DanID holder danskerne for nar
Læserbrev i Aarhus Stiftstidende, 3.5.2012:
DANID HOLDER DANSKERNE FOR NAR
Når jeg i dag går ind på min banks netbank, står der: "Der er desværre en ny virus i omløb i Danmark. Derfor er det vigtigt, at du er opmærksom på uregelmæssig aktivitet, når du bruger din netbank."
På en konkurrerende banks hjemmeside står der: "Vi har i tre tilfælde konstateret, at kunders pc er blevet hacket og derefter anvendt til misbrug af netbanken."
Vi må igen konstatere, at DanID og NemID ikke har orden i sikkerheden.
Hovedproblemet er, at NemID ikke er et rigtigt ID-system. Danskerne udstyres ikke med deres egen nøgle men med et papkort, der giver adgang til en nøgle på DanIDs centrale server. Dette system er sårbart overfor mellemmænd, der efterligner DanIDs loginside og aflurer borgerens kodeord.
Men dette sikkerhedshul kunne meget nemt være undgået. Hvis NemID fra starten var designet som en rigtig ID, ville den slags angreb have været helt umulige. Som det er nu bliver danskeres bankkonti lænset af den ene grund, at Nets og DanID helt uansvarligt har besluttet at opfinde deres helt egen "ID" i stedet for at bygge på internationalt anerkendte standarder.
Som fagmand inden for området er jeg ikke bange for at sige, at det ville have været muligt at udrulle en sikker standard-løsning for en brøkdel af det beløb, som DanID har fået for at udvikle deres helt egen uprøvede og usikre løsning.
Den bedste og eneste rigtige løsning på disse problemer er at forkaste NemID og erstatte den med en standardløsning i stil med den gamle digitale signatur. Hvis der var nogen som helst retfærdighed til, kom DanID og deres ejer Nets til at betale for det.
Carsten Agger
cand. scient., medlem af IT-Politisk Forening
Foto: Lisa Risager – anvendes under en Creative Commons Attribution-ShareAlike-licens.