Artikel top billede

Professor: Så sikker er din nye NemID

Interview: Et af de elementer i den nye signatur, der har fået bølgerne til at gå højt, handler om sikkerheden. Her fortæller en professor i it-sikkerhed om fordele og ulemper ved den valgte model.

Den nye signaturmodel har også fået en ny sikkerhedsstruktur, når den nye digitale signatur, NemID, bliver lanceret 1. juli.

Med NemID flyttes de sikkerhedsnøgler, der hidtil har ligget på den enkelte brugers harddisk, til centrale servere, som håndteres af PBS, der står bag løsningen.

Samtidig bliver der implementeret et ekstra niveau af sikkerhed, så løsningen kommer til at bestå af to sikkerhedsfaktorer - i form af et kort med engangskoder, der skal anvendes i kombination med det normale login, og password, den såkaldte tofaktor-sikkerhed.

Den manøvre har fået megen kritik, ikke mindst i Computerworlds debatforum. Det kan du læse mere om her.

Her vurderer Ivan Bjerre Damgård, professor i kryptering og it-sikkerhed ved Aarhus Universitet, den nye sikkerhedsmodel.

Fordele ved centralisering

Hvad ser du som fordelene ved en centralisering af sikkerheden?

"Der er to hovedbegrundelser for at vælge en ny sikkerhedsløsning. Den væsentligste er, at folks computere som udgangspunkt ikke er sikre. Det er i øjeblikket ikke svært at tiltvinge sig adgang til en anden brugers digitale signatur, og det har man ønsket at gøre noget ved med central opbevaring af sikkerhedsnøglerne.

Derved er det ikke længere nok, at stjæle noget fra pc'en for at få fingrene i en anden persons signatur.

Desuden samles certifikater og nøgleopbevaring under samme leverandør, hvilket betyder en mindre risiko for svindel.

Samtidig er der også et praktisk element i denne model. Man har ønsket at gøre det nemt at bruge signaturen, der nu ikke længere er bundet til en enkelt computer med en nøglefil.

Det største praktiske problem ved den eksisterende signatur er helt sikkert, at man er tvunget til at installere noget på sin pc, hvilket man ikke skal nu."

Hvilke problemer er der forbundet med den centrale nøgleopbevaring, og kan du forstå den kritik, som mange har været ude med?

"Ja, det kan jeg godt forstå, fordi den valgte model stiller nogle voldsomme krav til, at identifikationen er korrekt.

Hvis man havde muligheden for at opbevare sin private nøgle på betryggende vis hos brugeren selv, ville det være at foretrække.

Desværre har vi ikke en infrastruktur, der er sikker nok til, at det er muligt.

Kan det således betegnes som den mindst dårlige løsning, der er blevet valgt?

"Det er jeg tæt på at mene."

Tror du, at signaturen bliver et springbræt for tofaktor-sikkerheden i andre sammenhænge?

"Det er der ingen tvivl om.

Der er allerede både firmaer og erhvervsdrivende, som anvender to faktorer i sikkerheden, men signaturen kan blive den helt store start på tofaktor-sikkerhed."




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere