Kan du stole på NemID?
NemID er ikke længere forbeholdt staten og bankerne. Mange forskellige virksomheder, lige fra fritidshjemmet over kasinoet til boligforeningen har implementeret NemID login. Ifølge Nets har 400 private virksomheder valgt denne løsning, og antallet er stigende.
Den øgede udbredelse er som udgangspunkt positiv, men da det er nemt at forfalske NemID login boksen, er det umuligt for brugeren at gennemskue, om der er tale om en officiel login-boks eller en kopi.
Det illustreres nedenfor, hvor man kan se en sammenligning af den officielle NemID login boks hos bettingfirmaet Betfair og en kopi som jeg har lavet på det fiktive website “Medlemsklubben”.

Min påstand er, at grundet den øgede udbredelse af NemID, og fordi NemID login sker fra mange forskellige websites, bliver brugerne trænede i at være langt mindre kritiske med, hvem de giver deres NemID loginoplysninger til.
Da brugerne har større tiltro til virksomheder, der benytter sig af NemID login, og opfatter NemID som en statslig blåstempling af virksomheden, bliver det nemmere for kriminelle at lokke brugerne til at indtaste deres NemID loginoplysninger på websites, de ikke har besøgt før.
Selv når en bruger kender og har tiltro til et website (f.eks. deres teleselskab), kan hackere have inficeret sitet og udskiftet det officielle NemID login med en kopi. I det følgende vil jeg vise, hvordan hackeren på denne måde kan misbruge brugerens oplysninger, til at få adgang til ethvert andet site, der benytter NemID.
Eksempel:
Bjarne vil købe en ny telefon og skal derfor logge sig ind med NemID på teleselskabets hjemmeside.
Hjemmesiden er blevet hacket, og NemID login boksen er blevet udskiftet med en kopi.
Når Bjarne forsøger at logge sig ind, bliver hans oplysninger, uden hans viden, samtidig brugt til et logge på et website efter hackerens valg, f.eks. Bjarnes netbank.
Bjarne tror fortsat at han er ved at logge sig ind på teleselskabets hjemmeside, så når han bliver bedt om at oplyse et 6-cifret tal fra sit nøglekort, gør han det uden undren. Dette tal bliver — igen uden Bjarnes viden — brugt til at logge på netbanken, og hackeren har nu adgang til Bjarnes Netbank.
Det samme princip ville have gjort sig gældende, hvis Bjarne havde benyttet sig af NemID app’en.

Eksemplet ovenfor har jeg demonstreret med hjemmesiden https://medlems-klubben.dk, og i videoen nedenfor kan du se hvordan det foregår:
Med Medlemsklubben ønsker jeg at vise, hvor nemt det er at lave en vellignende kopi af NemID login boksen, og dermed lokke brugerne til at indtaste deres login oplysninger.
Det skal bemærkes, at når NemID app’en anmoder om tilladelse til at logge på med brugerens NemID, fremgår det forholdsvis tydeligt, at det rent faktisk er Borger.dk der logges på, og ikke Medlemsklubben. Ud fra en håndfuld pseudo-videnskabelige brugertest kan jeg dog konkludere, at de fleste brugere enten overser dette, eller ikke forstår betydningen. I alle tilfældene gav forsøgspersonerne tilladelse til at logge på, og de var derefter meget overraskede over, at hackeren (i dette tilfælde mig) var i stand til at tilgå Borger.dk på deres vegne.
Det Nets bør gøre, og burde have gjort fra starten, er at have ét centralt domæne, f.eks. https://id.borger.dk, som brugerne bliver viderestillet til, når de vil logge ind med NemID. Kæden er som bekendt ikke stærkere end det svageste led, og det er urealistisk at tro, at samtlige virksomheder der implementer NemID login i dag, kan opretholde et tilstrækkeligt sikkerhedsniveau. Med en centraliseret løsning, behøver brugeren ikke at stole på alle de forskellige websites, hvor de logger ind med NemID. Hvis der kun er ét centralt domæne (https://id.borger.dk) som brugerne skal huske og er fortrolige med, er det langt sværere at få dem til at opgive loginoplysninger andre steder.
Hvis man som forbruger håber, at der er noget man kan gøre for at undgå denne form for angreb, må jeg desværre skuffe. Indtil NemID login bliver foretaget via et centraliseret website, kan brugerne ikke vide sig sikre, når de indtaster deres oplysninger. Læser man Nets egne råd, bliver man heller ikke meget klogere:
Nets: Sådan undgår man falske hjemmesider
“Se efter på log-in-siden, at adresselinien starter med “https” og evt. hængelåssymbol.“Kilde: https://www.nemid.nu/dk-da/pas_paa_dit_nemid/pas_paa_falske_hjemmesider/
Dette råd er desværre direkte misvisende, da jeg har oprettet https://medlems-klubben.dk, der har gyldige certifikater og hængelåse til den store guldmedalje. Rådet fra Nets giver en falsk tryghed. Hvis man logger ind med NemID på https://medlems-klubben.dk, opsnapper jeg stadig brugernavn og adgangskode og bruger det til at logge ind på Borger.dk.

Et kludetæppe af bagmænd
Udover de problematiske beslutninger i implementeringen af NemID, er der en katastrofal mangel på entydig afsender og branding. NemID bliver i forskellige sammenhænge omtalt som DanID og Nemlog-in og vil i den nærmeste fremtid blive omdøbt til MitID, fordi staten i sin tid ikke sørgede for at få rettighederne til NemID brandet. Derudover er der officielle websites og leverandører nok til at gøre selv de mest hårdføre teknologer forvirrede. Det mest oplagte domæne til projektet, www.nemid.dk sørgede de aldrig for at få, hvorfor det viderestiller til konsulenthuset Assemble A/S. Og når man som bruger kigger på NemID app’en i App Store, eller prøver at finde support på nettet, står Digitaliseringsstyrelsen, Nets og e-nettet på skift som ophavsmand. Nemid.nu beskriver selv cirkusset meget godt:
“E-nettet har stået for udviklingen af nøgleappen, og Nets DanID, som er leverandør af NemID, har leveret infrastrukturen.”
Kilde: https://www.nemid.nu/dk-da/kom_i_gang_med_nemid/nemid_nogleapp/
Er det virkelig forventeligt, at borgerne skal kunne følge med og forstå det? Forvirringen gør phishing-angreb langt nemmere, da forbrugeren bliver vænnet til forskellige udbydernavne og webadresser, og vil de færreste tøve med af installere en NemID app, selvom den ikke er udviklet af nogen af ovenstående.
I bund og grund er det paradoksalt, at en løsning, der skulle hjælpe med at fastslå identiteten på borgerne i Danmark, endnu ikke har kunne fastslå sin egen. Og hvordan skal brugeren så kunne det?
Som en afsluttende bemærkning håber jeg, at den næste udgave af NemID, kan rette op på nogle af de problemer der er med den nuværende løsning. Hvis nogen af folkene bag det projekt læser med, håber jeg inderligt at de i det mindste skriver sig følgende bag øret:
- Brug ét centralt domæne til login, og træn brugerne i aldrig at opgive brugernavn og adgangskode andre steder
- Staten skal eje rettighederne til navnet MitID så leverandøren ikke kan rende med det igen. Dette navn bør ikke ændres ved fremtidige udbud.
- Køb mitid.dk og opret MitID A/S og sørg for at al information, app-udgivelser, support med videre udgår herfra.
