Regn ikke med NemID-generator til mobilen

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Det vil alligevel ikke blive muligt for danskerne at få en applikation, der automatisk kan generere nøgler til NemID. Sikkerheden er for usikker, lyder begrundelsen.

"Vi har den tilgang, at sikkerheden går vi ikke på kompromis med. Blot vi er lidt i tvivl, så gør vi det ikke. Hellere være lidt konservativ end at tage chancer," siger Palle H. Sørensen til ComON.

Med brask og bram havde Videnskabsminister Charlotte Sahl-Madsen (K) for to måneder siden ellers lovet en mobilløsning, skriver Version2.dk.

"I 2011 bliver der lanceret elektroniske løsninger som supplement til til nøglekortet til dem, der ønsker det og vil betale for den ekstra mulighed. Der bliver således – mod betaling – mulighed for at anvende mobiltelefonerne til generering af de nøgler, der i dag findes på nøglekortet," stod der i regeringens It- og telepolitiske redegørelse.

DanID, bankerne og IT- og Telestyrelsen har nu sammen analyseret sig frem til, at sikkerheden lige nu er for dårlig til, at parterne vil anbefale en mobilnøglegenerator, oplyser videnskabsministeren i et svar til Folketingets videnskabsudvalg.

Tanken var at lave en form for applikation, der kunne generere en kode, akkurat som nøglekortet i dag giver en kode og dermed sikrer en to-faktor-sikkerhed med både en nøgle og et personligt kodeord. En app giver dog ekstra sårbarheder, fordi engangskoderne skal synkroniseres mellem DanID's servere og mobilen. Det er blandt andet beskyttelsen af det "seed", der genererer det tilfældige tal, som er for usikker på dagens smartphone-platforme, mener aktørerne.

Usikkerheden kan sammenlignes med den sårbarhed, der har fået DanID til at forbyde danskerne at gemme deres papkorts-koder i en billedfil på telefonen, nemlig den teoretiske mulighed for at hackere får adgang til koderne.

Men der kommer alternativer til danskere, der måtte være trætte af papkortet.

Til oktober vil DanID efter planen lancere en token, hvor sikkerheden er i top. Det er en lille maskine, der ligner en lommeregner, og kan generere engangsnøgler. Den vil komme til at koste penge, dog under 100 kroner.

Både tokens, eventuelle smartphone-apps og netbanksløsninger ligger uden for de klokkeklare krav, som staten via en kontrakt har stillet til nøgle-leverandøren DanID.

Papkortet er fortsat gratis for borgerne. I hvert fald frem til 2015, hvor den nuværende kontrakt gælder til. Staten kan dog forlænge kontrakten med to år, hvorefter kontrakten skal genforhandles.