Sådan undgik it-aktivist NemID i tre år

En lille bank og masser af charme var to vigtige ingredienser i opskriften på, hvordan Tom Paamand i tre år lykkedes med være borger i Danmark - uden NemID.

Kritikken af NemID var heftig i it-kredse, da NemID nærmede sig lancering i 2010, og for Tom Paamand var konklusionen klar: NemID skulle ikke ind på hans computer.

Nu - tre år efter lancering af NemID - er han blevet tvunget til at bruge landets officielle loginløsning, fordi han ellers ikke kunne få lov at ændre sin adresse efter en flytning.

»Jeg har forsøgt at holde Java ude af min computer, fordi der ikke var andet end bøvl med det, så det var en af grundene til, at jeg ikke ville have NemID. Og med NemID’s brug af Java er der mulighed for, at den kan bruges som statstrojaner. Det ved vi ikke, om den bliver,« siger Tom Paamand til Version2.

Læs også: Nu kommer afklaringen: Er NemID Danmarks stats-trojaner?

I december 2012 trådte reglerne om tvungen digital selvbetjening i kraft, så blandt andet flytninger skulle ordnes digitalt - med NemID. Der var derfor ingen kære mor på Borgerservicecentret.

»Jeg prøvede på alle mulige måder at charme mig igennem, men der var ikke noget at gøre. Så nu har jeg brugt NemID én gang, på Borgerservicecentret. Den kommer stadig ikke ind på min egen computer, så hvis jeg skal bruge det igen, bliver det fra en offentlig computer,« siger Tom Paamand.

Fik læst brev højt

Det første rendez-vous med NemID gik da heller ikke helt som forventet. Da han var blevet oprettet, fik han nemlig brev om, at han også havde skiftet navn. Hvilket absolut ikke var tilfældet.

Læs også: Oprettede NemID - og fik navneforandring med i købet

I tiden op til, at Tom Paamand fik NemID, har han klaret sig igennem med en hel del charme. For eksempel da han fik et vigtigt brev fra a-kassen via Digital Post, som jo kræver NemID.

»Jeg ringede til dem, og det endte med, at de læste mit brev højt for mig. Jeg har som regel kunnet snakke mig uden om og få de offentlige myndigheder til at hjælpe mig uden NemID,« forklarer han.

Bliver det fremover nødvendigt at bruge NemID mere end bare en sjælden gang, vil han holde det i en virtuel maskine eller boote et andet styresystem, helt uden om computerens harddisk.

»Da NemID kom frem, ledte jeg efter en smart løsning, jeg kunne boote fra en USB-pind. Jeg kom ikke videre med det, men måske er der gode muligheder derude i dag,« siger Tom Paamand.

Netbank har været en anden forhindring, fordi langt de fleste banker i Danmark har indført NemID som et krav. Men nogle af de små klarer sig stadig uden.

»Jeg bruger en lille andelskasse, Oikos, som bruger et simplere it-system end de store banker og ikke kræver NemID,« siger Tom Paamand.

På den måde har han ikke lidt de store afsavn i de tre år, han har været NemID-løs.

Vil snige sig uden om papkortet

Nu hvor NemID og papkortet med engangskoder er kommet inden for matriklen, vil Tom Paamand gerne gøre det lettere at bruge for alle og vil prøve at udvikle login, der kun kræver ét klik.

»Mit næste hobbyprojekt bliver at prøve at scanne koderne ind og så bruge OCR, så et script selv kan finde den rigtige engangskode. For selvom vi får besked på, at vi ikke må affotografere nøglekortet, så gør alle det jo alligevel,« siger han.

Du var bekymret for sikkerheden, hvis du skulle have Java på din computer. Men med dette projekt underminerer du jo netop hele sikkerheden i NemID?

»Ja, men det er noget, jeg kun gør mod mig selv. Det er også lidt tænkt som en provokation, for systemet er ikke gennemtænkt og er en misforståelse af folks rutiner. Man skal lave sådan et system, så det er nemt og instinktivt at bruge,« siger Tom Paamand.

Tidligere, da han i en periode var uden arbejde, skrev han også et lille script, som automatisk loggede ind på Jobnet og klikkede de rigtige steder hver femte dag. Det var nemlig et krav, at man skulle melde sig som aktivt søgende en gang om ugen, hvis man ville blive i systemet.

»Det var jo helt meningsløst, så jeg lavede det som et drilleprojekt. Hvis jeg bliver udsat for en tåbelig idé, kan jeg godt komme op med et tåbeligt svar,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (32)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm

Jeg bliver forbløffet hver gang jeg hører en IT-mand fortælle hvor forfærdeligt NemID er for derefter gladeligt at fortsætte med at fortælle hvordan han omgår kravet om to-faktor authentificering.

Jeg tror aldrig jeg ville ansætte en person som Tom Paamand i en stilling der krævede kvalifikationer inden for IT-sikkerhed.

Ja, der er mange problemer med NemID. To-faktor authentificering er ikke en af dem!

  • 52
  • 4
Kristian Lund

@Makholm:
Hvor frygtelig NemID er har meget lidt at gøre med to-faktor idéen - hvilket det også fremgår tydeligt at Paamand er klar over. Hvis maskinen er kompromiteret er papkortet alligevel ikke meget værd; så skal man bare vente til folk tilgår deres netbank eller lignende, før man har hul igennem.
At Paamand omgår den er ikke noget reelt problem, og siger ikke noget om hans kvalifikationer ift. sikkerhed men kun om hans vilje til at tage overvejede, minimale risisci på egne vegne.

  • 4
  • 15
Anders Rosendal

Jeg bliver forbløffet hver gang jeg hører en IT-mand fortælle hvor forfærdeligt NemID er for derefter gladeligt at fortsætte med at fortælle hvordan han omgår kravet om to-faktor authentificering.


Jeg synes der er forskel på at ville have nem login til sin bank og så at politiet/staten kan installere vilkårlige programmer på ens maskine! Det synes jeg faktisk er usa/DDR værdigt og er forfærdet over at sådan noget sker i Danmark :-/

  • 6
  • 15
Anders Rosendal

»Det var jo helt meningsløst, så jeg lavede det som et drilleprojekt. Hvis jeg bliver udsat for en tåbelig idé, kan jeg godt komme op med et tåbeligt svar,« siger han.

Ha ha ha, my kind of man!

  • 5
  • 7
Christian Nobel

Jeg ville have lidt mere respekt for ham, hvis han ikke havde bukket sig forover, men i stedet havde vist så meget mandsmod, at han havde troppet op på borgerservice inden for de krævede 5 dage og fortalt dem at nu var han altså flyttet - eventuelt havde afleveret et brev, som fortalte det.

På den måde havde han anmeldt flytningen, selv om han ikke opfylder det formelle formkrav - efterfølgende måtte det så være op til kommunen at finde ud af hvad den så ville gøre.

Det ville jeg kalde en aktivist.

  • 20
  • 4
Martin Grønholdt

Princippet i at der er simple måder at omgå det på er i sig selv et problem. Der er sikkert en del mennesker der har et billede af deres nøglekort på mobilen, uden at have viden til at forstå den risiko det indebærer.

  • 6
  • 0
Carsten Stenberg

Makholm>> Det er jo mest synd for dig selv, for nok er det barnligt at gøre den slags, men uden at kende Paamand, så er det netop evnen til at være kreativt og legende, der er med til at skabe udvikling - også omkring IT-sikkerhed.

Det minder mig om en jobsamtale jeg var til for mange år siden:
Jeg sad overfor chefen som havde et stort skrivebord, hvor alting var sirligt ordnet og det eneste stykke papir på bordet var min ansøgning.

Et spørgsmål lød så; "Hvordan så mit skrivebord ud ?"

Jeg fik ikke selvfølge ikke jobbet ;-)

  • 3
  • 4
Hans Schou

Peter Makholm skriver om to-faktor authentificering, og den ene faktor er så engangsnøglen. Uanset hvad nogen måtte syntes, så er engangsnøgler brugt i en Multi-factor authentication en rigtig god idé. Det er rigtig dumt at lave det om til en en-faktor.

Så er der også nogen, for hvem det piner meget at engangsnøgler er på et stykke "primitivt" pap. De vil meget hellere have engangsnøgler på en elektronisk dims. E-dimsen er smartere ved at den ikke kan kopieres (så nemt), men på den anden side er den dyr at miste. Der er fordele og ulemper ved pap og e-dims, men det ændre ikke ved at engangsnøgler er godt.

NemIDs afhængighed af Java er et problem, så jeg har ikke NemID. Når der kommer NemID baseret på Javascript i 2014, så skal jeg have NemID og papkort (eller e-dims) og det hele.

PS: Beklager at jeg stort set gentager Makholm, men det er altså vigtigt at man forstår hvad man gør, når man bryder sikkerheden, så jeg mente at en alternativ forklaring var nødvendig.

  • 12
  • 1
Tom Paamand

Jeg provokerer gerne, hvis joken enten har tilstrækkelig politisk tyngde, eller blot er underholdende nok. Da jeg læste artiklen, var jeg godt klar over hvilke automatreaktioner, den ville udløse - men det må jeg jo så tage med. Selvom jeg hellere ville høre erfaringer fra andre, der fortsat har holdt sig fri af NemID.

Makholm vil ikke ansætte mig til jobs, der kræver kvalifikationer inden for IT-sikkerhed. Det ville jeg heller ikke selv, for det er slet ikke min spidskompetence. Til gengæld er jeg ret god til at se hvordan skæve sammenhænge kan omsættes til programmering. Hvad enten det drejer sig om at få data overflyttet mellem to systemer, der i øvrigt nægter at snakke sammen.

Eller til at understrege, at NemIDs sikkerhed hos rigtig mange mennesker i forvejen er gennemhullet, fordi koderne ligger som foto på deres telefoner. I toget så jeg en nabotelefon laver diasshow som pausebillede, hvor osse NemIDs koder gled flot over skærmen...

At jeg så kunne sætte trumf på ved at automatisere den proces gennem lidt høkerprogrammering, ændrer da ikke stort. Men kunne forhåbentlig føre til at smartere folk end mig bruger deres irritation til at udvikle helt anderledes NemID-systemer, der både er sikre og indlysende nemme i brug.

PS til Nobel. Jeg havde ikke tidsmæssigt mulighed for at vente fem dage mere, da jeg akut havde brug for at få ny læge på plads. Selv ved flytning inden for regionerne, gælder de gamle administrative grænser åbenbart fortsat.

  • 10
  • 5
Christian Nobel

PS til Nobel. Jeg havde ikke tidsmæssigt mulighed for at vente fem dage mere, da jeg akut havde brug for at få ny læge på plads. Selv ved flytning inden for regionerne, gælder de gamle administrative grænser åbenbart fortsat.

Nu ved jeg så ikke hvor langt du flyttede, så hvis du skulle til lægen kunne du vel bare gå til din gamle læge, så længe du har dit gamle sygesikringsbevis.

Under alle omstændigheder, så har de 5 dage noget med anmeldefristen at gøre, ikke hvornår kommunen får nosset sig sammen til at lave et nyt sygesikringsbevis - hvor kommer de 5 dages ventetid ind i billedet?

Og det at der hældes magisk IT-sovs ud over løsningen er jo ingen garanti for at du får et nyt sygesikringsbevis - det er jo almindelig kendt at det offentlige har det ret svært med de der digitale ting.

  • 2
  • 2
Nikolaj Reibke

Jeg ved nu ikke om han burde beskæftige sig med noget "IT" overhovedet, hvis han nægter at benytte java. Den hovedsagelig grund til at mange ser java som dårligt er 1. fordi den har været så meget i søgelyset 2. at det ikke altid er designet ordentligt i forhold til sikkerhed.

  • 0
  • 9
Kristian Klausen

https://www.retsinformation.dk/forms/r0710.aspx?id=144955#Kap4
§ 12. Enhver, der flytter, har pligt til senest 5 dage efter flytningen at anmelde denne til tilflytningskommunen. Anmeldelse kan også omfatte de medlemmer af husstanden, der flytter med, således at disse fritages for selv at anmelde flytningen.

(...)

Stk. 3. Flytning skal anmeldes ved anvendelse af den digitale anmeldelsesløsning, som tilflytningskommunen stiller til rådighed (digital selvbetjening). Flytteanmeldelser, der ikke indgives ved digital selvbetjening, afvises af kommunalbestyrelsen, jf. dog 3. og 5. pkt. Hvis kommunalbestyrelsen finder, at der foreligger særlige forhold, der gør, at borgeren ikke må forventes at kunne anvende den digitale selvbetjeningsløsning, skal kommunalbestyrelsen tilbyde, at anmeldelsen kan indgives på anden måde end ved digital selvbetjening. Kommunalbestyrelsen kan bestemme, at flytteanmeldelser, der kan indgives på anden måde end ved digital anmeldelse

(..) ikke må forventes at kunne anvende den digitale selvbetjeningsløsning (..)

Hvis man ikke har NemID, kan det vel ikke forventes at man kan anvende den digitale selvbetjeningsløsning? Hmm?

Man kan dog melde flytning ved PostDanmark uden NemID

  • 2
  • 0
Andreas Bach Aaen

Jeg har ikke OCES delen af NemID med centrale nøgler. Flytning klarede jeg ved indefor anmeldefristen at ringe til kommunens borgerservice. Jeg nævnte jeg blot mit papkort var forsvundet i flytterodet og ikke ville kunne nå at få et nyt inden fristen. Herefter blev flytningen ordnet pr. telefon uden problemer.

  • 6
  • 0
Tom Paamand

Nobel, nu er vi vist ude i noget fjollet flueknepperi. Hvis jeg udfordrede systemet som du ønsker, kunne jeg være ret sikker på at skulle bruge ugevis på at få kæmpet min sag igennem, før papirerne kom på plads. Men som omhyggeligt antydet kan forrige læge kun henvise i mit tidligere boområde, så deeet.

Men jeg vil da gerne tage dit sølleri alvorligt, hvis du selv nu meldte flytning, blot for at kunne blive en solid sten i skoen på systemet. Beklager at jeg ikke selv kan leve op til din ildhu!

  • 3
  • 3
Jesper Lund

Hvis man ikke har NemID, kan det vel ikke forventes at man kan anvende den digitale selvbetjeningsløsning? Hmm?

Jeg tror at der skal mere til end at du ikke har NemID.

Men der er lidt håb i sidste sætning i stk 3

Kommunalbestyrelsen kan helt ekstraordinært ud over de i 3. pkt. nævnte tilfælde undlade at afvise en anmeldelse, der ikke er indgivet ved digital selvbetjening, hvis der ud fra en samlet økonomisk vurdering er klare økonomiske fordele for kommunen ved at behandle anmeldelsen på anden vis end digitalt.

Hvis du indgiver din flytteanmeldelse på papir sammen med en laaang ansøgning om fritagelse, vil det være billigere for kommunen at taste din nye adresse ind frem for at behandle din ansøgning.

Andreas' løsning er nu også ret smart.

  • 2
  • 0
Anders Johansen

Dette kan måske forklare et par ting.
Professionelle hjemmeside: http://tom.paamand.com/
Personlige: http://tom.paamand.dk/

Et uddrag fra CV'et
... og så har jeg forøvrigt skabt et utal af hjemmesider,
udviklet dokumentstyring for et sygehus,
arbejdet som redaktionssekretær på aviser,
siddet i informationsafdelingen på en teknisk skole,
produceret tv og kortfilm i Danmark og Rusland,
skrevet artikler om næsten hvad som helst,
udviklet den teknik, der blev til Twitter,
udover tidlige job som alt fra vejmand til socialpædagog ...

  • 2
  • 1
Christian Nobel

Nobel, nu er vi vist ude i noget fjollet flueknepperi. Hvis jeg udfordrede systemet som du ønsker, kunne jeg være ret sikker på at skulle bruge ugevis på at få kæmpet min sag igennem, før papirerne kom på plads. Men som omhyggeligt antydet kan forrige læge kun henvise i mit tidligere boområde, så deeet.

Det har du så ikke omhyggeligt antydet, men kun sagt at du havde et akut behov for en læge.

I øvrigt foretrækker jeg at man siger tingene rent ud, i stedet for at antyde - det fjerner mange misforståelser fra debatten

Men jeg vil da gerne tage dit sølleri alvorligt, hvis du selv nu meldte flytning, blot for at kunne blive en solid sten i skoen på systemet. Beklager at jeg ikke selv kan leve op til

Det kan da godt være at du er blevet offer for V2's sensationsoverskrifter, og dermed ikke selv har anset dig for værende "aktivist".

Jeg er så bare af den holdning, at hvis man anser sig selv for værende aktivist, så kæmper man også for sin sag.

Og nu har jeg ikke noget aktuelt behov for at flytte, så det er nonsens.
Men jeg kan godt love dig for, at skulle jeg flytte, så blev det på den måde som jeg tidligere har beskrevet - ikke at jeg af den grund anser mig selv for "aktivist", men jeg har min holdninger, og der er ting jeg bare ikke kan acceptere!

  • 2
  • 1
Søren Larsen

For en der angriber java for at være usikkert... så har du åbenbart slet ingen kvaler ved at din sikkerhed bliver ufattelig meget dårligere af, at du underminerer to-faktor autentificeringen ved at digitalisere dine koder.

Haha... twitter... hahah... på med sølvpapirshatten du :)

  • 1
  • 1
Keld Simonsen

Altså hvis din fagforening kræver nemid, så skift til en anden fagforening. Prosa kræver ikke nemid. Det samme med a-kasse. her kræver prosas a-kasse ikke nemid, og akademikernes kræver heller ikke nemid.

Bjarne Corydon (finansminister) har lovet at man ikke behøver at bruge nemid, hvis man ikke kan. Der er en blanket, som man skal udfylde - vist hvert år - i den kommunale borgerservice. Og Corydon har sagt at man ikke vil tjekke årsagen. Kan nogen finde dette citat?

  • 0
  • 2
Henrik Madsen

Jeg har aldrig haft NemID, hverken bank-NemID eller OCES NemID og jeg klarer det egentligt fortrinligt.

Min bank har jeg kort til, bor ikke ret langt fra banken og skal jeg bruge en saldo så kan den få's i automaten.

Mine kontoudtog og betalings-service sedler sender banken til min E-boks og pengene til kreditorerne bliver automatisk overført via PBS.

Jeg har adgang til min E-boks uden NemID, igennem eposthuset på www.post.dk (Selvom adgangen dog har været nede i ~10 dage pga. PostDanmark nosser i det).

Det eneste jeg ikke har er adgang til Netbanken og adgang til at overføre penge men da jeg alligevel næsten aldrig køber varer i Danmark der kræver pengeoverførsel så er det ikke et problem. Paypal er opfundet og bruges til at betale for ebay køb og i danske netbutikker kan jeg bruge mit Dankort.

Jeg glæder mig dog lidt til om ~3 år når min søn skal indskrives i folkeskolen, jeg har nemlig IKKE tænkt mig at anskaffe NemID af den grund.

Så må vi se hvad kommunen så vil gøre, staten siger at min søn har skole PLIGT men hvis staten samtidigt tvinger mig til at melde ham ind på en måde jeg ikke har adgang til så må vi tage den derfra.

Mon ikke der kunne blive en forside på Ekstrabladet ud af den historie hvis staten på den ene side siger at jeg SKAL indskrive ham i folkeskolen men på den anden side siger jeg ikke må gøre det på almindelig vis via et papirskema.

Jeg er i modsætning til Paamand klar til at tage kampen op.

Så længe NemID er så skod som det er og jeg ikke har mulighed for at få en løsning hvor JEG genererer min egen nøgle og som kan bruges både til Netbank og alt det andet, så længe kommer NemID aldrig ind på min computer.

Går stadigvæk og håber på at Coop-bank kommer til at tilbyde alm lønkonto og budgetkonto med netbank adgang uden NemID for gør de det så er jeg den der er skredet fra min nuværende bank.

  • 7
  • 2
Jens Knudsen

"Så må vi se hvad kommunen så vil gøre, staten siger at min søn har skole PLIGT"

Nej, du har undervisningspligt. Så hvis du ikke kan / vil melde ham til din folkeskole, så må du undervise din søn hjemme.

Dog irriterer det mig grænseløst, at man har valgt en så håbeløs løsning - og tvungen digitalt selvbetjening mig i R.... - Jeg har flere gange måtte fjerne ask.com toolbaren fra mine forældres computer samt assiteret dem med java opdateringer, som jo går galt ca. hver 3. gang.

  • 2
  • 0
Rasmus Rask

Jeg har flere gange måtte fjerne ask.com toolbaren fra mine forældres computer samt assiteret dem med java opdateringer, som jo går galt ca. hver 3. gang.

Min kollega fortalte mig at han en gang om måneden (sådan cirka), må fjerne ask.com-toolbaren efter hans sønner har opdateret Java.

Tillad mig at promovere dette nemme fix, for at undgå det forfærdelige stykke crapware, der går under navnet Ask Toolbar, fremover:

Tilføj strengværdien "SPONSORS" (REG_SZ) i registry under:

HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft

Sæt værdien til "DISABLE".

Det har jeg gjort på mine computere, og dem jeg mere eller mindre frivilligt, supporterer.

Se evt. http://superuser.com/questions/549028/how-can-i-prevent-ask-com-toolbar-...

  • 2
  • 0
Morten Christiansen

og skal lige siges at mit nemid kun gælder til min bank så det er stadig big fail med systemmet hvis man skulle prøve at logge ind, så skal man have det aktiveret.

min bank har enda i tidernes morgen fået pas op til flere gange mens det var gyldig, men systemmet fra borgerservice afviste mig mig til aktivering af nemid, så der er vist lige nogen der stadig skal have styr på deres system :D

der ud over ville jeg ordne mit nemid med pas i borgerservice, hvor kravet siger gyldig legimentation, det kan være fra politiet borgerservice kummune etc, og fordi et pas er udløbet betyder det ikke det er ugyldigt for det står der nemlig intet om inde på kommunens hjemme side...

der ud over havde jeg mit gamle nemid med og sygesekring med nede, men nej borgerservice mente ikke det var godt nok, men de ville gerne have jeg fornyet mit pas hvor jeg aflevere det gamle, uden andet legitimation, bare for at hive penge ud af folk.

sidst men ikke mindst fik jeg et stykke papir hvor jeg kunne udfylde min adresse manuelt.

http://borgerservice.kk.dk/#tab:homeTab:crumb:7:artId:1049:src:article

obs virker link ikke er det i søgeren, nemid eller artId:1049 der står hvad for en slags legitimation

  • 0
  • 0
Jesper Lund

der ud over havde jeg mit gamle nemid med og sygesekring med nede, men nej borgerservice mente ikke det var godt nok, men de ville gerne have jeg fornyet mit pas hvor jeg aflevere det gamle, uden andet legitimation, bare for at hive penge ud af folk.

De kan ikke tvinge dig til at anskaffe et pas for at give dit NemID. Hvis du ikke har gyldig billed-ID, er der andre (flere) dokumenter som kan bruges. Det betyder sikkert mere arbejde for borgerservice, men det er ikke dit problem.

Mere info her
https://www.nemid.nu/dk-da/privat/bestil_nemid/faa_nemid_via_borgerservi...

  • 0
  • 0
Log ind eller Opret konto for at kommentere