Papkort til NemID smides på porten fra 2021

Min kone har lige fået et, så ja.

Så må jeg nok se at komme på "fjerdesidste" nøglekort. Mange tak for oplysningen;)

Min kone har lige fået et, så ja.

Hev dags dato denne artikel ned fra Version2's forside; jeg er på mit tredjesidste nøglekort. Bør nok lige undersøge, om de stadig sender nye kort ud.

1

Beklager havde ikke set det var en gammel debat

Jeg går ud fra Jakob ikke mener en dongle, der skal sættes i comptueren, men en fob/token med display der skal aflæses og manuelt skrives ind?

Nøgleviseren har kun en knap, og det er problemet. Den svarer til min tastaturløsning, hvor tastaturet er reduceret til en knap - en OK knap. Der skrives derfor ikke under på noget indhold, men der sendes et sikkert OK.

Den sikreste løsning er afskrift af de oplysninger som ønskes underskrevet på et tastatur, kombineret med dongle og pinkode. Pin-koden skal blokeres, når første halvdel af tegnene er sendt, så den aldrig i sin helhed kan franarres kunden, og nå PC'en. Fordelen er, at kunden indtaster det som skal godkendes, og dette signeres. Banken og det offentlige, kan kun dokumentere bekræftelse, af den tekst som er indtastet på tastaturet. I retsmæssig sammenhæng, så har de ikke bekræftelse for ikke indtastet information. Alt, der står på displays på en PC, er ikke gyldig.

Den næstsikreste er et sikkert display, hvor alle informationerne der ønskes godkendt står på hardwaren, og der står en ok kode, der skal indtastes for at bekræfte displayets indhold. Og jeg tror, at det i praksis er den bedste løsning, når brugerevenlighed tages med. Donglen må IKKE være en programmerbar enhed, f.eks. mobiltelefon, hvor der indstalleres apps, da enhver programmerbar enhed er kompromiterbar. Så kan man ligeså godt anvende en PC. Dette vil aldrig være sikker. Der må heller ikke være muligt at opgradere donglen. Sikkerheden skal være ok fra starten, og må ikke kunne ødelægges, fordi at smarte folk kommer, og siger den ikke er i orden. Er man ikke i stand til at lave noget der er sikkert fra starten, så er man ikke dygtig nok, til at lave en dongle.

Man kan også lave en løsning med et nøglekort, hvor man ud over at skulle bekræfte som nu, ud fra et tilfældigt engangsnummer, også skal bekræfte f.eks. de sidste 4 cifre i kontonummeret, ved at have et særskildt nøglekort der angiver en kode til de 4 cifre. Dette giver lidt sikkerhed, da det svarer til, at kunden godkender 4 cifre. Man kan så diskutere, hvor langt man kommer med, at 4 cifre er nok til en sikker godkendelse. De 4 cifre kan være hvadsomhelst, f.eks. sidste 4 cifre i kontonummer, beløb, eller andet, men det er kun disse cifre, at kunden reelt godkender. Med den nuværende løsning, godkender man ingen information. Man godkender bare. Der er ingen information som godkendes. Intet underskrives. Man sender kun en tom underskrift. Det svarer til, at vi lægger en løs underskrift på et stykke papir, og sender til banken.

Nej, en dongle giver ingen sikker løsning i sig selv. Årsagen er, at data ind og ud til donglen nemt kan hackes,

Jeg lægger ud med papkort, du lægger ud med app og vi ender med dongle som standard for det er den bedste, omend dyreste løsning! Edukation om sikkerhed er en æressag, for det er trods alt i modsætning til "så nemt som muligt", hvilket i praksis vil være hvor enhver tilfældig gruppe interessenter vil ende uden kontekst.

Jeg forstår ikke sikkerheden ved den nye løsning. Ved den gamle, var det meget tydeligt hvordan det fungerede.

Normalt så betragter jeg intet som sikkert, når det kører på computere, hvor der kan installeres og opdateres software. Og som udgangspunkt, kan jeg derfor ikke få øje på nogen som helst sikkerhed i app's. Er det ikke det samme, som at totalt fjerne enhver sikkerhed, at lade det bero på rent kompromiterbart software? Nærmest tilbage til tiden før nøglekortet.

Er det hackerne som har overtaget styringen i Danmark - eller er det andre landes efterretningstjenester, der har sidet med ved bordet? Under alle omstændigheder, kan jeg ikke få øje på sikkerheden.

Kan nogen forklare mig hvor sikkerheden er?

Ved nøglekortet kan man diskutere sikkerheden - men det er trods alt en ikke-software løsning, og svarer til en hardware løsning. Det gør en løsning med software ikke. Software er designet for non-safety only.

Beklager havde ikke set det var en gammel debat. Og ikke et rant mod Povl Hansen.

Beklager havde ikke set det var en gammel debat. Og ikke et rant mod Povl Hansen.

Han er en trold der gang paa gang forpester debatten herinde.

Ikke for at forsvare PH, for han har sin egen "stil", bevares, men så ret skytset direkte mod ham i aktuelle debatter, helst med saglig argumentation.

Jeg leger ikke moderator Jeg kommer med et indlæg i debatten, og lader til at i mangel på modargument vælger du at blive personligt.

Han er en trold der gang paa gang forpester debatten herinde.

fundamental fejl i NemID paradigmet, nemlig at det ikke er en digital signatur, men kun en SSO løsning.

Et kompetent indlæg fra din side at ville være en erkendelse at mitID aldrig bliver den signatur i havde håbet på.

Jeg kommer med et indlæg i debatten, og lader til at i mangel på modargument

Og med hensyn til argumenter, så er der ingen grund til at gentage alle de argumenter som er blevet fremført omkring dette, hvorimod det ville være klædeligt om du i stedet for en oneliner, hvor jeg stadig mener du prøver at lege selvbestaltet moderator, kom med nogle kompetente indspark til debatten!

Hvad skulle berettige at du leger selvbestaltet moderator

Jeg leger ikke moderator Jeg kommer med et indlæg i debatten, og lader til at i mangel på modargument vælger du at blive personligt.

Mon ikke dette er spam?

Det gør mig da ondt for Marie - men jeg mistænker, at nogen er blevet betalt for den kommentar af et selfstorage-firma.

For hvad er mon hurtigst, at åbne en kuvert og skimme indholdet igennem, eller logge ind med NemID på et webmailsystem, klik, klik, klik....?

Men som offentlig ansat, der sender 20-25 breve til eBoks hver dag, så kan jeg fortælle, at det tager nogenlunde lige lang tid at få det sendt til eBoks, som det tager at lette bagdelen, printe breve, lægge det i en kuvert og få sendt med posten.

For hvad er mon hurtigst, at åbne en kuvert og skimme indholdet igennem, eller logge ind med NemID på et webmailsystem, klik, klik, klik....?

Et brev er langt mere end portoen. Det skal også håndteres etc.

Det skal det - og du tænker formentlig på den offentlige medarbejder, der sender brevet - enten til eBoksen eller printer det ud for at sende det med posten. For selve håndteringen hos PostNord er jo inkluderet i portoen.

Men som offentlig ansat, der sender 20-25 breve til eBoks hver dag, så kan jeg fortælle, at det tager nogenlunde lige lang tid at få det sendt til eBoks, som det tager at lette bagdelen, printe breve, lægge det i en kuvert og få sendt med posten.

Det med IT er bare ikke så enormt meget nemmere og hurtigere, som folk tror - og det er ikke fordi jeg er langsom. Det er systemet og de mange klik, der tager tid...

Fordelen ved eBoks er, at borgeren stort set med det samme kan se, hvad jeg har skrevet til vedkommende - og svare på det, jeg eventuelt beder dem om - modsat hvis det blev sendt med PostNord. Der vil hurtigt gå en uge, før brevet kommer frem - hvis det nogensinde gør det.

Nej, det er en dårlig løsning

Jeg tror det er på tide dig og resten at den hårde kerne indser at der ikke er sket en fejl.

Og så hedder det i øvrigt 'du og...' på korrekt dansk!

En telefon kan rootes og der findes adskillige stykker malware der rooter den telefon de inficerer. Når det først er sket kan jeg ikke se hvordan nogen skulle forhindrer et stykke software i at manipulere appen efter forgodtbefindende. Eller læse lokalt lagrede sessionsdata og benytte APIen til at snakke med serveren på samme måde som appen gør.

Det bliver jo en teknologisk glidebane. De fleste producenter sikkerhedsopdaterer kun deres smartphones nødtørftigt, og typisk kun et par år, og tit mange måneder efter android har frigivet sikkerhedsopdateringen.

Bliver kravet til samtlige borgere i Danmark så at de har en sikkerhedsopdateret smartphone, dvs. en telefon der er moderne og under 2 år gammel, fordi de ellers ikke kan bruge NemID/MitID-appen?

Og at de dermed hvert 2 år skal ud og købe ny smartphone?

Og at de ikke må have rootet deres telefon - altså ikke må have administratoradgang til deres egen ejendom?

Allerede nu kan jeg ikke installere "Aula"-appen som kommunerne har brugt 500 mio på og derfor kræver alle forældre bruger - fordi den kun understøtter aller-nyeste Android-version...

Der var stort set ikke noget 2-faktor i papkortet, for alt for mange tog et billede af det med mobilen så de altid havde det ved hånden... Men mobilen kan let hackes og billedet stjæles, og hvis det ikke skete på telefonen så var der online-backup'en

I starten med Dankort var der mange der skrev pinkoden på dankortet eller havde det på en seddel i pungen. Dermed var der ingen to-faktor. Med din argumentation burde alle kredit og debitkort have været afskaffet allerede dengang!

Problemet var jo at et fåtal af brugerne lavede en grov overtrædelse af reglerne, helt ligesom det er at tage foto af papkortet. Man skal løse problemet, ikke lade gøre de fås regelbrud til årsag til at afskaffe en god løsning. Der er f.eks. et piktogram med et kamera med forbudt-skildt over på papkortet - henvendt til dem der ikke havde fattet reglerne.

Vi er udemærket klar over der ikke er sket en fejl. NemID er broken by design.

Hvis i er udemærket klar over det, hvorfor kommer der så klager hver gang der en artiklen om emnet ?

...lægge et link til brugerbetingelserne for nøgleappen? Jeg kan ikke finde dem - har ikke smartphone. Men jeg er nysgerrig efter, hvad der står.

I lyset af denne nyhed, må man spørge sig selv: Hvorfor?https://www.computerworld.dk/art/249525/morgen-briefing-vi-foretraekker-stadig-nemid-paa-pap-aws-aabner-ny-region-i-spanien-i-dag-begynder-den-store-ignite-konference​

Skal Digitaliseringsforstyrrelsen tjene befolkningen - eller skal den (for)styre den? Sagen er - i lighed med Movia-overgrebene - illustrerende for forholdet mellem folk og digi-magthavere. De er blevet magtfuldkomne slavepiskere - vi er blevet deres slaver.

Jeg har 2 NemID.
Et til det offentlige og en til bank. Det til bank kører jeg via appen og det andet via pap kort. Der ud over logger jeg ALTID kun på hjemmefra! Så papkortet er hvor det skal være.

Ved ID er undersystemerne ikke så værdifulde og din identitet/dine data kan let lide permanent skade. De fleste af disse angreb må formodes at have destruktive motiver da der ikke kan forventes den store økonomiske vinding i det. Selvom jeg er ret sikker på at jeg ikke har nogen med en brændende personlig hævntørst imod mig eller forventer at få det i nærmeste fremtid er det alligevel bedre at være på den sikre side. Derfor ville jeg vægte sikkerhed betydeligt højere ved den type brug.

Jeg tror det er på tide dig og resten at den hårde kerne indser at der ikke er sket en fejl.

Vi er udemærket klar over der ikke er sket en fejl. NemID er broken by design.

Hvor mange breve er det liiige det offentlige kan sende for den mængde penge de investerer i NemID og nu MitID?

Altså helt kort, hvad er egentligt lige blevet nemmere for den gennemsnitlige borger, med indførslen af NemID?</p>
<p>/Daniel

Det samme kan siges om både rejsekortet, og sundhedsplatformen

Nogen der kan huske livet før NemID, hvor du fik post i din....... POSTkasse.

Tænk sig hvis vi kunne komme tilbage der til? Hvor mange breve er det liiige det offentlige kan sende for den mængde penge de investerer i NemID og nu MitID?

Altså, det kostede (dengang) 3 kroner at sende et brev, og skulle jeg have så mange som 4 breve i gennemsnit per år, så var det vist i overkanten. og hvis gennemsnits levealderen er 80 år, og folk under 18 ikke får breve, så er det bare i løse tal, 18 millioner breve om året for 6 millioner mennesker (meget højt sat). Altså 56 millioner kroner til breve, per år. Hvad var det lige NemID systemet har kostet? Hvor mange brever kunne hver borger have fået for den faktisk pris på NemID?

Altså helt kort, hvad er egentligt lige blevet nemmere for den gennemsnitlige borger, med indførslen af NemID?

/Daniel

Og fordi du og det store dumme(undskyld - tavse) flertal ikke har det, er det en uduelig løsning.

Løsningen virker fint til at logge på netbank og offentlige sider.

Og fordi du og det store dumme(undskyld - tavse) flertal ikke har det, er det en uduelig løsning.

Grunden til at det store flertal ikke har det er at de ikke ved det er muligt og at de ikke ved hvorfor.

Jeg har 2 NemID.

Vrøvl PH,

Jeg har 2 NemID. Et til det offentlige og en til bank. Det til bank kører jeg via appen og det andet via pap kort. Der ud over logger jeg ALTID kun på hjemmefra! Så papkortet er hvor det skal være.

Den bedste af alle løsninger er at splitte den økonomiske løsning og den offentlige ID-lignende løsning op.

Nej, det er en dårlig løsning Mange bruger netbank mere end de logger på det offentlige, ved at bruge samme login løsning sikrer man sig at folk ved hvor deres papkort er hbordan de logger ind

Så din holdning her i livet er, at har man en gang lavet en fejl, så skal man resten af livet fortsætte med at gentage den.

Jeg tror det er på tide dig og resten at den hårde kerne indser at der ikke er sket en fejl.

Jeg lægger ud med papkort, du lægger ud med app og vi ender med dongle som standard for det er den bedste, omend dyreste løsning! Edukation om sikkerhed er en æressag, for det er trods alt i modsætning til "så nemt som muligt", hvilket i praksis vil være hvor enhver tilfældig gruppe interessenter vil ende uden kontekst.

Med lidt risiko for at blive kaldt maskinstormer, men måske det er ved at være på tide at folk med IT kundskaber fremsætter en borgerforslag om at ting som Tinglysning og oprettelse af virksomheder KUN skal kunne lade sig gøre med pap kortet.

@Tobias

Scenariet med dit ældre familiemedlem kan delvist klares med læseadgang til personens eboks, hvis det ikke er en pludseligt opstået situation, da tildelingen af adgang foregår fra dit ældre familiemdlems eboks. Den ældre skal derfor kunne logge ind (evt. med din hjælp)

Dit ældre familiemdlem kan vælge at tildele "læseadgang" eller "fuld adgang". Jeg har læseadgang til min mors eboks, og det virker fint med en dropdown box i min eboks hvor jeg vælger den postkasse jeg vil se.

Faktorerne bruges normalt til at lave løsninger der øger sikkerhed, men i praksis ser de alle ud til at skulle mødes på et SPOF (Single Point Of Failure) med netadgang, en "smartphone". Umiddelbart er jeg ked af at bruge faktorer der er netopkoblede på samme niveau som offline-faktorer. Når vi taler software på en telefon er det snarere "ting jeg bruger" end "ting jeg har". I sidste ende er det brugernes adfærd der er afgørende for om faktorerne reelt virker. Vi så det så afgjort med nøglekortet og hvordan den endte..

Lås på telefonen kan tages af så du ikke skal identificere dig i tide og utide. Den mulighed skal nok blive brugt af nogen, uhensigtsmæssighed til trods. Mange apps med lidt alternative features skal også nok komme ind på telefonerne. Misforstå mig ret: I forhold til uhensigtsmæssig brug af nøglekort er selv det en enorm forbedring da telefonens producent vil blive pryglet når alle sikkerhedsfaktorerne bliver omgået af "intet at skjule"-brugeren. Men i forhold til hensigtsmæssig brug af nøglekort er det et par skridt ned i sikkerhed.

Tak, Bjarne Nielsen. Det var jeg ikke klar over. Der er nogle familiemedlemmer, der bliver glade...

... tallene er skrevet alt for småt ...

https://www.nemid.nu/dk-da/kom_i_gang_med_nemid/nemid_for_blinde_og_svagtseende/noeglekort_med_stor_skrift/

I øvrigt er det dyrt for pensionister, som ikke har et skatte fradrag eller får IT betalt af en arbejdsgiver og har svært at ramme tasterne på de små telefoner.

Jeg vil være glad hvis jeg igen kan eje min egen underskrift og ikke skal indgå meterlange uforståelige kontrakter med store udenlandske IT virksomheder for at kunne kommunikere med danske myndigheder. I øvrigt er det dyrt for pensionister, som ikke har et skatte fradrag eller får IT betalt af en arbejdsgiver og har svært at ramme tasterne på de små telefoner.

1. Min mobil er netop gået istykker/tabt i toilettet/stjålet/Etc.

2. For at købe en ny på nettet via min PC skal jeg authentificere betalingen via NemID.

3. Min NemID er på mobilen..

Hvad nu??!!???

1. Mit nære ældre familiemedlem har fået Delir / hjerneblødning/ Etc. Og kan (midlertidigt) ikke bruge NemID.

2. Indkaldelser fra læge/sygehus kommer KUN på e-Boks.

3. Med papkort kan jeg midlertidigt overtage styring af eboks, bank osv. selvom jeg bor i udlandet.

Kan jeg have to instanser af app'en på min mobil? (Egen + familiemedlems). Kan flere andre nære familiemedlemmer have det syge medlems nemid-app på samme tid?

Osv.

Tak for tip til gen-chikane, Ditlev Petersen :-)

2-faktor med mobil er data-lagrenes pest eller kolera: Det er ikke økonomisk realistisk at lave en anden 2-faktor med bedre sikkerhed, men mobil-telefonen kan næppe ses som værende så uafhængig af den primære adgangsmetode at det vil kvalificere i en streng tolkning af begrebet.

Det er en misforståelse at to faktor er en angivelse af et sikkerhedsniveau.

Det betyder blot at der skal anvendes 2 af tre faktorer: noget du ved (password), noget du har (papkort, telefon, en fil, et certifikat i din browser, en elektronisk dims etc) og noget du er (biometrisk, fingeraftryk, retina scan etc).

Det siger IKKE noget om sikkerhed ved de valgte faktorer. Der er ikke indbygget krav til at det skal være et godt password for at det kan kaldes to faktor. Ligesom der ikke automatisk er et krav om at det skal være svært at stjæle det du er i besiddelse af, eller svært at snyde den biometriske scanner. Man kan godt have dårlig to faktor.

Husker i dengang netbanken skulle bruge en fil gemt lokalt på computeren? Det var også to faktor. Kodeord + fil. Det gik galt da bad guys fandt ud af at hacke folks computer og på samme tid stjæle filen og installere en key logger til at aflure kodeordet.

App på telefon har principielt samme problem. I hvert fald hvis du logger på banken fra samme telefon. Hvis du derimod logger på banken på PC og bruger telefonen som din to faktor, så skal de trods alt hacke to forskellige devices og lave koblingen. Væsentlig sværere.

Vil der komme en open source udgave af mitid appen?

Vil der komme en open source udgave af mitid appen?

Du har vel 3-faktor hvis du vil...

1. brugernavn/password (viden)
2. fingeraftryk (biometrisk)
3. kun på telefonen (besidelse)

Fint nok så vidt jeg kan se.

Helt lavpraktisk - jeg er da ikke meget for at have mit NEM-kort liggende på telefonen, når telefonselakaberne udleverer SIM-kort til min telefon til et vildt fremmed mennesker, og de derefter kan overtage hele stort set alt.

Det giver så en konkret udfordring for mitID, nemlig at idenditeten skal lægges på telefonen første gang på en sikker måde. Dernæst kommer også en udfordring når den skal flyttes til en anden telefon.

Her er det også interessant om app'en tilknytning følger med, hvis man bruger f.eks. Apple's restore eller en af de mange Android apps der kan noget tilsvarende.

kun handler om endnu en måde at chikanere dem, som ikke vil/kan lade sig genne ind i smart-folden,

En anden gang havde jeg en "udfordring" med en myndighed, som jeg havde klaget til, uden at få noget svar. Ved nærmere eftersyn viste det sig, at de ikke var forpligtet til at svare. Så jeg skrev en opfølgning på min henvendelse. I hånden, med hjemmelavet blæk, hjemmelavet gåsepen og med gotisk kurrantskrift. Fordi jeg ved, at de alle er forpligetet til at læse og journalisere det. Denne gang svarede de. Jeg er ikke i tvivl om, at man kan drive også embedsmænd til sammenbrud. Man kan angive alle tal i romertal (især romertal over 5000 er en oplevelse). Det er ikke forbudt noget sted, da ingen er fjollet nok til det.

Pennen kan være et spidst spyd!

Hvordan vil de løse problemet for os der har flere NemID. Den nuværende app kan kun håndtere et.

Tak for svar, Ditlev Petersen.

Det bliver spændende at se, om Digitaliseringsforstyrrelsen kan finde på et alternativ til dit forslag, eller om det vil blive lysende klart for alle, at afskaffelsen af papkortet kun handler om endnu en måde at chikanere dem, som ikke vil/kan lade sig genne ind i smart-folden, hvor der vel følger en del datasnageri med den "smarte" løsning?

Den bedste af alle løsninger er at splitte den økonomiske løsning og den offentlige ID-lignende løsning op.

Det burde slet ikke være nødvendigt at man skal overhovedet skal debattere adskillelse af stat og kirke ^^^^ pyramidespilsindustrien, men desværre må vi konstatere at neoliberalismen har fordrejet politikernes hoveder så meget, at enhver form for rationel tankegang er fraværende.

Er der nogen, som har et bud på, hvilken løsning man kan finde på til folk uden smartphone som erstatning for pap-kortet?

Altså jeg kan godt finde på noget med at man tilmelder en bestemt bog i en bestemt udgave. Challenge i stedet for de fire cifre ville så være sidenummer + enten linje eller ord fra toppen. Og så svarer man med det ord. Skæg og blå briller for børn og smartphone-løse personer.

På den måde får vi mindsket sikkerheden lidt, og Nets slipper for at sende breve ud.

De kunne også skrive 52 koder mere på kortet, så sparer de en uafattelig stor procentdel af portoen. Det er nok en retrætesejr, som Nets kan leve med. Det kan jeg også.

2-faktor med mobil er data-lagrenes pest eller kolera: Det er ikke økonomisk realistisk at lave en anden 2-faktor med bedre sikkerhed, men mobil-telefonen kan næppe ses som værende så uafhængig af den primære adgangsmetode at det vil kvalificere i en streng tolkning af begrebet. At alle skal la' sig nøje med den mellemste køje sikkerhedsmæssigt fordi nogen "digitaliserer" deres nøgle-kort er i bedste fald et søgt argument. Svæk sikkerheden for alle for at hæve den for nogen! Solidarisk om ikke andet... At det hjælper imod mitm er et bedre argument, men spørgsmålet er om ikke det samme var muligt på anden vis? De ærlige grunde til løsningen forekommer nærmere at være af økonomisk karakter...

Misforstå mig ret: Problemet for NemID/MitID er at det er en løsning der skal tilfredsstille så mange andre krav end data-sikkerhed og ID at der ikke er meget plads til de forhold i det endelige design. Reglerne i det spil gør at løsningen bliver ret rigid og bliver strukket for "tilstrækkeligt" også at kunne dække bare nogen af de yderligere krav man stiller til ID.

Den bedste af alle løsninger er at splitte den økonomiske løsning og den offentlige ID-lignende løsning op. Det vil om noget kunne gøre digitaliseringen mere tillidsvækkende og vil i højere grad kunne understøtte en "Samtykke først"-tilgang til data-problematikker ("Samtykke først" og mere forskningsorienterede frikommuneforsøg med data-brug er her hinandens forudsætninger!). At fortsætte med en offentlig "ID" der i så høj grad har andre interesser som primært fokus er ikke holdbart.

Hvorfor skal de nu tvinges til tvinges til mere IT.
Hvad er det for et problem de vil løse?

Er der nogen, som har et bud på, hvilken løsning man kan finde på til folk uden smartphone som erstatning for pap-kortet?