Dette indlæg er alene udtryk for skribentens egen holdning.

Kortslutning af NemID

Af Axel Kellermann18. august 2014 kl. 14:2110
Artiklen er ældre end 30 dage

For tiden diskuteres der meget omkring sikkerhed og vores personlige data. I den anledning havde jeg en oplevelse, der tydeligt viser at sikkerhed ikke er en del af tankegangen inden for hele IT-verdenen.

'Jeg skulle bestille en tid hos min praktiserende læge. På vej ind i Aftalebogen.dk bliver jeg bedt om at logge ind med NemID – helt som forventet.

Da det er første gang, skal jeg selvfølgelig opgive nogle oplysninger, som de ikke har i forvejen, hvilket er helt i orden.

Jeg studsede meget over at jeg skulle lave et brugernavn og password. Da jeg loggede ind ved hjælp af NemID ignorerede jeg det i første ombæring, da jeg ikke fandt det nødvendigt. Det viste sig at være obligatorisk.

Artiklen fortsætter efter annoncen

Jeg droppede bestillingen, da jeg synes det vær mærkeligt, unødvendigt, en form for kortslutning af NemID og åååh nej nu et login mere. Så ville jeg bestille tid via telefonen som jeg gjorde sidst tilbage i 2010.

Efter at have tænkt over det i nogle dage, ville jeg alligevel prøve for at se hvor meget de gjorde ved sikkerheden. Jeg skulle oprette mig med et selvvalgt brugernavn og password (password: min. 7 karaterer og casesensitivt – surprise!!). Til min meget store overraskelse var der ingen kompleksitetskrav til dette password.

Jeg kan ikke overskue, hvilke data dette brugernavn/password giver adgang til, men det er jo hele humlen, at de altid – hvis de skal være der – skal være af en høj kvalitet (længde og kompleksistet).

Hvorfor ikke kun bruge NemID? – når vi nu har den.

For lige at færdiggøre den manglende sikkerhed på dette site, så er logud muligheden ikke til stede hele tiden og når den er, er den ikke særlig tydelig og den logger alligevel ikke en ud fra sitet.

Som afslutning vil jeg mene at man som IT-fagperson altid skal implementere god praksis og være med til at ”uddanne” befolkningen til denne gode praksis. Denne hjemmeside mangler meget i denne sammenhæng.

For øvrigt kan man bestille tid helt uden at logge ind, hvilket jeg som læge/tandlæge ville være utryg ved , da det må give mulighed for SPAM bestillinger!

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
19. august 2014 kl. 09:43

Jeg synes der er 2 ting i dette:

  • Aftalebogens implementering af systemet
  • NemID som identifikation af en borger

Aftalebogens implementeringHer er der 2 vigtige ting der mangler:

  • Passwords skal altid være stærke
  • Man skal altid fortælle hvilke data de beskytter, så man som bruger er helt klar over hvad man har imellem hænderne

NemID som identifikation af en borgerSpørgsmålet er om det er udbyder, bruger eller samfundet der skal betale gildet. For mig er det et af de nye elementer af grundlæggende infrastruktur der skal have en så stor udbredelse som muligt og dermed skal finansieres på en hensigtsmæssig måde. Der synes jeg at man skal fra politisk hold ind og gøre op med sig selv hvordan denne finansiering skal være og hvordan den indvirker på udbredelsen. I dette tilfælde er disse beslutninger lagt ud til tilfældige læger, tandlæger og IT-firmaer, som selvfølgelig først tænker på deres egen økonomi. Er det hensigtsmæssigt?

5
19. august 2014 kl. 08:51

Min læge bruger systemet Lægevejen.dk. Her er slet ingen NemID. Hvis man har glemt sin adgangskode, får du fluks en ny per ukrypteret mail. Kækt.

4
18. august 2014 kl. 23:13

Jeg forstår til fulde Aftalebogen, og hvorfor skal NemId overhovedet udbydes af NETS og til en betaling af 3kr pr. unikke bruger eller 1kr pr. session.

Hvorfor overhovedet bruge NemId til andet end førstegangsidentifikation på websider som ikke opbevarer personfølsomme data? Bare implementeringen af NemId er en ganske bekostelig affære og kræver stor ekspertise.

Hvorfor overhovedet bruge NemId for at bestille tid hos lægen? Man afleverer jo alligevel sygesikringskortet til sekretæren, og hvem skulle dog finde på at nappe sygesikringskortet blot for at gå til lægen.

En smule realitetssans kan være påkrævet for at komme igennem livet.

3
18. august 2014 kl. 21:32

Er det overhovedet muligt at logge ud af NemID?

Tidligere var der da nogle problemer i den retning?

2
18. august 2014 kl. 16:05

Det er da ikke NemId der kortsluttet her, men nærmere kompetencerne hos A-Data der er kortsluttet og helt brændt sammen. A-data bruger formodentlig ikke NemId mere end højst nødvendigt pga prisen pr login.

Jeg håber at A-Data er blevet oplyst om denne mangel på basal implementering af log ind/ud

1
18. august 2014 kl. 15:36

såvidt jeg ved, så har NemID et gebyr for brug - så hvis de betaler hver gang en kunde logger ind - så kan man jo godt forstå de bruger NemID til at oprette en lokal bruger - så de ikke får gebyrer hver gang. Læger er jo privatpraktiserende og dermed selvstændige virksomheder.

Forhåbentlig har de ikke vores journaler eller anden tilgængeligt via websitet :)

7
19. august 2014 kl. 16:29

</p>
<ul><li>så hvis de betaler hver gang en kunde logger ind - så kan man jo godt forstå de bruger NemID til at oprette en lokal bruger - så de ikke får gebyrer hver gang.
Læger er jo privatpraktiserende og dermed selvstændige virksomheder.

Der spares ikke noget (udover papkort-forbrug) ved at lave et alternativt lokalt login. Tjenesteudbydere (som her Aftalebogen) må nemlig ikke umiddelbart benytte autentifikationen af en bruger til at videregive oplysninger til forskellige læger. Se punkt 5.10 - 5.11 i NETS tjenesteudbydervilkår:

*5.10: Certifikater fra Nets DanID må ikke bruges til at generere eller signere Certifikater for andre eller i øvrigt danne grundlag for identifikation overfor tredjemand.

5.11: Tjenesteudbyder er indforstået med, at Nets DanID’s ydelser ikke må videreføres eller benyttes til at gennemstille Bruger til anden Tjenesteudbyder, hvorved denne Tjenesteudbyder får mulighed for at benytte den forudgående autentifikation foretaget med brug af NemID med mindreandet aftales. Aftale om gennemstilling forudsætter, at den Tjenesteudbyder, der gennemstilles til også har indgået en Tjenesteudbyderaftale med Nets DanID, og at der afregnes transaktionsvederlag pr. Bruger .Ved en anden Tjenesteudbyder forstås en virksomhed, institution, organisation med et CVR-nummer, der er forskelligt fra det, som denne Aftale vedrører.*

8
21. august 2014 kl. 16:26

Hej, ingen af de to punkter ser ud til at forbyde oprettelsen af lokale brugere på baggrund af Nemid-autentifikation. De omhandler deling af autentifikation med andre udbydere, eller udstedelse af certifikater med Nemid-certifikater som rod.

10
21. august 2014 kl. 17:03

Hej, ingen af de to punkter ser ud til at forbyde oprettelsen af lokale brugere på baggrund af Nemid-autentifikation. De omhandler deling af autentifikation med andre udbydere, eller udstedelse af certifikater med Nemid-certifikater som rod.

Enig med at der ikke er noget problem med oprettelse af lokale brugere, sådan som f.eks. DBA også benytter systemet.

Det er videregivelsen af autentifikationsresultatet til den enkelte selvstændige læge, der er problemet: "Hej læge, vi kan med NemID sikkerhed bekræfte at det er personen med CPR-nummer xxxxxx-xxxx, der er oprettet i din kalender til d. dd-mm-åå kl. hh:mm" Der er altså startet en session hos lægen, som f.eks. berettiger denne til at slå patientens data op. Hvis der blot blev indsat en anonym booking i lægens kalender - eller kun brugerens egne ("self-asserted") oplysninger - ville det være en anden sag.