Henrik P. Stougaard Nielsen

Eksperter revser MitID: »Det fungerer ikke« (Version2)

Det kan være, at professoren skulle gøre sig sin titel værdig og faktisk undersøge i stedet for at erindre. Søger man på NemID bare her på version2.dk, så finder man 70 siders søgeresultater. De strækker sig over:

  • I hørte det her først: NemID dropper at overholde EU lovkrav til digitale signaturer, fordi det er for dyrt (og her henviser de til, at man ville skulle verificeres med sit pas). Et oldgammelt problem, man har udskudt og udskudt, og nu har vi endelig en utroligt forsinket løsning med MitID: https://www.version2.dk/artikel/ny-digital-signatur-foelger-ikke-loven-det-var-dyrt
  • NemID forsinkelser igen og igen
  • NemID i sort på lanceringsdatoen
  • NemID lægger CPR-registret (og version2.dk) ned
  • NemID volder problemer for udlandsdanskere
  • NemID der ikke virker i andet end Internet Explorer
  • Nemid.dk er ikke den officielle side, det er nemid.nu
  • NemID der ikke virker fra mobiltelefoner pga. Java og forældet teknologi
  • NemID skal laves helt om forfra, fordi nøglerne ligger centralt
  • Løbende certifikatproblemer, der lægger NemID ned
  • osv. osv.

Og denne artikel om NemID er jo nærmest et deja-vu til i dag:https://www.version2.dk/artikel/it-advokat-til-nemid-kritikere-saet-dog-tingene-i-perspektiv

20. oktober kl. 19:03
Myndighed bag MitID efter kritik af sikkerheden: »Det er den måde systemet virker på« (Version2)

Jeg er ikke helt med på, hvorfor denne issue ikke kan genskabes for NemID, som det påstås i artiklen: Hvis I udvælger de samme 17 personer med NemID, taster deres CPR-nummer i brugernavn og forsøger med tilfældige koder 200 gange i timen over et døgn - så bliver der også spærret for deres NemID. Og det er uendeligt mange gange lettere at chikanere tilfældige personer på den måde med NemID, da man her ikke blot vil spærre for login; nej, man vil spærre for selve deres NemID efter x antal mislykkede forsøg. Og Version2 skulle bruge en nat på at finde 10000 brugernavne til MitID. Til NemID er brugernavnet vores CPR-nummer, hvilket jo nærmest er offentlig tilgængelig information. Det er baseret på en matematisk formel, så kan man i Excel på 5 minutter beregne sig frem til alle danske CPR-numre = så har man gættet sig til samtlige 4.8 mio. brugernavne i NemID på 5 minutter. Med det in mente, så er MitID da væsentligt bedre designet.

20. oktober kl. 18:01
350.000 danskere rammes særligt hårdt af MitID-hack (Version2)

Jeg forstår heller ikke hvorfor man har undladt kodeord bare fordi man bruger app - det må da forringe sikkerheden, for brugernavnet har V2 jo vist at de kunne gætte en del af jo

Man kan også ganske nemt gætte/beregne tilfældige brugernavne til NemID. NemID bruger som standard dit CPR-nummer som brugernavn - og du skal selv gøre dig anstrengelser, hvis du ikke ønsker dette: (1) Du skal selv logge ind at lave et selvvalgt brugernavn, OG (2) derefter deaktiverer du CPR-login. Det kan du ikke længere med MitID, hvor du ikke kan benytte CPR som brugernavn.

Det er ikke særlig svært at gætte et CPR-nummer, for det er baseret på en matematisk beregning (der er fuldt offentligt tilgængelig). Så du kan bare skrive et eller andet "tilfældigt" tal som brugernavn i NemID og så bare gå i gang med at skrive tilfældige koder. Vupti, så har du også spærret en tilfældig persons NemID permanent.

Ved MitID får du kun lov at taste en kode, hvis personen benytter en nøgleviser. Det er dermed "kun" 250,000 personer, man kan spærre permanent på denne måde.

Med NemID kan man bruge samme teknik og spærre op mod 4,800,000 personer (antal personer i Danmark ≥15 år).

Så ja, jeg synes faktisk Version2's kritik bare er en stor overskrift uden reelt indhold, for MitID er - i dette tilfælde, som netop dokumenteret - en kraftig forbedring ift. MitID. Som andre så har luftet, så virker det dog meget underligt, at man vælger at spærre nøgleviseren permanent, i stedet for at fx tillade oplåsning ved at skanne pas, o.lign.


Baggrund:

Du ved, at CPR-nummeret ser således ud: ddmmyynnnn

dd kan kun være et tal mellem 01 og 28–31 (afhængigt af måned) mm kan kun være 01 til 12 yy kan være 00 til 99 nnnn - kan du beregne

Der er kun 540 kombinationer af "nnnn" pr. dato, hvis man er født før 2007. "nnnn" tildeles fortløbende nedefra. Hvis man er enddog rigtig interesseret, så kender vi også daglige fødselstal fra Danmarks Statistik. Derfor ved vi også, nøjagtigt hvor mange kombinationer af "nnnn" vi har for hver enkelt dato, hvis vi gerne vil være meget målrettede.

Ergo: Det er ligetil at finde på tilfældige tal, og er vi rigtig interesserede kan vi beregne os frem til næsten alle danskeres CPR-numre, og for at hacke dit NemID behøver vi derfor ikke gøre andet end strategisk at udvælge nogle CPR-numre (vi kunne fx vælge kun at gå efter "yy" i intervallet 40–60).

13. oktober kl. 21:04
Ny GDPR-bombe under danske virksomheder: Google Analytics er som udgangspunkt ulovligt (Version2)

"Bombe" henviser til noget, der sker pludseligt og med eksplosivt og dødeligt udfald, i dette tilfælde metaforisk. Noget er ikke en bombe, hvis det har været en kendt problemstilling, siden år før GDPR trådte i kraft.

Men som jeg har sagt før, og nu siger jeg det igen: At USA defineres som et "usikkert tredjeland" er udelukkende politisk motiveret. UK fik uden videre en tilstrækkelighedsafgørelse og status som sikkert tredjeland efter Brexit, selvom det også her er kendt inden for persondataretten, at UKs masseovervågning, efterretningstjenester, mv. på flere områder langt overstiger det, som USA har gang i. Ja, det er endda en offentlig hemmelighed, at UK hackede Belgiens største teleudbyder for at opsnappe information.

Men igen, det er politisk: GDPRs udgangspunkt er, at alle EU-medlemslandene har et højt beskyttelsesniveau, og alt udenfor har et dårligt beskyttelsesniveau — også selvom visse lande uden for EU er langt bedre til databeskyttelse end visse lande inden for EU. Det er en politisk beslutning, at hvert medlemsland ikke skal godkendes separat, og at alle medlemslande har en ensartet tilgang til databeskyttelse og deres øvrige lovgivning.

Indtil nu har vi måttet acceptere, at UK ifølge GDPR var sikkert, men det ærgrer mig noget så enormt, at EU Kommissionen uden videre giver UK en tilstrækkelighedsafgørelse efter Brexit. Det er politik, og udelukkende politik, at UK er "sikkert", imens US er "usikkert".

25. september kl. 23:58
Borgere uden MitID-app får ingen udsættelse: Onlinekøb bliver umuligt uden telefon (Version2)

Det var også min første tanke. Må dog indrømme, at jeg er lidt målløs over at finde ud af, at man ikke fra start har gjort det muligt at godkende med alle de muligheder, MitID stiller til rådighed: App, kodeviser, kodeoplæser, når nu NemID kan, og at man først finder ud af det en måned før løsningen udfases.

24. september kl. 11:49
National Rejsekort-app til halv milliard sendt i udbud: Selskabet bag søger fem leverandører (MobilityTech)

Den virker også rigtigt godt i Nordjylland de gange, jeg har husket at bruge den i stedet for det fysiske rejsekort i lommen. Den automatiske tjek-ud fungerer dog ikke rigtigt.

31. august kl. 16:32
Datatilsynet: Ledige må ikke profileres med algoritmer bare fordi de samtykker (Version2)

Hej. Det er egentlig fortrolighedsstemplet, men som udgangspunkt er det heller ikke et speciale, jeg er specielt stolt af, og du vil ikke få noget ud af at læse det.

2. august kl. 17:58
Ny beslutning om Google Analytics: Anonymisering af IP-adresser ikke nok (Version2)

Under alle omstændigheder skal brugere af Google Analytics være parate til at lede efter alternative webanalyseværktøjer, da værktøjet, som vi kender det, vil blive slukket i 2023.

Kan vi blive enige om, at det i det mindste er en vildledende formulering. I politik ville man kalde det spin.

Man kunne tilføje sætningen: Men faktisk behøver man slet ikke lede efter alternativer. Man kan også bare trykke på et par knapper og fortsætte med Google Analytics, som man plejer—også efter 2023. For nej, selvfølgelig lukker og slukker Google ikke et værktøj, der sammen med Google Adwords udgør Googles primære indtægtskilde.

25. juli kl. 19:54
Datatilsynet: Ledige må ikke profileres med algoritmer bare fordi de samtykker (Version2)

Har netop skrevet speciale om signaturprojekterne, og havde aldrig overhovedet overvejet at stille spørgsmålstegn ved lovligheden af dem... Nu var det heller ikke det, specialet omhandlede, men jeg har da haft persondataret, og man skal ikke læse særligt langt i den store bog om GDPR for at opdage, at det offentliges myndighedsudøvelse ikke kan basere sig på samtykke - det skal hjemles ved lov. Det er faktisk noget helt grundlovsmæssigt, der skal sikre borgernes retssikkerhed mod Staten og holde sidstnævnte ansvarlig.

21. juli kl. 04:10
Tysk konkurrencemyndighed undersøger Apples omdiskuterede privacy-politik (Version2)

Et selskab som Apple, der er i en position, hvor det på egen hånd kan fastsætte regler for sit økosystem og især App Store, burde indføre regler der fremmer konkurrencen. Men vi har grund til at tvivle på, at det er tilfældet i denne sag, når vi kan se, at reglerne gælder for tredjeparter, men ikke for Apple selv,« siger præsident i Bundeskartellamt Andreas Mundt.

Det er virkelig så fedt, at de har kompetente og skarpe myndigheder i Tyskland, der kan gennemskue den slags ting. De var også de første til at kræve, at Apple åbner op for deres NFC for andre virksomheder og apps i 2019 (trådte i kraft her i 2022). Og det venter vi stadig på herhjemme i lille andedam Danmark.

23. juni kl. 11:59
Finanstilsynet dumper sikkerheden i NemID-nøglekort: Skal fjernes fra netbank 30. juni (Version2)

Belejligt det først er nu det ikke er godt nok ikke når nu det har været nok i de, hvad 10 år det har været i brug?

Nej, det har ikke været godt nok siden EU Direktivet om stærk autentificering trådte i kraft i september 2019. Det blev udskudt af forskellige årsager, og kom først til at gælde ca. 1.5 år senere. Men det er af samme årsag, at NemID-nøglekortet ikke har været gyldigt ved betalinger på nettet siden da. Man kan desværre kun gisne om, hvorfor nøglekortet stadig har været gyldigt ved login til netbank. Man kunne forestille sig, at der ligger rent praktiske overvejelser bag dette, idet MitID ikke eksisterede i 2019.

Og fx også samme årsag til, at du ikke længere kan betale med magnetstriben alene i EU.

23. juni kl. 11:50
Efter Schrems II: Datatilsynet går i kødet på Region Hovedstaden og Økonomistyrelsens cloud (Version2)

Det er rigtigt, at man i det tilfælde ikke behøver spørge; men man skal selvfølgelig huske at oplyse — det gælder også for de nødvendige cookies. Så du vil stadig skulle have et (lidt simplere) cookiebanner med en "OK"/"Luk" knap samt en Cookiedeklaration, der beskriver, hvad de nødvendige cookies bruges til, og hvilken type data de indsamler om slutbrugeren og dennes enhed.

16. juni kl. 23:41
Efter Schrems II: Datatilsynet går i kødet på Region Hovedstaden og Økonomistyrelsens cloud (Version2)

I mine øjne er det ikke en "nødvendig" cookie, hvis den skal bruges til f.eks. login på en side

Hvilket i mine øjne omvendt definerer nøjagtigt, hvad en nødvendig cookie er: En strengt nødvendig cookie, der skal være der for at en hjemmesides grundlæggende funktionalitet fungerer. Her gives ofte eksempler såsom indkøbskurv, loginfunktion, og sessionscookies som strengt nødvendige. Ligeledes er "simpel statistik" strengt nødvendig, eksempelvis performance/load overvågning på serverne.

Yderligere vil jeg argumentere for, at brugerne vil falde endnu mere ind i den faste rytme, der hedder at man bare accepterer per automatik, hvis man skal sige "ok" til hver en lille funktion. Netop consent fatigue er noget, man har italesat ifm. lovforarbejderne. Derfor er det også netop anbefalingen fra (mener jeg) Artikel 29 Gruppen, at man først ser på alle de andre hjemmelsformer, og kun som sidste udvej beder brugeren om et samtykke. Fordi ganske enkelt, hvis man spørger for ofte, så vil brugerne til sidst blive ligeglade. Ligesom vi ser med medarbejdere, der systematisk ændrer et enkelt tegn i sine passwords, fordi de bliver bedt om at skifte hver 90. dag.

Det er en ret udbredt misforståelse med GDPR: Man skal ikke bede om samtykke om hver en lille ting. Faktisk bør den mulighed ses som en sidste udvej grundet de ulemper der netop er ved samtykkeformen.

16. juni kl. 23:34
Millioner af danskere bruger stadig kun e-Boks trods udbuds-nederlag til Netcompany (Version2)

Jeg ved det faktisk ikke. Jeg har selv haft mistænkt eBoks for at vise den popup udelukkende som et reklame-/loyalitetsstunt.

Men man kan sikkert godt gøre begge ting samtidigt.

16. juni kl. 15:42
EU vælger USB-C som opladerstandard på forbrugerelektronik fra 2024 (Version2)

Nej, selvfølgelig gør de ikke det; og det fremgår ingen andre steder end i din fantasi.

9. juni kl. 15:38
EU vælger USB-C som opladerstandard på forbrugerelektronik fra 2024 (Version2)

Som altid er EUs bestræbelser om dette emne desværre clear as mud. Første gang i 2009, hvor de begyndte på det her; dér troede vi også, at de havde vedtaget en fælles standard for stikket i mobiltelefonen—men desværre viste det sig jo, at det kun galdt porten i selve strømforsyningen.

Den nye lov har 5 "options", hvor Option 5 er den, som kræver, at både oplader, mobiltelefon og stik er USB-C, samt understøttelse af fast charging, unbundling af strømforsyningen fra telefonen samt mærkning af kapabiliteter på produktemballagen. De øvrige options tillader fx Apple at beholde stikket på telefonsiden samt adaptere, mv.

Og det står fuldstændig uklart fra EUs pressemeddelelser, hvilken option man har vedtaget. Og det er heller ikke klart i den relativt korte lovændringstekst via Eur-Lex, hvad man egentlig har vedtaget.

Derudover bliver man ikke klogere af at læse de forskellige nyhedsmedier, da de også før har rapporteret fejlagtigt omkring netop dette emne.

I Annexet til loven tror man, at det står mere klart. Men heri fremgår det, at telefoner (osv.) skal komme med en "USB Type-C receptacle". Og mener man her, at det er stikket i telefonen eller strømforsyningen, der er en "receptacle"?

Dernæst henvises der til en IEC-standard, man skal købe for at få at vide, hvad annexet henviser til.

Ja, uddybning udbedes venligst.

8. juni kl. 20:28
Norsk edtech-virksomhed vil finde vej forbi danske bureaukrati-barrierer med gratis indhold (Version2)

Jeg kan godt lide underrubrikken. Den får det til at lyde, som om edtech-firmaerne ikke kan finde ud af GDPR og bureaukrati, fordi de ikke kan læse xD

Det er svært for nye edtech-virksomheder at komme igennem nåleøjet databehandleraftaler og andet bureaukrati i folkeskolen, men hos Pickatale satser man på, at en gratis version af deres læseapp kan hjælpe.

2. maj kl. 19:20
CBS-ekspert: Danske offentlige brugerflader er »20 år gammel« teknologi (Version2)

I hvilken verden har de dog bedre kundeservice i USA? Facebook har eksempelvis nul kundeservice ud fra devisen, at gode produkter, der er godt designet, heller ikke behøver kundeservice. Dén ide er vist kun teoretisk gangbar. Og jeg har da været rundt i det ene kafkaske helvede efter det andet hos især Google, Apple og Microsoft. Ved Amazon har jeg dog oplevet en ok kundeservice.

Og det offentlige derovre er ikke meget bedre. Hele deres Visa Application via ambassaden viser meget godt, hvordan det offentlige arbejder derovre. Hvis forfatteren til dette skriv mener, at MitID ligner noget, der er 20 år gammelt, så ligner de amerikanske føderale hjemmesider noget fra stenalderen. UX er mildest talt ikke-eksisterende derovre.

Da jeg var derovre forsvandt en pakke for USPS - deres postvæsen. Hvis man ringer til dem får man et automatisk IVR-system, man kun kan tale til. Ikke noget med "Press 2 for lost parcels". Nej, det er noget lignende: "Say 'My package did not show up yet' to make a claim". Og derpå skal man sige - ikke indtaste - hele sit sporingsnummer på 22 karakterer, som den derefter læser højt for en efterfølgende. Og hvis det er forkert kan man starte forfra. Man kan ikke få lov til at tale med et menneske. Faktisk skal man google sig til, hvordan man kommer i tale med et menneske ved USPS. I telefonsvareren skal man sige "hemmelige" ting for at blive viderestillet til et faktisk menneske. Jeg var nok nummer 800 i køen og ventede i 4–5 timer på at komme igennem.

20. april kl. 21:30
Ny cloud-vejledning fra Datatilsynet presser Kombit og Aula-platformen (Version2)

Videregivelse, overladelse og intern deling - den skelnen eksisterer kun i dansk retspraksis. I GDPR betegnes de alle: "overførsel". Det er dog ikke en helt dum skelnen, da den tilføjer præcision: Overladelse er en overførsel til en databehandler, videregivelse er til en tredjepart.

13. april kl. 23:27
Efter forsinkelser og ekstra test: Endelig kom ny digital postkasse i luften (Version2)

Gud hvor dumt.

eBoks har lavet en kopi af alt post fra det offentlige samt mappestrukturen. Så nu ligger alle beskeder fra det offentlige dobbelt - under fanen "Post fra virksomheder" og "Post fra det offentlige".

Hvis man omdøber eller opretter en mappe under hver fane, så ligger den nye mappe kun dér. Og sletter man gammel post fra det offentlige ét sted, så slettes det også kun dér.

OG det vil også sige, at alle mine smarte automatisk arkiveringsregler ikke længere virker.

21. marts kl. 18:24