Myter om NemID
Når man taler om identitetshåndtering i Danmark, bliver der ofte refereret til NemID, som de fleste jo bruger uden særlig omtanke. Selv blandt debattørerne her på Version2 hersker der derfor flere misforståelser omkring identitetshåndtering og NemID, som det er nødvendigt at få ryddet ud i, for at kunne starte en reel debat om krav til mulige afløsere for NemID.
Myte #1: NemID er en Single Sign-On (SSO) løsning
Single Sign-On er en løsning, hvor man autentificerer sig én gang på en såkaldt identity provider, hvorefter man uden gentagen autentifikation kan logge ind på flere websteder eller applikationer, såkaldte relying parties, service providers, consumers eller clients. SSO løser således også problemet med at man som bruger skal huske både et brugernavn og en separat adgangskode for hvert websted eller applikation. Mange kender princippet fra "Facebook Connect".
"Nemlog-in" - eller "Det offentlige log-in-fællesskab" er en sådan SSO-løsning, ovenikøbet baseret på internationale standarder . Med hensyn til grundlaget for god og effektiv offentlig digitalisering er Danmark derfor langt foran de fleste andre lande. Men for at øge/lette brugertilslutningen har man måtte købe sig adgang til bankernes brugerdatabase med "NemID" som foranstillet autentifikations-mekanisme. Og dét er et reelt problem.
NemID er nemlig IKKE en SSO-løsning, men derimod en fælles brugernavn og adgangskode-løsning, hvor man som bruger bliver TVUNGET til at anvende samme BrugerID og adgangskode samtlige de steder, man vil logge ind. Det kan være forsvarligt, hvis de steder, man logger ind, har dokumenteret høj sikkerhed og af brugerne opfattes som en naturlig federation. Men hvis man - som med NemID - ukritisk uddeler samme adgangskode til både offentlige myndigheder, banker, datingsider, handelssider og spillesider, er man ude i præcis det samme "hemmeligt vs. offentligt" problem, som med det "halv-offentlige" CPR-nummer, der har været hyppigt diskuteret på disse sider.
Hr og fru Jensen har med NemID ingen reel mulighed for at vurdere om de afgiver deres loginoplysninger a) til DanID, b) til det (normalt) NemID-enablede websted de besøger, c) til nogen der har hacket blot én af disse websider eller d) til en dedikeret phishing webside, der falsk skilter med NemID-login. Især med visionen om at NemID fremover skal kunne bruges gratis af virksomheder i hele Europa, er dette en veritabel bombe under sikkerheden.
Ved bred benyttelse af NemID på diverse websteder kan det derfor ikke forsvares at betragte brugernavn og den statiske adgangskode til NemID som en personlig hemmelighed.
Og det leder så direkte videre til ...
Myte #2: NemID er en to-faktor autentifikations-løsning
To-faktor autentifikation bliver oftest beskrevet som en kombination af "noget du ved" og "noget du har". Og hvis det bare var så vel, kunne vi alle autentificere os sikkert overalt med den ti-krone, vi har i lommen kombineret med vores viden om, hvem der er portrætteret på dens ene side.
Desværre er den rigtige definition af to-faktor autentifikation baseret på "noget KUN du ved" (en hemmelighed eller secret) samt "noget KUN du har" (nøgle eller token). Det er altså en forudsætning at du har værnet om begge dele, og ikke givet nogen mulighed for at opsnuse din hemmelighed eller kopiere din nøgle. Ifølge Den Europæiske Centralbank, som især bankvirksomheder bør være opmærksom på, er det udbyderens ansvar at designe autentifikationsproceduren på en sådan måde, at konfidentialiteten af autentifikationsdata beskyttes.
Så jo: NemID er formelt en to-faktor løsning, sålænge du udelukkende benytter den som adgang til Nemlog-in og til din bank. Men falder du for kampagnerne om at benytte NemID flere og mere eksotiske steder, nedgraderes NemID i sikkerhedsmæssig forstand automatisk til en én faktor løsning.
Selvbetjent sikkerhed
Nu er ovenstående jo ikke ligefrem raket-videnskab. Allerede i revision 1 til den første OpenID specifikation, blev der indsat en kraftig advarsel mod at indtaste loginoplysninger via I-frames eller pop-up's på de enkelte websteder. Og det på trods af, at OpenID på det tidspunkt kun havde til formål at give folk adgang til at kommentere hinandens blogs. Hvis Facebook Connect ligesom NemID havde benyttet fælles brugernavn og adgangskode, som skulle indtastes på alle client-sider, er jeg overbevist om, at Facebook næppe havde eksisteret idag.
Derfor skulle man tro, at også sikkerhedsorganisationen bag NemID var blevet klogere på de 3 år, der er gået siden lanceringen. Og at den ny java-fri udgave, der forventes næste år, dermed kunne blive et farvel til ikke blot java-appletten, men også til en løsning, hvor ansvaret for sikkerheden i urimelig grad læsses over på brugerne. Den centraliserede løsning blev ellers begrundet med, at man ikke kunne overlade sikkerheden til den enkelte bruger, som det var tilfældet med den tidligere digitale signatur.
Men NemID skal åbenbart fortsat understøtte "selvbetjening" ikke blot på applikationsniveau, men også sikkerhedsmæssigt.
PS: Jeg har bevidst undladt at forholde mig til myten "NemID er en digital signatur", som gennem tiden er blevet debatteret til hudløshed her på Version2 - bl.a. så sent som her - og primært er en strid om sproglige definitioner, som blot fjerner fokus fra de egentlige sikkerhedsmæssige problemstillinger ved hhv. decentral og central autentifikation.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
