Version2 samlede fire it-eksperter: Sådan skal næste version af NemID være

En ny digital signatur til danskerne skal i 2017 afløse NemID, og designfasen nærmer sig. Fire it-eksperter giver her deres bud på en ’NemID2’, der er markant anderledes end NemID i dag.

I stedet for én nøgle, som skal bruges alle vegne, skal danskerne kunne fabrikere flere forskellige nøgler til forskellige formål og selv have hovednøglen under fuld kontrol.

Sådan lød en af konklusionerne, da Version2, inviterede fire eksperter i it-sikkerhed og identitetsløsninger til et visionarium om fremtidens digitale signatur i Danmark. Digitaliseringsstyrelsen er nemlig i fuld gang med forberedelserne til en afløser for NemID, som skal være klar senest i november 2017, og repræsentanter for styrelsen deltog som observatører under visionariets møde.

»Har vi en ret til at være private, anonyme eller pseudonyme? Mange kendte mennesker har i dag et problem med at opgive deres rigtige navn og vælger for eksempel at booke hotelværelse under falsk navn,« sagde systemudvikler og it-debattør Poul-Henning Kamp ved visionariets møde, hvor fire medarbejdere fra Digitaliseringsstyrelsen tog imod rådene som observatører.

I dag har nogle brug for mange NemID'er

Den nuværende NemID fungerer på en fastlåst måde, hvor samme ID med adgang til følsomme persondata altid udleveres, uanset hvor borgeren logger på. Den linje må NemID-afløseren på ingen måde fortsætte, lød det fra eksperterne. I stedet skal staten skabe et solidt og åbent fundament, hvor det er nemt at tilpasse udleveringen af data efter det konkrete behov, så NemID også vil kunne anvendes i flere forskellige sammenhænge – f.eks. på virksomheders intranet.

Også brugervenligheden bør øges markant, lyder kravet. Hvis en borger f.eks. er medlem af mange virksomhedsbestyrelser, skal man i dag have et NemID for hvert eneste firma for at kunne skrive bestyrelses­referatet under.

»Det kan man i stedet lave om til en rolle, og det er faktisk ret nemt at lave,« forklarede Henrik Biering, som er repræsentant for den åbne, internationale ID-løsning OpenID.

En af de vellykkede ting fra den nuværende NemID, som tænketanken ønsker at bevare, er papkortet med engangskoder, som ellers generelt har været upopulært blandt menigmand. Det er en effektiv måde at hæve sikkerheden på, som næsten alle kan forstå, lød dommen. Der må dog gerne udvikles flere muligheder for at få præsenteret disse engangskoder.

Mødet varede tre timer en torsdag formiddag i august. Det kom i stand i forlængelse af Digitaliseringsstyrelsens offentlige høringsperiode om næste generation af NemID. Her inviterede styrelsen til dialog med Version2 og nogle af vores ekspertbrugere. De fire eksperter var:

  • Poul-Henning Kamp, selvstændig systemudvikler med bred erfaring i kryptografi, it-sikkerhed og systemdesign. It-debattør og blogger på version2.dk og ing.dk.
  • Carsten Schürmann, lektor på IT-Universitetet. Leder af forskningsprojektet Demtech om e-valg, som rummer mange af de samme problemstillinger som en ny digital signatur.
  • Christian D. Jensen, lektor på DTU Compute, ph.d. i datalogi med speciale i it-sikkerhed. Underviser i kryptografi.
  • Henrik Biering, dansk repræsentant for den internationale organisation OpenID Foundation, medlem af Rådet for Digital Sikkerhed. Blogger på version2.dk om ID-løsninger.

Konklusionen og hovedønsket fra eksperterne var en åben digital signatur, hvor vi ikke bare har én digital identitet, som i dag med NemID, men hvor alle interesserede kan oprette nye, afledte identiteter, der er bundet op til deres reelle identitet, men som viser lige netop det, der er brug for i situationen.

Det kan ske gennem brugen af roller og attributter og en såkaldt pseudonymisering, som ’skræller’ personlige oplysninger ud og for eksempel kun bekræfter, at en person er over 18 år gammel (se grafik).

»Jeg ville gøre det til en central del af NemID2. Det behøver ikke køre via en central tjeneste, for hvis du vil give din søn en fuldmagt til dine banksager i tre uger, kan banken give dig et certifikat, som du kan overdrage til din søn. Vi skal gøre det muligt for folk at lave den slags certifikater,« sagde Poul-Henning Kamp, systemudvikler og blogger på version2.dk og ing.dk.

Kræver intet mellemled

Faktisk kræver det slet ikke noget firma eller en statslig myndighed som mellemled at bruge den slags certifikater. For eksempel kan en gruppe privatpersoner stifte deres egen forening, underskrive vedtægterne digitalt og udnævne en bestyrelse.

Med deres digitale underskrifter kan de så åbne en bankkonto og bede banken om kun at give adgang for personer, som har det rette digitale certifikat, med digitale underskrifter fra bestyrelsen.

»Certifikater er en smuk teknologi, som kan bruges til alt det her. Når først der er en infrastruktur til det, kan det bruges i ’closed loop’, hvor jeg kan give et certifikat til en anden, og jeg selv er den eneste, som skal kunne tjekke det, for eksempel til at give andre adgang gennem min hoveddør i en bestemt periode,« sagde Christian D. Jensen, lektor på DTU Compute.

De smarte kryptografiske funktioner, man får med sådan et åbent system, er de færreste danskere dog fortrolige med, og den store opgave vil derfor være at gøre det nemt at bruge. Det mente Henrik Biering fra OpenID Foundation måtte kunne lade sig gøre.

»Folk skal ikke vide noget om certifikater, de skal bare vide, at de kan oprette en rolle og overdrage den til andre. Det kan man gøre via software på en hjemmeside,« sagde han, mens andre i ekspertpanelet talte for en todelt løsning, en basismodel og en mere avanceret.

Så kunne danskerne som udgangspunkt køre videre med en løsning, der minder meget om NemID i dag, men alle, som ønskede det, kunne åbne op for de mere komplicerede muligheder, lød en løsning.

Plastkort med foto og chip

Hvordan den avancerede løsning skulle tage form rent praktisk, er det for tidligt at lægge sig fast på, mente eksperterne, men en mulighed kunne være et plastkort med foto og indbygget chip. Dermed kan man nemlig også erstatte flere af de kort, danskerne bruger i forvejen, med det nye digitale ID.

I den avancerede version ville kortet faktisk være en minicomputer med taltaster og en lille skærm, ligesom Danske Bank for eksempel tilbød sine netbank-kunder, før NemID blev lanceret i 2010.

Sådan en minicomputer ville løse problemet med at finde en hardware-platform, der er til at stole på – i fagtermer en ’trusted computing platform’. I dag kan man nemlig ikke sætte sin lid til hverken en klassisk desktop-computer eller sin smartphone. Der er for høj risiko for hackere begge steder, lød eksperternes vurdering.

Derfor var det velkendte NemID-papkort også populært i panelet, fordi det er simpelt, men effektivt. Så længe folk ikke dummer sig og tager billeder af engangs­koderne med deres mobiltelefon, er det svært for en hacker at få fat i koderne.

Hvordan den nye digitale signatur ellers kan blive beskyttet bedst muligt, afhænger meget af det endelige design, og om den for eksempel også skal bruges til netbank eller kun til offentlig selvbetjening. Men det er en god idé at tilbyde flere forskellige sikkerhedsniveauer, så der er højere sikkerhed og måske krav om et særligt password, når man skal logge ind til følsomme oplysninger eller godkende en vigtig transaktion.

»Med NemID i dag skal du bruge samme password alle steder. Det er det første, vi lærer børn i skolen om it-sikkerhed – det må man ikke,« sagde Henrik Biering.

Også krypteringsteknologien skal være helt knivskarp og fremtidssikker.

»Vi skal vide, hvem vi skal beskytte os imod. Er det NSA? Hvis vi designer en protokol, som skal bruges til at kryptere vores data, så er det rigtig vigtigt, at den kryptering stadig er sikker fem år senere. Det skal vi tænke grundigt over nu,« sagde Carsten Schürmann, lektor på IT-Universitetet.

Giv it-eksperterne deres småkager

At finde en løsning, som kan bruges af alle danskere – når nu staten kører på med tvangsdigitalisering – var dog ikke nok. Belært af erfaring fra den nuværende NemID er det også afgørende at gøre de it-kyndige glade, lød det fra Christian D. Jensen.

»Flere af dem, jeg kender, som arbejder med it-sikkerhed, har fravalgt NemID til offentlig selvbetjening og bruger det kun til netbank. Nakkehårene rejser sig på alle, der arbejder med computere, når vi hører om, hvordan Nets gør, og så fortæller vi det videre, og det breder sig,« sagde han.

At finde en løsning, som it-folk vil anbefale andre, var også Poul-Henning Kamp meget stærk fortaler for. Han kom med eksemplet om, hvordan et bredt ønske fra it-folk til den nuværende NemID om understøttelse af standardprogrammer til at kryptere e-mails ikke blev fulgt.

»I må give it-eksperterne de småkager, de beder om, og klappe dem lidt på ryggen. I stedet for at få it-branchen imod løsningen, så prøv at få den med. Det er meget mere produktivt,« sagde han til Digitaliseringsstyrelsens repræsentanter.

I Digitaliseringsstyrelsen vil souschef Charlotte Jacoby tage visionariets råd med i det videre arbejde.

»Det var superspændende at få forskellige eksperters syn på ønsker og muligheder til en fremtidig løsning. Formen gav mulighed for at afklare og uddybe undervejs og skabe en bredere forståelse for, hvad der menes, i forhold til at læse et høringssvar,« siger hun.

FAKTA: NemID - en udskældt succes

Digitaliseringsstyrelsen skal det næste års tid igennem en lang række tilvalg og fravalg, når udbudsmaterialet om afløseren for NemID skal skrives. For mulighederne er mange, men kravene er også høje og forskellige fra mange sider. Og erfaringerne fra tidligere spiller naturligvis en vigtig rolle.

Den første reelle nationale digitale signatur blev lanceret i 2002 med det oplagte navn Digital Signatur. Teknologien var helt klassisk for den slags løsninger: Borgeren fik udstedt sit eget kryptografiske certifikat, der som standard blev bundet til én bestemt computer. Men selvom der gennem årene blev udstedt over en million signaturer, blev det aldrig en populær løsning.

Generelt fandt danskerne den svær at bruge, og mange glemte passwordet, fordi der gik lang tid mellem, at det gav mening at bruge Digital Signatur, for eksempel til at tjekke selvangivelsen hos Skat.

Sikkerhedsmæssigt var Digital Signatur også truet af malware-­befængte computere, for havde en hacker adgang til din computer, var misbrug nemt.

Afløseren, NemID, blev lanceret i juli 2010 og var længe ventet, fordi digitaliseringen af Danmark led under den ufleksible og upopulære Digital Signatur. Et samarbejde mellem staten og Nets, der dengang var ejet af bankerne, betød, at NemID både skulle bruges til netbank – som de fleste danskere kendte og brugte tit – og til offentlige hjemmesider.

På grund af bankernes skift til NemID i netbanken kom NemID hurtigt meget bredt ud i befolkningen i forhold til forgængeren, Digital Signatur. Og ved at samle al teknikken og de kryptografiske certifikater hos Nets kunne man gøre det hele mere brugervenligt. De kendte papkort med engangs­koder gjorde livet sværere for hackere, og man kunne logge på fra enhver computer, ikke bare sin egen.

NemID satte fut i digitaliseringen af Danmark, men it-eksperter kritiserede løsningen fra starten, fordi designet betyder, at alting skal gå igennem Nets. Det er et brud på de klassiske principper bag digitale signaturer og har fået it-folk til at fravælge NemID til offentlig selv­betjening.

Samtidig blev NemID baseret på Java-appletter i browseren, hvilket gjorde det umuligt at bruge NemID på tablets og telefoner og gjorde Nets og NemID meget afhængige af Java-producenten, Oracles, luner. Problemet med Java er dog netop blevet løst ved i stedet at anvende standardteknologien Javascript.

Følg forløbet

Kommentarer (41)

Thomas Johansen

hver gang man logger ind på en webshop eller lign. første gang/eller hver gang så skal man kunne vælge ud fra sin NemID2 oplysninger om hvilke man vil videregive.
Den man logger ind hos kan så have visse krav om at man vil have visse oplysninger.

På den måde undgår man at skulle have en hulen masse forskellige logins til webshops, forums og lign.

forsimplet eksempel:

http://postimg.org/image/41wv3aybz/

(Beklager billedelinket, det er et af de steder der hoster billeder gratis men med reklamer ved siden af. Det var lige hvad jeg hurtigt kunne finde.)

Christian Nobel

Identificerer du dig også over for Brugsen hver gang du køber ind?

Og så undrer det mig i øvrigt at Stephan Engberg ikke var med - men ellers en række gode råd, thumbs up til V2 for at tage problematikken alvorligt, håber bare det også trænger ind hos beslutningstagerne (Charlotte Jacoby og småkager nævnt i samme artikel kan gøre en nervøs ud fra et historisk perspektiv).

Thomas Johansen

Det var i forhold til at få noget sendt til sin adresse.

Men det er jo netop pointen, hvis det ikke er relevant for "webshopen" at kende dit navn så er det ikke påkrævet.

Disse roller kunne være deffineret forud fra højere sted, om hvad hvilke typer erhverv må påkræve af informationer, når man logger ind hos dem.

Jens Henrik Sandell

Må jeg foreslå, at man forankrer driften af den centrale service i en statsejet organisation, og fra starten slår fast (politisk), at NemID2 ikke må sælges til udenlandske virksomheder. (TDC, Dong Energy, osv.)
Samt at det bliver en fast opsigelsesklausul i samtlige driftskontrakter, hvis en servicevirksomhed med adgang til konkrete data skifter ejer på den der uhensigtsmæssige måde...

Christian Nobel

Alle med medlemskort eller kreditkort gør.

Ja, men man kan også lade være.

Og så kan det i øvrigt deles op i to kategorier:

Medlemskortet - ubetinget.
Kreditkortet - burde ikke give nogen identifikation, men kun foretage en betalingsoverførsel.

Det vigtige er at det ikke bliver et absolut krav for at foretage køb i forretningen at man skal identificere sig.

Jens Henrik Sandell

Ja, og det forbavser i øvrigt, at der ikke allerede er en plan for udlicitering af Folketinget, Skat og især Politiet. (Hvorfor skal det ikke være et aktieselskab, der opkræver fartbøder?)

Man kunne også sende vores medlemskab af NATO alliancen i udbud. Tænk hvis Kina eller Rusland kommer med et billigere tilbud.

Henrik Hansen

Den oprindelige digitale signatur var ikke bundet til en computer.
TDC havde gjort hvad de kunne for at besværliggøre tingene (virkede kun i IE på en computer), men man kunne godt få hevet "den rigtige" nøgle ud, således at denne kunne føjes til den/de browsere man ønskede.
Det krævede IE for at få den ud og et ikke-standard-nøgle plugin til Firefox, men det kunne lade sig gøre.

Henrik Biering Blogger

Identificerer du dig også over for Brugsen hver gang du køber ind?

Alle med medlemskort eller kreditkort gør.

Kreditkort er jo også designet til brug i den analoge verden og kan helt udfases i en NemID2-verden. Set ift en digitaliseret verden er det et eklatant fejldesign at benytte et korellerbart og genbrugsbart kortnummer. Og hvem andre end bankfolk ville iøvrigt kunne finde på at printe pinkoden (CVC) på selve kortet ?!

Det basale Brugsen har brug for er at få en fælles betroet part til at stille garanti for at de efterfølgende kan få penge for deres varer indsat på deres egen konto. Det er det autentifikationen går ud på "Har penge - og har bemyndiget XX-bank til at overføre dem". Og kun såfremt Brugsen af praktiske grunde ikke kan modtage pengene direkte fra kunden i form af analoge eller digitale kontanter.

Per Guldfeldt Jørgensen

Bare en hurtig kommentar...

Det er nemt at være "klog" når man lige samler "eksperter" i et lokale og lader dem komme med noget.. Det er også eksperter der har arbejdet måneder på at analyse den originale løsning..

Og på trods af hvad version2.dk prøver at udstille igen og igen, så er de er ikke nødvendigvis dummere end dem i har linet op - men i den virkelige og ikke så illusorisk perfekte verden, har man udfordringer i form af offentlige styrelser, bestyrelser i store firmaer og banker, budgetter og 100 andre ting der skal bringes til enighed.. Og det er ikke nødvendigvis nemt..

Drømme er dejlige.. Og dem har der garanteret været mange af i NemID's oprindelige idé grundlag - men ikke alle har kunnet gennemføres. For eksempel, hvis i kigger tilbage i materialet fra NemID's udbuds tid, var der flere forslag til netop løsninger der ligner ovenstående. Men disse blev alle forkastet - af forskellige årsager..

Er verden mere "moden" nu - eller støder man i dag på lignende, andre udfordringer i et lignende stort initiativ..... ? Jeg tror det !

Afslutter som jeg startede.. Det er nemt at være "klog" eller rettere bagklog.. Nemt at pege fingre af andre og løbe i en stor bue uden om de udfordringer de har haft..

Men lyder til, igen, at version2.dk kan fixe alt :-) Go for it! Siger jeg bare.

Jesper Nielsen

Absolut værd at kigge på.. Et godt forgangsland i europa!

Man kan være enig i deres implementation eller ej - men deres beslutsomhed og håndtering af det, syntes jeg personligt har været en fantastisk process at følge!

Peter Stricker

Og på trods af hvad version2.dk prøver at udstille igen og igen, så er de er ikke nødvendigvis dummere end dem i har linet op


Og netop fordi de ikke er dumme, så er det vel også rimeligt at stille krav til dem om, at levere en ordentlig løsning.

Hele dit indlæg tyder på, at du slet ikke mener at man kan være bekendt at stille krav til noget, der påvirker alle danskere.

Bruno Andersen

Særdeles spændende initiativ som.
Jeg ser mange forskeligartede krav og brudstykker af løsninger i artiklen. Det er fint men noget rodet.
Borgerkortet er en gammel id, populær i flere lande.
Det er fint at papkortet opfylder sikkerhedskrav, men der skal kunne spændes nye alternativer på.

Jan Petersen

Hver gang Staten, eller nærmere, politikere blander sig, går det galt!
Det gør det også denne gang!

Tanken er god nok, så længe det ikke bliver centraliseret og det gør det. For den tankegang kan du ikke overføre på en politiker.

Jeg tror Darwin har skrevet et eller andet om dette.

Thomas Dybdahl Ahle

Jeg kan rigtig godt lide det design I har optegnet! Det virker langt mere gennemtænkt end det nuværende. Super god ide at have signaturen på et af de allerede kendte plastikkort.

I forhold til plastikkortet, hvordan kommer koden så ind på maskinen? Skal man have en særlig læser? Kan man komme kortet direkte i en USB/micro USB port? Måske noget NFC?

Jakub Nielsen

4 folk som kan forholde sig til hvorledes sikkerheden og det tekniske skal være, men hvad med repræsentanter fra de almindelige forbrugere? Det område burde kunden selv have styr på, men det burde de også på sikkerhed og teknik.

Jørgen L. Sørensen

4 folk som kan forholde sig til hvorledes sikkerheden og det tekniske skal være, men hvad med repræsentanter fra de almindelige forbrugere? Det område burde kunden selv have styr på, men det burde de også på sikkerhed og teknik.

Jeg ser det skitserede møde som et første skridt - det må i starten være vigtigst at få lavet en sikker løsning på problemerne. Her her der ingen grund til at blande os "almindelige" forbrugere ind i det og mudre vandet til.

Når man har fastsat og fået opfyldt kravene til sikkerhed og fremtidssikring kommer de næste trin i processen. Et at disse trin er at få det ud til folket på en (eller flere) måder, så alle lige fra den tekniske nørd over hr. og fru Danmark til direktøren og lægen kan finde ud af at anvende løsningen til det brug de har.

Nikolaj Koch

Det meste af det er standard public key crypto, og det er sådan Nemid allerede virker i dag... så måske megen kritik skyldes manglende indsigt i hvordan det virker. Det med at borgerne selv skal kunne generere anonyme certifikater er nyt (selvom man i Nemid også kan udstede certifikater uden ens navn i), men hvor mange mon kan finde ud af det og hvor brugbart er det? Smartkort m.m. er fint (og også understøttet i dag) men det skal jo virke i alskens forskellige browsere og operativsystemer og mobile enheder. Så det er nok mere nogle praktiske problemer der skal løses end total nytænkning.

Maxx Frøstrup

Nu nægter jeg kategorisk at kalde mig ekspert på noget som helst eller antyde jeg er specielt klog, og jeg vil mene jeg har en fin holdning til konceptet brugervenligt....

Nu forstår jeg knapt halvdelen af den nuværende løsning, det eneste jeg faktisk ved med sikkerhed er at jeg ikke har nogen kontrol over min nøgle. Og jeg er ikke specielt kyndig med hensyn til crypto så jeg holder mig altid til nøgle/nøglehuls analogien. Bær over med mig.

Den skitserede løsning ovenfor løser faktisk alle mine "problemer", forudsat der er en mulighed for at lave og opbevare sin private nøgle. Ikke engang sikkert jeg ville benytte mig af den hvis den var der, det eneste jeg egentlig forlanger er muligheden.
Jeg ved jo godt at når vi kommer til sølvpapir og blåbriller, så kan jeg slet ikke lave nøgle sikret 100% og finder aldrig ud af hvordan man gør.

Men et plastickort med en chip/NFC/microusb. Det virker da rimelig simpelt.
Hvis der så endda findes en hjemmeside/program til at lave certifikater til lejligheden, jamen så kan det sgu da ikke blive lettere....

Hvem som helst kan jo spørge mig om hvem jeg er/mine bankoplysninger ect ect. men det vil da altid være mit ansvar om jeg stoler på dem jeg afleverer disse til. F.eks. ville jeg nok bakke lidt hvis webshoppen jeg købte mine ramblokke igennem skulle bruge navnet på min læge. Overdrivelsen fremmer forståelsen. Når jeg sidder med shoppen og den spørger mig om alverdens info, er det vel mit ansvar om jeg stoler på de behandler de oplysninger efter mine behov, ellers må jeg da bare finde en anden webshop.
Jeg fandt sikkert også et andet diskotek, hvis dørmand pludseligt skulle have mine bankoplysninger for at lukke mig ind. (Hvilket ikke er helt hul i hovedet, man vil jo kun have kunder med penge i sådan en biks?)

Hvis jeg endog ed softwaren/hjemmesiden på mit plastickort kunne gemme et bar standard certifikater, f.eks. et med min alder, et med mit navn, et til læge/ambulance og et til banken/forsikringsselskabet. og det var kun 4, jamen så kan jeg jo flashe mit kort over alt på samme måde som jeg flasher mit sundhedskort idag.
Hvis der er et billede på også, jamen..... Hvad skulle jeg lige med et pas så? Kørekort? For hulen da.

Jeg håber virkeligt det bliver lavet på den her måde, men som altid vil jeg se det før jeg tror på hjernekapacitet.

Christian Nobel

Man må aldrig gå på kompromis med sikkerhed.

Det er blevet en gentagen svøbe i vort samfund at ting skal være "nemme", men vi må aldrig ofre vores sikkerhed og integritet for bekvemmelighed.

Så hvis ikke vi har det tekniske muligheder for at lave sikkerhed nemt, så må vi enten acceptere at det ikke er helt så let endda, eller også må vi vente til udviklingen har gjort det lettere tilgængeligt.

Alt andet er at spille hasard.

Jakub Nielsen

1) der findes ikke 100% sikkerhed
2) du går på kompromis med sikkerhed til fordel for bekvemlighed i alt hvad du oplever i din hverdag. Tænk blot på bilturen til arbejdet eller at hoveddøren er relativ nem at åbne for en tyv mens du sover.

Peter Stricker

hoveddøren er relativ nem at åbne for en tyv mens du sover


Hvis det gør mig utryg, så kan jeg selv vælge at låse døren inden jeg går til ro. Jeg kan også vælge blandt flere forskellige låse med varierende sikkerhed. Derudover kan jeg investere i et alarmsystem og hvis jeg er rigtig bange for at lægge mig til at sove, kan jeg indrette et Panic Room. Hvis jeg har midlerne til det, kan jeg sågar ansætte et hold af vagter til at passe på mig. Og hvis der er en konkret trussel mod mit liv, så kan staten træde til med PET bevogtning.

Men jeg kunne selvfølgelig også bare aflevere min hoveddørsnøgle til min bankrådgiver og bede ham om at komme forbi hver aften og låse af.

Jakub Nielsen

Hvis jeg har midlerne til det, kan jeg sågar ansætte et hold af vagter til at passe på mig. Og hvis der er en konkret trussel mod mit liv, så kan staten træde til med PET bevogtning.

Uanset hvad du måtte have penge til, så er det ikke 100% sikkert. Derudover vil du lige pludselig opdage, at det bliver mere og mere besværligt jo mere sikkerhed du tilføjer.

Jakub Nielsen

Næh, jeg låser den. Argumentet er, at det er utopi at tro, at man kan undgå at gå på kompromis med sikkerhed i forhold til brugervenlighed. NemID version 2 eller hvad vi nu skal kalde den, bør blive designet med begge aspekter som ligeværdige og første rangs krav.
Der skal være plads til at Hr. Jensen kan finde ud af det, til manden som ikke kunne finde på at bruge andet end Tails som platform og alle os midt i. Vi har nu prøvet begge dele - det er på tide at vi får det bedste fra begge aspekter.

Gert Madsen

bør blive designet med begge aspekter som ligeværdige


Det kommer an på formålet.
Problemet er den "alt eller intet"-tilgang man har til den digitale adgang til det offentlige.

Den nuværende NemID, kan faktisk fint bruges til en række formål - hvis ikke lige det var fordi at den nøgle som man udleverer, faktisk kan bruges til nogle ting som er for kritiske i forhold til NemID's sikkerhed.

Altså sikkerheden ved en certifikat/login-løsning skal svare til det mest kritiske, som man vil bruge det til.

Jeg vil påstå at man kan skære voldsomt ned på antallet af digitale tilgange i det offentlige, og alligevel have flere end de forskellige kontorer og systemer er klar til at udnytte.

Det kan ovenikøbet være at det vil gøre de påståede besparelser lidt mindre illusoriske.

Jakub Nielsen

Du åbner op for forskellige aspekter, men jeg vil stadig mene at sikkerhed og brugervenlighed er ligeværdige. Om man så vælger at adskille login og underskrivning enten/både systemmæssigt eller/og organisationsmæssigt forholder jeg mig ikke til.

Jesper Mørch

Spørg kineserne hvad der er lettest ...
Jeg er sikker på enhver systemkritiker vil give mig ret i, at det letteste for de fleste er, at rette ind efter systemet.
Hvad er så det sikreste og for hvem?

Hvis systemet skal være brugervenligt, stiller det krav til brugerfladen, hvis det skal være sikkert, stiller det krav til de underliggende systemer.

For øjeblikket sender man i princippet sin bankrådgiver på apoteket etc. som lovpligtig stedfortræder.

Det er gode forslag der har været oppe at vende. Forhåbentlig bliver de rigtige IT-folk taget med på råd denne gang, så vi ikke igen har lige dele sælgere og lobbyister til at sælge en middelmådig infrastruktur.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen