Papkort til NemID smides på porten fra 2021

Illustration: Mads Allingstrup, Nets
Om lidt over et år skal danskerne sige farvel til både NemID og et fysisk papkort, når Digitaliseringsstyrelsen begynder at indkøre afløseren, MitID.
84

Det skal være slut med det skinnende papkort til danskernes NemID fra 2021. Det fortæller vicedirektør i Digitaliseringsstyrelsen Adam Lebech ifølge erhvervsmediet Finans.

Læs også: Har du styr på MitID, nyt NemLog-in og ny Digital Post? Få en opdatering her

Papkortet bliver udfaset, samtidig med at afløseren til NemID, MitID, bliver indkørt.

Afløseren til NemID er blevet udskudt flere gange, og tilbage i 2017 meddelte daværende direktør i Digitaliseringsstyrelsen Lars Frelle-Petersen, at MitID var godt på vej.

Go-live i 2021

Dengang planlagde styrelsen at lancere den nye løsning i 2019 eller 2020, men da man i marts i år skrev kontrakt med Nets om MitID, lancerede man en tidsplan med go-live i sommeren 2021.

»Når vi indfører MitID fra 2021, så vil vi begynde udfasningen af nøglekortet. Så vil alle danskere blive flyttet til ny løsning, som er en app eller en anden løsning,« siger Adam Lebech til Finans og understreger, at der også vil komme en løsning til svagtseende og dem, som »ikke er trygge ved smartphones«.

I dag har 1,8 millioner danskere allerede droppet papkortet og bruger deres NemID via en app, mens 3,2 millioner stadig bruger papkortet.

Læs også: Udbud køres i stilling: Det nye NemID – kaldet MitID – har et budget på 900 millioner kroner

Læs også: Nets løber med kæmpekontrakten: De skal udvikle og drive afløseren for NemID

Sponseret indholdUdviklingschef i overvågningsfirma: “Det skal være svært at få job her”
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (84)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjarne Nielsen

Tja. Så dem, som man ikke lige fik hægtet af med NemID overalt, dem får man nu hægtet af fordi at papkortet skal være en app?

Fra artiklen i Finans:

Samme holdning deler Michael Busk-Jepsen, der er digitaliseringsdirektør i Finans Danmark, som er en del af det offentlig-private samarbejde om NemID.

Nøgleappen er en stor succes blandt de danskere, der allerede bruger den. Vi kan se, at de danskere, der har appen, bruger NemID langt mere end andre.

"Det vil sige, at de får endnu mere ud af de løsninger, som vi i bankerne og det offentlige tilbyder. Derfor håber vi, at endnu flere vil bruge den", siger han.

Fantastisk logik. Mon ikke årsag og virkning her er byttet om?

Eller også er det fordi, at de dele af befolkningen, som vil komme til at savne papkortet, ikke er kunder, som Finans Danmarks medlemmer bekymrer sig om, eller måske allerede er godt igang med at skræmme væk?

  • 31
  • 2
#3 Kenn Nielsen

..at i daværende DDR, var medlemskab af kommunistpartiet også en stor success blandt de indbyggere som var medlem.

Nøgleappen er en stor succes blandt de danskere, der allerede bruger den. Vi kan se, at de danskere, der har appen, bruger NemID langt mere end andre.

K

  • 22
  • 3
#4 Kenn Nielsen

Eller også er det fordi, at de dele af befolkningen, som vil komme til at savne papkortet, ikke er kunder, som Finans Danmarks medlemmer bekymrer sig om, eller måske allerede er godt igang med at skræmme væk?

Jeg mener der 'noget' med at staten betaler for hver gang nem-id benyttes.

Dérfor overrasker det ikke når "success'en" måles i antal nemID-transaktioner.

K

  • 5
  • 1
#5 Michael Hansen

Nøgleappen er en stor succes blandt de danskere, der allerede bruger den. Vi kan se, at de danskere, der har appen, bruger NemID langt mere end andre.

Hvornår mon de har målt det - og har de mon taget højde for, at i løbet af i år, er det blevet obligatorisk at logge ind med Nem-ID på sin netbank, blot for at tjekke saldoen... Det har man aldrig skullet før.

Og at man ved enhver betaling på nettet også skal verificere sit kort med Nem-ID...

Så selvfølgelig bliver Nem-ID brugt meget mere nu.

  • 15
  • 0
#6 Jakob Dahl

Der er den store fordel ved appen at man kan se hvor den login-request man siger ja til kommer fra i modsætning til når man bruger papkortet. Det modvirker det mim angreb der flere gange er demonstret

  • 4
  • 0
#8 Simon Mikkelsen

Nøglekortet er der for at give 2 faktor authentication. Hvis jeg flytter det til en app på min telefon og benytter koden på min telefon, så er der ligesom ikke nogen 2. faktor. Hvis man kompromiterer min telefon har man nøglekortet. Jo, man kan lave noget security by obscurity, men det er ikke rigtig sikkerhed.

Men bruger jeg ikke en authenticator app til alt muligt. Jo. Men det giver adgang til diverse websider. Med NemID kan man juridisk underskrive dokumenter på vegne af mig, hæve alle mine penge, skifte mit navn. Alt. Det kræver altså mere sikkerhed end min lille telefon kan tilbyde.

Så kan man få et hardware token. En dims der ikke kan være i en pengepung.

At NemID-appen modsat papkortet viser hvor et loginforsøg kommer fra retter efter min mening en defekt i NemID som slet ikke burde være der.

  • 36
  • 0
#10 Michael Hansen

Hent mobil appen til din telefon, så slipper du for brugen af Nem-ID ;)

Det har jeg såmænd også - men der er bare funktioner i både Eboks og min netbank, der ikke kan lade sig gøre i app'en (endnu).

Så det var blot en konstatering af, at Nem-ID er nødvendig til mange flere ting nu end for bare et år siden - og derfor selvfølgelig også en øget brug af Nem-ID.

Og så synes jeg personligt også det er nemmere at skrive på et gammeldags, stort tastatur end på iPhonens lille tastatur ;)

  • 6
  • 0
#11 Christian Nobel

Hvorfor bliver man ved med at tale om papkortet som et problem.

Det helt grundlæggende problem med NemID er ikke papkortet, som sådan set sagtens kan være en ok løsning, men det at det ikke er en digital signatur, og at nøglen ikke er under borgerens kontrol.

Så at pakke denne broken-by-design filosofi ind i et nyt navn og magisk app sovs, stadigvæk styret at en privat aktør, vil intet som helst ændre.

  • 32
  • 0
#12 Per Gøtterup

Der var stort set ikke noget 2-faktor i papkortet, for alt for mange tog et billede af det med mobilen så de altid havde det ved hånden... Men mobilen kan let hackes og billedet stjæles, og hvis det ikke skete på telefonen så var der online-backup'en i iCloud, Dropbox m.v. som er blevet hacket utallige gange - det var derfra de forskellige læk af berømtheder privare nøgenbilleder kom fra.

NemID appen giver faktisk mere 2-faktor, for dels kan adgangen lukkes hvis du mister din telefon, dels kan den ikke bruges remote men skal betjenes via den fysiske hardware. Dette gør den faktisk til en slags hardware-token.

Endelig bliver brugen af appen overvåget ligesom din brug af betalingskort online, sådan at misbrug spottes og kan stoppes lynhurtigt. Blandt de mange faktorer der kigges på at f.eks. hvorfra du benytter den (IP-nummer) og til hvad (usædvanlig adfærd). Jeg var med tilbage lige før år 2000 til at skrive noget fraud-detection som kiggede på hvor man fysisk benyttede et betalingskort, og hvis det ikke gav mening at kortet fysisk var transporteret mellem to punkter så blev betalingen afvist. Det stoppede misbrug af kopierede kort, noget som var meget udbredt i tiden før chip.

  • 2
  • 20
#13 Peter Kyllesbeck

Hvornår mon de har målt det - og har de mon taget højde for, at i løbet af i år, er det blevet obligatorisk at logge ind med Nem-ID på sin netbank, blot for at tjekke saldoen... Det har man aldrig skullet før.

Og at man ved enhver betaling på nettet også skal verificere sit kort med Nem-ID...

Så selvfølgelig bliver Nem-ID brugt meget mere nu.

Man kunne jo også bruge sin bankapp på smartphonen. ;-)

  • 1
  • 9
#17 Christian Nobel

Ved godt der er en hård kerne herinde der er utilfreds med det, men i må nok efterhånden indse at mitID aldrig bliver den signatur i havde håbet på.

Så din holdning her i livet er, at har man en gang lavet en fejl, så skal man resten af livet fortsætte med at gentage den.

Men det illustrerer jo egentlig meget godt hvorfor hele digitaliseringen er løbet fuldstændig løbsk.

SUK!

  • 27
  • 1
#19 Niels Dybdahl

Ifølge https://digst.dk/media/19662/interessentforum_praesentation_maj2019.pdf side 13 bliver det en nøglegenerator som folk uden mitid-app kan bruge. Umiddelbart lyder det lidt nemmere end papkort (tryk på en knap, så får du en ny engangskode), men den fylder ssv mere end papkortet, så den vil nok blive parkeret hjemme i skuffen, mens jeg i dag altid har papkortet med mig (og normalt bruger jeg nemid-appen).

  • 2
  • 0
#21 Simon Mikkelsen

Der var stort set ikke noget 2-faktor i papkortet, for alt for mange tog et billede af det med mobilen så de altid havde det ved hånden...

Det er jo op til folk selv at gøre noget dumt. Hvis jeg vælger at papkortet kun findes i min pung er det ikke muligt at få fat i en kopi over internettet.

NemID appen giver faktisk mere 2-faktor, for dels kan adgangen lukkes hvis du mister din telefon, dels kan den ikke bruges remote men skal betjenes via den fysiske hardware. Dette gør den faktisk til en slags hardware-token.

Det må bero på en misforståelse eller forkert PR. Appen er ren software og det er op til sikkerheden i operativsystemet at sørge for at andre programmer ikke kan pille ved den. En telefon kan rootes og der findes adskillige stykker malware der rooter den telefon de inficerer. Når det først er sket kan jeg ikke se hvordan nogen skulle forhindrer et stykke software i at manipulere appen efter forgodtbefindende. Eller læse lokalt lagrede sessionsdata og benytte APIen til at snakke med serveren på samme måde som appen gør.

Dette angreb er en del sværer end at bede folk sende et foto af deres NemID, men med papkortet har jeg netop muligheden for ikke at gøre noget dumt. Med en app kan jeg alene ikke forhindre misbrug - alligevel er underskriften juridisk gyldig.

  • 27
  • 1
#22 Ditlev Petersen

men den fylder ssv mere end papkortet, så den vil nok blive parkeret hjemme i skuffen,

Jeg skal nok have to dimser. Hvis man nu laver dem så store som en gammeldags Nefa-lygte, så vil successen for N-Appen nok blive meget større.

Første trin er at gå offline over for e-boksene. Det vil koste det offentlige en formue i porto (og være skrækkeligt besværligt for mig).

  • 2
  • 0
#26 Simon Nielsen

Mange har gennem tiden brokket sig over nem-ids primitive pap-nøglekort. I min optik er det systemets største styrke. Ufatteligt simpelt at bruge uanset it-kompetencer, og svært for en hacker at få adgang til, med mindre man er dum nok til at lægge et foto at det på sin mobil. Jeg antager som udgangspunkt, at alt hvad der ligger på min private PC og telefon er frit tilgængeligt for hackere, da jeg ikke har ressourcerne til at sikre mit private IT godt nok til, at de ikke kan komme ind. Har af samme grund fravalgt nøgle-appen til nem-ids.

  • 31
  • 0
#29 Anne-Marie Krogsbøll

Hvorfor skal de nu tvinges til tvinges til mere IT. Hvad er det for et problem de vil løse?

Det kunne jeg også godt tænke mig at vide - det eneste, jeg kan komme i tanker om, er, at man vil gøre endnu et forsøg på at tvinge de sidste over på app-en. Og at man derfor må frygte, at løsningen bliver dårligere og mere besværlig end papkortet.

Er der nogen, som har et bud på, hvilken løsning man kan finde på til folk uden smartphone som erstatning for pap-kortet?

  • 5
  • 0
#30 Jakob Skov

2-faktor med mobil er data-lagrenes pest eller kolera: Det er ikke økonomisk realistisk at lave en anden 2-faktor med bedre sikkerhed, men mobil-telefonen kan næppe ses som værende så uafhængig af den primære adgangsmetode at det vil kvalificere i en streng tolkning af begrebet. At alle skal la' sig nøje med den mellemste køje sikkerhedsmæssigt fordi nogen "digitaliserer" deres nøgle-kort er i bedste fald et søgt argument. Svæk sikkerheden for alle for at hæve den for nogen! Solidarisk om ikke andet... At det hjælper imod mitm er et bedre argument, men spørgsmålet er om ikke det samme var muligt på anden vis? De ærlige grunde til løsningen forekommer nærmere at være af økonomisk karakter...

Misforstå mig ret: Problemet for NemID/MitID er at det er en løsning der skal tilfredsstille så mange andre krav end data-sikkerhed og ID at der ikke er meget plads til de forhold i det endelige design. Reglerne i det spil gør at løsningen bliver ret rigid og bliver strukket for "tilstrækkeligt" også at kunne dække bare nogen af de yderligere krav man stiller til ID.

Den bedste af alle løsninger er at splitte den økonomiske løsning og den offentlige ID-lignende løsning op. Det vil om noget kunne gøre digitaliseringen mere tillidsvækkende og vil i højere grad kunne understøtte en "Samtykke først"-tilgang til data-problematikker ("Samtykke først" og mere forskningsorienterede frikommuneforsøg med data-brug er her hinandens forudsætninger!). At fortsætte med en offentlig "ID" der i så høj grad har andre interesser som primært fokus er ikke holdbart.

  • 5
  • 0
#31 Ditlev Petersen

Er der nogen, som har et bud på, hvilken løsning man kan finde på til folk uden smartphone som erstatning for pap-kortet?

Det er en anelse svært, hvis det ikke også skal være kompliceret. Papkortet (det er vel karton med plastikcoating) er svært at konkurrere med. Det kan ikke laves simplere.

Altså jeg kan godt finde på noget med at man tilmelder en bestemt bog i en bestemt udgave. Challenge i stedet for de fire cifre ville så være sidenummer + enten linje eller ord fra toppen. Og så svarer man med det ord. Skæg og blå briller for børn og smartphone-løse personer.

På den måde får vi mindsket sikkerheden lidt, og Nets slipper for at sende breve ud.

De kunne også skrive 52 koder mere på kortet, så sparer de en uafattelig stor procentdel af portoen. Det er nok en retrætesejr, som Nets kan leve med. Det kan jeg også.

  • 12
  • 0
#32 Christian Nobel

Den bedste af alle løsninger er at splitte den økonomiske løsning og den offentlige ID-lignende løsning op.

Hørt.

Det burde slet ikke være nødvendigt at man skal overhovedet skal debattere adskillelse af stat og kirke ^^^^ pyramidespilsindustrien, men desværre må vi konstatere at neoliberalismen har fordrejet politikernes hoveder så meget, at enhver form for rationel tankegang er fraværende.

  • 9
  • 4
#33 Anne-Marie Krogsbøll

Tak for svar, Ditlev Petersen.

Det bliver spændende at se, om Digitaliseringsforstyrrelsen kan finde på et alternativ til dit forslag, eller om det vil blive lysende klart for alle, at afskaffelsen af papkortet kun handler om endnu en måde at chikanere dem, som ikke vil/kan lade sig genne ind i smart-folden, hvor der vel følger en del datasnageri med den "smarte" løsning?

  • 7
  • 2
#35 Ditlev Petersen

kun handler om endnu en måde at chikanere dem, som ikke vil/kan lade sig genne ind i smart-folden,

Der var engang, jeg blev sur på en myndighed, der sendte en regning. Så jeg betalte 25 øre for meget. I det fromme håb at programmet ikke kunne håndtere det. Det virkede ikke. Systemet kunne fint håndtere de 25 øre for meget.

En anden gang havde jeg en "udfordring" med en myndighed, som jeg havde klaget til, uden at få noget svar. Ved nærmere eftersyn viste det sig, at de ikke var forpligtet til at svare. Så jeg skrev en opfølgning på min henvendelse. I hånden, med hjemmelavet blæk, hjemmelavet gåsepen og med gotisk kurrantskrift. Fordi jeg ved, at de alle er forpligetet til at læse og journalisere det. Denne gang svarede de. Jeg er ikke i tvivl om, at man kan drive også embedsmænd til sammenbrud. Man kan angive alle tal i romertal (især romertal over 5000 er en oplevelse). Det er ikke forbudt noget sted, da ingen er fjollet nok til det.

Pennen kan være et spidst spyd!

  • 5
  • 2
#36 Kjeld Flarup Christensen

Helt lavpraktisk - jeg er da ikke meget for at have mit NEM-kort liggende på telefonen, når telefonselakaberne udleverer SIM-kort til min telefon til et vildt fremmed mennesker, og de derefter kan overtage hele stort set alt.

Nu ved jeg ikke hvordan App'en virker, men jeg går stærk ud fra at den er bundet til selve telefonen og ikke telefonnummeret.

Det giver så en konkret udfordring for mitID, nemlig at idenditeten skal lægges på telefonen første gang på en sikker måde. Dernæst kommer også en udfordring når den skal flyttes til en anden telefon.

Her er det også interessant om app'en tilknytning følger med, hvis man bruger f.eks. Apple's restore eller en af de mange Android apps der kan noget tilsvarende.

  • 5
  • 0
#40 Baldur Norddahl

2-faktor med mobil er data-lagrenes pest eller kolera: Det er ikke økonomisk realistisk at lave en anden 2-faktor med bedre sikkerhed, men mobil-telefonen kan næppe ses som værende så uafhængig af den primære adgangsmetode at det vil kvalificere i en streng tolkning af begrebet.

Det er en misforståelse at to faktor er en angivelse af et sikkerhedsniveau.

Det betyder blot at der skal anvendes 2 af tre faktorer: noget du ved (password), noget du har (papkort, telefon, en fil, et certifikat i din browser, en elektronisk dims etc) og noget du er (biometrisk, fingeraftryk, retina scan etc).

Det siger IKKE noget om sikkerhed ved de valgte faktorer. Der er ikke indbygget krav til at det skal være et godt password for at det kan kaldes to faktor. Ligesom der ikke automatisk er et krav om at det skal være svært at stjæle det du er i besiddelse af, eller svært at snyde den biometriske scanner. Man kan godt have dårlig to faktor.

Husker i dengang netbanken skulle bruge en fil gemt lokalt på computeren? Det var også to faktor. Kodeord + fil. Det gik galt da bad guys fandt ud af at hacke folks computer og på samme tid stjæle filen og installere en key logger til at aflure kodeordet.

App på telefon har principielt samme problem. I hvert fald hvis du logger på banken fra samme telefon. Hvis du derimod logger på banken på PC og bruger telefonen som din to faktor, så skal de trods alt hacke to forskellige devices og lave koblingen. Væsentlig sværere.

  • 12
  • 0
#42 Tobias Skytte

1) Min mobil er netop gået istykker/tabt i toilettet/stjålet/Etc.

2) For at købe en ny på nettet via min PC skal jeg authentificere betalingen via NemID.

3) Min NemID er på mobilen..

Hvad nu??!!???

1) Mit nære ældre familiemedlem har fået Delir / hjerneblødning/ Etc. Og kan (midlertidigt) ikke bruge NemID.

2) Indkaldelser fra læge/sygehus kommer KUN på e-Boks.

3) Med papkort kan jeg midlertidigt overtage styring af eboks, bank osv. selvom jeg bor i udlandet.

Kan jeg have to instanser af app'en på min mobil? (Egen + familiemedlems). Kan flere andre nære familiemedlemmer have det syge medlems nemid-app på samme tid?

Osv.

  • 10
  • 2
#43 Jorgen Hansen

Jeg vil være glad hvis jeg igen kan eje min egen underskrift og ikke skal indgå meterlange uforståelige kontrakter med store udenlandske IT virksomheder for at kunne kommunikere med danske myndigheder. I øvrigt er det dyrt for pensionister, som ikke har et skatte fradrag eller får IT betalt af en arbejdsgiver og har svært at ramme tasterne på de små telefoner.

  • 8
  • 2
#44 Anne-Marie Krogsbøll

I øvrigt er det dyrt for pensionister, som ikke har et skatte fradrag eller får IT betalt af en arbejdsgiver og har svært at ramme tasterne på de små telefoner.

​Ja - og én dårlig ting ved papkortet er, at tallene er skrevet alt for småt til, at mange ældre kan læse dem. Men det problem kan jo løses ret let, hvis viljen ellers var til stede.

  • 3
  • 2
#47 Jakob Skov

Faktorerne bruges normalt til at lave løsninger der øger sikkerhed, men i praksis ser de alle ud til at skulle mødes på et SPOF (Single Point Of Failure) med netadgang, en "smartphone". Umiddelbart er jeg ked af at bruge faktorer der er netopkoblede på samme niveau som offline-faktorer. Når vi taler software på en telefon er det snarere "ting jeg bruger" end "ting jeg har". I sidste ende er det brugernes adfærd der er afgørende for om faktorerne reelt virker. Vi så det så afgjort med nøglekortet og hvordan den endte..

Lås på telefonen kan tages af så du ikke skal identificere dig i tide og utide. Den mulighed skal nok blive brugt af nogen, uhensigtsmæssighed til trods. Mange apps med lidt alternative features skal også nok komme ind på telefonerne. Misforstå mig ret: I forhold til uhensigtsmæssig brug af nøglekort er selv det en enorm forbedring da telefonens producent vil blive pryglet når alle sikkerhedsfaktorerne bliver omgået af "intet at skjule"-brugeren. Men i forhold til hensigtsmæssig brug af nøglekort er det et par skridt ned i sikkerhed.

  • 3
  • 0
#48 Bo S. Mortensen

@Tobias

Scenariet med dit ældre familiemedlem kan delvist klares med læseadgang til personens eboks, hvis det ikke er en pludseligt opstået situation, da tildelingen af adgang foregår fra dit ældre familiemdlems eboks. Den ældre skal derfor kunne logge ind (evt. med din hjælp)

Dit ældre familiemdlem kan vælge at tildele "læseadgang" eller "fuld adgang". Jeg har læseadgang til min mors eboks, og det virker fint med en dropdown box i min eboks hvor jeg vælger den postkasse jeg vil se.

  • 1
  • 0
#49 Kjeld Flarup Christensen

Med lidt risiko for at blive kaldt maskinstormer, men måske det er ved at være på tide at folk med IT kundskaber fremsætter en borgerforslag om at ting som Tinglysning og oprettelse af virksomheder KUN skal kunne lade sig gøre med pap kortet.

  • 5
  • 1
#50 Jakob Skov

Jeg lægger ud med papkort, du lægger ud med app og vi ender med dongle som standard for det er den bedste, omend dyreste løsning! Edukation om sikkerhed er en æressag, for det er trods alt i modsætning til "så nemt som muligt", hvilket i praksis vil være hvor enhver tilfældig gruppe interessenter vil ende uden kontekst.

  • 0
  • 0
#57 Daniel Korsgaard

Nogen der kan huske livet før NemID, hvor du fik post i din....... POSTkasse.

Tænk sig hvis vi kunne komme tilbage der til? Hvor mange breve er det liiige det offentlige kan sende for den mængde penge de investerer i NemID og nu MitID?

Altså, det kostede (dengang) 3 kroner at sende et brev, og skulle jeg have så mange som 4 breve i gennemsnit per år, så var det vist i overkanten. og hvis gennemsnits levealderen er 80 år, og folk under 18 ikke får breve, så er det bare i løse tal, 18 millioner breve om året for 6 millioner mennesker (meget højt sat). Altså 56 millioner kroner til breve, per år. Hvad var det lige NemID systemet har kostet? Hvor mange brever kunne hver borger have fået for den faktisk pris på NemID?

Altså helt kort, hvad er egentligt lige blevet nemmere for den gennemsnitlige borger, med indførslen af NemID?

/Daniel

  • 5
  • 5
#61 Jakob Skov

Jeg har 2 NemID. Et til det offentlige og en til bank. Det til bank kører jeg via appen og det andet via pap kort. Der ud over logger jeg ALTID kun på hjemmefra! Så papkortet er hvor det skal være.

@Leif Glering Tak. det er præcis også det jeg ser som behovene. Banken har 1. en begrænsning på selvrisikoen hvis ulykken skulle være ude og 2. et særdeles veludviklet undersystem til at begrænse skaden og lette eventuel efterforskning. I sidste ende er det kun penge og banker har arbejdet med skadebegrænsning ved kriminalitet i flere årtier. Derfor er MitIDs løsning formentlig tilstrækkelig til formålet.

Ved ID er undersystemerne ikke så værdifulde og din identitet/dine data kan let lide permanent skade. De fleste af disse angreb må formodes at have destruktive motiver da der ikke kan forventes den store økonomiske vinding i det. Selvom jeg er ret sikker på at jeg ikke har nogen med en brændende personlig hævntørst imod mig eller forventer at få det i nærmeste fremtid er det alligevel bedre at være på den sikre side. Derfor ville jeg vægte sikkerhed betydeligt højere ved den type brug.

  • 6
  • 0
#62 Anne-Marie Krogsbøll

I lyset af denne nyhed, må man spørge sig selv: Hvorfor? https://www.computerworld.dk/art/249525/morgen-briefing-vi-foretraekker-...

Skal Digitaliseringsforstyrrelsen tjene befolkningen - eller skal den (for)styre den? Sagen er - i lighed med Movia-overgrebene - illustrerende for forholdet mellem folk og digi-magthavere. De er blevet magtfuldkomne slavepiskere - vi er blevet deres slaver.

  • 5
  • 2
#65 Mogens Lysemose

Der var stort set ikke noget 2-faktor i papkortet, for alt for mange tog et billede af det med mobilen så de altid havde det ved hånden... Men mobilen kan let hackes og billedet stjæles, og hvis det ikke skete på telefonen så var der online-backup'en

I starten med Dankort var der mange der skrev pinkoden på dankortet eller havde det på en seddel i pungen. Dermed var der ingen to-faktor. Med din argumentation burde alle kredit og debitkort have været afskaffet allerede dengang!

Problemet var jo at et fåtal af brugerne lavede en grov overtrædelse af reglerne, helt ligesom det er at tage foto af papkortet. Man skal løse problemet, ikke lade gøre de fås regelbrud til årsag til at afskaffe en god løsning. Der er f.eks. et piktogram med et kamera med forbudt-skildt over på papkortet - henvendt til dem der ikke havde fattet reglerne.

  • 6
  • 0
#67 Mogens Lysemose

En telefon kan rootes og der findes adskillige stykker malware der rooter den telefon de inficerer. Når det først er sket kan jeg ikke se hvordan nogen skulle forhindrer et stykke software i at manipulere appen efter forgodtbefindende. Eller læse lokalt lagrede sessionsdata og benytte APIen til at snakke med serveren på samme måde som appen gør.

Det bliver jo en teknologisk glidebane. De fleste producenter sikkerhedsopdaterer kun deres smartphones nødtørftigt, og typisk kun et par år, og tit mange måneder efter android har frigivet sikkerhedsopdateringen.

Bliver kravet til samtlige borgere i Danmark så at de har en sikkerhedsopdateret smartphone, dvs. en telefon der er moderne og under 2 år gammel, fordi de ellers ikke kan bruge NemID/MitID-appen?

Og at de dermed hvert 2 år skal ud og købe ny smartphone?

Og at de ikke må have rootet deres telefon - altså ikke må have administratoradgang til deres egen ejendom?

Allerede nu kan jeg ikke installere "Aula"-appen som kommunerne har brugt 500 mio på og derfor kræver alle forældre bruger - fordi den kun understøtter aller-nyeste Android-version...

  • 11
  • 0
#70 Michael Hansen

Et brev er langt mere end portoen. Det skal også håndteres etc.

Det skal det - og du tænker formentlig på den offentlige medarbejder, der sender brevet - enten til eBoksen eller printer det ud for at sende det med posten. For selve håndteringen hos PostNord er jo inkluderet i portoen.

Men som offentlig ansat, der sender 20-25 breve til eBoks hver dag, så kan jeg fortælle, at det tager nogenlunde lige lang tid at få det sendt til eBoks, som det tager at lette bagdelen, printe breve, lægge det i en kuvert og få sendt med posten.

Det med IT er bare ikke så enormt meget nemmere og hurtigere, som folk tror - og det er ikke fordi jeg er langsom. Det er systemet og de mange klik, der tager tid...

Fordelen ved eBoks er, at borgeren stort set med det samme kan se, hvad jeg har skrevet til vedkommende - og svare på det, jeg eventuelt beder dem om - modsat hvis det blev sendt med PostNord. Der vil hurtigt gå en uge, før brevet kommer frem - hvis det nogensinde gør det.

  • 9
  • 0
#71 Christian Nobel

Men som offentlig ansat, der sender 20-25 breve til eBoks hver dag, så kan jeg fortælle, at det tager nogenlunde lige lang tid at få det sendt til eBoks, som det tager at lette bagdelen, printe breve, lægge det i en kuvert og få sendt med posten.

Og i den anden ende, nemlig den modtagende, der har systemet så den fordel at borgeren arbejder gratis.

For hvad er mon hurtigst, at åbne en kuvert og skimme indholdet igennem, eller logge ind med NemID på et webmailsystem, klik, klik, klik....?

  • 5
  • 2
#76 Christian Nobel

Jeg kommer med et indlæg i debatten, og lader til at i mangel på modargument

Du kommer med et statement, nemlig at du mener vi andre ikke må (vedblive) med at forholde os til at der er og bliver en fuldstændig fundamental fejl i NemID paradigmet, nemlig at det ikke er en digital signatur, men kun en SSO løsning.

Og med hensyn til argumenter, så er der ingen grund til at gentage alle de argumenter som er blevet fremført omkring dette, hvorimod det ville være klædeligt om du i stedet for en oneliner, hvor jeg stadig mener du prøver at lege selvbestaltet moderator, kom med nogle kompetente indspark til debatten!

  • 6
  • 2
#82 Jens D Madsen

Jeg forstår ikke sikkerheden ved den nye løsning. Ved den gamle, var det meget tydeligt hvordan det fungerede.

Normalt så betragter jeg intet som sikkert, når det kører på computere, hvor der kan installeres og opdateres software. Og som udgangspunkt, kan jeg derfor ikke få øje på nogen som helst sikkerhed i app's. Er det ikke det samme, som at totalt fjerne enhver sikkerhed, at lade det bero på rent kompromiterbart software? Nærmest tilbage til tiden før nøglekortet.

Er det hackerne som har overtaget styringen i Danmark - eller er det andre landes efterretningstjenester, der har sidet med ved bordet? Under alle omstændigheder, kan jeg ikke få øje på sikkerheden.

Kan nogen forklare mig hvor sikkerheden er?

Ved nøglekortet kan man diskutere sikkerheden - men det er trods alt en ikke-software løsning, og svarer til en hardware løsning. Det gør en løsning med software ikke. Software er designet for non-safety only.

  • 2
  • 0
#83 Jens D Madsen

Jeg lægger ud med papkort, du lægger ud med app og vi ender med dongle som standard for det er den bedste, omend dyreste løsning! Edukation om sikkerhed er en æressag, for det er trods alt i modsætning til "så nemt som muligt", hvilket i praksis vil være hvor enhver tilfældig gruppe interessenter vil ende uden kontekst.

Nej, en dongle giver ingen sikker løsning i sig selv. Årsagen er, at data ind og ud til donglen nemt kan hackes, og din dongle kan misbruges på din maskine, uden du ved det. Sikkerheden kan i bedste tilfælde sammenlignes med nuværende nem-id, hvis der skal indtastes en kode på donglen, for hver gang den bruges. Donglen kan gøres meget mere sikker, hvis der udover kode, også skal indtastes noget der er identificerbar for kunden, som har med overførslen at gøre, f.eks. at kontonummeret skal indtastes og beløb. Filosofien er, at det eneste som kunden underskriver og bekræfter, er de tal der er indtastet på donglen. Alt andet, kommer som udgangspunkt fra hackere. En mulighed er, at lave en dongle, som sættes imellem tastaturet og computeren, eller indbygges i tastaturet. Denne vil man kunne lave nogle forskrifter for, så den ikke kan modtage data fra computeren, men kun sender data til computeren. På den måde, så kan modtageren sikre, at de data som tastaturet siger den har sendt, også er korrekte. Der er ikke mulighed for at snyde tastaturet, da der umuligt kan sendes data til tastaturet. Der kan kræves en fysisk forbindelse, med en ledning, der har en buffer, så dataene sikres kun kan gå den rette vej. Ulempen er dog, at det ikke bliver muligt at skrive noget, som digitalt bekræftes, ved at bruge musen på skærmen.

  • 0
  • 1
#85 Jens D Madsen

Jeg går ud fra Jakob ikke mener en dongle, der skal sættes i comptueren, men en fob/token med display der skal aflæses og manuelt skrives ind?

Dette svarer stort set til den nuværende løsning - der kan fås en nøgleviser til NemID i dag.

Nøgleviseren har kun en knap, og det er problemet. Den svarer til min tastaturløsning, hvor tastaturet er reduceret til en knap - en OK knap. Der skrives derfor ikke under på noget indhold, men der sendes et sikkert OK.

Den sikreste løsning er afskrift af de oplysninger som ønskes underskrevet på et tastatur, kombineret med dongle og pinkode. Pin-koden skal blokeres, når første halvdel af tegnene er sendt, så den aldrig i sin helhed kan franarres kunden, og nå PC'en. Fordelen er, at kunden indtaster det som skal godkendes, og dette signeres. Banken og det offentlige, kan kun dokumentere bekræftelse, af den tekst som er indtastet på tastaturet. I retsmæssig sammenhæng, så har de ikke bekræftelse for ikke indtastet information. Alt, der står på displays på en PC, er ikke gyldig.

Den næstsikreste er et sikkert display, hvor alle informationerne der ønskes godkendt står på hardwaren, og der står en ok kode, der skal indtastes for at bekræfte displayets indhold. Og jeg tror, at det i praksis er den bedste løsning, når brugerevenlighed tages med. Donglen må IKKE være en programmerbar enhed, f.eks. mobiltelefon, hvor der indstalleres apps, da enhver programmerbar enhed er kompromiterbar. Så kan man ligeså godt anvende en PC. Dette vil aldrig være sikker. Der må heller ikke være muligt at opgradere donglen. Sikkerheden skal være ok fra starten, og må ikke kunne ødelægges, fordi at smarte folk kommer, og siger den ikke er i orden. Er man ikke i stand til at lave noget der er sikkert fra starten, så er man ikke dygtig nok, til at lave en dongle.

Man kan også lave en løsning med et nøglekort, hvor man ud over at skulle bekræfte som nu, ud fra et tilfældigt engangsnummer, også skal bekræfte f.eks. de sidste 4 cifre i kontonummeret, ved at have et særskildt nøglekort der angiver en kode til de 4 cifre. Dette giver lidt sikkerhed, da det svarer til, at kunden godkender 4 cifre. Man kan så diskutere, hvor langt man kommer med, at 4 cifre er nok til en sikker godkendelse. De 4 cifre kan være hvadsomhelst, f.eks. sidste 4 cifre i kontonummer, beløb, eller andet, men det er kun disse cifre, at kunden reelt godkender. Med den nuværende løsning, godkender man ingen information. Man godkender bare. Der er ingen information som godkendes. Intet underskrives. Man sender kun en tom underskrift. Det svarer til, at vi lægger en løs underskrift på et stykke papir, og sender til banken.

  • 1
  • 1
Log ind eller Opret konto for at kommentere

Udviklere gik i forhøjet beredskab: Kunne ikke selv genskabe Nøgleapp-fejl

35

Selv supporterne er forvirrede: Mystisk fejl forhindrer tilfældige Iphones i at bruge NemID-app

26
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
ctrlX AUTOMATION - Automation like a Smartphone
Whitepaper
Whitepaper
Fortinet Security Fabric Enables Digital Innovation
Webinar
Webinar
IT Company Rank Insights Seminar
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder