Efter afsløring af sikkerhedshuller: Banker forlænger tidsfrist for at skifte til MitID

Bankerne giver nu 15 dages ekstra betænkningstid til kunder, der i den kommende tid bliver flyttet over på MitID.

Bankkunderne får nu længere tid til at skifte til MitID. Frem mod sommeren 2022 skal mere end 5 millioner danskere være skiftet til erstatningen for NemID.

Udrulningen af MitID, der skal erstatte NemID og de gamle pap-nøglekort, er i fuld gang.

De første kunder har allerede fået besked af deres bank om, at de nu har 30 dage til at skifte til MitID, hvis de vil fortsætte med at bruge netbank.

Men DR har afsløret, at sikkerheden på en række punkter haltede i MitID, og de afsløringer får nu konsekvenser.

Bankerne forlænger nu tidsfristen, så de kunder, der i den kommende tid får besked om at skifte, kan vente 45 dage i stedet for 30 dage.

Digitaliseringsstyrelsen og Finans Danmark, der står bag MitID, vil nemlig rulle en sikkerhedsopdatering ud i første halvdel af december, og den skal kunderne have mulighed for at vente på:

- Vi ønsker ikke at tvinge folk over, hvis de er utrygge ved at skulle skifte over på løsningen, inden sikkerhedsopdateringen kommer på plads, siger Michael Busk Jepsen, der er digitaliseringsdirektør i Finans Danmark, der er en interesseorganisation for blandt andet bankerne.

Kunder, der allerede har fået besked om at skifte inden for 30 dage, får dog ikke forlænget fristen.

Langt de fleste banker er gået i gang med at få de første brugere over på MitID. Kunderne vil i den kommende tid få mulighed for at vente 45 dage med at lave skiftet (Skærmbillede)

Lapper sikkerhedshul

Sikkerhedseksperter har over for DR vist, hvordan en identitetstyv relativt let kan ændre i andre folks personlige oplysninger i MitID.

Hvis det lykkes svindleren at lokke offeret til at lukke ham/hende ind, kan svindleren med et par simple ændringer overtage offerets fulde identitet og herefter selv godkende login-anmodninger på offerets vegne. Vel at mærke på svindlerens egen telefon.

Efter sikkerhedsopdateringen bliver det ifølge Digitaliseringsstyrelsen og Finans Danmark sværere for identitetstyven at lave det nummer. Fremover skal man nemlig logge på MitID og bekræfte to gange med en tidsperiode i mellem, hvis man vil lave den slags væsentlige ændringer.

Eksperter: ’Vent så længe, du kan’

DR har beskrevet, hvordan sikkerheden i de nye MitID, som skal erstatte det gamle NemID og papkortene, halter på flere parametre.

Blandt andet har man fjernet kodeordet, når man anmoder om at logge ind, så man kun skal skrive sit brugernavn i login-vinduet. Derved kan en fremmed person, der kender offerets brugernavn, anmode om at logge ind, og derefter narre offeret til at ’swipe’ godkend i appen.

Får identitetstyven først adgang, kan det i værste fald ende med en tømt bankkonto.

Fra Digitaliseringsstyrelsen, der sammen med Finans Danmark står bag MitID, erkender man da også, at systemet har ”forbedringspotentialer”.

Derfor anbefaler flere sikkerhedseksperter, at man som borger venter, så længe man kan, med at skifte.

Og derfor undrer det eksperterne, at Digitaliseringsstyrelsen og bankerne presser borgere over på appen, før man har styr på børnesygdommene:

- Det er nogle fatale sikkerheds og designfejl, man ikke har styr på. Det er noget, de (Digitaliseringsstyrelsen, red.) er i gang med at rette.

- Så kan man da ikke tvinge andre over på deres platform. De har endda selv sagt, at der er sikkerhedsudfordringer. Så er det da helt håbløst, at man tvinger folk over på platformen, siger Jan Kaastrup, it-sikkerhedsekspert og partner i CSIS.

Henrik Kramselund, der underviser i it-sikkerhed på Københavns Erhvervsakademi og driver et it-sikkerhedsfirma, er glad for, at bankerne hiver en smule i håndbremsen og forlænger fristen.

Men han undrer sig over, at myndighederne i det hele taget vil presse borgere over på MitID, som ifølge ham ikke har ”de helt basale ting på plads”:

- Jeg synes, bankerne er for aggressive med deres valg af skift på så kort tid. Man kan forvente, at der kommer ændringer i MitID undervejs, og jeg synes, det er en skidt situation at presse sine kunder til at skifte så hurtigt.

Han er fortsat ikke tryg ved selv at bruge at MitID endnu.

Borgere presses fortsat til MitID

Det er ifølge Michael Busk-Jepsen ”næsten alle” bankerne, der hen over de kommende måneder vil have brugerne over på MitID. Det sker i etaper af tilfældigt udvalgte borgere frem mod næste sommer.

Og selvom sikkerhedsopdateringen, der udrulles i december, ifølge Michael Busk-Jepsen er vigtig, så er den ikke mere vigtig, end at man vil fortsætte den udrulningsplan, der er i gang.

Hvorfor ikke vente med udrulningen, til I har opdateret systemet?

- Vi mener, at den løsning, vi har sat i drift, er sikker. Den er en væsentlig opgradering fra NemID til MitID. Det betyder ikke, at man ikke også kan komme med sikkerhedsopdateringer til den løsning, og det er det, vi gør nu.

Men hvorfor ikke starte udrulningen om 45 dage, hvis det først er der, sikkerheden er i top?

- Vi har startet udrulningen 6. oktober, og der er sådan set ikke nogen ændring i det. Vi giver bare brugere, der nu bliver ’promptet’ og får at vide, at de skal flytte sig over på MitID inden for 30 dage, ekstra 15 dage. Så dem, der er utrygge ved det, har mulighed for at flytte sig over, efter den her opdatering er på plads.

Men du svarer ikke på, hvorfor I ikke bare starter udrulningen fra om 45 dage, når den her sikkerhedsopdatering er kommet ud?

- Det er fordi, vi mener, vi har sat en løsning i verden, som er sikker, og som vi derfor fortsætter med at migrere over på. Men hvis man som bruger er utryg ved at komme over på løsningen, inden vi har fået den her sikkerhedsopdatering implementeret, så har man mulighed for at vente.

Rettet 3. november 12.30: Finans Danmark har præciseret, at den forlængede tidsfrist kun gælder for kunder, der skal skifte i de kommende uger. Det gælder ikke for kunder, der allerede har fået en 30-dages varsel.

FacebookTwitter