Slut med nøglekort-pap til NemID næste år

Jeg vil KRÆVE at der kommer noget der ikke kræver en App! Jeg skal ikke have noget NemID eller MitID på min mobiltelefon. Jeg bruger Sailfish, og skal ikke til at købe ny telefon med Android for at bruge det skidt.

#2: nødvendigvis skal være tilgængelige på samtlige operative systemer

Det kommer ikke til at ske. Det bliver tilgængeligt på Android og IOS(*). Alt andet er ønsketænkning. Men der er også lovet en løsning som ikke er digital. Hvilket altså vil sige et papkort af en slags.

Men bortset fra det, så er en appløsning mere sikker end et papkort. For med papkort kan man blive offer for et man-in-the-middle angreb. Det er demonstreret flere gange. Hvor man ved papkortet bare angiver en kode og håber på man logger ind det rigtige sted, siger appen fx: "Vil du logge ind på Jyske Bank?". Og hvis man er ved at logge ind på fx en eller anden sundhedsplatform, og appen pludselig spørger om man vil logge ind i netbanken, skal man skynde sig væk, for så er man sikkert ved at blive offer for et sådan angreb!

*) Altså for selve nøglefunktionen. Man vil naturligvis kunne logge ind med alle OS'er, inkl. Sailfish. Bare der er en browser.

#1: Jeg vil KRÆVE at der kommer noget der ikke kræver en App!

Det kan du også sagtens, for det har de jo allerede lovet. Så ingen grund til at kræve det :-)

I øvrigt er der en indbygget Catch-22. For når man tager NemID-appen i brug første gang, skal man bekræfte sin identitet med nøglekortet. Men hvis der ikke er noget nøglekort, hvordan bekræfter man så sin identitet første gang?

#6: Spændende! Men gør det dig ikke sårbar overfor, hvis du har en keylogger el.lign. på din pc? Jeg mener, at en af grundende i sin tid for papkortet netop var, at det ikke skulle eksistere digitalt, fordi det så gjorde det sværere for hackere o.lign.

Der findes innovative løsninger, eksempelvis denne informeret af Stephan Engberg Innovationsstrateg med fokus på Privacy/Securiy by Design: https://twitter.com/EngbrgDK/status/11865717118247...

Edit:
#3: Men der er også lovet en løsning som ikke er digital. Hvilket altså vil sige et papkort af en slags.
Jeg kan ikke lige se se hvad det skulle kunne forbedre ... Enhver form for et nyt pap-kort, med mindre det er digitalt, vil formentlig blot udløse en ny sikkerhedsbegrundet shitstorm. Tænker du på et digitalt papkort? Digitalt papir kommer formentlig til at evolutionere mange ting i fremtiden, eksempelvis skærme, tapet med mere.

Jeg ser at andre digitale løsninger, uden en phone App etc., men mere en håndholdt hardwareløsning, der princippiet godt kunne være et papkort, kunne vise sig mere sikker. Sådan et behøver ikke fylde end en papkort og oven i købet være nemmere end det traditionelle SlemID papkort, for brugere uden forstand på teknik.

De kunne jo bare gøre som Nets med en SMS, så har du 2 faktor godkendelse der virker på ALLE mobiltelefoner. Hvorfor skal det være så svært? Og til dem der ikke har en mobiltelefon, de kan jo få en mail.

Jeg kan huske at jeg købte en Vertificationsnøgle til den gang jeg spillede Blizzard spil, sådan en kunne det også være. Den havde X antal nøgler indbygget... så kunne man lige smide en lille fingeraftryksscanner på, så er den hjemme.

Jeg har intet i mod at lade mit fingeraftryk registrerer, så længe det bliver lokalt i selve enheden og ikke på en eller anden central server.

#15: Jeg har intet i mod at lade mit fingeraftryk registrerer, så længe det bliver lokalt i selve enheden og ikke på en eller anden central server.
Det tror jeg ikke du skal regne med. Som jeg oplever det, så bevæger det her sig hen imod generel overvågning. Fingeraftryk, DNA, ansigtsgenkendelse og videoovervågning, bliver en fremtidig virkelighed.

Det har med andre ting at gøre, der ikke blot handler om teknik. Dem der tror at det er muligt at adskille teknik og politik, de har ikke forstået de globale problemer verden står over for (fx overbefolkning med hvad den medfører). Det er godt nok noget lidt andet, men det her kommer fortsat til at blive sammenblandet ...

Jo mere du lader dig registre, des mere bør du forvente at du bliver registret til andet brug... Desværre.

#18: Det sker ikke med en 2-faktor-app. Men SMS er selvf. meget bedre end ingenting og bruges jo fx i forbindelse med mange VISA-køb.
Ja og Mastercard m.f..

For et par dage siden købte jeg en flyrejse. ophold og billeje sammen med en kollega. Alt blev betalt over min Mastercard konto, men verificeret 2vejs på kollegaens telefon. Man angiver ganske enkelt blot telefon nr ved købet.

Får brugeren sit Card stjålet, så er der ingen sikkerhed før brugeren får det spærret, ikke mindst i forbindelse med de der chips plastikkortene er udstyret med (der ikke engang kræver PIN (Personal Identification Number)).

Det er godt nok noget andet end NemID, men blot som eksempel på at verificationsteknikkerne stadig er primitive. Systemudviklingen vil kræve så mange besvarelser (virker det også i udlandet, kan man bruge samme teknik overalt), at jeg personligt har svært ved at se beslutningstagerne kan overskue det.

Her er noget om alternativerne til en nøgleapp:

https://www.dr.dk/nyheder/penge/farvel-til-papkort...