Holder MitID også 10 år?

Klumme: Vi har netop fejret NemIDs 10 år jubilæum, og nu er afløseren MitID på vej. Lad os se lidt nærmere på, hvad MitID egentlig er, og om forudsætningerne for om MitID også kan blive 10 år er til stede.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Hvad har NemID betydet?

Først lidt om NemID, som jeg skrev om i min klumme i juli, som du kan læse her: NemID fylder 10 år: Dette jubilæum er virkelig værd at fejre

Betydningen af NemID kan ikke undervurderes.

Det har gjort, at vi har bryste os af at have en statsanerkendt digital identitet, som stort set alle kan finde ud af at bruge, og som – efter at man kan begyndte at NemID-app’en på mobilen som to-faktorautentifikation – faktisk lever op til nemdelen af sit navn.

Jeg tror ikke, der kan være tvivl om, at det har gjort de offentlige systemer væsentlig mere effektive og langt billigere.

Som et lille eksempel fra mit eget område – uddannelsessektoren – skulle alle brugere på et dansk universitet for nylig skifte password til universitetets loginsystem efter et hackerangreb.

Det var muligt - nemt og i øvrigt gratis for universitetet ved anvendelsen af NemLog-In at gøre dette på ganske kort tid.

Tænk, hvordan det ville være gået, hvis de skulle have etableret en manuel papirbaseret proces for at identificere deres tusindevis af brugere.

Sverige har et NemLog-In lignende system, men da det der er bankerne, der står for identifikationen af brugerne og bliver betalt per transaktion, er det ikke tilladt for svenske universiteter at etablere eller vedligeholde en universitetsidentitet - altså at oprette ny bruger eller skifte password i et universitetssystem, på baggrund af den "offentlige" identitet.

Så selvom teknikken virker ligesom i Danmark, sætter den økonomiske model grænser for den effektivisering, vi har set på de danske universiteter mht. digital identitetshåndtering.

Denne forskel er efter min opfattelse en af de væsentligste årsager til, at NemID – i en verden der er så lidt forudsigelig og hurtigt udviklende – kunne fejre sit 10 års jubilæum og givetvis når at runde de 11 år, før udfasningen sættes i gang.

Hvordan fungerer MitID?
MitID er bygget organisatorisk og teknisk på samme model som NemID.

Det udvikles i et partnerskab mellem bankerne og staten, og teknisk set er det en tjeneste, som kun er tilgængelig via en såkaldt broker - det vil sige en tjeneste, der kan oversætte fra MitID's specielle virkemåde til en standardprotokol.

NemLog-In3 er en sådan broker, som staten stiller til rådighed - gratis for offentlige tjenester og med en transaktionsgebyr på to øre for private tjenester.

Derudover er der anmeldt tre kommercielle brokere, der er certificeret til opgaven. Broker-konceptet er ifølge Digitaliseringsstyrelsens hjemmeside introduceret for at øge sikkerheden i MitID og for at gøre integrationen nemmere for tjenesteudbyderne.

Det er gratis for offentlige tjenester at anvende NemLog-In3, fordi staten har "frikøbt" anvendelsen, og det giver god mening, al den stund at offentlige tjenester skal bruge NemLog-In3, når en borger skal logge ind.

Bankerne deltager via partnerskabet med staten i udviklingen og driften af MitID, så vi må gå ud fra, at de er tilfredse med omkostningerne ved brugen.

Hensyn taget til bankerne
Det er i øvrigt min formodning, at den lidt komplicerede arkitektur, der er valgt til MitID / NemLog-In3 med en selvstændig loginkomponent, som kan anvendes forskellige steder, er designet af hensyn til bankerne.

En såkaldt fødereret single sign-on løsning, som den vi anvender i universitetsverdenen (WAY F)og for eksempel i NemLog-In i dag, betyder nemlig, at en bruger, der ønsker at logge ind i en tjeneste bliver sendt til en login-tjeneste på en anden adresse.

Dér sker selve indlogningen, og brugeren bliver så sendt tilbage til den oprindelige tjeneste med en såkaldt loginbillet, der fortæller tjenesten, hvem vedkommende er.

Jeg tror ikke, at bankerne vil acceptere, at deres kunder skal sendes et andet sted hen for login; heraf kommer den arkitektur, hvor loginkomponenten kan anvendes for eksempel på en banks egen side.

Det har jo tidligere givet anledning til kritik, fordi det muliggør phishing, idet man kan ”embedde” javascript-loginkompontenten, men den nye arkitektur er det kun bankernes og de ganske få brokeres sider, man kan logge ind på, så muligheden for phishing er stærkt reduceret.

Hvad koster’n?
Så på den måde er den offentlige sektor og bankernes login-behov klaret, men hvad med resten af samfundet - resten af erhvervslivet, organisationer og alle andre, der allerede i dag har brug for et sikkert login fra kunder, medlemmer, ansatte ...?

Ja, de skal betale en endnu ukendt pris til Nets, for at de kan anvende MitID til deres tjenester.

Mens vi kan glæde os over, at det nu faktisk er muligt for private ”ikke-banker” at anvende en standard grænseflade imod NemLog-In3, så er min mulighed for at anvende MItID ikke op til mig, men til de vilkår Nets vil sælge muligheden for.

Vi kender som sagt ikke prisen for MitID endnu, men den gældende pris for NemID er tilgængelig på Nets hjemmeside - enten en transaktionspris på kr. 1,06 eller en pris per bruger per år på kr. 3,30.

Det er i øvrigt ikke sådan, at når en bruger har logget ind tre gange overgår man automatisk til årspris. Nej, man skal vælge en model for alle ens brugere på forhånd.

Vi kan selvfølgelig ikke vide endnu, hvordan Nets vil prissætte MitID, og mit ærinde her er heller ikke at sætte spørgsmålstegn ved en privat virksomheds forretningsmodel.

Men man kan godt spørge, hvorfor staten ikke har "frikøbt" anvendelsen af MitID til resten af samfundet, når det giver en så betragtelig gevinst?
Staten ville sikkert kunne få en betragtelig rabat, al den stund at den dyre variable del af omkostningerne, nemlig sikringen af, at min digitale identitet faktisk er mig, allerede er dækket.

Samtidig ville det sikre, at private brugere af MitID rent faktisk blev ved med at bruge – eller i højere grad ville bruge – MitID, fremfor blive tvunget ud i billigere løsninger og måske også mindre sikre løsninger.

Hvis den lokale fitness-klub eksempelvis ikke vil gøre brug af MitID i fremtiden, for eksempel på grund af prisen, så skal den finde en anden login-løsning.

Så har vi problemet med, at brugerne skal huske endnu et brugernavn og kodeord, og en logindatabase med alle brugernavne og kodeord, som fitness-klubben skal passe på. Og dermed højere risiko for identitetstyveri på den lokale side, genbrug af kodeord hos brugerne og datatab hos fitness-klubben.

Den debat kunne være interessant at rejse. Ikke mindst, når jeg sammenligner med andre typer identitetsdokumenter, fx mit pas eller kørekort.

Når jeg har betalt for det, kan jeg jo bruge det til at identificere mig over for dem, jeg ønsker - uden at de skal betale en afgift til Nets eller andre. Hvorfor gælder det samme ikke for MitID?

Med NemID har vi set, hvordan en nem og gratis - ganske vist tvungen - adgang til borgernes digitale identitet har medført en fremskreden digitalisering af de offentlige systemer.

Og som Bjarke Alling skrev på dette sted for nylig , vil det være et tigerspring for bedre cybersikkerhed, hvis MitID bliver udbredt i hele samfundet.

Spørgsmålet er, om man ikke burde justere lidt på præmisserne bag MitID? Eller er fundamentet under MitID stærkt nok til også at holde 10 år?

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.





mest debatterede artikler

Premium
Grundfos fyrer to-cifret antal it-medarbejdere i stor omstrukturering
Den store fyringsrunde i Grundfos i september har fået konsekvenser for selskabets it-afdeling, der bliver beskåret. Et to-cifret antal it-medarbejdere er blevet opsagt.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Overser du muligheder for at optimere din Dynamics-investering?
Der er omfattende og ofte oversete muligheder for at understøtte centrale forretningsprocesser med Dynamics 365 Finance & Operations. For eksempel i form af fuld EDI-integration, som optimerer logistik og forsyning. Eller ved at automatisere håndteringen af konsignation eller centrale processer vedrørende elektronisk dokumentflow og dropshipping. Læs mere i dette whitepaper, der også går i dybden med fire konkrete cases.