axel kellermann bloghoved

Kortslutning af NemID

For tiden diskuteres der meget omkring sikkerhed og vores personlige data. I den anledning havde jeg en oplevelse, der tydeligt viser at sikkerhed ikke er en del af tankegangen inden for hele IT-verdenen.

'Jeg skulle bestille en tid hos min praktiserende læge. På vej ind i Aftalebogen.dk bliver jeg bedt om at logge ind med NemID – helt som forventet.

Da det er første gang, skal jeg selvfølgelig opgive nogle oplysninger, som de ikke har i forvejen, hvilket er helt i orden.

Jeg studsede meget over at jeg skulle lave et brugernavn og password. Da jeg loggede ind ved hjælp af NemID ignorerede jeg det i første ombæring, da jeg ikke fandt det nødvendigt. Det viste sig at være obligatorisk.

Jeg droppede bestillingen, da jeg synes det vær mærkeligt, unødvendigt, en form for kortslutning af NemID og åååh nej nu et login mere. Så ville jeg bestille tid via telefonen som jeg gjorde sidst tilbage i 2010.

Efter at have tænkt over det i nogle dage, ville jeg alligevel prøve for at se hvor meget de gjorde ved sikkerheden. Jeg skulle oprette mig med et selvvalgt brugernavn og password (password: min. 7 karaterer og casesensitivt – surprise!!). Til min meget store overraskelse var der ingen kompleksitetskrav til dette password.

Jeg kan ikke overskue, hvilke data dette brugernavn/password giver adgang til, men det er jo hele humlen, at de altid – hvis de skal være der – skal være af en høj kvalitet (længde og kompleksistet).

Hvorfor ikke kun bruge NemID? – når vi nu har den.

For lige at færdiggøre den manglende sikkerhed på dette site, så er logud muligheden ikke til stede hele tiden og når den er, er den ikke særlig tydelig og den logger alligevel ikke en ud fra sitet.

Som afslutning vil jeg mene at man som IT-fagperson altid skal implementere god praksis og være med til at ”uddanne” befolkningen til denne gode praksis. Denne hjemmeside mangler meget i denne sammenhæng.

For øvrigt kan man bestille tid helt uden at logge ind, hvilket jeg som læge/tandlæge ville være utryg ved , da det må give mulighed for SPAM bestillinger!

Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Klavs Klavsen

såvidt jeg ved, så har NemID et gebyr for brug - så hvis de betaler hver gang en kunde logger ind - så kan man jo godt forstå de bruger NemID til at oprette en lokal bruger - så de ikke får gebyrer hver gang.
Læger er jo privatpraktiserende og dermed selvstændige virksomheder.

Forhåbentlig har de ikke vores journaler eller anden tilgængeligt via websitet :)

  • 3
  • 1
Michael Olesen

Det er da ikke NemId der kortsluttet her, men nærmere kompetencerne hos A-Data der er kortsluttet og helt brændt sammen.
A-data bruger formodentlig ikke NemId mere end højst nødvendigt pga prisen pr login.

Jeg håber at A-Data er blevet oplyst om denne mangel på basal implementering af log ind/ud

  • 2
  • 0
Janus Knudsen

Jeg forstår til fulde Aftalebogen, og hvorfor skal NemId overhovedet udbydes af NETS og til en betaling af 3kr pr. unikke bruger eller 1kr pr. session.

Hvorfor overhovedet bruge NemId til andet end førstegangsidentifikation på websider som ikke opbevarer personfølsomme data?
Bare implementeringen af NemId er en ganske bekostelig affære og kræver stor ekspertise.

Hvorfor overhovedet bruge NemId for at bestille tid hos lægen? Man afleverer jo alligevel sygesikringskortet til sekretæren, og hvem skulle dog finde på at nappe sygesikringskortet blot for at gå til lægen.

En smule realitetssans kan være påkrævet for at komme igennem livet.

  • 8
  • 0
Axel Kellermann

Jeg synes der er 2 ting i dette:

  • Aftalebogens implementering af systemet
  • NemID som identifikation af en borger

Aftalebogens implementering
Her er der 2 vigtige ting der mangler:
- Passwords skal altid være stærke
- Man skal altid fortælle hvilke data de beskytter, så man som bruger er helt klar over hvad man har imellem hænderne

NemID som identifikation af en borger
Spørgsmålet er om det er udbyder, bruger eller samfundet der skal betale gildet.
For mig er det et af de nye elementer af grundlæggende infrastruktur der skal have en så stor udbredelse som muligt og dermed skal finansieres på en hensigtsmæssig måde. Der synes jeg at man skal fra politisk hold ind og gøre op med sig selv hvordan denne finansiering skal være og hvordan den indvirker på udbredelsen.
I dette tilfælde er disse beslutninger lagt ud til tilfældige læger, tandlæger og IT-firmaer, som selvfølgelig først tænker på deres egen økonomi.
Er det hensigtsmæssigt?

  • 2
  • 1
Henrik Biering Blogger

Der spares ikke noget (udover papkort-forbrug) ved at lave et alternativt lokalt login. Tjenesteudbydere (som her Aftalebogen) må nemlig ikke umiddelbart benytte autentifikationen af en bruger til at videregive oplysninger til forskellige læger. Se punkt 5.10 - 5.11 i NETS tjenesteudbydervilkår:

*5.10: Certifikater fra Nets DanID må ikke bruges til at generere eller signere Certifikater for andre eller i øvrigt danne grundlag for identifikation overfor tredjemand.

5.11: Tjenesteudbyder er indforstået med, at Nets DanID’s ydelser ikke må videreføres eller benyttes til at gennemstille Bruger til anden Tjenesteudbyder, hvorved denne Tjenesteudbyder får mulighed for at benytte den forudgående autentifikation foretaget med brug af NemID med mindreandet aftales. Aftale om gennemstilling forudsætter, at den Tjenesteudbyder, der gennemstilles til også har indgået en Tjenesteudbyderaftale med Nets DanID, og at der afregnes transaktionsvederlag pr. Bruger .Ved en anden Tjenesteudbyder forstås en virksomhed, institution, organisation med et CVR-nummer, der er forskelligt fra det, som denne Aftale vedrører.*

  • 0
  • 0
Henrik Biering Blogger

Hej, ingen af de to punkter ser ud til at forbyde oprettelsen af lokale brugere på baggrund af Nemid-autentifikation. De omhandler deling af autentifikation med andre udbydere, eller udstedelse af certifikater med Nemid-certifikater som rod.

Enig med at der ikke er noget problem med oprettelse af lokale brugere, sådan som f.eks. DBA også benytter systemet.

Det er videregivelsen af autentifikationsresultatet til den enkelte selvstændige læge, der er problemet: "Hej læge, vi kan med NemID sikkerhed bekræfte at det er personen med CPR-nummer xxxxxx-xxxx, der er oprettet i din kalender til d. dd-mm-åå kl. hh:mm" Der er altså startet en session hos lægen, som f.eks. berettiger denne til at slå patientens data op. Hvis der blot blev indsat en anonym booking i lægens kalender - eller kun brugerens egne ("self-asserted") oplysninger - ville det være en anden sag.

  • 0
  • 0
Log ind eller Opret konto for at kommentere