Tre fysiske enheder eller en app låser op for fremtidens MitID
Når MitID i efter planen tager over for NemID i 2021, betyder det også et farvel til nøglekortet som ekstra sikring i forbindelse med login.
Men det kommer ikke til at skorte på alternativer. Til MitID kommer der nemlig hele fire login-følgesvende til brugernavnet og kodeord.
Der er tale om tre fysiske enheder og en app, som brugerne har mulighed for at anvende ved login.
Version2 har været i dialog med Digitaliseringsstyrelsen og vicedirektør i styrelsen, Adam Lebech, om de forskellige løsninger.
Hvad de fysiske enheder angår, så er der tale om en engangskodeviser, som den der allerede kan fås i dag til NemID. Enheden viser en kode ved et tryk på en knap, som så skal tastes ind i forbindelse med login.
»Nøgleviseren har den fordel, at den kun viser en nøgle ad gangen. Papkortet kan du jo kopiere, scanne ind eller tage et billede af,« siger Adam Lebech.
Ønsker man en kodeviser til NemID i dag, koster det 99 kroner. Til MitID kan den erhverves uden at skulle punge ud.
Blinde og svagtseende
I samme boldgade som kodeviseren kommer der også en enhed til blinde og svagtseende. Her er der også tale om en selvstændig enhed, der med et tryk på en knap kan spytte engangskoder ud. Denne enhed læser dog koderne op i stedet for at vise dem på et display af hensyn til målgruppen.
»Det svarer til nøgleviseren, og den kan læse koderne op,« siger Adam Lebech.
Af hensyn til sikkerheden vil det her være muligt at slutte et par hovedtelefoner til, så manden i midten ikke lytter med.
Digitaliseringsstyrelsen oplyser i øvrigt, at tilslutningen kommer til at ske via et mini-jack-stik, kan vi oplyse til de nysgerrige.
Løsningen til blinde og svagtseende kommer heller ikke til at koste slutbrugeren ekstra.
Engangskodeviseren med display og enheden, der læser op, er på det sikringsniveau, Digitaliseringsstyrelsen kalder 'betydelig'.
Styrelsen arbejder med tre sikringsniveauer baseret på NSIS-standarden. ‘Lav’, ‘Betydelig’ og ‘Høj’.(PDF)
Det laveste niveau er login med bare brugernavn og kodeord. Altså på samme måde, som det i flere netbanker har været muligt at kigge i kontoen via NemID uden brug af nøglekort.
En ekstra sikker enhed
Som noget nyt sammenlignet med de eksisterende muligheder til NemID, så kommer der en fysisk enhed til MitID, der kan anvendes i sammenhænge, hvor det skal være ekstra sikkert.
Det vil sige, at løsningen lever op til sikringsniveauet 'høj'.
»Det er målrettet slutbrugere, der arbejder med særligt følsomme data, hvor man får en chip, der kan kommunikere direkte med mobilen eller med computeren,« siger Adam Lebech.
Her er der tale om en selvstændig enhed, der skal være fysisk i nærheden af den enhed, som brugeren forsøger at logge ind via.
Hvis man ved, hvad en Yubikey er, så er det stort set sådan en dims, der bliver tale om.
Hvis man ikke ved, hvad en Yubikey er, så er det en fysisk enhed, der eksempelvis kan sættes i en computer via USB. Herefter godkendes login-proceduren ved at trykke på enheden.
Sammenligning med en Yubikey er ikke taget ud af den blå luft. Digitaliseringsstyrelsen oplyser nemlig, at enheden til MitID kommer til at bygge på U2F-standarden. Det er en åben standard, som Google og Yubico står bag. Sidstnævnte er den svenske virksomhed, som producerer Yubikeys.
Yubico laver også Yubikeys, der kan andet end at sættes i USB-porten i en computer. Eksempelvis er der enheder, der både understøtter USB og den kontaktløse NFC-standard, der som bekendt kan benyttes i mange mobiltelefoner.
Det vil sige, at enheden kan holdes op til en telefon, når der logges ind fra sådan en enhed.
Digitaliseringsstyrelsen oplyser, at den kommende U2F-enhed til MitID vil fungere med NFC, Bluetooth og USB.
U2F-enheden kan tilkøbes af private.
Og så er der app'en
Endeligt kommer der mulighed for MitID-login via en app. Den løsning kommer til at minde om den app, der allerede findes til NemID, hvor brugerne skal swipe i forbindelse med autentifikation.
Digitaliseringsstyrelsen anbefaler app-løsningen.
»Generelt tænker vi ‘mobile first’ og ser derfor app’en som den primære løsning, men man kan frit vælge et identifikationsmiddel. Den enkelte slutbruger skal i forbindelse med migreringen igennem et selvbetjeningsflow, og her skal man vælge, om man fx ønsker app eller kodeviser. Vil man have flere identifikationsmidler, kan man efterfølgende bestille dem,« oplyser Adam Lebech i en opfølgende mail.
Han fremhæver en særlig egenskab ved en app-løsning. Nemlig at det er muligt at se den kontekst, der logges ind i. Så hvis brugeren er ved at logge ind i eksempelvis netbanken, så skriver appen noget med, om man vil godkende logind i navnet på den konkrete bankløsning.
Det kan dæmme op for en bestemt type angreb, hvor en angriber har lavet en falsk login-side, så brugeren narres til at tro, at der logges ind i en anden kontekst, end det reelt er tilfældet.
Et eksempel kunne være, at brugeren oplever, der er ved at blive logget på et biblioteks hjemmeside, mens angriberen samtidig opfanger login-oplysningerne og går i brugerens netbank.
Version2 har tidligere lavet en video, der demonstrerer en primitiv udgave af sådan et angreb.
Appen ligger i øvrigt også på sikringsniveau ‘Betydelig’.
Ikke alle synes, en app-løsning er god - eller sikker for den sags skyld.
