NemID-papkortet på vej til at vige pladsen for en app: »En utilgivelig slækkelse af sikkerheden«

Papkortet til NemID er på vej ud, men Version2-bloggeren Poul-Henning Kamp stoler ikke på en app-løsning som erstatning.

NemID-papkortets dage er talte. For når MitID i løbet af 2021 overtager for NemID, anbefaler Digitaliseringsstyrelsen en app i stedet. Appen minder om den, mange i dag allerede anvender til autentifikation med NemID.

Læs også: Papkort til NemID smides på porten fra 2021

Version2-blogger Poul-Henning Kamp er en af dem, som er stærkt skeptiske over for sikkerheden ved en app-løsning i forhold til NemID og det kommende MitID.

»Mobilløsningen opfatter jeg som en utilgivelig slækkelse af sikkerheden,« skriver han i en mail til Version2.

Han peger blandt andet på, at malware er et problem på mobiltelefoner.

»Seneste estimat jeg hørte: 50% af alle mobiler indeholder malware i en eller anden form. Præcist hvor meget den malware kan, og hvad den interesserer sig for, er naturligvis meget forskelligt,« skriver Poul-Henning Kamp.

Derudover anfører han, at de to app-gatekeepere - Google og Apple - ikke vil være villige til at forbyde og lukke ned for applikationer, der laver vinduer på telefonen, som til forveksling ligner noget, der har med den offentlige login-løsning at gøre.

Og det kan udnyttes af angribere til lokke oplysninger ud af folk med.

»Du kan ikke registrere og få eneret på et grafisk udseende hos Google & Apple, så alle og enhver kan efterligne de vinduer NemID måtte præsentere,« skriver Poul-Henning Kamp.

Han mener, en app-løsning helt burde droppes til fordel for en selvstændig enhed, som er fysisk adskilt fra NemID/MitID-bruger-interfacet på mobilen. Altså på samme måde som nøglekortet er adskilt i dag.

»I min optik burde mobil-løsningen droppes og alle danskere udstyres med et kompetent dedikeret 2FA token som er 100% under dansk kontrol fra design til brug og som er designet til og helt unikt for NemID,« skriver Poul-Henning Kamp.

Hos Digitaliseringsstyrelsen mener vicedirektør Adam Lebech ikke, der er nogen grund til bekymring over en app-løsning.

Skulle brugeren alligevel helst være fri for en app, så bliver det muligt at anvende en separat engangskodeviser til MitID, som minder om den, der i dag kan tilkøbes NemID.

»Vi kan jo sagtens betrygge de fleste i, at man ikke bliver tvunget til at bruge en smartphone, man vil få andre muligheder. Men vi anbefaler, at man bruger smartphone, fordi vi tror, det for de fleste brugere vil være den bedste oplevelse,« siger vicedirektør i Digitaliseringsstyrelsen, Adam Lebech.

Kendt problemstilling

Adam Lebech er bekendt med diskussionen om, hvorvidt det nu er sikkert med en app på mobilen til brug for NemID og snart MitID.

»Det er en problemstilling, der har været kendt, da nøgleappen blev designet. Det er jo diskussionen om, hvorvidt der er tale om ægte 2-faktor-autentifikation, fordi det hele ligger på den samme enhed, uanset at det er logisk adskilt i den måde, telefonen er konstrueret på,« siger Adam Lebech.

I forhold til det med 'samme enhed' vil det sige, at der logges ind med brugernavn og adgangskode på samme enhed, hvor også autentifikationen via nøglekorts-appen sker. Og det kan principielt være en uheldig kombi, hvis enheden bliver kompromitteret, fordi en angriber på den måde kan få adgang til alle led i autentifikations-processen.

»Vi har fået to eksterne sikkerhedsbureau til at validere sikkerheden,« siger Adam Lebech med henvisning til den nuværende NemID-app og tilføjer, at appen har samme sikkerhedsniveau som papkortet til NemID.

Han peger desuden på, at app’en - af sikkerhedshensyn - er sat sådan op, at den ikke kan køre på rootede Android-telefoner og jailbroken iPhones.

En fordel ved appen

Hos Digitaliseringsstyrelsen hæfter man sig i øvrigt ved en egenskab ved appen, som hverken nøgleviseren eller papkortet er i besiddelse af.

»Der er også nogle særlige ting, som app'en har, og som nøglekortet og -viseren ikke har. Nemlig at der er synlighed omkring, hvilken transaktion, man er ved at foretage. Som man ikke kan lave med et fysisk-device. Og det reducerer nogle typer angreb,« siger han.

Som flere nok har bemærket, så kan login-konteksten fra tid til anden aflæses i den nuværende NemID-nøgleapp. Det vil sige, at det eksempelvis kan fremgår, at brugeren nu er ved at logge på en netbank.

Det kan dæmme op for den type angreb, hvor en angriber laver et falskt NemID-login-vindue på en vilkårlig side, og ad den vej narrer brugeren til at aflevere en engangskode fra nøglekortet, selvom der reelt logges ind i en anden kontekst. Denne type angreb har blandt andet Version2 tidligere demonstreret i en video.

Samme sikkerhedsniveau som nøgleviser

Når MitID tager over, så vil det være muligt at få en nøgleviser i stedet for et nøglekort uden det koster slutbrugeren ekstra.

Hos Digitaliseringsstyrelsen er vurderingen, at nøgleviser og app giver samme sikkerhedsniveau.

»Du skal over en rimelig høj barre for at få 'niveau betydelig' i den fremtidige løsning. Og det lever begge løsninger op til,« siger Adam Lebech.

Det er jeres vurdering, at sikkerhedsniveauet i de to løsninger, app-løsningen og nøgleviseren, kan sidestilles?

»De kan sidestilles, ja.«

Tilgængelighed

Udover malware og diverse angreb mod app-løsningen, så ser Poul-Henning Kamp også et andet problem ved at placere godkendelsen af NemID/MitID-logins på en mobiltelefon.

Sådan en løsning står og falder med, at appen er tilgængelig fra Googles og Apples respektive app-distribueringens-platformer. Poul-Henning Kamp nævner i den forbindelse, at der har været eksempler på, at apps er pillet af platformene.

»Begge virksomheder scanner automatisk koden i apps for 'suspect behaviour', og jeg kan sagtens se en NemID-app trigge et eller andet og få app'en bandlyst i en dags tid, indtil nogen kommer igennem den notorisk sløve 'developer support',« skriver Poul-Henning Kamp i en mail.

Version2 har forelagt Adam Lebech og Digitaliseringsstyrelsen udfordringen omkring tilgængelighed.

»Med hensyn til bekymringen om Apple og Google kan vi fortælle, at parterne bag NemID Nøgleapp har etableret et godt samarbejde med begge parter om NemID Nøgleapp, og samarbejdet fortsættes i forbindelse med MitID,« lyder det i et opfølgende skriftligt svar fra Adam Lebech, som fortsætter:

»Vi har løbende drøftet forskellige spørgsmål relateret til de konkrete apps, blandt andet for at sikre en problemløs udgivelse af apps i de respektive app stores,« siger Adam Lebech, der også forklarer, at der er indgået, hvad han kalder ‘klare aftaler med begge parter’ i tilfælde af, at noget går galt.