Gamle kodeord gør digital signatur usikker

Den digitale signatur kan med et gammelt password benyttes til at logge sig ind på de offentlige systemer, selv om brugeren har fået et nyt password.

Når brugere af den digitale signatur skifter kodeord for at sikre sig mod misbrug, bliver de gamle passwords ved med at give adgang til stærkt personlige og fortrolige oplysninger via eksempelvis offentlige hjemmesider i op til to år.

Dermed har danske borgere og virksomheder, som benytter den digitale signatur ikke umiddelbart mulighed for at forhindre misbrug med den digitale signatur, selv om de skifter password.

Først når borgere eller virksomheder bliver opmærksomme på misbrug og får udleveret en helt ny nøglefil til den digitale signatur, ophører de eksisterende passwords nemlig med at fungere, fordi de gamle nøglefiler dermed spærres.

Problemet med den digitale signatur betyder, at fremmede via offentlige hjemmesider kan skaffe sig adgang til borgeres stærkt personfølsomme oplysninger om eksempelvis økonomi, helbred og kirkelige tilhørsforhold ved at bruge et gammelt password og en tilhørende nøglefil.

Følsomme oplysninger er tilgængelige

Sikkerhedshullet minder om det, som Computerworld fornylig afslørede hos Danske Bank-koncernen.

Her er net-kunder ramt af et kodeords-kaos, som betyder, at gamle passwords bliver ved med at virke, selv om kunderne skifter ældre usikre kodeord ud med nye.

Når det gælder den digitale signatur, er sikkerheden knyttet til en nøglefil, som sammen med et tilhørende password giver fuld adgang til borgeres personfølsomme oplysninger og virksomheders fortrolige data.

Det bekræfter Morten Storm Petersen, som er direktør for it-sikkerhedsfirmaet Signaturgruppen og tidligere har haft ansvaret for opbygningen af OCES digital signatur infrastrukturen.

Ikke overraskende

- Det er der sådan set ikke noget overraskende i. Bankens løsning og den digitale signatur minder på dette område såvel som på andre områder om hinanden, siger Morten Storm Petersen

Til forskel for bankens løsning der dog nogle ekstra standardiserings-hensyn i forhold til den digitale signatur, som gør det vanskeligere at fravige ansvarsforholdene, fortæller Morten Storm Petersen.

Blandt andet gør hensynet til privacy, at der ikke er nogen central server, hvor man kan sidde og holde øje med, om data kommer fra den ene eller den anden version af signaturfilen, forklarer Morten Storm Petersen.

- Det er en del af designet i sikkerhedsløsningen, at man ikke fra centralt hold har nogen historik, siger han.

Derfor vil bankerne ifølge Morten Storm Petersen bedre kunne udvikle specialløsninger som værn mod misbrug, fordi de ikke skal fastholde interoperabiliteten for standardiseringen.

Ifølge Morten Storm Petersen har der tidligere i den offentlige diskussion været ytret ønske om, at man skal kunne se en historik over signaturanvendelsen.

Udfordrende løsning

- Der findes da nogle muligheder for at gøre en login-historik tilgængelig. Men det er en udfordring at gøre det og samtidig overholde standardiseringen, siger Morten Storm Petersen.

- Det har indtil videre ikke kunnet lade sig gøre, men i forbindelse med det kommende udbud på den digitale signatur kunne man udfordre leverandørerne til at levere en løsning som gør det muligt på en måde, så interoperabiliten stadig er i behold, siger Morten Storm Petersen.

Han understreger, at brugere af den digitale signatur altid vil kunne spærre signaturen, hvis der opstår mistanke at andre har fået adgang til kodeord eller nøglefil.

Ved udstedelse af en ny signatur spærres der nemlig samtidig for gamle nøglefiler og tilhørende passwords.

Uhensigtsmæssigt

Hos sikkerhedsfirmaet DK Cert mener direktør Preben Andersen, at problemerne med de gamle passwords er uhensigtsmæssige.

- Og i det øjeblik det går galt, er jeg ikke i tvivl om, at der vil komme fokus på det, siger Preben Andersen.

At det faktisk er muligt at bruge de gamle kodeord og digitale signaturer til at logge på eksempelvis Skats hjemmeside skyldes, at man har skullet lave en løsning ud fra et økonomisk perspektiv, fortæller Preben Andersen.

- Man har skullet lave en løsning, som var økonomisk forsvarlig, siger Preben Andersen.

Der findes ifølge Preben Andersen endnu ingen kendte eksempler på misbrug af de gamle passwords og nøglefiler til den digitale signatur.

- Jeg tror, at man vil finde løsningen acceptabel, så længe vi ikke har konstateret, at den er blevet misbrugt, siger Preben Andersen.

Usikker udstedelse

Hos it-giganten IBM mener Brian Birkvald, chef for IBM’s sikkerhedsgruppe, at sikkerhedsproblematikken i den digitale signatur mere ligger i, hvordan certifikatet bliver udstedt, end i teknologien bagved.

Han fortæller, at certifikat-løsningen i sig selv er en god løsning.

- Men hvis den skal lagre alle vores personlige oplysninger som borgere, så skal den bestemt udstedes på en mere sikker måde end de løsninger man er kommet frem med, siger Brian Birkvald.

Han mener, at den største udfordring i sikkerheden ligger i, hvordan udbyderne af certifikaterne håndterer løsningen.

Det giver nemlig risiko for, at brugerne begynder at tvivle på kvaliteten af servicen.

- Det er jo lidt det, som TDC har været op imod: At man ikke har følt, at det har været sikkert nok. Og det er det i princippet heller ikke. Der er i al fald ikke tillid til løsningen, siger Brian Birkvald.

Problem ligger i adfærd

Ifølge Brian Birkvald er problemet, at borgerne ikke har den samme respekt overfor den certifikatbaserede digitale signatur, som de ville have, hvis løsningen havde været placeret på et chipkort eller et andet fysisk medie.

- Hvis jeg får stjålet mit pas, ved jeg, at jeg skal melde det til politiet, og at det derefter bliver låst, så andre ikke kan misbruge det, siger Brian Birkvald.

Han mener, at vi som forbrugere højest sandsynligt ville tage denne adfærd med tage med os, hvis vi havde et certifikat med en chip eller noget andet fysisk, fortæller Brian Birkvald.

- Hvis vi i dag får stjålet pc’en derhjemme med alle mulige nøglefiler, bekymrer vi os mere om prisen på pc’en end de data, som ligger på den, siger Brian Birkvald.

Derfor ser sikkerhedseksperten helst den digitale signatur bliver gjort fysisk. Alligevel mener han godt, at en certifikatløsning kan bruges.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S