Dette indlæg er alene udtryk for skribentens egen holdning.

MitID: Første kig

64 kommentarer.  Hop til debatten
Ole Tange og MitID kodeviser
Illustration: (CC-By-SA) Ole Tange.
Blogindlæg12. oktober 2021 kl. 09:30
errorÆldre end 30 dage

Jeg har som den eneste i min omgangskreds ikke fået brev om MitID, men jeg kan forstå, at NemID skal udskiftes i løbet af 2022.

Når man bestiller MitID, så fornemmer man, at de meget gerne vil have, at man bruger appen. Men jeg kan godt lide, at ikke alle æg er i een kurv, og fundamentalt kan jeg godt lide, at man ikke kan sidde i Rusland og bryde ind på min smartphone og via den overtage min identitet. Der er i forvejen alt for mange æg i dén kurv.

Så jeg har valgt at få en kodeviser.

Artiklen fortsætter efter annoncen

Det betyder også, at jeg ikke får problemer:

  • hvis min telefon løber tør for strøm
  • hvis næste version af appen ikke længere understøtter min telefon (Det skete i går for mig med NemID)
  • hvis min telefon bliver væk/stjålet/går itu
  • hvis jeg befinder mig et sted med dårlig mobildata dækning (f.eks. på en internetcafe på Bohol, der ikke har wifi)

Oprettelsen var nogenlunde smertefri: Først går man online, herefter skal man hente en dimsen hos Borgerservice (hvor man også viser pas/kørekort) og slutteligt logger man så ind og kobler dimsen til ens MitID.

Jeg var den første i Borgerservice, der bad om en kodeviser. Så de var noget rundt på gulvet, men fandt dog til sidst ud af, hvad de skulle gøre.

Kodeviseren er et ur, der ud fra tidspunktet og et salt genererer et tal, når man trykker på knappen. Hvis du har haft RSA's SecurID, så kender du princippet.

Det er lykkedes mig at logge ind med kodeviseren, og jeg har også fundet første bug: Man kan ikke se hvilken vej kodeviseren vender. Og visse tal (f.eks. 865922) kan læses som et andet tal, hvis viseren vender på hovedet (f.eks. 226598). Det kan løses ved at markere "op" på den.

64 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
64
20. december 2021 kl. 15:08

Omvendt kan man fint bruge en moderne FIDO2 nøgle fra Feitian eller Yubico m.fl. da de også kan den ældre U2F standard.

@peter L: betyder det så at jeg kan få fat i min private MitID nøgle og placere den på min egen indkøbte Yubikey (lidt farligt dog)? eller får lov at udstede en ny direkte på yubikey'en og fortælle mitid at det er min private nøgle?

Ellers kan jeg ikke helt se hvordan man kan bruge en yubikey til MitID ?

63
17. december 2021 kl. 11:47

Vær dog opmærksom på, at den tilbudte model ikke undferstøtter FIDO2 (den kan kun den gamle U2F standard) og dermed kun begrænset vil kunne bruges til fremtidig login på andre websites (fx Microsoft.com / Azure / Office 365). Omvendt kan man fint bruge en moderne FIDO2 nøgle fra Feitian eller Yubico m.fl. da de også kan den ældre U2F standard.

62
1. november 2021 kl. 12:57

Det at de har slået notifikationer fra er en pinlig lappeløsning. Jeg skal ikke have MitID før de genindfører løsen.

Der er – trods alt – password hvis du bruger token/keyfob. Så hvis man fravælger appen er der nogenlunde sikkerhed?

Jeg er dog godt nok ikke imponeret over deres valg. Ja, keyloggers der kan opsnappe passwordet er da et reelt problem, men der har vi jo hele pointen med MFA – ekstra beskyttelse, hvis passwordet bliver opsnappet.

61
1. november 2021 kl. 07:42

Danmarks IT-medie, DR, er på sagen: https://www.dr.dk/nyheder/penge/mitid-skulle-vaere-mere-sikkert-nu-saar-eksperter-tvivl-det-er-en-skidt-loesning

Og det er vitterligt underligt, at mitid-folket gør så meget ud af at kalde det et brugernavn, men samtidig taler om, at det skal skal have en ikke-triviel kompleksitet, og ikke umiddelbart må være til at gennemskue.

Er det et brugernavn eller er det et password? Er det noget, som må ses, eller skal vi i videst muligt omfang holde det hemmeligt? Det virker lidt som med cprnr, som gudoghvernand kender, men som man ikke må dele (i hvertfald ikke politikeres) og som kan have vidtgående sikkerhedsmæssige konsekvenser.

Jeg skal ikke have MitID før de genindfører løsen.

God fornøjelse med det. Du har imho fat i noget, og jeg beundrer dit engagement, men der er gode odds for at blive kørt over.

60
31. oktober 2021 kl. 22:18

Jeg undrer mig at ingen i debatten har noteret sig at MitID er en 1-faktor-løsning. Man har droppet løsenet, så man indtaster kun et brugernavn. Problemet er bare at brugernavnet er unikt, og når man opretter sig får man at vide, hvis et brugernavn er taget.

En faktor i et to-faktor-logind er enten noget kun brugeren ved, kun brugeren har eller kun brugeren er. Da brugernavnet kan afsløres via opret bruger-formularen, er det ikke noget kun brugeren ved. Det skal man antage alle ved. Så er app/kodeviser den eneste faktor tilbage.

Man kan altså derfor tvinge hr. og fru Jensens app til anmode om adgang i tide og utide, fordi der ingen begrænsning er på anmodningen (jeg antager dog de har noget trafikbegrænsning), og er man heldig bider de på uden at de selv noterer sig hvad de er ved at godkende, måske fordi de var i gang med at logge ind via MitID. (De færreste brugere tjekker efter, at det de godkender faktisk er det de havde tænkt sig at godkende.) Og så kan om muligt få adgang til deres MitID-opsætning, og ændre på det hele, eller bare flænse deres bankkonto.

Det at de har slået notifikationer fra er en pinlig lappeløsning. Jeg skal ikke have MitID før de genindfører løsen.

57
23. oktober 2021 kl. 11:06

En ting jeg ikke forstår at det skulle være et sikkerhedsproblem at appen popper up, når der kommer en anmodning om bekræftelse.

Det gør NemId. MitId skal man selv finde og starte. Irriterende.

56
22. oktober 2021 kl. 10:04

Sanne oplevelse her. Min chip ankom og til min store overraskelse er der tre veje til at komme på MitID: app, eller de to kodegeneratorer. Så jeg måtte installere app'en for at få liv i chippen. Havde jeg ikke haft en smart-mobiltelefon var jeg ikke kommet på.

I øvrigt stinker processen af manglende brugertest. Simple ting som at pinkoden er det sekscifrede tal bag på chippen havde været fanget hvis de testede. Deres support synes at være sat op med rejsekort som forbillede, så jeg gruer for resultatet.

55
21. oktober 2021 kl. 23:52

Hvordan gjorde du?

Jeg havde tilfældigvis et andet ærinde i Borgerservice (Københavns Kommune) i dag , og forhørte mig i den forbindelse om muligheden for at få en MitID-kodeviser. Svaret jeg fik var i store træk:

"Når du har fået besked fra din bank, kan du komme og få en kodeviser - ikke før. Men du vil sikkert blive et lykkeligere menneske hvis du bare bruger app'en".

Der er jo blandt andet bare det problem at app'en kræver et OS fra Apple/Google-duopolet, som jeg har noget begrænset tillid til og at Android-runtime på SailfishOS ikke understøtter NFC, hvilket lader til at være påkrævet.

54
19. oktober 2021 kl. 21:02

Også derfor at man ikke bør have 20-30 år gamle låse

Har hørt fra en låsesmed at de gamle "Københavnerlåse" ikke er så nemme at dirke, men man kan selvfølgelig have alle 100 med i et bundt og prøve fra en ende af.

I mit tilfælde ville det ikke have gjort forskel. Da jeg havde indbrud erkendte de at de ikke kunne pille vinduet ud da det ikke havde glaslister var kittede dobbelte glas. Så tog de en kampesten og kylede gennem vinduet.

53
19. oktober 2021 kl. 15:12

Det skal jeg lige forstå ret - så nu hvor jeg har hentet min MitID kodeviser på Borgerservice, så skal jeg derned igen, for at få opdateret mit NemID? Og der er NemID papkortet og kørekort tilstrækkeligt?

Nå, det havde Borgerservice her i Ballerup heldigvis godt styr på, så det gik helt smertefrit - og faktisk havde jeg kun brug for kørekortet og min hukommelse til besvarelse af et par "Er-du-nu-dig?"-spørgsmål.

52
18. oktober 2021 kl. 17:28

Kan du lige uddybe, hvad der sker på denne webside ?

Det er en WebAuthn demo. Man kan registrere FIDO U2F nøgler eller andre kompatible mekanismer med brugernavne og derefter autentificere / logge ind som den bruger. Når man registrerer med attestation type 'direct' kan man for det meste se X509 certifikatet på chippen eller hvad man bruger.

49
15. oktober 2021 kl. 11:20

Laver du en guide til, hvordan man gør det?

Jeg vil hellere henvise til producentens relativt korte og letlæselige brugermanual: https://www.ftsafe.com/download/webdownload/ePass%20FIDO-Multi-Interface%20Manual.pdf

For at se certifikat og andet information kan jeg henvise til den WebAuthn demo jeg har udviklet sammen med min kollega de sidste par uger. Den kan også bruges med din yubikey: https://webauthn-demo.robur.coop/

47
14. oktober 2021 kl. 22:19

Forstår ikke hvorfor man bare ikke beholdte NemID appen, osv. og så bare forbedrede sikkerheden under overfladen, uden at os danskere skulle lave det hele om. Måtte da også være billigere…

NemID’s grafiske design var også bedre end det nye MitID’s logo, som er pinligt :D

NemID’s nøglekort skulle også have haft en stor tekst påtrykt hvor der skulle stå at banker og det offentlige aldrig ville bede om at få en kode læst op.

38
13. oktober 2021 kl. 12:38

Jeg kan se at jeg er enig med både Nobel og Madsen om at det lyder spændende? Men jeg har kun en kodeviser så hvordan gør det en forskel for brugeren?

Lav, Betydelig og Høj sætter forskellige krav til identifikation af juridisk person, samt til sikkerhed anvendt.

Lav betegnes nogle steder som en-faktor-sikkerhed.

Høj kræver f.eks. at man har to separate enheder til autentificering. Så det vil alt andet lige blive lidt mere omstændigt at autentificere sig. Jeg går ud fra, at man vil opleve at autentificeringsprompten bare viser to billeder i stedet for et billede. Men hvordan det virker, aner jeg ikke. Mit pas udløb i sommer, så jeg kan ikke engang tilmelde mig MitID og må vente på, at Digitaliseringsstyrelsen eller min bank giver besked.

37
13. oktober 2021 kl. 11:40

straks jeg modtog koden og trykkede på den, gled den automatisk ind dér hvor den skulle være og godkendte min tilmelding. Det virker ikke som om det giver særlig meget 'sikkerhed'.

Det sikrer at det angivne mobilnr. faktisk ER dit - medmindre man har hacket sig ind på udbyderens telenet - eller sidder og lytter med mellem dit nærmeste celletårn og dig (og derfor kan opsnappe GSM kommunikationen :) (eller har hacket mobiltlf. for den hvis tlf. nr. der er angivet så man kan opsnappe koden der :)

Men dem der bare spørger om en pinkode for at authentikere dig for evigt (læs eboks, sundhed.dk etc.) har en endnu lavere grad af sikkerhed.

40
13. oktober 2021 kl. 13:51

Det sikrer at det angivne mobilnr. faktisk ER dit - medmindre man har hacket sig ind på udbyderens telenet - eller sidder og lytter med mellem dit nærmeste celletårn og dig (og derfor kan opsnappe GSM kommunikationen :) (eller har hacket mobiltlf. for den hvis tlf. nr. der er angivet så man kan opsnappe koden der :)

Eller har 100 kr og betaler for at forwarde SMS-er.

https://www.schneier.com/blog/archives/2021/03/easy-sms-hijacking.html

36
13. oktober 2021 kl. 11:34

Laver du en guide til, hvordan man gør det?

og husk at den slags gøres nemmest ved bare at "braindumpe" det du kan huske.. strukturere så du tænker du ville kunne brbuge det, publicere den.. lade nogen "bruge vejledningen" - og så tage i mod PRs med forbedringer.. Publicer på et åbent git repo.. :)

35
13. oktober 2021 kl. 10:58

Man kunne simpelthen lure numrene på nøglerne til mit brandskab og bagefter bestille nøgler til at åbne det med! Så meget for dén sikkerhed.

Der er noget du har misforstået her.

Et brandskab skal sikre imod brand, ikke imod indbrud.

Oftest befinder nøglen sig et sted i samme bygning, fordi det netop kun er brand og ikke indbrud man sikrer sig imod.

Derfor kan man relativt let få fat i en ny nøgle efter en ildebrand, for det er langt fra sikkert man kan finde den originale nøgle i brugbar stand i ruinerne.

Hvis du vil have beskyttelse imod indbrud og anden uautoriseret adgang til indholdet, skulle du have købt et "værdiskab", som det kaldes nu om dage, men først efter at tænkt grundigt over situationen.

Det første og formodentlig vigtigste spørgsmål man skal besvare, er om det er vigtigere at indholdet ikke falder i forkerte hænder, eller at autoriserede personer, dig selv og arvinger, selv kan få adgang til det.

34
13. oktober 2021 kl. 10:56

Også derfor at man ikke bør have 20-30 år gamle låse i sine ydredøre der let kan dirkes eller bankes op, og hvor nøgler kan kopieres i af hvilken som helst person med en maskine til formålet.

Selv Rukus bedste lås kan dirkes men heldigvis kun af få personer der dyrker det som sport og næppe af tyve.

Alle kan derimod kopiere en nøgle med en 3D scanner og 3D printer. Det gælder også for de nyeste låsesystemer.

32
13. oktober 2021 kl. 09:59

Jeg har hørt rygter om at det såkaldte 3D-secure, altså 2-factor verifikationen ved online kreditkort-betalingsløsninger ikke fremadrettet vil tilbyde MitID, men kun SMS-godkendelse. Sikkert fordi de ikke vil kræve at mange af deres kunder retter deres integrationer til, eller fordi det bliver for dyrt per transaktion (dog er SMS også ekstremt dyrt at afsende,)

Mange steder viderestilles brugeren allerede til en side fra Nets eller en tredjepart, så der kunne de i teorien nok viderestille igen til den central MitID-side. Oplever dog nogle steder at man iframer 3D-Secure på Dankort ind på sitet og her har man selvfølgelig problemet. Nets tilbyder i dag faktisk SMS+Kode i stedet for NemID hvis man ønsker det. Personligt ville jeg foretrække en løsning der er mere sikker en blot en SMS - f.eks. en løsning som American Express bruger hvor man skal bruge en kode fra en SMS / e-mail samt 2 cifre fra ens pinkode fra betalingskortet - hvilke cifre af pinkoden skifter fra gang til gang.

31
13. oktober 2021 kl. 09:51

Man kan vel netop godt se forskel på 1, om den vender op eller ned.

30
13. oktober 2021 kl. 09:48

God pointe, men jeg har hele tiden undret mig over dette 'apperi' med NemID (og nu MitID), for man tilgår ofte ting der kræver NemID via mobilen.

App'en sikrer mod MITM angreb og viser hvad det er du authentikerer dig overfor. Begge dele er vigtigt.

Jeg besøgte en nøglemager og spurgte om jeg kunne købe et dirkesæt, men det kan man åbenbart ikke.

Min erfaring er at de fleste låsesmede kunne aldrig finde på at begynde på at dirke låse. Jeg skal ikke kunne sige hvorfor, for de fleste låse i Danmark kan "dirkes" ret hurtigt med den nødvendige fingerfærdighed. Ofte er låse på skriveborde og arkivskabe "tubular locks" som kan åbnes på få sekunder med det rette værktøj.

29
13. oktober 2021 kl. 07:23

Hvad gør du så:</p>
<pre><code>hvis kodeviseren løber tør for strøm?
Etc.
</code></pre>
<p>

God pointe, men jeg har hele tiden undret mig over dette 'apperi' med NemID (og nu MitID), for man tilgår ofte ting der kræver NemID via mobilen. Og selve ideen om 'to-faktor godkendelse' bliver jo i en eller anden grad kontradikteret af at begge godkendelser finder sted på samme enhed...?

Jeg har prøvet at melde mig til et eller andet via mobilen, hvor der ville komme en SMS eller en Email med en kode, og straks jeg modtog koden og trykkede på den, gled den automatisk ind dér hvor den skulle være og godkendte min tilmelding. Det virker ikke som om det giver særlig meget 'sikkerhed'.

Jeg tænker at Christian henviser til den Kaba8 nøgle som også vises på billedet. Det er en nøgletype som er vendbar - intet om/ned. Nogle personer kan genskabe fungerende fysiske nøgle ud fra billeder - så hvor den pågældende nøgle bruges skal nok ikke omtales.

Og så er der en kode på nøglen som også er synlig. Om nøglen kan genskabes ud fra den kode ved jeg så ikke, men jeg er ret sikker på at billeder af nøgler på nettet af princip skal være no-go.

Anekdote: Jeg havde købt et brandskab med to nøgler til for at kunne opbevare papirer som helst ikke skulle bortkomme. Jeg har også to låsbare skrivebordsskuffer, og på et tidspunkt skulle jeg finde ud af hvilken nøgle der kunne åbne hvilken af de to skuffer. Så jeg lagde den ene nøgle ned i skuffen, og med den anden nøgle prøvede jeg så at låse samme skuffe, for hvis det kunne lade sig gøre, var det jo den rigtige nøgle - troede jeg. Det viste sig så, at begge nøgler kunne låse skuffen, men kun den rigtige kunne låse dem op igen...! Jeg besøgte en nøglemager og spurgte om jeg kunne købe et dirkesæt, men det kan man åbenbart ikke. Men, jeg kunne da se om der ikke stod et lille nummer under låsen, for så kunne han lave en kopi af nøglen ud fra dét. Der stod sørenmig et nummer, og snart stod jeg med en fungerende nøgle så jeg kunne få min skrivebordsskuffe låst op igen. Og så kom jeg til at tænke på mit brandskab, hvor jeg vist også havde lagt mærke til numre under låsene... Og vil du bare se, det var der skam! Man kunne simpelthen lure numrene på nøglerne til mit brandskab og bagefter bestille nøgler til at åbne det med! Så meget for dén sikkerhed.

28
13. oktober 2021 kl. 00:01

En ting, jeg godt kunne tænke mig at V2 dykkede mere ned, er hvad ændringerne fra NemID og MitID reelt betyder for brugen og sikkerheden af tjenester.

To væsentlige ændringer (i min optik), er:

  1. MitID bliver væsentlig dyrere for de fleste tjenesteudbydere. Det skyldes blandt andet at der er kommet et obligatorisk brokerled i mellem, og at NemID afregningsmodel tillod at man kunne betale per unik kunde og ikke hver gang et login gennemføres.

  2. MitID må ikke længere iframes, men kræver full page redirect (på apps må MitID-siden ikke laves som indlejret webview, men skal bruge den sandboxede native-browsers visning).

Pkt 2 giver selvfølgelig bedre sikkerhed på i hvert fald teoretisk, men giver en del ekstra arbejde (på den korte bane) fordi en række integrationer og apps skal ændres.

Jeg har hørt rygter om at det såkaldte 3D-secure, altså 2-factor verifikationen ved online kreditkort-betalingsløsninger ikke fremadrettet vil tilbyde MitID, men kun SMS-godkendelse. Sikkert fordi de ikke vil kræve at mange af deres kunder retter deres integrationer til, eller fordi det bliver for dyrt per transaktion (dog er SMS også ekstremt dyrt at afsende,)

Det vil heller ikke undre mig at en række andre brancher også slækker på sikkerheden, fx for at spare penge (mange netbanker prompter pt NemID når man skal godkende en betaling, det vil koste dyrt med MitID. Så spørgsmålet er om de sender regningen videre til kunden i form af højere gebyrer eller dårligere sikkerhed).

Bliver verden mon et mere eller mindre sikkert sted, når MitID har afløst NemID?

26
12. oktober 2021 kl. 23:50

Hvordan gjorde du?

Papkort + fremmøde i borgercenter med kørekort. Så heller ikke noget cirkus med at tage foto af pas eller lign.

Processen virkede letforståelse - omend lidt pudsigt at næste skridt er en tur til borgercenter, før man kan lave det efterfølgende skridt.

25
12. oktober 2021 kl. 23:19

Her vil jeg lige påpege at MitID kommer med forskellige grader af autentificering; sikringsniveauerne Lav, Betydelig, Høj. NemID svarer til Betydelig. Det er så op til tjenesteudbyder at kræve Høj ved f.eks. ejendomshandler og Lav ved f.eks. ansøgning om aktindsigt.

Jeg kan se at jeg er enig med både Nobel og Madsen om at det lyder spændende? Men jeg har kun en kodeviser så hvordan gør det en forskel for brugeren?

I øvrigt er det interessant at kodeviseren og app'en komplementerer hinanden rent sikkerhedsmæssigt: Kodeviseren sikrer mod hacking. App'en sikrer mod MITM og sikrer at brugeren ved hvad han authentikerer for. En løsning hvor app'en kunne bruges til lavt sikkerhedsniveau og begge skulle bruges ved højere sikkerhedsniveau synes interessant.

24
12. oktober 2021 kl. 23:04

Her vil jeg lige påpege at MitID kommer med forskellige grader af autentificering; sikringsniveauerne Lav, Betydelig, Høj. NemID svarer til Betydelig. Det er så op til tjenesteudbyder at kræve Høj ved f.eks. ejendomshandler og Lav ved f.eks. ansøgning om aktindsigt.

Ser det ens ud fra brugerens side?

Jeg vil hævde at en betydelig årsag til at nogen har taget billede af kodekortet, er adgang, der burde være klaret med simpelt to-faktor login. Feks. til Aula. At skulle have en særskilt app eller kodeviser, for at se sønnikkes ugeskema giver ikke mening, om det hedder NemID eller MitID.

Dette misbrug gør det også nemmere at blive snydt af fishingsider. Hvilket jo er vigtigt, eftersom det ikke er en digital signatur, hvor man direkte har kontrol over hvad man godkender og signerer.

Generelt giver det god mening at gøre ukritiske sager nemme, og kritiske sager mere besværlige. I hvert fald sikkerhedsmæssigt.

22
12. oktober 2021 kl. 20:51

Grundlæggende er problemet at samme metode bruges som meget simple og ikke specielt sikrings-krævende transaktioner samt til transaktioner der kan have store juridisk og/eller økonomiske konsekvenser.

Her vil jeg lige påpege at MitID kommer med forskellige grader af autentificering; sikringsniveauerne Lav, Betydelig, Høj. NemID svarer til Betydelig. Det er så op til tjenesteudbyder at kræve Høj ved f.eks. ejendomshandler og Lav ved f.eks. ansøgning om aktindsigt.

21
12. oktober 2021 kl. 20:03

Jeg foretrækker klart MitID app'en fremfor kodeviseren. Der kan vel også sagligt argumenteres for at sikkerheden er større, da app'en kræver en pinkode, touch ID eller Face ID for at åbne, hvorimod kodeviseren blot kræver et tryk.

Den svindel der sker i dag skyldes jo ikke at nogen hacker selve NemID/MitID - men derimod alverdens skidt i kategorien phishing/scams/social engineering.

MitID app'en har en desværre stor mangel ift. NemID: Der er ingen push-notifikation når der skal signeres. Brugeren skal selv finde app'en og åbne den. Room for improvement...!

20
12. oktober 2021 kl. 18:19

VIrker kodeviseren med f.eks. Danske Bank? Jeg erindrer at der har været noget bøvl med nemid kodeviser ikke altid fungerede i netbankerne.

18
12. oktober 2021 kl. 18:11

Der sælges også MitID chips for knap 150 kr. som et alternativ til kodeviseren. Det er en Feitian MultiPass FIDO nøgle med bluetooth low energy, NFC og usb. Jeg købte en på lanceringsdagen til stor forvirring hos borgerservice. De kan købes uden MitID og uden at vise noget ID. Da det er en FIDO2 device kan man bruge den som 2FA hos andre services. Interessant nok er certifikatet i chippen sat til at udløbe i starten af 2034 hvilket er 10+2 år efter lancering og er den tid NETS har kontrakt på MitID.

17
12. oktober 2021 kl. 17:12

Hej Ole,

Jeg fik også lyst til at afprøve en sådanne kodeviser. Da jeg prøvede at bestille fik jeg denne besked: "MitID kunne ikke oprettes Før du kan få MitID, skal du opdatere dit NemID.

Det skyldes nye krav til sikkerhed.

På borger.dk kan du læse mere om, hvordan du opdaterer NemID."

På borger.dk står der at man skal bruge en nøgleapp for at opdatere NemID. og den vil jeg absolut ikke have på min telefon.

Hvordan gjorde du?

Hilsen Martin

15
12. oktober 2021 kl. 16:46

Det betyder også, at jeg ikke får problemer:</p>
<ul>
<li>hvis min telefon løber tør for strøm</li>
<li>hvis næste version af appen ikke længere understøtter min telefon (Det skete i går for mig med NemID)</li>
<li>hvis min telefon bliver væk/stjålet/går itu</li>
<li>hvis jeg befinder mig et sted med dårlig mobildata dækning (f.eks. på en internetcafe på Bohol, der ikke har wifi)

Hvad gør du så:

  • hvis kodeviseren løber tør for strøm?
  • hvis en opdatering af MitID backend gør at de ikke længere understøtter netop dén kodeviser?
  • hvis din kodeviser bliver væk/stjålet/går itu?
  • har et af ovenstående problemer og i øvrigt befinder dig på Bohol hvor der er langt til nærmeste borgerservice?

Kodeviser er et godt supplement til app'en, men jeg synes bestemt ikke det løser alle problemer.

Jeg har været test-bruger på MitID i kraft af mit arbejde, og jeg nåede at miste en telefon i Mølleåen i test-fasen, hvorfor jeg måtte igennem support-karusellen for at få genoprettet MitID på en ny telefon. Det var åbenbart et scenarie der ikke var særlig gennmprøvet, så derfor har jeg også tænkt mig at anskaffe en kodeviser.

14
12. oktober 2021 kl. 16:38

Det betyder også, at jeg ikke får problemer:</p>
<ul>
<li>hvis min telefon løber tør for strøm</li>
<li>hvis næste version af appen ikke længere understøtter min telefon (Det skete i går for mig med NemID)</li>
<li>hvis min telefon bliver væk/stjålet/går itu</li>
<li>hvis jeg befinder mig et sted med dårlig mobildata dækning (f.eks. på en internetcafe på Bohol, der ikke har wifi)

... men jeg er på den fjerde NemID nøgleviser. De første 3 kunne ikke tåle turen i vaskemaskinen. Jeg gætter på #4 heller ikke kan. Og at MitID nøgleviseren heller ikke kan.

Men jeg kan godt lide, at ikke alle æg er i een kurv, og fundamentalt kan jeg godt lide, at man ikke kan sidde i Rusland og bryde ind på min smartphone og via den overtage min identitet. Der er i forvejen alt for mange æg i dén kurv.

Jeg er enig. Men det ville være godt med en mere differentieret tilgang. Fx. behøver jeg ikke den helt store sikkerhed for at læse mine sundhedsoplysninger på Sundhed.dk eller hvis jeg skal se hvor mange håndører der er på min bankkonto. Til den slags ville appen være fin.

På den anden side er der en række juridisk bindende transaktioner hvor jeg gerne ville have et andet stykke hardware ind over. Et andet stykke hardware end min mobiltelefon. Det kunne være nøgleviseren men den er kun delvist god nok.

Grundlæggende er problemet at samme metode bruges som meget simple og ikke specielt sikrings-krævende transaktioner samt til transaktioner der kan have store juridisk og/eller økonomiske konsekvenser.

Hvis nogen hackede min browser sådan at når jeg skrev under på X så var det i virkeligheden Y jeg skrev under på. Den slags er fint muligt med både NemID og MitID. Det kan også laves med et man-in-the-middle attack.

Derfor kunne jeg godt tænke med en dims der kunne snakke med min mobiltelefon fx. med bluetooth. Dimsen skulle have en lille skærm plus ja og nej knapper. Når så jeg skulle lave noget "juridisk bindende" så sendte min telefon opgaven med at få undertegnede til at trykke ok videre til dimsen og ventede på svar derfra. Den kan indrettes kryptografisk sikkert og det kan fint laves som en overbygning til MitID.

13
12. oktober 2021 kl. 16:36

Jeg håber ikke nøglen sikre noget af værdi

I betragtning af at Ole for under et år siden (6. november sidste år) skrev et blogindlæg om sikkerheden i fysiske nøgler, undrer det mig noget at han begår sådan en fejl.

Men on-topic: Jeg har fået et brev (hvor der i øvrigt ikke rigtig står noget) om at udskiftningen skal ske, og når jeg får MitID skal jeg også have sådan en kodeviser (muligvis bare som backup), men det er uklart for mig om jeg bør bestille den nu, når jeg får besked om at jeg skal skifte, eller når jeg har noget MitID der virker? Og hvornår skal jeg forklare min mor (som ikke har en smartphone, så hun kan ikke klare sig med app'en) at hun skal bestille en?

12
12. oktober 2021 kl. 15:42

Med en 1 år gammel smartphone uden NFC chip kan man ikke koble passet til NemID.

Men kan man bruge MitID - app'en, hvis det ellers lykkes at verificere identiteten på anden måde?

11
12. oktober 2021 kl. 15:34

Jeg tænker at Christian henviser til den Kaba8 nøgle som også vises på billedet. Det er en nøgletype som er vendbar - intet om/ned.

Der var en journalist ved et engelsk computertidsskrift, der for mange år siden skannede sin husnøgle for at demonstrere, hvor god en skanner var. Han skrev endda, at det var husnøglen.

I næste nummer takkede han, nu var det ikke nødvendigt, at flere skrev for at fortælle ham, at han var et fjols. Og han havde fået låsen ændret.

Jeg har glemt navnet på bladet.

Men at genskabe en nøgle ud fra et fotografi er meget nemt i dag. Nøgler er jo ikke med "glidende overgang", deres indstillinger er kvantificerbare. Så de er meget nemme at 3D-printe.

9
12. oktober 2021 kl. 12:13

NemID har også i lang tid haft en nøgleviser: https://www.nets.eu/dk-da/l%C3%B8sninger/nemid/nemid-til-private/n%C3%B8gleviser. Jeg har dog erfaret, at den knækker i den plastiktap som holder fast i metalringen efter ret kort tid. Umiddelbart ser MitIDs nøgleviser bedre ud i den henseende.

NemIDs nøgleviser har dog præget de der NemID-tal på fronten så man kan se hvad der er op og ned - såfremt man kan tyde tallene.

7
12. oktober 2021 kl. 11:17

Det er de samme nøgler som bruges til erhvervs netbanks løsninger, de holder fint og lang tid.

Man vender sig til at bruge venstre tommel til at trykke på knappen så man ved talene vender rigtigt.

Men det sjove er at de er "made in china"......

5
12. oktober 2021 kl. 10:57

At myndigheder IKKE har taget hensyn til denne udfordring, og eksempelvis - som nævnt i artiklen ​- lavet en form for op/ned markering, viser - i min optik - tydeligt, hvor inkompetente de myndigheder der bestemmer over os, egentlig er.

Ja, så er det vel heller ikke værre. Efter at have brugt dimsen et par gange, så har man formodentligt nok lært hvilken vej den skal vende.

Jeg håber ikke nøglen sikre noget af værdi

Hvorfor? Man skal selvfølgeligt ikke lade den være tilgængelig for andre personer, men det samme gør sig gældende for alle andre nøgler / nemid-kort.

4
12. oktober 2021 kl. 10:44

Jeg håber ikke nøglen sikre noget af værdi

3
12. oktober 2021 kl. 10:44

0, 1, 2, 5, 6 og 9, kan læses som enten tallet selv, eller et andet. Og hvis ALLE de førnævnte tal vises - i en eller anden rækkefølge/kombination - og man vender enheden forkert - ja så får brugeren et problem.

At myndigheder IKKE har taget hensyn til denne udfordring, og eksempelvis - som nævnt i artiklen ​- lavet en form for op/ned markering, viser - i min optik - tydeligt, hvor inkompetente de myndigheder der bestemmer over os, egentlig er.

2
12. oktober 2021 kl. 10:26

Jeg skal have mig en MitId-nøgle ala yubikey. Jeg håber de kan finde ud at håndtere det i borgerservice, når det bliver min tid.

1
12. oktober 2021 kl. 09:45

Tak for tippet med op/ned - jeg har tænkt mig at hjælpe de ældre i familien med at få en kodeviser i stedet for "det der app", som de ikke kan finde ud af.

Kodeviseren ser ud som den løsning, der minder mest om det de kender.