Gæstebloggen

Balladen om sikkerhed i NemID

Der har den sidste tid været en del omtale af IT-sikkerhedsproblemer i forbindelse med NemID og kriminelles brug af keyloggere(1) på danske biblioteker.

Det er fremhævet som problematisk, at offentlige computere på bibliotekerne ikke undersøges jævnligt for at sikre mod kriminelles manipulation af computerne, som f.eks. installering af keyloggere og lignende. At nationens IT-sikkerhed tilsyneladende afhænger af IT-sikkerhedsevnerne blandt landets bibliotekarer, fremhæver to alvorlige problemer.

For det første bliver det klart, at alle borgere bør have grundlæggende færdigheder indenfor IT-sikkerhed for at kunne færdes sikkert på nettet; her vil bibliotekarerne sikkert være nemme at uddanne.

Christian Damsgaard Jensen er Associate Professor, Head of Cyber Security Section på DTU Illustration: DTU

For det andet er det tydeligt, at vi er blevet afhængige af IT-systemer, hvor ingen har det samlede sikkerhedsmæssige overblik, fordi stort set alle IT-systemer er forbundet med andre systemer, hvoraf nogle er IT-systemer, således at hverken udviklerne, administratorerne eller brugerne af de enkelte systemer forstår, hvordan systemerne indvirker på hinanden, og hvilke egenskaber det samlede system frembringer.

I det konkrete tilfælde er problemer ikke, at kriminelle har installeret keyloggere på bibliotekernes computere, det er NemID-systemet designet til at kunne håndtere, problemet er, at der ikke har været en samlet sikkerhedsvurdering af hele systemet, fordi ingen (formentlig heller ikke undertegnede) har forstået systemets fulde omfang.

Som det har været omtalt i pressen, har de kriminelle ikke brudt sikkerheden af IT-systemets sikkerhedsmekanismer, men har kunnet forudse, hvornår der ville blive udsendt nye papkort til NemID og derefter stjæle disse papkort fra folks postkasser.

Analysen af systemets IT-sikkerhed har altså ikke formået at identificere en sikker leverance af NemID papkort fra Nets til brugeren, som en kritisk sikkerhedsegenskab i systemet. Da NemID-systemet trådte i kraft d. 1. juli 2010, fik de fleste leveret breve gennem en brevsprække i hoveddøren, hvilket betyder at NemID-papkortet blev leveret sikkert ind i brugerens eget hjem.

Jeg skal ikke kunne sige, om dette indgik i den oprindelige sikkerhedsanalyse, men vigtigheden er tydeligvis ikke forstået og efter opdatering af postloven, har vi siden 1. januar 2012 skullet have postkasser helt ude ved vejen. Hovedparten af disse postkasser er lavet af tyndt metal og forsynet med en billig lås, så antagelsen om sikker leverance af papkortet kan ikke længere siges at være opfyldt.

Den manglende forståelse af systemets omfang, og hvordan de forskellige enkeltdele indvirker på hinanden og på den samlede sikkerhed af systemet, betyder at systemet enten er designet forkert, eller at man har introduceret ændringer i omgivelserne uden at forstå konsekvenserne for de underliggende sikkerhedsantagelser i systemet.

Den efterfølgende opdatering af NemID-systemet, hvor man ikke længere oplyses om, hvor mange ubrugte nøgler der er tilbage på papkortet, har gjort det sværere for de kriminelle at forudse, hvornår brugeren vil modtage et nyt papkort med posten.

Den grundlæggende svaghed i systemet er altså ikke løst, men de kriminelles mulighed for at udnytte denne svaghed er reduceret betragteligt; måske endda elimineret i praksis.

Nu står vi overfor at skulle introducere MitID til erstatning for NemID. I denne forbindelse er der tale om at erstatte papkortet med en app til mobiltelefoner, som i MitID systemet leverer det samme sikkerhedselement, som papkortet gør i NemID. Sikker leverance af dette element afhænger således ikke fremover af postkassers sikkerhed, men af brugernes mobiltelefoner og de relevante apps og app-stores sikkerhed.

På nuværende tidspunkt er der to primære app-stores til hhv. iPhones og Android telefoner, men ejere af Huawei mobiltelefoner(2) skal snart hente deres apps i en alternativ app-store, og det er ikke utænkeligt, at EU eller andre internationale aktører fremadrettet vil introducere krav om alternative app-stores for at bryde tech-giganternes monopoler eller håndhæve suverænitet i det digitale domæne.

Hvis MitID-appen f.eks. bliver blokeret i enten Apples eller Googles app-store, som den nationale public service organisation DR blev det for nogle år siden, risikerer omkring halvdelen af Danmarks befolkning at blive afskåret fra digitale tjenester.

Det er således vigtigt at sikkerhedsanalysen inkluderer alle systemets elementer, at alle antagelser om disse dokumenteres, og at man løbende verificerer, at disse antagelser stadig er opfyldt.

1: en keylogger er et stykke hardware eller software der installeres på en computer, hvor den registrerer alle tryk på tastaturet og dermed registrerer indtastede passwords, før de kan beskyttes af andre mekanismer.

2: Huawei mobiltelefoner udgør ifølge hjemmesiden statscounter.com små 12% af det danske smartphone marked.

Kommentarer (51)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kristoffer Balling

Jeg har aldrig forstået hvorfor man ikke sender brugeren en email eller SMS hver gang ens NemID er brugt til login (både ved afbrudt login og ved gennemført login). Mange cloud-tjenester anvender den metode til at oplyse brugere om at andre måske har forsøgt at bruge deres login.

Det er næppe perfekt, men måske et hensigtsmæssigt skridt på vejen mod at forhindre misbrug.

./ Kristoffer

  • 15
  • 3
#3 Benjamin Balder

Jeg mindes, at der var kritik af Nem-ID fra da det blev indført. Jeg vil gerne læse den oprindelige kritit. Det interessante kunne være, hvilke stemmer, der blev ignoreret, og hvorfor.

Er der nogen, som kan hjælpe med links til fortidens kronikker og blog-indlæg?

På forhånd tak herfra!

  • 2
  • 0
#6 Deleted User

Er der nogen, som kan hjælpe med links til fortidens kronikker og blog-indlæg?

Et af de største problemer det var og er, er den her med at du med nemid ikke selv er i besiddelse af din egen digitale identitet, selvom din digitale signatur kan, bruges til at underskrive for dig.

Forestil dig følgende.

Du går ned i banken og beder om at leje en bankboks. Boksen har 2 nøgler, en du har og en banken har, på den måde kan banken ikke fysisk komme i din boks uden dit vidende og du kan ikke komme i boksen uden deres vidende.

Men din bankmand siger nu "jeg beholder begge nøgler og så aftaler vi bare at hvis du giver mig det hemmelige kodeord" æblesnaps" så låser jeg din boks op.

Reelt set aner du ikke om bankmanden går og snager i din boks.

Betryggende? Det er sådan nemid er.

For at gøre det endnu værre så står serverne med din digitale signatur i Norge..... Og ejes af et amerikansk (snart italiensk) firma.

  • 24
  • 0
#7 Bjarne Nielsen

Det er ikke kun flytningen af postkasserne, som udfordrer NemId: også det at vi er gået fra daglig post til noget, som i bedste fald kommer efter 10 dage. Det kan være langt tid at vente på noget vigtigt.

Ironisk nok, så har NemId været en enabler for digital selvbetjening, og derfor været med til at skubbe til udviklingen væk fra brevpost - og dermed har den været med til underminere sig selv.

Oveni så er der situationer, hvor man gerne vil sende to halvdele med seperat post for at øge sikkerheden, og så skal der lægges en solid margin, når forventningen er op til 10 dage eller mere for en enkelt postgang.

Det med de to halvdele oplevede jeg i en anden sammenhæng, hvordan kan gå galt (jeg nævner ingen navne): for at undgå at kort og aktiveringskode kom samtidigt, så havde man været så "smart", at kortet kom med en besked om at aktiveringskoden var de sidste fire cifre i mit CPR-nr. I samme postforsendelse kom så også mit nye sygesikringsbevis, hvor mit fulde cprnummer jo fremgår. Doh!

  • 10
  • 0
#8 Bjarne Nielsen

Apropos papkortet og udsigterne til at erstatte det med en smartphone app, så er det ikke kun en fragmentering af smartphone-markedet, som truer, men også det faktum, at 1 ud af 10 danske hjem slet ikke har en.

Se f.eks. her: https://www.dst.dk/da/Statistik/emner/priser-og-forbrug/forbrug/elektron...

Læg dertil, at hvis man stiller krav til at det kun er nyere modeller, som anses for sikre nok, så bliver tallet endnu mindre.

Og mon ikke, at det er i en vis grad er samme segment, som man har kastet under bussen ifm. at henvise dem til usikre biblioteker og usikre postkasser ved vejkanten, som kan tænkes at blive mest udfordret af en forventning om smartphone? Hvilket alternativ regner man med at tilbyde dem, og hvordan bliver sikkerheden af det?

  • 16
  • 0
#9 Ditlev Petersen

Og mon ikke, at det er i en vis grad er samme segment, som man har kastet under bussen ifm. at henvise dem til usikre biblioteker og usikre postkasser ved vejkanten, som kan tænkes at blive mest udfordret af en forventning om smartphone? Hvilket alternativ regner man med at tilbyde dem, og hvordan bliver sikkerheden af det?

Jeg har ingen smartphone. Jeg kan ikke rigtigt se nytten af en. Muligvis vil vi få tilbudt en dims, der kan danne engangskoder (mit gæt). Den vil naturligvis fylde mere end papkortet (og mon ikke den vil blive designet, så den er mest muligt upraktisk). Kan folk uden smartphone finde ud af den? Bruger man i dag NemId andre steder end uden for en computer/web-browser? Hvis man bruger en browser, er en "dims" næppe den største udfordring. Man skal ikke bruge papkort for at hæve penge.

Men der er folk, der bliver skubbet ud. Det vil blive forventet, at man har et plastkort til betalinger, en NemDims, forstand på at bruge en browser, en fast bopæl/postadresse, forstand nok til ikke at udlevere sin NemDims til den flinke bankmand, der skal spærre ens kort .... Det er allerede et problem i dag. Jeg så forleden, at hjemløse ikke kan få bistandshjælp udbetalt, da bankerne er blevet kontantfri.

  • 11
  • 2
#10 Michael T. Jensen

Når nu man sender et papkort via alm. post, hvorfor er så systemet ikke indrettet således, at man skal indtaste en kode fra det gamle kort, for at aktivere det nye? På den måde vil man jo være sikker på at indehaveren af det nye kort er i besiddelse af det gamle kort.

Mistes det gamle kort, må man gå til bank/kommune for at legitimere sig, inden det nye aktiveres.

  • 19
  • 1
#11 Deleted User

Oveni så er der situationer, hvor man gerne vil sende to halvdele med seperat post for at øge sikkerheden, og så skal der lægges en solid margin, når forventningen er op til 10 dage eller mere for en enkelt postgang.

Vores bank har valgt at de vil være en pengeløs filial, så hvis vi skal sætte penge ind så foregår det ude i automaten.

Vores 2 yngste knægte får engang imellem en seddel af bedstemor/bedstefar/mormor så de havde behov for at kunne sætte penge ind på deres konto. (De får også mønter, dem må vi så "veksle" hos den lokale fakta der har sådan et hul man smider pengene i)

Derfor bestilte bankmanden et kort til hver som kunne bruges i automaten.

Alle 4 breve (2 med kort, 2 med koder) ankom samme dag i vores postkasse, så et uærligt postbud kunne have nuppet hele baduljen.

Udfordringen for posten ville selvfølgelig være at kortet skal aktiveres med de sidste 4 i CPR nummer, men hvis sikkerheden alligevel ligger i dette, så kunne de jo lige så godt sende kort og kode i samme brev.

  • 9
  • 0
#12 Deleted User

Og mon ikke, at det er i en vis grad er samme segment, som man har kastet under bussen ifm. at henvise dem til usikre biblioteker og usikre postkasser ved vejkanten, som kan tænkes at blive mest udfordret af en forventning om smartphone? Hvilket alternativ regner man med at tilbyde dem, og hvordan bliver sikkerheden af det?

Det segment er man totalt ligeglad med.

Det ministeren tilbage omkring 2010 sagde om at NemID skulle være en frivillig ting og at der ville være alternativer til dem som ikke kunne eller ønskede at bruge NemID er totalt væk, nu om dage er det ren og skær tvang.

Det er blevet ren og skær kassetænkning og dem som ikke passer ind i kassen bliver anset for værende for dyre.

Der er ALT for mange offentligt ansatte som totalt har glemt at de er ansat til at "servicere" borgerne, de vil hellere bruge mere tid på at nægte at hjælpe dem som ikke passer i kassen, end den tid det ville have taget blot at hjælpe personen på den måde personen nu kunne hjælpes på.

Det er tydeligt at vi er til for systemet og ikke omvendt og dette til trods for at vi jo rent faktisk gennem skatterne betaler dyrt for at FÅ noget service.

  • 15
  • 3
#13 Deleted User

Jeg har ingen smartphone. Jeg kan ikke rigtigt se nytten af en. Muligvis vil vi få tilbudt en dims, der kan danne engangskoder (mit gæt). Den vil naturligvis fylde mere end papkortet (og mon ikke den vil blive designet, så den er mest muligt upraktisk).

Det med at det skal være besværligt, dyrt og dumt har de jo i hvert fald kørt med tidligere.

Man lovede en løsning så brugerne kunne have sin egen digitale identitet hos sig selv...NemID på hardware hed løsningen.

Den blev dog voldsomt forsinket så man ikke fra starten af kunne vælge PapID eller NemID på hardware.

Derudover så kostede den en del penge, viste sig at være fejlbehæftet så hackere kunne få fingre i ens nøgler alligevel, så lukkede man løsningen ned pga. hackermuligheden og sidst men ikke mindst sørgede man for at den ikke virkede med sine bank-ting, kun alt det andet offentlige, så man alligevel skulle have PapID uanset.

Der er vist ikke en "MitID på hardware" løsning hvor man selv kan generere sine nøgler og have den private nøgle på en dongle, på tegnebrædtet.

Man vil sikkert bruge undskyldningen med at der alligevel ikke var ret mange der brugte NemID på hardware løsningen, når man skal forklare hvorfor man ikke gider udvikle sådan en.

At det så var fordi man selv gjorde det så bøvlet, dyrt, forsinket og tåbeligt, netop for at det ikke skulle blive en succes, er så en anden ting.

  • 14
  • 0
#15 Deleted User

og det værste er at stort set ingen ser problemet i løsningen.

Det allerværste er faktisk at hvis man så fortæller dem om det, så forstår de det stadig ikke men alligevel konkluderer de straks at man da må være en konspirationsteorist / sølvpapirshat'er hvis man tillader sig at sætte spørgsmålstegn ved den måde det kører på.

Ja og så er der også mange som ikke fatter det og reelt set også er ligeglad, netop fordi de ikke fatter det og derfor ikke kan se problemet.

Mit gæt er dog at den dag det måske går helt galt, så vil de sige "Det var der da ingen der kunne forudse"

  • 17
  • 0
#16 Christian Nobel

Mit gæt er dog at den dag det måske går helt galt, så vil de sige "Det var der da ingen der kunne forudse"

Hele balladen med keyloggerne kom jo som en stor overraskelse på parnasset, men det var da bare et af de scenarier som blev diskuteret herinde for mange år siden - men hvem gider at høre på den slags sølvpapir, for vi djØFFERe ved jo meget bedre.

  • 18
  • 1
#18 Deleted User

Hele balladen med keyloggerne kom jo som en stor overraskelse på parnasset, men det var da bare et af de scenarier som blev diskuteret herinde for mange år siden - men hvem gider at høre på den slags sølvpapir, for vi djØFFERe ved jo meget bedre.

Jeg tror dog godt at DJØFerne kender til problematikkerne og forstår dem, men de lever jo i en excel verden hvor billigt står over sikkert.

Det er tydeligt for mig at man, hverken da man designede NemID eller MitID, lyder det til, har haft nogen sikkerhedsfolk med ind over, eller også har man haft dem med ind over men er blevet enige om at det blev alt for dyrt at lave det sikkert og at pris og useability trumfer sikkerhed.

Personligt er jeg ligeglad med om de laver noget som er smaskhamrende usikkert til dem som er ligeglad eller bare ikke fatter problematikkerne, men de burde pinedød tvinges til at lave en løsning som kan sætte kryds i alle "sikkerheds" boksene, så dem som gerne veksler lidt useability med meget mere sikkerhed også havde en chance for at benytte løsningen.

  • 17
  • 1
#20 Michael Rasmussen

Det er tydeligt for mig at man, hverken da man designede NemID eller MitID, lyder det til, har haft nogen sikkerhedsfolk med ind over, eller også har man haft dem med ind over men er blevet enige om at det blev alt for dyrt at lave det sikkert og at pris og useability trumfer sikkerhed.

Jeg tror som sådan ikke, at man ikke vil have, det skal være sikkert, problemet er blot, at der står i et skjult tillæg til udbudet, at løsningen skal kunne anvendes til overvågning af indehæverende af et NemID, og at dette ønske har forrang for andre ønsker. Man kan ikke overvåge noget, hvis det er sikkert implementeret!

  • 12
  • 1
#21 Christian Nobel

Det allerværste er faktisk at hvis man så fortæller dem om det, så forstår de det stadig ikke men alligevel konkluderer de straks at man da må være en konspirationsteorist / sølvpapirshat'er hvis man tillader sig at sætte spørgsmålstegn ved den måde det kører på.

Ja og de selvsamme mennesker mener jo selvfølgelig at CPR nummeret er fejlfrit, så de bruger gladeligt CPR nummeret som identifikation (iøvrigt lidt grotesk brug, når man tænker på den åh-så-hemmelige kode) til deres NemID.

Er det noget med 5 logins, og brugeren bliver spærret - hvad nu hvis ondsindede personer systematisk satte det i værk, så ville et par millioner være låst ude.

Og CPR numrene kan de vel bare rekvirere på en CD fra SSI!

  • 8
  • 2
#22 Christian Nobel

Du går ned i banken og beder om at leje en bankboks. Boksen har 2 nøgler, en du har og en banken har, på den måde kan banken ikke fysisk komme i din boks uden dit vidende og du kan ikke komme i boksen uden deres vidende.

Men din bankmand siger nu "jeg beholder begge nøgler og så aftaler vi bare at hvis du giver mig det hemmelige kodeord" æblesnaps" så låser jeg din boks op.

Reelt set aner du ikke om bankmanden går og snager i din boks.

Betryggende? Det er sådan nemid er.

Det er megatragisk, vi havde faktisk en ægte digital signatur her i landet (man kan diskutere brugervenligheden, men det kunne man så have arbejdet på) som man smed ud med badevandet, og i stedet indførte et centralt, broken-by-design overvågningssystem.

Og gud dødemig om man ikke har tænkt sig stadig at fortsætte ad det forkerte spor, i stedet for at vi kunne få en ægte digital signatur, som kunne bruges både mellem private aktører og det offentlige, og mellem to private parter.

https://genius.com/Kim-larsen-nanna-lyrics

  • 11
  • 0
#23 Maciej Szeliga

Det lyder som en Nemid Nøgleviser, https://www.nemid.nu/dk-da/kom_i_gang_med_nemid/nemid_noegleviser/.

Nu bruger min kone nøgleviseren så jeg kan fortælle fra det jeg kan se at:

  1. den er meget mere praktisk end kortet
  2. den har kun en knap så betjeningen er idiotsikker
  3. den er godt nok tykkere end papkortet men den er mindre på alle andre led
  4. den holder en hel del længere end papkortet

At nøglebrikken kunne være mere fiks er der ingen tvivl om men den er under alle omstændigheder bedre end papkortet.

  • 13
  • 0
#24 Bjørn Agger

Derudover så kostede den en del penge, viste sig at være fejlbehæftet så hackere kunne få fingre i ens nøgler alligevel, så lukkede man løsningen ned pga. hackermuligheden og sidst men ikke mindst sørgede man for at den ikke virkede med sine bank-ting, kun alt det andet offentlige, så man alligevel skulle have PapID uanset.

Jeg bruger faktisk hardwareløsningen. Jeg var med til at teste den nye hardware, der skiftede fra Gemalto til ePass2003. Den er jeg glimrende tilfreds med :) Bankerne ønskede IKKE at være med til hardwareløsningen. Ellers enig.

Mvh Bjørn

  • 7
  • 0
#25 Deleted User

Jeg bruger faktisk hardwareløsningen. Jeg var med til at teste den nye hardware, der skiftede fra Gemalto til ePass2003. Den er jeg glimrende tilfreds med :) Bankerne ønskede IKKE at være med til hardwareløsningen. Ellers enig.

Forstår bare ikke hvorfor bankerne fik valget, hvis man er med så er man da med i det hele, det giver ikke mening at give folk en mulighed for at få en sikker løsning og så vil bankerne ikke være med, så man er tvunget til at have den usikre løsning aktiveret også.

Har du nogen ide om, hvad der kommer til at ske når der skiftes til MitID, kommer det også til at tage nogle år før der evt. kommer en halv løsning som kun virker delvist ?

  • 6
  • 0
#26 Ditlev Petersen

problemet er blot, at der står i et skjult tillæg til udbudet, at løsningen skal kunne anvendes til overvågning af indehæverende af et NemID, og at dette ønske har forrang for andre ønsker. Man kan ikke overvåge noget, hvis det er sikkert implementeret!

Jeg tror gerne det værste om myndigheder og "tjenester", men at bruge NemIds svagheder som overvågning, forekommer mig meget lidt nyttigt. NemId bruges jo sjældent til at kryptere forbindelser eller mails, det kan højst benyttes til at "signere" en falsk trusselsmail til f.eks. kommunen. Og ikke engang PET kunne finde på sådan noget.

  • 5
  • 3
#27 Bjørn Agger
  • 2
  • 0
#28 Deleted User

Jeg tror gerne det værste om myndigheder og "tjenester", men at bruge NemIds svagheder som overvågning, forekommer mig meget lidt nyttigt. NemId bruges jo sjældent til at kryptere forbindelser eller mails, det kan højst benyttes til at "signere" en falsk trusselsmail til f.eks. kommunen. Og ikke engang PET kunne finde på sådan noget.

Jeg har også lidt svært ved at se hvad myndighederne skulle have af fordel, de oplysninger som du kan få fat i med NemID, har de med garanti adgang til uanset. (Læge journaler, skatteoplysninger, bankoplysninger osv.)

Min tanke med at lave et system på den måde de gjorde, var oprindeligt set at det jo var Nets som lavede det og på det tidspunkt var Nets ejet af bankerne, så det mest logiske scenarie er at det er lavet så bankerne nemt kunne få adgang til borgernes data.

Altså ikke sådan fordækt, hvor de sidder og snager uden at borgerne ved det, men så de f.eks kunne sige "Det er frivilligt om du vil dele dine skatteoplysninger med os, men du får ikke lånet her med mindre"

Eller "Du er 55 år og vil tage et lån, vi vil gerne at du giver os lov til at se på din sygehistorik og ellers vil vi ikke låne dig pengene"

Så ville det være muligt at du med din nemID gav dem lov til at se de data de gerne ville...:Ganske frivilligt....Men du får ikke lånet hvis ikke vi får adgang ....

  • 1
  • 2
#29 Deleted User

Ad 1. Såvidt jeg husker. Not invented in our place.

Ad 2. Desværre ingen anelse :(

  1. Det undrer mig bare, for i sin tid da Nets udviklede det, var Nets ejet af bankerne. Derudover burde de i sin tid slet ikke have haft muligheden for at sige nej, det giver ingen mening at NemID pludselig var 2 ting som man kunne vælge om man ville understøtte kun een eller begge.

  2. Jeg har mine bange anelser om at MitID rent funktionalitetsmæssigt for slutbrugeren bliver sådan, at man fra den vinkel af kunne se ud som om nogen bare havde havet en

Find "NemID" Replace "MitID"

...Altså at det bliver det samme miskmask som NemID, for brugeren.

  • 5
  • 0
#30 Bjarne Nielsen

Det undrer mig bare, for i sin tid da Nets udviklede det, var Nets ejet af bankerne. Derudover burde de i sin tid slet ikke have haft muligheden for at sige nej, det giver ingen mening at NemID pludselig var 2 ting som man kunne vælge om man ville understøtte kun een eller begge.

Det er mit klare indtryk, at det offentlige og NemID dengang havde mere brug for bankerne, end bankerne havde brug for NemID. Til to ting:

  1. Bankerne havde den "killer-app", som det offentlige aldrig havde formået at få, nemlig net-bankerne. De offentlige "killer-apps", som f.eks. "vil du have tid hos lægen, SU eller søge en daginstitutionsplads, så ...", kom først senere. Det var hønen og ægget (og bankerne havde her et godt æg).
  2. Bankerne havde helt godt styr på folks identitet (A) - de deler trods alt ikke penge ud på folks glatte ansigt, i hvertfald ikke til almindelige mennesker. Og de havde infrastrukturen til at kigge folk i øjnene og trykke dem i hånden.

Bankerne syntes til gengæld dengang kun at have fantasi til en single-signon løsning, og da man som altid fra offentlig side var nærig og mente, at det kun var det offentlige, som skulle "frikøbes" og det private skulle betale selv, så var det så langt, som bankerne kunne lokkes til at betale selv. Jeg mener også at have hørt, at bankerne dengang faktisk lagde en god del penge på bordet.

Og, som Mogens Nørgaard engang så malende bemærkede, så vender grise sig imod foderet, og hvis du ikke betaler, så kan du tænke over, hvilken ende, som kommer til at vende imod dig!

Jeg har også en teori om, at det var fordi at man var nødt til at have bankerne med, at "vi skal nok passe på din nøgle" modellen opstod; jeg tror, at det var svært at overbevise bankerne om, at de kunne stole på, at de ikke ville stå med håret i postkassen, hvis de overlod en så væsentlig del af sikkerheden til almindelige mennesker. Så der gik energien hen, og det kom til at virke først og bedst, og hvad skulle man så egentlig med alternativerne?

Og når man først har lagt alle ens æg (sic!) i den kurv, så følger det naturligt, at man også vil arbejde politisk for, at det bliver en mulighed i de fælles europæiske regler, og det vil naturligt komme til at være udgangspunktet for den næste løsning. Man er vel idealist lige indtil man skal til at have penge op af lommen!

Ad (A): Banker har historisk set været identity providers. Hvor to parter ikke havde tillid til hinanden, måske fordi at de ikke kendte hinanden endnu, da har bankerne kunnet danne bro. Fordi man var kendt i sin bank, fordi man naturligt kom der.

Det guldæg er ved at smutte ud af hænderne på bankerne, efterhånden som de arbejder på at afskaffe kontanter og lokale filialer, og selv netbank bliver det i stigende grad svære at profilere sig på, fordi fin-tech stille og roligt åbner bankerne op. Hvornår har I sidst været i banken, og var det på bankens opfordring? Der var en gang, hvor vi som kunder kom jævnligt i fysisk bank, og havde en relation til en fysisk person; nu er det langt mere anonymt, og banker er ved blive en generisk massevare - og så kan man kun konkurrere på pris, hvilket for mange banker næppe er attraktivt.

Jeg tror ikke, at dem i bankerne, dem med de store lønninger, har tænkt det her helt igennem. Men det er en anden snak.

  • 7
  • 0
#31 Deleted User

Hej Bjarne

Jeg tror langt hen ad vejen du har ret.

Jeg har som sådan heller intet imod en SSO løsning til banken, for den sags skyld må de gerne opbevare min nøgle for mig, hvis det eneste den bruges til er at lade mig komme ind i min bank, der er ikke den store risiko for at banken misbruger mine nøgler til at tilgå mine bank konti, da de jo alligevel har den adgang via deres egne systemer.

Der hvor jeg syntes kæden springer totalt af, er når man så pludselig udbreder denne løsning til at dække alt muligt og indirekte forlanger at jeg skal bruge denne løsning til de ting (Indirekte = Man siger ikke jeg SKAL, men giver mig blot ikke andre muligheder).

Jeg forstår godt bankernes frygt, hvis de lader folk holde deres egne nøgler, for der findes mange som lader sig snyde, hvilket vi jo også ser nu, hvor der rent faktisk er folk der tager billeder af deres papkort og sender til nogen, blot fordi de ringer og siger de er fra banken.

Det bliver så bare ENDNU værre når systemet også kan give adgang til lægejournaler, skatteoplysninger, digital underskrift på et huskøb, mulighed for at ændre folkeregister adresse og så videre, for så betyder det at en digital kompromittering bliver en total kompromittering af alle data om mig.

Jeg har ikke og kommer ikke til at benytte mig at et system til digital underskrift så længe jeg ikke selv har genereret min egne digitale nøgle og har hele eller dele af nøglen i min besiddelse.

Det viser sig så forresten at står man og vil købe et hus og siger "Jeg har ikke NemID" så løser det sig fint nok, for ejendomsmægleren vil jo gerne sælge huset ;)

Det samme gør sig gældende når man kontakter kommunen for at skrive et barn op til skole og de siger "Du SKAL bruge NemID for at indskrive dit barn" og man så siger "Loven siger jeg skal lade mit barn indskrive, men lige nu nægter i mig at indskrive mit barn, den historie tror jeg Ekstra Bladet kan få meget sjov ud af". Pludselig kan det godt lade sig gøre at indskrive uden NemID alligevel.

PS. Jeg er faktisk typen som engang imellem snakker med min bankmand, face to face, men jeg kan godt mærke på banken at de hellere vil at man ordner det hele online.

Det der undrer mig lidt er at banken ikke kan se at det her med en lokal filial og min egen bankmand jeg kan se i øjnene er med til at skabe kundeloyalitet.

Hvis jeg alligevel skal ordne det hele online og filialen er pengeløs, så er der ingen lokal forankring som gør at jeg vælger banken og så kan jeg lige så godt vælge den billigste online bank, hvilket betyder at min bankrådgiver på sigt vil blive afskediget og afdelingen lukket.

Vi havde Nordea, men først lavede de filialen pengeløs og kort tid efter lukkede de den helt...Så skiftede jeg til en anden bank, som havde 4 filialer i vores by. De er nu nede på 1 og den er lige blevet gjort pengeløs.

Fandt jeg en bank der gav mig mulighed for, blot at se min saldo og så videre, uden NemID, så var jeg skiftet på stedet, jeg har ikke samme tilknytning til min lokale bank, som jeg engang havde.

De har forresten lige meddelt at fra næste år må man kun have 100.000 stående og at netbank skal til at koste 100 Kr. årligt i gebyr. De vil altså have 100 kr. årligt for at jeg betjener mig selv, uden at belemre bankrådgiveren.

Man kan dog slippe, men kun hvis man skylder dem penge eller har "mange" penge på kontoen, har forsikringer og pension igennem dem etc.

  • 5
  • 0
#32 Klavs Klavsen

De skriver ihvertfald stadig at MitID vil understøtte at man kan få en U2F enhed (ligesom f.ex. Yubikey) - https://digst.dk/it-loesninger/mitid/saadan-kommer-mitid-til-at-se-ud/

Og sådan en vil jeg ihvertfald erhverve mig - og så håber jeg at de ikke har taget "backup" af min private nøgle før de lagde den på key'en (eller at de genererede den direkte i nøglen så den aldrig har været udenfor) - den process ville jeg gerne have noget indblik i (og garantier for at det faktisk forholder sig som de siger :)

  • 0
  • 0
#33 Klavs Klavsen

Det er megatragisk, vi havde faktisk en ægte digital signatur her i landet (man kan diskutere brugervenligheden, men det kunne man så have arbejdet på) som man smed ud med badevandet, og i stedet indførte et centralt, broken-by-design overvågningssystem.

Med privat nøgle på U2F chip - så er de vel tilbage til den decentrale model? (medmindre de subverter den som de f.ex. gør med den nuværende private fysiske nøgle - da man bare får udstedt en ny central nøgle -hvis man forsøger at logge ind uden den fysiske nøgle man har købt).

(og denne gang bygget på PGP istedet for x509 ser det ud til) - man kunne dog sagtens putte x509 udenom hvis man ville (svjv.)

  • 0
  • 0
#34 Deleted User
  • 3
  • 0
#35 Gert Madsen

Med privat nøgle på U2F chip - så er de vel tilbage til den decentrale model?

Her berører du en anden fejl, i det nuværende design. Hele samfundet er enormt sårbart. Der er kun et sted man skal angribe, for at stoppe al adgang til det offentlige.

Det er den slags vurderinger, som man kunne forvente fra CFCS, men det er nok hemmeligt.

Grundlæggende har man jo smidt århundredgammel erfaring ud med badevandet. Det gælder først og fremmest brugen af NemID, og mindre konstruktionen. Man bruger den til alt muligt skrammel.

Det svarer til at den nøgle til haveskur og postkasse, som man overlader til naboen, når man er på ferie, også giver adgang til pengeskabet, og mulighed for at sælge eller forære ens bolig væk.

Senest hører jeg at man skal bruge NemID, for at se enhver besked fra sine børns skole i Aula. Jeg kan ikke finde noget som helst positivt at sige om sådan en beslutning.

  • 7
  • 0
#36 Klavs Klavsen

Hvis man har en personlig "privat" nøgle på en U2F nøgle - og kan f.ex. bestille "en backup key hvis man vil" - og denne har en pinkode den efter spørger ved indsættelse i computer (og efter 3 forsøg løser - og kun kan genåbnes med recovery pin) - så kan det være ret fedt.

Det er sådan vi bruger yubikeys i mit firma. Fungerer super fedt - og vi har slået slået "touch" krav til (som yubikey understøtter) - så key'en gør ingenting før nogen fysisk rører den oplåste nøgle (så hvis nogen får adgang til min maskine og forsøger at lave en key-operation - vil den 'blinke og vente på mig' - og det vil kræve en noget svær timing for dem at ramme lige en situation hvor jeg så vil vælge at røre nøglen fordi jeg er igang med min egen operation..

Det er nok noget af det sikreste du kan være - uden at have en seperat "computer" til at vise "det du er ved at godkende".. som jeg forstår bankID i tyskland gør ? (men begrænset til overførsler mv.)

  • 2
  • 0
#38 Deleted User

Jeg tvivler stærkt på, at det kan bringes til at være andet end en erstatning for papkortet eller nøgle-viseren. Altså en "smart papkort (tm)".

Hvad værre er, så kan du sikkert slet ikke undvære den almindelige løsning, for denne løsning vil næppe virke med andet end OCES så dermed ikke med Netbank osv.

Lidt som at sige "Du kan godt få dette pengeskab med en elektronisk lås der er designet så INGEN kan åbne den uden din kode....Men vi sætter lige en almindelig diskette-kasse-lås i som backup"

  • 1
  • 0
#39 Albert Nielsen

Citat fra artiklen: "I denne forbindelse er der tale om at erstatte papkortet med en app til mobiltelefoner,"

Jeg ser frem til at få en app, som kan installeres på min fastnettelefon.

Hvem melder sig til at kode en sådan?

Jeg har nemlig ikke tænkt mig at spilde penge på at anskaffe en smartphone for at kunne læse breve fra det offentlige.

  • 2
  • 1
#48 René Pagh

Ud over alle de åbenlyse fejl der er i løsningen ville nu også være rart hvis man rent faktisk kunne se at det er en "NemID" boks man taster ind i... Nu hvor "alle" korttransaktioner skal godkendes med NemID og flere og flere hjemmesider kommer på "log ind med NemID hos os" er det blevet næsten umuligt at validere om det er en ægte loginside.

Jeg så gerne at det blev segmenteret lidt mere så jeg kunne gå ind på en portal og der logge ind med mit digitale id så jeg ikke skal side og gætte på om den her side nu faktisk er med i NemID samarbejdet.

Alt hvad der så er ud over det, må benytte en anden løsning som kunne være et certifikat genereret ud fra mit "hovedcertifikat" som jeg kan styre selv.

Man anbefaler ikke at bruge det samme password på alle hjemmesider, uanset hvor sikkert det er.... så hvorfor bruge det samme "certifikat"

  • 4
  • 0
#49 Deleted User
  • 0
  • 0
#50 Claus Bruun

Jeg har også USB/ePass løsningen.

Som jeg forstår det er der tre systemer:

  1. Selve SingleSignon-løsningen med papkort/nøgleviser/smartphone. Denne løsning bruger bankerne direkte uden OCES er involveret.

  2. Den centrale OCES: Hvis man har "aktiveret OCES" i det centrale system kan OCES certificatet udleveres til andre webservices efter man har lavet SingleSignon.

  3. USB/ePass med OCES nøgle direkte på USB nøgle, som kan bruges, hvis man indtaster korrekt pinkode localt på sin PC.

Det betyder, hvis man skal tale med sin bank, SKAL man bruge SingleSignon løsningen, da bankerne ikke kan bruge OCES til noget.

Hvis man skal bruge et website, som bruger OCES kan man enten få adgang via SingleSignon med OCES eller ved at bruge sin ePass med PINkode. Desværre ligger der to forskellige implementeringer bag disse metoder, og langt de fleste private web sites besværer sig kun med at implementere SingleSignon+OCES, hvorfor man ikke kan komme ind, selv om man har et validt certificat på sin ePass :-(

Rigtige offentlige websites, som sundhed.dk, borger.dk mf bruger dog NemLogin, som implementere begge dele. Men f.eks. Eboks gør ikke, hvorfor man med ePass kun kan få adgang til sin digitale post via borger.dk, og de ekstra services, som fx. aktivering af smartphone-eboks kan ikke bruges, da man skal aktivere løsningen ved at logge ind på eboks.dk.

  • 1
  • 0
#51 Bjarne Nielsen

Man anbefaler ikke at bruge det samme password på alle hjemmesider, uanset hvor sikkert det er.... så hvorfor bruge det samme "certifikat"

Nu sætter du certifikat i anførselstegn, så du ved det nok godt, men for andre skyld:

Det er ikke certifikatet som sådan, der virker som password. Et password er noget hemmeligt, og der er ikke noget hemmeligt i et certifikat (medmindre at du gerne vil være hemmelig, men det er en helt anden snak).

Certifikater er som underskrevne dokumenter med laksegl fra notaren, hvor din underskrift står sammen med en besked om, at den tilhører dig (her antager vi så, at alle kan genkende din underskrift, men at kun du kan lave den - spørg f.eks. Andre Lublin om, hvordan det virker i praksis :-) ).

De dokument kan du så vise, når du gerne vil ind et nyt sted, hvorefter de så giver dig et stykke papir og siger: vis os, at du kan skrive under her.

Her deler du ikke hemmeligheden, men du viser, at du kan bruge den. Til forskel fra et password, hvor du er nødt til at dele hemmeligheden. Og en hemmelighed, som er blevet delt, er ikke længere en hemmelighed med et rygte.

Det betyder så ikke, at den problemstilling, som du rejser her, ikke er yderst relevant - for det er den. For hvordan kan du vide, at den hjemmeside, som du tror tilhører Herlev Bibliotek, nu også er Herlev Bibliotek, og ikke har er forbrydere i forklædning, så snyder dig til at bruge din hemmelighed, så de kan forgive at være dig overfor f.eks. din bank?

Se f.eks. denne omtale af problemstillingen fra 2011: https://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396

Så jeg forstår heller ikke, hvorfor nemid-login skal embeddes her og der og alle vegne.

PS: Man kunne sådan set også godt lave et certifikat på et password. Så ville der stå, at direktøren siger, at jeg skal lukkes ind, hvis jeg kunne sige "42". Man kunne så tage det frem, og spørge, hvad siger du? "42" ville jeg så svare. Men så skulle man godt nok passe godt på det certifikat, så jeg kunne ikke have det med selv ... og på at andre ikke lyttede med. Så nej, det gør man ikke.

Men pointen er, at certifikatet ikke er beviset, certifikatet er et verificeret (og vanskeligt forfalskbart) statement som knytter evnen til at føre bevis sammen med en identitet.

  • 1
  • 0
Log ind eller Opret konto for at kommentere