Når selvangivelsen lander her til foråret, har vi tyve års jubilæum med national elektronisk identitet i Danmark. Det var med selvangivelsen 2003, at de første digital- signaturbrugere kunne træde ombord i en infrastruktur, som nu foreligger i tredje generation med MitID.
De tekniske implementeringer er opdateret undervejs, men det forretningsmæssige arvesølv er bevaret med de to løfter til brugere og tjenesteudbydere:
- Som bruger kan du nøjes med én identitet!
- Som tjenesteudbyder kan du nå alle dine brugere med én løsning!
Som deltager fra maskinrummet i de tyve år vil jeg her gerne illustrere, hvordan historik og timing omkring udbud har påvirket udviklingsforløbet frem imod det MitID som vi har i dag.
Hvorfor var der et ekstra password med NemID nøgleapp?
Med migreringen til MitID har der været bekymring omkring det ”forsvundne” password ved anvendelse af MitID app. Version2 har beskrevet forskellige svagheder, og den nye digitaliseringsminister har redegjort for sikkerheden overfor digitaliseringsudvalget i Folketinget.
Svaret på, hvorfor der blev brugt et ekstra password sammen med NemID nøgleapp er, at NemID blev designet i 2007, altså inden de første smartphones kom i markedet. Den første generation af NemID baserede sig fra introduktionen i 2010 på login med brugernavn + password + engangskode fra et nøglekort. Det var faktisk først i starten af 2018, at NemID også fik en nøgleapp. Denne var en direkte erstatning af nøglekortet, sådan at brugeren loggede ind med brugernavn + password + NemID nøgleapp. På denne måde endte NemID nøgleapp-løsningen egentlig med at have to faktorer udover selve mobiltelefonen, nemlig et NemID password, som du indtastede i browseren, og en pinkode (eller biometri) som du anvendte, når du åbnede NemID nøgleapp på mobiltelefonen.
”Olga-svindel i Sverige”
I Sverige forløb udviklingen anderledes. Her blev BankID app lanceret allerede i 2011 og lavet uden ekstra password fra starten. Dette gav både fordele og ulemper for svenskerne.
Den store fordel er selvfølgelig, at brugeren skal huske en kode mindre! Hvis vi antager, at 10% af 5 mio. danskere med NemID nøgleapp glemmer deres NemID password hvert år, giver dette 500.000 pinbreve eller besøg til borgerservice årligt.
Ulemperne har i Sverige vist sig lidt hen ad vejen. Svindlere fandt i løbet af nogle år ud af, hvordan de kunne opstarte en bankkundes login fra deres egen PC, og så bare ringe til bankkunden, og få vedkommende til at swipe dem ind på netbanken med deres BankID app.
De har jo nok trods alt ikke bare spurgt, om man ikke lige gider swipe. Man forestiller sig en ældre kvinde, der bliver ringet op ved formiddagskaffen: ”Ja det er fra banken. Vi har opdaget, at der er trukket penge fra din konto fra udlandet, og vi har brug for din hjælpe til at få det stoppet. Så hvis du lige åbner din BankID app, så sender jeg et logon, som du så bare skal godkende, så klarer vi resten”… ”Ja man hører jo så meget, men det kan du være helt tryg ved, du kan jo se i BankID appen, at det er startet herinde fra din bank af”… ”Ja det er var da så lidt, vi skal jo have stoppet de banditter ikke!”
Svindlerne havde en forkærlighed for at snyde ældre kvinder, hvorfor tricket blev kendt som ”Olga-svindel”.
Her har det ekstra password ved anvendelsen af NemID nøgleapp nok hjulpet os i Danmark, hvor flere Olga’er ville blive mistænksomme, hvis de også blev bedt om at opgive deres NemID password til den rare ”bankmand”.
Svagheden, som udnyttes af svindlerne, er grundlæggende, at computer og mobiltelefon ikke er bundet sikkert sammen. En computer i Malmø kunne blive logget ind af en mobiltelefon i Lund. BankID kunne altså ikke afgøre, om mobiltelefon og computer faktisk var i hænderne på samme bruger!
QR-koder
I Sverige er man dog ikke endt med et ekstra password, men har i efteråret 2018 indført en QR-kode, der vises i browseren og skal scannes med BankID app. Se video her. Dette har fået antallet af svindelsager til at falde i Sverige.
Det er nok ikke den helt perfekte brugeroplevelse at skulle scanne en QR-kode fra skærmen, hver gang man vil logge ind. Egentlig er der primært brug for at få koblet computer og mobiltelefon sammen én gang. Men privacy hensyn i browserne gør det desværre teknisk vanskeligt for BankID at genkende en computer, som man tidligere har scannet en QR-kode på med sin mobiltelefon. Så i praksis ender man nok desværre med at skulle scanne tit eller endda hver gang man anvender BankID. Der er selvfølgelig yderligere teknikaliteter med QR-kodeløsningen. Hvis man f.eks. har browser og app på samme device, anvendes i stedet et app-switch, som også sikrer, at app og browser er bundet sammen.
De øvrige nordiske eID-løsninger udvikler sig også forskelligt. I Norge har man flere forskellige løsninger til rådighed med forskellige styrker og svagheder. Finland er en helt fjerde historie og i EU barsler Margrethe Vestager nu med en ”European Digital Identity Wallet”. Så det skal åbenbart ikke være enkelt at finde den bedste løsning.
Bekymringer der ikke gik i opfyldelse
Bekymringer synes at have en klar tendens til at gå i opfyldelse, når det gælder sikkerhedsrisici på Internet! I sin tid var min egen største sikkerhedsbekymring omkring NemID dog, at den var sårbar overfor realtime-phishing. Men NemID har alligevel overlevet med dette i tolv år! Kreditkortbetaling overlevede 25 år på Internet med den mest gudsjammerlige ringe sikkerhedsløsning man kan tænke sig. Fordi brugervenligheden var vigtigst i den fase af udviklingen, og markedet var villige til at dække risikoen. Det er dog enklere at risikoafdække penge end digital forvaltning og information.
Hvis man er bekymret over det manglende password, kan MitID-brugere også købe den lidt overset ”MitID-chip”, som er baseret på FIDO-standarden. Juvelen i denne stærke teknologi er netop beskyttelse imod phishing. Dette betyder, at banditterne kan ringe lige så meget de vil til verdens ”Olgaer”, uden at der sker noget ved det. Så bliver de nok hurtigt trætte af det. Sådan en ”idiotsikker MitID” koster 144 kr., så det var måske en julegave-ide til både Olga og os andre?
