Hvad betyder skiftet fra NemID til MitID - fra pap til app?

​Snart er det farvel til NemID-papkortet, der har været en fast del af vores kommunikation med især det offentlige siden 2010. Afskeden indtræffer i løbet af 2021, hvor det er meningen, at login-­løsningen MitID helt skal have afløst NemID.

Udover ændringer i den bagved­liggende arkitektur vil der for brugerne kunne ske ændringer i den måde, hvorpå der logges ind, når vi går over til MitID. Hvor papkortet helt forsvinder, vil det også fremover være muligt at anvende en app på sin mobiltelefon som alternativ til en engangskode – ligesom man kan i dag. Men er man ikke til autentifikation via mobiltelefoner, vil der være flere andre løsninger.

»Dem, der bruger nøglekortet i dag, og som er trygge ved det, er vi sikre på også vil være trygge ved det alternativ, som kommer, nemlig en kodeviser,« siger vicedirektør i Digitaliseringsstyrelsen Adam Lebech.

En kodeviser er en dims med et digitalt display, der viser en engangskode, når brugeren trykker på en knap. I dag er det mod betaling også muligt at få en kodeviser til NemID, men til MitID skal der ikke betales for en kodeviser. Sikkerhedsmæssigt er der væsentlig forskel på kodeviser og nøglekort.

»Nøgleviseren har den fordel, at den kun viser én nøgle ad gangen. Papkortet kan du jo kopiere eller scanne ind eller tage et billede af,« siger Adam Lebech. Svagheden ved papkortet er netop, at alle engangskoder er synlige på samme tid. Det betyder, at hvis en angriber får fat i brugernavn og adgangskode samt et billede af papkortet – eller måske selve papkortet – ja, så er der adgang til alt.

Der er tale om tre fysiske enheder og en app, som brugerne har mulighed for at anvende ved login. Version2 har været i dialog med Digitaliseringsstyrelsen og vicedirektør i styrelsen, Adam Lebech, om de forskellige løsninger. Hvad de fysiske enheder angår, så er der tale om en engangskodeviser, som den der allerede kan fås i dag til NemID. Enheden viser en kode ved et tryk på en knap, som så skal tastes ind i forbindelse med login. Ønsker man en kodeviser til NemID i dag, koster det 99 kroner. Til MitID kan den erhverves uden at skulle punge ud.

Blinde og svagtseende

I samme boldgade som kodeviseren kommer der også en enhed til blinde og svagtseende. Her er der også tale om en selvstændig enhed, der med et tryk på en knap kan spytte engangskoder ud. Denne enhed læser dog koderne op i stedet for at vise dem på et display af hensyn til målgruppen.

»Det svarer til nøgleviseren, og den kan læse koderne op,« siger Adam Lebech.

Af hensyn til sikkerheden vil det her være muligt at slutte et par hovedtelefoner til, så manden i midten ikke lytter med. Digitaliseringsstyrelsen oplyser i øvrigt, at tilslutningen kommer til at ske via et mini-jack-stik, kan vi oplyse til de nysgerrige. Løsningen til blinde og svagtseende kommer heller ikke til at koste slutbrugeren ekstra. Engangskodeviseren med display og enheden, der læser op, er på det sikringsniveau, Digitaliseringsstyrelsen kalder 'betydelig'.

Styrelsen arbejder med tre sikringsniveauer baseret på NSIS-standarden. ‘Lav’, ‘Betydelig’ og ‘Høj’.(PDF)

Det laveste niveau er login med bare brugernavn og kodeord. Altså på samme måde, som det i flere netbanker har været muligt at kigge i kontoen via NemID uden brug af nøglekort.

God respons fra ældre og Ældresagen

Hvis man ved, hvad det er, vil man tro, det er en lommeregner. En forvokset en af slagsen med knapper og tal så store, at de ikke er til at tage fejl af. I virkeligheden er dimsen forbundet med det nyeste teknologi. Den er en del af fremtidens MitID, som tager over fra NemID i 2021.

- Den er fin med de store tal, lyder det fra Roma Metz på 80 år.

- Den er nok god til Birger og Ejnar. De er svagtseende, supplerer Hans Preben Scheuer på 74 år.

DR Nyheder har besøgt aktivitetscentret Peder Lykke på Amager i København for at brugerteste de fire nye login-systemer, der skal erstatte papkortet, når der skal logges ind på NemID i fremtiden. Centeret er et samlingssted for lokalområdets borgere over 65 år, og her er det der med NemID og digitalisering ikke helt fremmed.

Isak Korn på 72 år bruger allerede nu NemID-appen, når der skal logges på e-boks eller netbank. Derudover har han allerede nu en såkaldt NemID-nøglering. Men han har også allerede et forspring - han er nemlig uddannet datalog.

- For mig er det nemt, så jeg hjælper gerne andre med både henvendelser til det offentlige og banken, siger Isak Korn.

Det er langt fra alle, der har fået NemID-appen ind under huden. Faktisk så foregår to ud af tre login på nøglekortet. Nogle er dog overhovedet ikke kommet så langt.

- Jeg har ikke været så interesseret i at lære det, siger Grete Andersen, 78.

2000 frivillige skal hjælpe de ældre

​Et af problemerne med det gamle papkort er, at kriminelle har kunnet franarre deres ofre - typisk ældre mennesker - koder fra deres nøglekort for så derefter at tømme deres bankkonti. Det problem skulle være løst med det nye MitID. Her er papkortet nemlig slet ikke tilgængeligt længere.

Det betyder, at de ældre må tage nye teknologier i brug for at logge ind. Derfor har Digitaliseringsstyrelsen, der sammen med Finans Danmark står bag MitID, arbejdet tæt sammen med Ældresagen. Det er her den forvoksede lommeregner kommer ind i billedet.

- Det er jo en, man kan se, bliver der konstateret rundt om kaffebordet i Peder Lykke Centret.

I virkeligheden er den en kodeoplæser til blinde og svagtseende

- Nye digitale løsninger kræver tillæring, og det, vi har fokus på fra Ældresagens side, er, at alle får mulighed for at komme på og følge med, siger Judith Nathan, der er frivilligkonsulent i Ældresagen.

Ældresagen har omkring 2000 frivillige, der sidder klar til at hjælpe, når MitID bliver lanceret i 2021.

En ekstra sikker enhed

Som noget nyt sammenlignet med de eksisterende muligheder til NemID, så kommer der en fysisk enhed til MitID, der kan anvendes i sammenhænge, hvor det skal være ekstra sikkert. Det vil sige, at løsningen lever op til sikringsniveauet 'høj'.

»Det er målrettet slutbrugere, der arbejder med særligt følsomme data, hvor man får en chip, der kan kommunikere direkte med mobilen eller med computeren,« siger Adam Lebech.

Her er der tale om en selvstændig enhed, der skal være fysisk i nærheden af den enhed, som brugeren forsøger at logge ind via.

Hvis man ved, hvad en Yubikey er, så er det stort set sådan en dims, der bliver tale om. Hvis man ikke ved, hvad en Yubikey er, så er det en fysisk enhed, der eksempelvis kan sættes i en computer via USB. Herefter godkendes login-proceduren ved at trykke på enheden. Sammenligning med en Yubikey er ikke taget ud af den blå luft. Digitaliseringsstyrelsen oplyser nemlig, at enheden til MitID kommer til at bygge på U2F-standarden. Det er en åben standard, som Google og Yubico står bag. Sidstnævnte er den svenske virksomhed, som producerer Yubikeys.

Yubico laver også Yubikeys, der kan andet end at sættes i USB-porten i en computer. Eksempelvis er der enheder, der både understøtter USB og den kontaktløse NFC-standard, der som bekendt kan benyttes i mange mobiltelefoner. Det vil sige, at enheden kan holdes op til en telefon, når der logges ind fra sådan en enhed. Digitaliseringsstyrelsen oplyser, at den kommende U2F-enhed til MitID vil fungere med NFC, Bluetooth og USB.

U2F-enheden kan tilkøbes af private.

Sikkerheden i højsædet

Når de nye login-løsninger bliver udrullet, følger der samtidig en række sikkerhedstiltag med. På appen bliver det - ligesom i dag - muligt at se, hvilken transaktion man er ved at godkende. Samtidig så er det ikke muligt at tage billeder og kopiere tallene fra kodeviserne.

- Hvis man eksempelvis tror, man er ved at logge på sit forsikringsselskabs hjemmeside, men så står der på appen, at man er ved at overføre 10.000, så har man et lag ekstra sikkerhed, når man kan se transaktionerne, siger vicedirektør i Digitaliseringsstyrelsen Adam Lebech.

Hos Peder Lykke Centret er det dog først og fremmest brugervenligheden, der er i højsædet. Udover kodeoplæseren er der også ros til kodeviseren, der er på størrelse med en USB-nøgle.

- Den kan lave mange ting, sådan en lille sjover der. Men den kan jo nok også forsvinde i lommen, siger Hans Preben Scheuer.

Selv hos dem, der aldrig kom med på NemID-vognen, er der ros at hente:

- Den store er god, og så kan man jo tage den lille med i lommen, siger Grete Andersen.

Og så er der app'en

Endeligt kommer der mulighed for MitID-login via en app. Den løsning kommer til at minde om den app, der allerede findes til NemID, hvor brugerne skal swipe i forbindelse med autentifikation.

Digitaliseringsstyrelsen anbefaler app-løsningen.

»Generelt tænker vi ‘mobile first’ og ser derfor app’en som den primære løsning, men man kan frit vælge et identifikationsmiddel. Den enkelte slutbruger skal i forbindelse med migreringen igennem et selvbetjeningsflow, og her skal man vælge, om man fx ønsker app eller kodeviser. Vil man have flere identifikationsmidler, kan man efterfølgende bestille dem,« oplyser Adam Lebech i en opfølgende mail.

Han fremhæver en særlig egenskab ved en app-løsning. Nemlig at det er muligt at se den kontekst, der logges ind i. Så hvis brugeren er ved at logge ind i eksempelvis netbanken, så skriver appen noget med, om man vil godkende logind i navnet på den konkrete bankløsning.

Det kan dæmme op for en bestemt type angreb, hvor en angriber har lavet en falsk login-side, så brugeren narres til at tro, at der logges ind i en anden kontekst, end det reelt er tilfældet.

Et eksempel kunne være, at brugeren oplever, der er ved at blive logget på et biblioteks hjemmeside, mens angriberen samtidig opfanger login-oplysningerne og går i brugerens netbank.

Appen ligger i øvrigt også på sikringsniveau ‘Betydelig’.

Ikke alle synes, en app-løsning er god - eller sikker for den sags skyld. Nogen mener det er et alvorligt slæk af sikkerheden.

Sådan kommer MitID til at fungere:

  • MitID App: Det mest almindelige bliver at bruge MitID via sin smartphone eller tablet. Kommer i store dele til at fungere som NemID nølgeappen gør i dag.
  • MitID Kodeviser: En engangskodeviser på størrelse med en USB-nøgle. Den har et display, hvor man får vist en kode, når man har brug for at logge ind.
  • MitID Chip: Chip, man kan trykke på. Skal kombineres med brugernavn og adgangskode. Til dem, der har brug for en ekstra høj sikkerhed, fx folk der arbejder med sundhedsdata.
  • MitID Kodeoplæser: Til blinde og svagtseende. Den særlige kodeviser kan læse koderne op. Man kan tilslutte høretelefoner, så andre ikke kan høre med.