
Illustration: Pr-Foto.
I et svar til Digitaliseringsstyrelsen gjorde Nets opmærksom på, at MitID indeholder flere ’Single Points of Failure.’ Men det er ikke korrekt alligevel, lyder det nu fra Nets, der beklager ordvalget.
Artiklen er ældre end 30 dage

MitID indeholder flere såkaldte single points of failure, der gør systemet sårbart over for nedbrud fra én enkelt fejlkilde.

Sådan lød beskeden i et høringssvar som it-giganten Nets har sendt til Digitaliseringsstyrelsen og som Version2 har modtaget. Men forklaringen er ikke korrekt, lyder det fra Nets, der retter sig selv og beklager ordvalget.

Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip? Log ind east
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
3 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
28. september kl. 10:06

Jeg ved ikke, hvad der er værst: At der er single points of failure, eller at de lyver, når man beder om aktindsigt.

Deres nye forklaring er nu ikke meget bedre. Sikkerhed bør ikke baseres på, at svagheder holdes hemmelige.

2
28. september kl. 09:17

En jeg kender, hvis man kan kalde det en svaghed, eller måske mere sandsynligt troll. Sandsynligheden for scenariet er meget lav. Men alligevel er et trin mærkeligt efter min vurdering.

Det er mest problematisk for brugere uden Mit-ID app’en, da man i app’en nemt kan ændre adgangskode. Men hvis man kender Bruger-ID for en med kodeviser eller oplæser, så kan man gå ind og forsøge med adgangskoden 3 gange, hvorefter man skal vente 1 time og prøve igen. Brugeren får godt nok en SMS om automatisk spærring i 1 time. Men ved andet forsøg bliver adgangskoden spærret.

Derefter har brugeren tre muligheder:

  • Ny adgangskode på MitID.dk - log på med MitID app.
  • Ny adgangskode i Borgerservice.
  • Ny adgangskode fra MitID support.

Her skal man satse på brugeren vælger support, hvorefter man opsætter en IMSI-catcher og lytter med. Ved supporten skal brugeren ringe op til MitID support, hvor de hjælper med en ny adgangskode. Først skal brugeren identificere sig selv i telefonen ved at oplyse pas- eller kørekortnummer (gyldigt dansk/grønlandsk pas eller kørekort) og derudover svare på en række spørgsmål baseret på oplysninger i CPR-registret. Herefter tilsendes en aktiveringskode, som bruges til at lave en ny adgangskode.

Syntes det er mange oplysninger givet gennem et usikkert kommunikationsnetværk.

1
28. september kl. 09:16

Altså "Security by Obscurity". Effektiviteten er på linje med "hope is not a strategy" (citat BBB).