NEMID hvordan 4/mange

Af 11

Følgetonen fortsætter:

Første afsnit var om gammel historie.

Andet afsnit om CPRs historie.

Tredje afsnit om Digtal Signatur.

Nu er vi nået til NemID som vi kender den idag og hvorfor den endte som den gjorde.

Lad os tage det gode først:

Man indså at der skulle en eller anden tofaktor authentikator til og lavede det berømte papkort.

Papkortet deler vandene men jeg har endnu ikke mødt nogen der ikke synes det var den rigtige løsning til bedsteforældre og andre IT-analfabeter.

Papkortet er til at forstå, til at forklare, relativt billigt i drift og derfor meget, meget sikkert.

Den absolut største sikkerhedstrussel er nemlig altid at brugerne ikke forstår sikkerhedsdesignet og derfor tager forkerte valg som åbner ladeporte.

Hat-tip for papkortet, men æres den som æres bør: Mig bekendt var Jyske Bank de første med den løsning til "almindelige mennesker" i Danmark.

Men der er også en masse dårlige valg i den nuværende NemID.

F.eks at papkortet er eneste løsning. Det er f.eks ikke ret smart til blinde, forskere på indlandsisen og mange andre små men ikke derfor ligegyldige befolkningsgrupper.

Efter lang tid kom der et alternativ, en "nøgleviser" man kunne betale for i dyre domme, primært sigtet imod erhvervsanvendelse hvor man kunne løbe igennem et nøglekort på få dage, men den var dyr, dårlig og alt, alt for sent ude.

Valget af Java for at lave en obfuskeret formular i browsere gik præcis som kloge folk i branchen forudsage: Et helvede af kompabilitets og vedligeholdelsesproblemer.

Den største fejl var imidlertid at man udliciterede opgaven til en privat virksomhed, frem for at køre den som en intern statslig service.

Et EU-udbud gør alting dyrere, mindre flexibelt og mindre sikkert: Hver gang der er den mindste sten på vejen ender det i forhandlinger om kontraktens ordlyd og mening, frem for den bedste løsning af problemet.

Nets/NemID har til overflod bevist alle tre dele igen og igen.

Som konsekvense af at EU-udbudet og privatiseringen gjorde det hele dyrere måtte man gå på kompromis: Single-point-of-failure, brugerbetaling for "avanceret brug" osv. osv. osv.

Single-point-of-failure valget er klart det mest katastrofale og det var meget tæt på at være fatalt for NemID da Java begyndte at falde fra hinanden.

I hele verden lød advarslen "Bare afinstaller Java!" men ikke i Danmark, endelig ikke i Danmark, for vi havde, trods advarslerne, puttet alle vores æg i den kurv.

At en javascript løsning skulle tage måneder og millioner kan kun have sin basis i kontrakturelle idiotier, det blev gjort på uger af en udenforstående.

Brugerbetalingen var også katastrofalt, for det holdt alle iværksættere og IT-nørder udenfor. Danskere er allergiske overfor alt hvad der hedder forbrugsbetaling, Internet forbruget i Danmark blev f.eks næsten fordoblet da Cybercity i sin tid introducerede "flat-rate".

At holde nørderne udenfor, i det hele taget at gøre alt hvad man kunne for at stryge dem imod hårene, gav en frygtelig masse larm ved introduktionen og i stedet for at anbefale den forbedrede to-faktor sikkerhed advarede mange IT-folk imod NemID pga. af lukketheden, hemmelighede og usikkerheden.

Helt ærlig: Hvor meget anderledes havde holdningen ikke været hvis NemID kunne bruges sammen med PGP ?

For papkort brugerene er der ingen vej udenom at lagre certifikaterne centralt, men at tvinge alle til at gøre det på en måde der stank langt væk af overvågningssamfund var ikke noget smart træk rent salgsmæssigt.

Tvangsrudrullningen via bankerne kan man diskutere visdommen i: Det er altid bedre at lave noget godt nok til at folk selv beder om det, end at presse det ned i halsen på dem med magt.

Her kommer hele projektmodellen ind i billedet: Når man kun laver en løsning for få år ad gangen skal der naturligvis bruges tvang for at kunne nå at kalde det en success. Hvis man i stedet havde valgt at lave en "evighedsløsning" og drevet den selv, kunne man lade indfasningen ske mere naturligt og få rettet børnsygdommene inden der er for mange brugere på.

Datamodellen er heller ikke smart: For hver rolle man spiller skal man have en forskellig NemID konto. Blandt professionelle bestyrelsesmedlemmer er der folk der snart kan spille mausel med papkort og selv mit enmandsfirma har resulteret i at jeg har modtaget fem papkort, et af hvilke jeg aldrig rigtig har fundet ud af hvad jeg egentlig skal bruge til.

Og sidst men ikke mindst, en detalje jeg ikke havde hørt før: Varemærket "NemID" ejes 50/50 af Digitaliseringsstyrelsen og Nets. Hvordan nogen overhovedet kan gøre noget så tåbeligt når man ved at der er en migrering om ganske få år er hindsides min fatteevne. Lur mig om det ikke kommer til at koste en mindre formue at få lov til at kalde efterløseren "NemID" hvis Nets ikke vinder kontrakten. (Guderne forbyde at dét sker.)

Rigtig mange af disse dumheder var allerede blevet afsløret under Digital Signatur forløbet, men fortsat med stor entusiasme under NemID, med helt forudsigelige resultater.

Et meget stort problem her er at det tilsyneladende er en naturlov at staten ikke kan lave IT-drift om så deres liv afhang af det. Indtil mødet hos V2 havde Digitaliseringsstyrelsen tilsyneladende end ikke overvejet muligheden for bare at lave NEMID2 selv og slippe for EU-udbudshelvedet.

Det er gået helt hen over hovedet på de fleste at den primære grund til at de åbne grunddata blev en kanon-success for geodatastyrelsen, er at de har en ualmindelig kompetent IT afdeling der er kendt i den store verden for den Open Source software de står bag.

Hvor meget det end kunne være gjort bedre, skal det retfærdigvis slås fast at NemID var en god og rettidig forbedring af sikkerheden for danske borgere.

Net-bank-fusk er f.eks reduceret til næsten udelukkende at være et spørgsmål om efterkommere der "tager forskud på arven" og startskudet til skilsmissesager.

Men det kunne være gjort så meget bedre og billigere.

Det må og skal være målet for NEMID2 og jeg er glad for at de fire fra Digitaliseringsstyrelsen virkede som om de havde samme mål.

Men de arbejder under et politisk system og en lovgivning som kan kræve at borgerne og særligt vælgerne giver dem en hjælpende hånd (eller kryds) hvis det skal blive realiteter.

Specielt skal vi ud over "alt skal udliciteres til private virksomheder" idiotien.

fortsættes...

phk

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Jensen

Net-bank-fusk er f.eks reduceret til næsten udelukkende at være et spørgsmål om efterkommere der "tager forskud på arven" og startskudet til skilsmissesager.

Virkelig? Jeg havde indtryk af at det faldt i starten, men voksede gevaldigt senere. Jeg tilskrev det initielle fald, at de IT-kriminelle lige skulle se teknologien an, skrive nye tools og at niveauet derefter ville normalisere sig igen.
Anekdote: Før NemIDs indtræden, kendte jeg ingen der havde fået stjålet penge af IT-kriminelle. Efter NemID er der to i min familie der er blevet bestjålet.

Lars Skovlund

Net-bank-fusk er f.eks reduceret til næsten udelukkende at være et spørgsmål om efterkommere der "tager forskud på arven" og startskudet til skilsmissesager.

Ja, man har jo begået den genistreg at inddele fusk med NemID i to: fusk med og uden økonomisk tab. Hvor førstnævnte er den type hvor banken må til lommerne og holde borgeren skadesløs, mens sidstnævnte er den hvor borgeren selv står med håret i postkassen og må udrede trådene efter identitetstyveri.

Jens Henrik Sandell

"...at staten ikke kan lave IT-drift om så deres liv afhang af det."

Ja, der må være mange tykpandede Vogoner i statens institutioner, som ikke vil drifte åbenlyse "statsopgaver".

Nede på kommunens Borgerservice, blev jeg fotograferet /digital/ til mit nye pas. Billedet indsendes via internettet til trykkeriet. Men jeg fik alligevel et printet ark med 4 små grimrianner med hjem; til den fine pris af 120 kroner. Hva' fanden skal jeg med dem?

Konklusionen er, at de kvajpander der har udliciteret fotokioskløsningen, har anerkendt det fiktive behov for at have 4 skod-billeder at dele ud til familien.

Jens Henrik Sandell

A:
Hvad skal vi nu kalde barnet?
Jeg synes at "NemID" var et fremragende valg. Ligeså skidt er "NemID2".

V2's læsere opfordres til navnekonkurrence... (nej det er ikke alvorligt ment.)

B: Angående certificering.
Som PHK og andre allerede har konkluderet, så dur obfuskering ikke som kvalitetsmærke for sikkerhed.

Hvordan skal NEMID2 løsningen certificeres?
Skal det være en fuldt offentlig konkurrence á la AES/NIST?

René Paw Christensen

F.eks at papkortet er eneste løsning. Det er f.eks ikke ret smart til blinde, forskere på indlandsisen og mange andre små men ikke derfor ligegyldige befolkningsgrupper.

Det passer rett og slett ikke. Jeg bestilte fra dag ett en Nem ID løsning "for blinde og svakseende", jeg gjorde det selv på hjemmesiden innen banken begynte å sende ut Nem ID. Man kunne også velge et extra stor pappkart.

Det vil sige at når jeg skal ha en kode, ringer telefonen og siger "Nem ID har ringet til deg, trykk på * for at få opplest koden". Det funker bra og jeg har vært svært nøyd.

Eneste ulempe er at jeg ikke kan bruke bank på telefon, da den jo ringer når jeg skal bekrefte. Men jeg bruker computer og nettbrett så det er ikke noe problem.

Så jeg har aldri hatt pappkart. Kodeviser (token) er for stor og ha med seg, men jeg ville velge den fremfor pappkart.

Jesper Poulsen

Kodeviser (token) er for stor og ha med seg, men jeg ville velge den fremfor pappkart.


Jeg har sådan en kodeviser (til Blizzard). Det er noget skrammel. Under langt de fleste lysforhold er det umuligt at aflæse numrene - især hvis man er mindre godt seende.
Jeg har et stort papkort til netbank.

Til NemID OCES har jeg "NemID på hardware" (et krypto-token).

Gert Madsen

Bankernes egne tal viser at netbank-indbrud faldt til 0, det seneste halvår INDEN NemID blev lanceret.

Så en påstand om sammenhæng mellem NemID og fald i indbrud i netbank, begynder med en forklaring om hvordan et system kan beskytte inden det faktisk er implementeret.

Jarnis Bertelsen

Designmæssigt var det problematisk at koble NemID sammen med netbank løsningerne. Det har i høj grad dikteret at det primært må være en single-sign-on løsning og digital signatur-delen er besværlig og unødigt kompliceret.

Det gode ved netbank koblingen var/er at næsten alle bruger netbank regelmæssigt. Det betyder både noget for (tvangs)udbredelsen, men specielt vigtigt er det, at de fleste benytter løsningen ofte nok til at have en chance for at huske deres kodeord fra gang til gang. Det var et af problemerne for digital signatur v1: Folk glemte i stor stil deres kode fordi de meget sjældent brugte den. Som de fleste har jeg gudskelov ikke kontakt med det offentlige mere end et par gange om året, hvilket ikke er nok til at jeg lærer koden udenad.

Jeg så meget gerne at NemID2 kom helt ud a bankernes kontrol. Det er ok hvis den valgte løsning bliver så god at bankerne også vælger at bruge den, men den skal ikke være designet primært for dem, og de skal helst intet have med driften at gøre. Men hvordan får vi løsningen udbredt nok til at man bruger koden før man glemmer den?

Morten Jensen

@Thomas Hansen

Nysgerrig: Hvordan er det sket?

Jeg har ikke haft lejlighed til at undersøge det videre. Formentligt vha. en trojan. I begge tilfælde er det sket lige efter login og almindelig bankaktivitet, så de har vel hijacket sessionen og kørt videre på den eller brugt version2s metode. Et af tilfældene var en firmakonto der blev lænset for godt en halv million dkr. Jeg ved ikke hvad status er pt., politiet opgav at efterforske det i løbet af nogle dage.

Undskyld svartiden, jeg fulgte ikke tråden..

Log ind eller Opret konto for at kommentere
Tip redaktionen