MitID skulle være mere sikkert – nu sår eksperter tvivl: ’Det er en skidt løsning'

Digitaliseringsstyrelsen lapper sikkerhedshul efter henvendelse fra DR Nyheder.

Det er slut med nøglekortet, men ifølge sikkerhedseksperter, DR har talt med, er det for nemt at narre brugerne til at lukke dem ind i den nye MitID-app. (Foto: Olafur Steinar Gestsson © Ritzau Scanpix)

I løbet af de næste måneder vil over fem millioner borgere få besked om, at det er tid til at sige farvel til NemID og oprette sig i MitID.

Målet er, at alle private NemID-brugere er skiftet til MitID næste sommer.

Papkortet, som man kender fra NemID, er skrottet. I stedet skal danskerne vænne sig til en ny MitID app, hvor det ligesom den populære NemID app er et swipe med fingeren, der giver adgang.

MitID skulle sikre en bedre beskyttelse mod identitetstyveri, lyder det fra Digitaliseringsstyrelsen. Men nu sår flere eksperter tvivl om dele af sikkerheden i den nye app.

- Jeg synes desværre ikke, at det lader til, at alle dele af den her løsning er testet igennem, siger Henrik Kramselund, der underviser i it-sikkerhed på Københavns Erhvervsakademi og driver et it-sikkerhedsfirma.

Det første problem er ifølge eksperten, at du med MitID kun anvender et brugernavn for at sende en loginanmodning, som derefter godkendes med appen, hvis du eksempelvis vil ind på din netbank eller borger.dk.

Ved den 'gamle' NemID-app krævede det både en adgangskode og et brugernavn at sende en anmodning.

Den beslutning skaber undren hos Jan Kaastrup, der er it-sikkerhedsekspert hos CSIS Security Group.

- Det åbner op for en masse angrebstekniker, der gør det lettere for en it-kriminel at overtage dit MitID.

  • Når du skal sende en loginanmodning med NemID, er der både et felt til brugernavnet og adgangskode. (Foto: (Skærmbillede))
  • Hos MitID er der kun et felt til brugernavnet, da man ikke længere skal bruge en adgangskode for at sende en anmodning. (Foto: (Skærmbillede))
1 / 2

- Bare ved at gætte en andens brugernavn, kan man sende en anmodning afsted mod sit offer. Og det gør det relativt nemt at svindle, siger han.

- Man har ikke set kritisk nok på, hvordan man balancerer brugervenlighed og sikkerhed med hinanden, siger Henrik Kramselund.

Svindlere kan nemt gætte sig til dit bruger-ID

Fordi Digitaliseringsstyrelsen har fjernet kravet om en adgangskode, er brugernavnet i den nye løsning altså mere centralt end før. Hvis først en svindler kender dit brugernavn, kan de sende dig en loginanmodning.

Det bringer eksperterne frem til endnu et sikkerhedsproblem: Brugernavne vil være nemt at gætte, fordi mange brugere typisk vil anvende deres navn eller noget, de har anvendt andre steder.

Derudover fortæller MitID-systemet, om et brugernavn er optaget eller ej.

Fordi MitID-systemet fortæller, om brugernavnet er optaget eller ej, kan svindlere lettere gætte offerets brugernavn, mener eksperter. (Foto: (Skærmbillede))

- Det er en skidt løsning, hvis man kan gætte brugernavnet på den måde, siger Henrik Kramselund.

Det er Jan Kaastrup enig i.

- Det er uforsvarligt den måde, man har lavet det på. Man har nok gjort det for at gøre det mere brugervenligt, men det har en bagside. Det åbner op for et utal af mulige svindelnumre, vi ved, de it-kriminelle gør brug af.

Her kan du se, hvad Adam Lebech, vicedirektør i Digitaliseringsstyrelsen, sagde om sikkerheden bag MitID, da de præsenterede den nye løsning på et pressmøde den 6. oktober.

'Jeg synes ikke, at det er godt nok'

Hvis en svindler får adgang til offerets MitID-side bare en enkelt gang, kan de med få klik give sig selv arbejdsro.

Det udgør et tredje sikkerhedsproblem, der bliver påpeget af Jens Myrup Pedersen, som er professor i cybersikkerhed på Aalborg Universitet.

For når svindleren først er inde, kan vedkommende med et par simple ændringer overtage offerets fulde identitet og herefter selv godkende anmodninger på offerets vegne. Vel at mærke på svindlerens egen telefon.

- Jeg synes ikke, at det er godt nok. Vi ved, at folk bliver svindlet, og der vil altid være folk, der falder igennem. Men hvis man lavede det sådan, at man skulle godkende aktivt, hver gang man lavede ændringer, så ville det være væsentligt sværere at overtage en konto, siger Jens Myrup Pedersen.

Det kan i værste tilfælde ende med en tømt bankkonto, vurderer eksperterne.

- Problemet er, at en svindler har fuld adgang, når først de er logget ind. De kan overtage din identitet fuldstændigt. Alt det, man kan med NemID i dag, kan en svindler nu gøre (med dit MitID, red.). Det betyder, at de kan overføre penge, ændre skatteoplysninger og mange andre ting, siger Jan Kaastrup.

Derfor tøver han med tage MitID i brug.

- Jeg ville helt klart vente med at skifte til MitID, indtil de forhåbentligt har lavet de ændringer, der bliver fremhævet, siger han.

Ændret procedure, efter DR's henvendelse

Indtil DR gjorde opmærksom på problemet, kunne en svindler ubemærket overtage offerets MitID, uden at offeret fik besked.

Men nu har Digitaliseringsstyrelsen lappet sikkerhedshullet, så man får en besked, hvis der bliver ændret i ens personlige oplysninger.

- Opdateringen blev gennemført umiddelbart efter, at vi af DR blev gjort opmærksomme på, at der var et forbedringspotentiale, skriver Digitaliseringsstyrelsen i et svar til DR Nyheder.

Styrelsen oplyser også, at de vil foretage yderligere sikkerhedsopdateringer, så det bliver sværere at ændre i personlige oplysninger på MitID.

Svindlere er allerede på lur

Og selvom MitID stadig er ungt, er svindlerne allerede begyndt at røre på sig.

På MitID’s Facebook-side bliver der advaret mod, at svindlere ringer ofre op og udgiver sig for at være fra Digitaliseringsstyrelsen, der vil hjælpe med overgangen fra NemID til MitID.

Ifølge Digitaliseringsstyrelsen har denne type svindel handlet om at franarre brugerne deres NemID-oplysninger. Styrelsen oplyser i et skriftligt svar, at den på nuværende tidspunkt ikke kender til konkrete eksempler på den type svindel med MitID, som DR Nyheder har gjort opmærksom på.

Digitaliseringsstyrelsen påpeger samtidig, at det altid er vigtigt, at man sikrer sig, at anmodningen i MitID appen afspejler det, man ønsker at gøre, så man ikke godkender en transaktion, man ikke selv har sat igang.

MitID advarer mod svindlere, der udgiver sig for at være fra Digitaliseringstyrelsen. Man oplevede også denne slags svindel med NemID, hvor folk udgav sig for at være fra en bank eller Nets. (Foto: (Skærmbillede))

Digitaliseringsstyrelsen: Kan aldrig være 100 procent sikkert

DR Nyheder har talt med Adam Lebech, der er vicedirektør i Digitaliseringsstyrelsen, og han svarer følgende på kritikken.

Digitaliseringsstyrelsen har fjernet adgangskoden, når man skal sende en loginanmodning, hvorfor har I gjort det?

- Vi har valgt at lægge sikkerhedskoden ind i appen. Der er den bedre beskyttet mod keylogger-angreb, som man har set tidligere med NemID.

Her refererer Adam Lebech til den kode, der er, når man åbner sin MitID-app. Og ikke når man skal sende en loginanmodning. Her skal man udelukkende bruge et brugernavn.

Hvorfor vælger Digitaliseringsstyrelsen en metode, hvor man potentielt kan regne ud, hvem der har det givne brugernavn?

- Man bør holde sit brugernavn for sig selv og bruge specialtegn og tal for at gøre det svært at gætte. Brugernavnet i sig selv giver dog ikke adgang til MitID, ligesom CPR-nummeret ikke giver adgang til NemID.

- Vi har netop slået fra, at man får en notifikation, når der sker en anmodning. Man skal selv aktivt gå ind i appen og godkende.

Med NemID-appen fik man en notifikation på sin telefon om, at en loginanmodning var sendt.

Eksperter påpeger, at der burde være ekstra godkendelser og kontroller, når man ændrer på indstillinger og oplysninger – ligesom med NemID. Hvorfor er det ikke lavet sådan?

- Vi har allerede lavet en sikkerhedsopdatering, og vi kommer til at lave sikkerhedsopdateringer i den kommende tid, hvor det bliver endnu svære at ændre på indstillinger i selvbetjeningen.

Så det har ikke været godt nok fra starten af?

- MitID styrker sikkerheden, men der er også forbedringspotentialer. Et af dem er i forhold til brugeruniverset. Det har vi rettet op på, og vi kommer med yderligere på det område. Også bedre end det, man kender fra NemID-universet.

FacebookTwitter