(Advarsel: Dette indlæg indeholder anprisning af en sikkerhedsstandard, som kan give læsere lyst til senere at foretage privatøkonomiske dispositioner).
Overskriften indeholder en påstand, som er formuleret i yderste respekt for slutbrugerne, selvom den har en negativ klang. Vi har alle brug for løsninger, som er idiotsikre, og hvor vores ansvar er afgrænset og forståeligt.
MitID har forskellige identifikationsmidler, og de fleste bruger naturligt nok MitID app eller MitID kodeviser, som er gratis at få.
Dette indlæg tager fat i den MitID Chip, som man kan købe for 144 kr. Er den pengene værd, og hvad kan vi forvente os af den bagvedliggende FIDO-standardisering fra blandt andre Microsoft, Google og Apple?
Som jeg har beskrevet i et tidligere blogindlæg, var realtime phishing en af NemIDs kendte svagheder. Dette angreb foregår ved, at en svindler lokker en bruger ind på en falsk hjemmeside, og anvender brugerens NemID brugernavn, password og engangskode til at logge ind på en anden hjemmeside, f.eks. en netbank, som svindleren så får adgang til.
Samme problem findes for MitID app og MitID kodeviser og faktisk også samtlige andre loginløsninger, som ikke anvender FIDO-teknologien.
Svaghederne udspringer lidt af det samme problem; nemlig at angriberen kan ”sætte sig imellem” brugeren og en online tjeneste, og ende med at få adgang til tjenesten på vegne af brugeren, hvis brugeren uforvarende lukker dem ind.
Med MitID Chip kan brugerne ikke komme galt afsted på denne måde.
Selvom morfar derhjemme klikker løs med sin MitID-chip på alle mulige svindleres hjemmesider, blokerer MitID-chip for at svindlerne kan bruger morfars MitID.
Dette skyldes, at MitID Chip, ligesom andre FIDO-løsninger, er direkte tilsluttet til den browser, som brugeren anvender. Og når brugeren klikker på MitID Chip-knappen, for at godkende et login, kan MitID Chip se fra brugerens browser, at brugeren ikke er inde på en ægte mitid.dk hjemmeside, men i stedet på en falsk hjemmeside, som bruger dermed ikke får teknisk mulighed for at anvende sin MitIDchip på.
Det afgørende for at opnå denne sikkerhed er, at MitID Chip er forbundet direkte til den enhed, som brugerens anvender, enten med et kabel, via Bluetooth eller NFC.
Den gode nyhed er, at vi faktisk alle sammen har FIDO-teknologien i hånden allerede. Den ligger nemlig allerede klar i vores enheder med Windows, Android, iPhone, iPad, macOS etc.
Nu skal vi “bare” have det aktiveret på vores vigtigste online tjenester.
Hvis man har lyst til at gå lidt ned i teknikken, kan man læse FIDO Alliancens egen sikkerhedsanalyse og særligt målene med FIDO, som beskrevet i kapitel 4 her. Det er selvfølgelig langhåret, men når bare resultatet er godt for almindelige IT-brugere, gør det jo ikke noget, at specialisterne skal anstrenge sig lidt!
Så hvis man har et familiemedlem, som ikke er total Internet-Ninja, og måske endda er lidt bekymret anlagt, så har vi måske her næste julegaveide, som også kan omfatte, at man hjælper vedkommende igennem registreringen af MitID-Chip og det første idiotsikre MitID-login. Derefter kan morfar bare trykke på MitID-Chip knappen alt det han vil, uden at skulle bekymre sig om, hvorvidt en eller anden hjemmeside ”ser ægte” ud.
MitID Chip kan dog desværre ikke hjælpe imod de svindlere, som ringer offeret op, og lokker dem til selv at overføre penge, som for eksempel vist i DRs Kontant. Den slags svindel kan næppe hindres af tekniske løsninger hos brugerne, men er nok nødt til at blive adresseret i bankernes interne systemer.
Hos id2 vil vi gerne understøtte udbredelsen af FIDO-teknologien, så vi kan give brugere og virksomheder den stærkeste tekniske beskyttelse der findes i markedet.. Vi har derfor startet siden id2s FIDO-Lab målrettet udviklere og beslutningstagere, hvor vi løbende vil samle og dele viden og materiale om FIDO-løsninger.
Her kan du også se vores demoside, hvor du kan prøve FIDO brugeroplevelsen sammen med MitID direkte fra din mobiltelefon eller computer.
