Teknologi

IT-lektor: Nem-ID gør det lettere at blive snydt

NemID er så udbredt, at vores sunde skepsis næsten er sat ud af funktion, vurderer IT-forsker. Et nødvendigt onde, svarer Digitaliseringsstyrelsen.

Den falske NemID-loginboks beder først om dit brugernavn og adgangskode. I baggrunden hentes oplysninger om dit nøglekort-nummer og såkaldt 2-faktor-oplysning, som du derefter bliver bedt om at give. (Foto: Jonas Vandall Ørtvig © Scanpix)

Når kriminelle ved hjælp af en falsk NemID-loginboks kan lokke dine NemID-oplysninger ud af dig, uden at du i processen får indicier om, at du i virkeligheden er ved at lukke dem ind på for eksempel din netbank, er det et problem, brugerne selv må forholde sig til.

Det mener Digitaliseringsstyrelsen.

- Der er ikke tale om et hul i NemID-systemet, der er derimod tale om en form for phishing, som er en kendt problemstilling, og som brugerne er nød til selv at være meget opmærksomme på, siger Adam Lebech, vicedirektør i Digitaliseringsstyrelsen.

Christian Damgaard Jensen, lektor på DTU Compute, er dog ikke helt enig:

- Der er lavet en løsning, der gør det svært ikke at blive snydt. Det er meget svært som almindelig bruger at gennemskue, hvilke hjemmesider, der bruger NemID lovligt, forklarer han.

Phishing er en betegnelse for snyd på nettet. Man narres til at taste følsomme oplysninger ind i på internettet ved at få fx en hjemmeside til at se officiel ud - men i virkeligheden er et elektronisk skalkeskjul.

Ændret brug udfordrer NemID

Christian Damgaard Jensen er ikke uenig i, at der er tale om phishing. Men problemet er, at man normalt får en række advarselstegn, når man udsættes for phishing.

I dette tilfælde er systemet imidlertid opbygget, så det er nær ved umuligt at se, hvor man sikkert kan bruge NemID og hvor der er kriminelle på spil:

- NemID var nok originalt tænkt til det offentlige og bankerne, og her fungerer det også fint. Men brugen har flyttet sig, og det udfordrer systemet, forklarer Christian Damgaard Jensen.

Ifølge Digitaliseringsstyrelsen bruger over 400 private tjenester NemID. Derudover bruger bankerne og en række offentlige tjenester også login-systemet:

- Men hvis de 400 bliver til 800, vil vores parader falde yderligere, og problemet kan blive endnu større, mener Christian Damgaard Jensen.

Skal det være let eller sikkert?

Adam Lebech fra Digitaliseringsstyrelsen erkender, at det ville være lettere for brugerne at undgå denne form for phishing, hvis der var færre sider, der brugte NemID.

- Det kan være svært for brugerne at se, hvilke sider, der må bruge NemID lovligt. Men det må man så også veje op imod den fordel, at man så ikke har uendelige mange forskellige login-systemer at skulle holde styr på, forklarer han.

Han opfordrer til, at man som bruger derfor selv tager et sikkerhedsansvar:

- Vær opmærksom på links du får tilsendt. Og vær generelt opmærksom, det kommer vi altså ikke uden om, siger Adam Lebech.

Fælles indgang er løsningen

Softwareudvikleren Søren Louv-Jansen har demonstreret problemet ved at lave en hjemmeside, der snyder oplysninger ud af besøgende og logger på deres personlige sider på borger.dk, uden at man aner, det sker.

Han mener, at en løsning på lang sigt kunne være, at der kun var én hjemmeside (én såkaldt url), hvorfra man loggede på med sin NemID:

- Selv som teknisk kyndig, har jeg i dag ingen mulighed for at sikre mig, at jeg ikke giver informationerne ud til de forkerte, når jeg logger ind med NemID, da jeg ikke blot kan tjekke om url'en stemmer. Det kan jeg trods alt med andre login-udbydere, forklarer han.

Christian Damgaard Jensen fra DTU vedkender, at det er en løsning, men kun hvis man starter helt forfra med udviklingen:

- Det er jo en fundemental anden måde at gå til det på. Det ville kræve, at man lavede et helt andet system, forklarer han.

Ingen læser app-advarslen

Adam Lebech fra Digitaliseringsstyrelsen understreger desuden, at det er svært at lave phishing med NemID. Det betyder, at man i systemet kun ser omkring ét phishing-angreb for hver million transaktioner.

- Og med den nye nøgle-app ser vi nok endnu færre angreb, da appen imødekommer nogle af de risici for phishing, der findes, fortæller han.

Bruger man den nye app, får man netop et advarselstegn mere end hvis man bruger nøglekortet. Der vil nemlig komme en pop-up menu efter at man har givet sit brugernavn og adgangskode, hvor man bliver gjort opmærksom på, hvad man er ved at logge på.

Og hvis du tror, at du er ved at logge på en privat hjemmeside, vil man altså her kunne læse at man fx er ved at logge på sin netbank.

Man vil altså kunne stoppe inden man giver sin såkaldte to-faktor-oplysning, der er den endelige billet ind til dine beskyttede data.

- Problemet her er så, at der er så mange pop-up-menuer og ting vi skal sige 'ok' til når vi bevæger os på nettet, at vi har tendens til at klikke 'ok' uden at læse først, forklarer Christian Damgaard Jensen.

Kør racerbil, ikke hestevogn

Digitaliseringsstyrelsen har ikke opgivet kampen mod web-kriminelle, selv om deres metoder konstant udvikles:

- Sikkerheden er et konstant kapløb mod hackerne, fortæller Adam Lebech.

Christian Damgaard Jensen fra DTU er enig. Men netop derfor ser han et mere generelt problem i måden, vi i Danmark udvikler offentlig IT på:

- Hvis det er et kapløb, skal vi jo køre racerbil, ikke hestevogn. Og det er altså meget svært, når det offentlige ikke selv udvikler deres IT-løsninger. Så skal man tilbage til leverandøren og finde ud af, om løsningen skal laves under kontrakten, eller der skal laves en ny kontrakt osv., det tager tid, forklarer han.

- Og det er nok en af grundene til, at man i fx England har udviklet et statsligt softwarehus. Lige på det her punkt er privatisering ikke nødvendigvis lig med effektivt, siger lektoren.

Facebook
Twitter