Tre fysiske enheder eller en app låser op for fremtidens MitID

Der kommer fire forskellige 2-faktor-muligheder til NemID-afløseren MitID.

Når MitID i efter planen tager over for NemID i 2021, betyder det også et farvel til nøglekortet som ekstra sikring i forbindelse med login.

Men det kommer ikke til at skorte på alternativer. Til MitID kommer der nemlig hele fire login-følgesvende til brugernavnet og kodeord.

Der er tale om tre fysiske enheder og en app, som brugerne har mulighed for at anvende ved login.

Version2 har været i dialog med Digitaliseringsstyrelsen og vicedirektør i styrelsen, Adam Lebech, om de forskellige løsninger.

Hvad de fysiske enheder angår, så er der tale om en engangskodeviser, som den der allerede kan fås i dag til NemID. Enheden viser en kode ved et tryk på en knap, som så skal tastes ind i forbindelse med login.

»Nøgleviseren har den fordel, at den kun viser en nøgle ad gangen. Papkortet kan du jo kopiere, scanne ind eller tage et billede af,« siger Adam Lebech.

Ønsker man en kodeviser til NemID i dag, koster det 99 kroner. Til MitID kan den erhverves uden at skulle punge ud.

Blinde og svagtseende

I samme boldgade som kodeviseren kommer der også en enhed til blinde og svagtseende. Her er der også tale om en selvstændig enhed, der med et tryk på en knap kan spytte engangskoder ud. Denne enhed læser dog koderne op i stedet for at vise dem på et display af hensyn til målgruppen.

»Det svarer til nøgleviseren, og den kan læse koderne op,« siger Adam Lebech.

Af hensyn til sikkerheden vil det her være muligt at slutte et par hovedtelefoner til, så manden i midten ikke lytter med.

Digitaliseringsstyrelsen oplyser i øvrigt, at tilslutningen kommer til at ske via et mini-jack-stik, kan vi oplyse til de nysgerrige.

Illustration: Lasse Gorm Jensen

Løsningen til blinde og svagtseende kommer heller ikke til at koste slutbrugeren ekstra.

Engangskodeviseren med display og enheden, der læser op, er på det sikringsniveau, Digitaliseringsstyrelsen kalder 'betydelig'.

Styrelsen arbejder med tre sikringsniveauer baseret på NSIS-standarden. ‘Lav’, ‘Betydelig’ og ‘Høj’.(PDF)

Det laveste niveau er login med bare brugernavn og kodeord. Altså på samme måde, som det i flere netbanker har været muligt at kigge i kontoen via NemID uden brug af nøglekort.

En ekstra sikker enhed

Som noget nyt sammenlignet med de eksisterende muligheder til NemID, så kommer der en fysisk enhed til MitID, der kan anvendes i sammenhænge, hvor det skal være ekstra sikkert.

Det vil sige, at løsningen lever op til sikringsniveauet 'høj'.

»Det er målrettet slutbrugere, der arbejder med særligt følsomme data, hvor man får en chip, der kan kommunikere direkte med mobilen eller med computeren,« siger Adam Lebech.

Her er der tale om en selvstændig enhed, der skal være fysisk i nærheden af den enhed, som brugeren forsøger at logge ind via.

Hvis man ved, hvad en Yubikey er, så er det stort set sådan en dims, der bliver tale om.

Hvis man ikke ved, hvad en Yubikey er, så er det en fysisk enhed, der eksempelvis kan sættes i en computer via USB. Herefter godkendes login-proceduren ved at trykke på enheden.

Sammenligning med en Yubikey er ikke taget ud af den blå luft. Digitaliseringsstyrelsen oplyser nemlig, at enheden til MitID kommer til at bygge på U2F-standarden. Det er en åben standard, som Google og Yubico står bag. Sidstnævnte er den svenske virksomhed, som producerer Yubikeys.

Yubico laver også Yubikeys, der kan andet end at sættes i USB-porten i en computer. Eksempelvis er der enheder, der både understøtter USB og den kontaktløse NFC-standard, der som bekendt kan benyttes i mange mobiltelefoner.

Det vil sige, at enheden kan holdes op til en telefon, når der logges ind fra sådan en enhed.

Digitaliseringsstyrelsen oplyser, at den kommende U2F-enhed til MitID vil fungere med NFC, Bluetooth og USB.

U2F-enheden kan tilkøbes af private.

Og så er der app'en

Endeligt kommer der mulighed for MitID-login via en app. Den løsning kommer til at minde om den app, der allerede findes til NemID, hvor brugerne skal swipe i forbindelse med autentifikation.

Digitaliseringsstyrelsen anbefaler app-løsningen.

»Generelt tænker vi ‘mobile first’ og ser derfor app’en som den primære løsning, men man kan frit vælge et identifikationsmiddel. Den enkelte slutbruger skal i forbindelse med migreringen igennem et selvbetjeningsflow, og her skal man vælge, om man fx ønsker app eller kodeviser. Vil man have flere identifikationsmidler, kan man efterfølgende bestille dem,« oplyser Adam Lebech i en opfølgende mail.

Han fremhæver en særlig egenskab ved en app-løsning. Nemlig at det er muligt at se den kontekst, der logges ind i. Så hvis brugeren er ved at logge ind i eksempelvis netbanken, så skriver appen noget med, om man vil godkende logind i navnet på den konkrete bankløsning.

Det kan dæmme op for en bestemt type angreb, hvor en angriber har lavet en falsk login-side, så brugeren narres til at tro, at der logges ind i en anden kontekst, end det reelt er tilfældet.

Et eksempel kunne være, at brugeren oplever, der er ved at blive logget på et biblioteks hjemmeside, mens angriberen samtidig opfanger login-oplysningerne og går i brugerens netbank.

Version2 har tidligere lavet en video, der demonstrerer en primitiv udgave af sådan et angreb.

Appen ligger i øvrigt også på sikringsniveau ‘Betydelig’.

Ikke alle synes, en app-løsning er god - eller sikker for den sags skyld.

Version2's blogger Poul-Henning Kamp har således kaldt en app-løsning for »en utilgivelig slækkelse af sikkerheden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Christensen-b

Selvom jeg bedst kan lide papkortet, da jeg ikke er meget for tredjesparts (smartphone-selskaber) “inde over” Nem-id, kan jeg nu godt lide funktionen med app-løsningen der notificerer om den kontekst, der logges ind i. Ville gerne have den mulighed for e-mail notifikation.

Med hensyn til “Yubikey-MitID-edition” med NFC, Bluetooth og USB, skal man vel, i sine overvejelser, have med at NFC og Bluetooth signalet kan forlænges og opsnappes. Eller hvad?

  • 2
  • 0
Christian Nobel

.. at to private parter kan sende krypterede mails (uden forudgående bilatereal udveksling af nøgler, eller bilateral aftale om brug af tredjepart) ligger nu mindst 10 år ude i fremtiden.

Og hvis jeg skal have min post udleveret, så skal jeg stadig gå over på posthuset, bede postmedarbejderen åbne brevet så jeg kan få lov til at se det mens han holder det i hænderne.

Virkelig et IT foregangsland der vil noget.

Suk.

  • 16
  • 1
Simon Mikkelsen

Som det har været hæftigt debatteret kan appen ikke anses som en faktor nummer 2. Når appen ligger på den enhed man potentielt logger ind fra, en enhed som i øvrigt kan nås fra Internettet og kan kompromiteres, gør det kun angreb sværere. Dette er i modsætning til en nøgleviser eller et papkort der fysisk ikke kan kompromiteres.

Der findes malware til mobiltelefoner som starter med at roote telefonen, så når nok benytter appen er den et mål som det er realistisk for en angriber med ressourcer kan vælge at gå efter.

Hvor mange authentication apps giver adgang til Facebook, Google ol. giver MitID adgang til at foretage en juridisk gyldig underskrift. Man kan skifte navn, overføre alle penge, sælge aktier, sælge et hus og meget andet via MitID. Det skal ikke være afhængigt af om man er kommet til at trykke på en uheldig reklame og er kompromiteret ad den vej.

Hvis det lykkes malware at manipulere med MitID-appen vil det naturligvis også kunne ændre teksten der viser hvor man er ved at skrive under.

Når man vælger at være mobile first, er det formegentlig fordi det ikke koster noget når man installere en app, mens det koster penge at sende et hardware-token ud til folk.

  • 14
  • 1
Bjarne Nielsen

Skal artiklen forstås sådan at man kan anvende sin egen yubikey til MitID?

Deres illustration ligner meget den store af Googles "Titan" tokens:
https://cloud.google.com/titan-security-key/

Der er tradition med at være meget striks med, hvad man accepterer, og hvis man fortsætter ud af det spor, så der bliver nok tale om en "speciel edition" fra een leverandør. Sikkert efter offentligt udbud, mmm, mmm.

Men i det mindste, så nævner de da også Yubicos nøgler ved navn, så vi har da lov at håbe valgmuligheder og konkurrence.

Og vi må så også håbe, at det bliver et fuldgyldigt alternativ, og ikke en sekundaløsning, som kun virker her og der, og hvor man lige har haft lyst til at understøtte det (...og så undrer man sig tilmed over, at der ikke er flere, som i dag vil betale ekstra for et inferiørt understøttet alternativ?!?)

  • 6
  • 0
Louise Klint

Styrelsen arbejder med tre sikringsniveauer
baseret på NSIS-standarden.
‘Lav’, ‘Betydelig’ og ‘Høj’.

Hvis der gives 3 niveauer, hvor de to yderpoler er ”lav” og ”høj”,
så må niveauet i midten vel alt andet lige være ”middel”?

(Det er givet, at dette niveau er ”betydeligt” i forhold til det underliggende, lave niveau. Men det er vel fortsat svagere sikring, end højeste niveau og mulighed, og et middel-niveau i sammenhængen?)

1) Er det tilstrækkeligt, at størstedelen af danskere bruger en ”universalnøgle” (som NemID/MitID vel egentlig er), der kun har middel sikring?

(Jeg forudsætter at app og kodeviser bliver de foretrukne = mest udbredte.
Dels fordi to-faktor-nøglen (hvad hedder den egentlig?) er forbundet med brugerbetaling, hvilket umiddelbart kan være en barriere. Derudover tror jeg, at den måske kan være en smule sværere at forstå hvordan fungerer og skal benyttes, hvilket også begrænser udbredelsen. I forhold til den gratis app og kodeviseren med kun 1 knap, der ved tryk viser ”koden”).

2) I så fald – hvorfor? Hvad er årsagen?

(Andet er ikke praktisk muligt? Omkostninger? ...?)

  • 5
  • 0
Jakob Skov

En ros for at man i det mindste stiller nøgleviser til rådighed uden ekstra omkostninger, modsat de tilsvarende idag.

Nøgleviser og Yubikey er mere bøvlede end pap-kortet, men de giver i det mindste noget bedre mulighed for selv at klare sikkerhed end en app.

Jeg ser antydning til at "mobil først" er løsningen for dem der ikke vil/kan sikre sig selv online. App'en giver i højere grad banken mulighed for selv at agere overfor trusler fremfor at stå magtesløse og måbende overfor de grelle og åbenlyse fejl-40 som scannede nøglekort frit tilgængelige på nettet med brugernavn og adgangskode udgjorde.

  • 3
  • 0
Jørn Wildt

1) Er det tilstrækkeligt, at størstedelen af danskere bruger en ”universalnøgle” (som NemID/MitID vel egentlig er), der kun har middel sikring?

Tjah, det har det jo sådan set været i en del år efterhånden med NemID. Så historisk set, så må svaret være overvejende "ja".

Navnene Lav, Betydelig og Høj er arvet fra eIDAS (europæisk samarbejde om digitalt ID). Her er har man nok defineret Høj som noget der er mere end NemID og MitID.

Og da vi skal være compliant med eIDAS - og samtidigt fortsætte med det vi allerede har, og mener virker - ja, så ender vi automatisk på Betydelig.

Jeg mangler stadig at se hvor der kræves Høj sikring. Det er jo ikke bare en ekstra hardware dims, men også et krav til at man møder personligt frem for at få udleveret dimsen. Eksempler modtages gerne :-)

  • 2
  • 0
Louise Klint

Tak for svar, Jørn Wildt.

Og da vi skal være compliant med eIDAS – og samtidigt fortsætte med det vi allerede har, og mener virker – ja, så ender vi automatisk på Betydelig.

Jeg synes måske bare ikke,
at det kan være et tilstrækkeligt argument for myndighederne.
Teknologien udvikler sig hastigt, og med MitID er her tale om en forbedring, ikke?
En videreudvikling.

Skal man så ikke gå et niveau op, gøre det endnu bedre?
Når muligheden eksisterer.
Det synes jeg vel. Ellers er det lidt ligemeget.

  • 2
  • 1
Louise Klint

Jeg mangler stadig at se hvor der kræves Høj sikring.
Det er jo ikke bare en ekstra hardware dims, men også et krav til at man møder personligt frem for at få udleveret dimsen.
Eksempler modtages gerne :-)

Digitaliseringsstyrelsen giver selv en række tænkte eksempler, der skal illustrere princippet med de 3 sikringsniveauer, Lav, Betydelig og Høj.

Eksempel c (nedenfor) gælder for ”Højt” sikkerhedsniveau:

a) En kommunal tjeneste til bestilling af ekstra skraldespande kan ud fra en risikovurdering komme frem til, at det er tilstrækkeligt,
at brugerne er autentificeret på Sikringsniveau Lav.
En bruger, som anvender et Elektronisk Identifikationsmiddel på dette niveau (fx baseret på brugernavn/kodeord), bør derfor få adgang.

b) En tjeneste, som giver borgere adgang til egne sundhedsdata, kan ud fra en risikovurdering komme frem til, at det er nødvendigt, at brugerne er autentificeret på mindst Sikringsniveau Betydelig.
En bruger, som anvender et Elektronisk Identifikationsmiddel på dette niveau (fx baseret på NemID nøgleapp) bør derfor få adgang. Derimod skal en bruger, som anvender et Elektronisk Identifikationsmiddel på Sikringsniveau Lav, blive afvist af tjenesten.

c) En tjeneste, som giver sundhedsfaglige medarbejdere adgang til følsomme personoplysninger om et meget stort antal borgere, kan ud fra en risikovurdering komme frem til, at det er nødvendigt, at brugerne er autentificeret på Sikringsniveau Høj.
En bruger, som anvender et Elektronisk Identifikationsmiddel på dette niveau (fx baseret på sikker hardware som et smart card), bør derfor få adgang.
Derimod skal en bruger, som anvender et Elektronisk Identifikationsmiddel på niveau Lav eller Betydelig, blive afvist af tjenesten.

Side 3 i artiklens link:
https://digst.dk/media/20290/vejledning-til-valg-af-sikringsniveau-for-t...

Alligevel undrer mig stadig over, at man ikke klassificerer en universalnøgle, som MitID, til højeste sikkerhedsniveau. Generelt.

(Forstår at det angiveligt først bliver praktisk ”muligt at få udstedt Elektroniske Identifikationsmidler på Sikringsniveau Høj” med MitID).

Her eksemplificeres med, at adgang til mange skal udløse Høj sikkerhed.
Men dette er overvejende ”beskueradgang”, adgang til information om mange.

Med MitID gives ”handleadgang”.
Dog kun over for enkeltindividet, men på mange områder.

Som det også nævnes længere oppe ^^

giver MitID adgang til at foretage en juridisk gyldig underskrift.
Man kan skifte navn, overføre alle penge, sælge aktier, sælge et hus og meget andet via MitID.

Det er omfattende skade, der kan forvoldes imod enkeltindividet,
hvis adgangen med MitID kompromitteres.
Jeg har vanskeligt ved at se, hvorfor dette kun skal have
medium sikring som standard.

  • 3
  • 0
Baldur Norddahl

Jeg har vanskeligt ved at se, hvorfor dette kun skal have
medium sikring som standard.

Nu kan du selv vælge kun at have høj sikring. Men den løsning har måske nogle problemer der gør den mindre velegnet til alle.

Yubikey lyder dog til at være rimelig brugervenlig. Selv for svagtseende med flere. Kan nogen komme i tanke om argumenter for at det ikke bare burde være standard løsningen?

Altså vende den om og sige, at hvis du insisterer kan du få en app men standard er yubikey?

  • 0
  • 0
Jens Hansen

Er lidt akademisk når de platforme man vil lægge midtid på kan hackes.
Gå til :
https://www.version2.dk/artikel/nemid-papkortet-paa-vej-at-vige-pladsen-...
Og læs kommentarende der.
Det man har gang i med Digitaliseringsstyrelsen i spidsen er på grænsen til det vanvittige og vil ultimativt lægge de flestes Danskeres identitet ud på nettet til fri afbenyttelse.

  • 0
  • 0
Michael Thomsen

Jeg tænker at det er rimeligt at antage, at hvis du skal bruge dit MitID, så er det fordi du i forvejen er på nettet - og dermed burde telefonen også kunne være det?


Du kan sagtens have brug for at logge på noget på en internet-cafe, hvor du netop IKKE har mobildata fordi det koster 100 kr/MB.

Men heldigvis virker nemID-appen fint selvom man bruger et lokalt SIM-kort.

  • 0
  • 0
Log ind eller Opret konto for at kommentere