MitID, Kort fortalt

40 comments

1. Relateret spørgsmål, men alligevel ikke:

   Er det lykkedes nogen at installere MitID i et custom OS som LineageOS eller tilsvarende? Synes ikke jeg kan finde noget nyere end fra 4 måneder siden, hvor det ikke var tilfældet.

2. MitID giver mig, lige som tilfældet med NemID, stadig ikke kontrol over “min” private nøgle så det er ikke en digital signatur selvom det markesføres som sådan og er juridisk bindende som var det det. Fuck MitIT.

   MitID er udviklet for offentlige midler og koden burde derfor være offentligt tilgængelig. Det er naturligvis ikke unikt for MitID, men fuck MitID.

3. >noget af kritikken er nemlig berettiget

   Kan du komme med et par eksempler?

4. Jeg er lige nu i gang med processen om at migrere.

   Allerede ved første skridt blev jeg kortvarigt forvirret. Der hvor man skal vælge Authenticator-type. Der er to knapper – en “Select another” eller “Select”. Det er satme skidt design. Den danske er lidt bedre, hvor der står “Se Andre Muligheder” og “Vælg”.

   Når man skal indtaste mobilnummer, ser det sådan ud: [https://i.ibb.co/t38XjWX/mitidnr.png](https://i.ibb.co/t38XjWX/mitidnr.png)

   Det kunne godt laves smukkere.

   Man kan ikke copy/paste bekræftelseskoden fra mailen og ind, fordi de af uransagelige årsager har lavet separate tekstfelter til hvert ciffer: [https://i.ibb.co/L8HJCb4/mailconf.png](https://i.ibb.co/L8HJCb4/mailconf.png) Også her er designet i øvrigt horribelt.

   Jeg er allerede træt. Og jeg er ikke engang begyndt at bruge app’en endnu. Til gengæld kan jeg konstatere, at mit ønskede brugernavn allerede er i brug, så i princippet kan jeg vel begynde at logge ind med den konto løbende og så se om der på et tidspunkt er en der godkender det ved en fejl.

   En anden smuk ting – jeg loggede ind på Nordnet. I “MitID” app’en stod der: “Nordnet bank – Godkend følgende?” og så intet andet.

   Det er flot. Dejligt jeg ved hvad jeg godkender..

5. > Nej… Du SKAL ikke have pas for at få MitID. En stor del af danskerne kan hurtigt via deres NemID og https://www.mitid.dk/fa-mitid-med-nemid/ oprette MitID fra telefonen.

   Jeg er lidt overrasket over dette, da det tydeligt står i det brev jeg har fået i eboks at det hedder enten pas + telefon med NFC, eller ned i Borgerservice. Det link er på intet tidspunkt blevet nævnt.

   Det er så også lige meget, da det viser sig at app’en ikke er kompatibel med Android 6. Sjovt hvordan NemID fint kan virke, men man lige skal ud og smide 5000kr for at få lov at skifte til MitID.
   Så jeg var egentligt ikke en af dem der sagde Fuck MitID, men det er jeg så blevet efter din post.

   Jeg synes forresten også det er lidt morsomt at de i deres video anbefaler at man bruger leetspeak for at gøre sit ID svært at gætte, når det er det absolut første en hacker vil forsøge. Sammen med et kodeord der kun må bestå af tal, er det utroligt dårlig sikkerhed, selv hvis vi var i 2005.

   Edit:
   Og man skal forresten bruge et pas for at bestille en kodegenerator nøglering, hvis man ikke kan bruge sin telefon. Altså med mindre man vil betale for den.

6. Manglen på push beskeder er fordi der er et gigantisk sikkerhedshul i måden mitid fungerer på.

   I udviklingsmiljøet er jeg i øvrigt blevet låst ude utallige gange, fordi jeg feks er kommet til at trykke reload efter brugernavn er indtastet, men før jeg har godkendt login.

7. Jeg forstår ikke helt hvorfor folk er så pissed over MitID..

   Er der nogen der er tvunget ud i det endnu? Alle steder, der har skiftet til MitID, lader til stadig at have deres gamle NemID login som mulighed, eller..?

8. Jeg får beskeder hele døgnet om at MitID er blevet spærret, på grund af for mange login. Også når jeg ligger og sover.

   Hvis man taster et brugernavn som ikke eksisterer, så får man med det samme en besked om at brugernavnet ikke eksisterer. Det er derfor relativt simpelt at finde frem til alle brugernavne i MitID, og hvis man ville, kunne man få dem alle lukket ned på samme måde som mit er blevet lukket ned.

   Edit: **Fuck MitID**

9. Du har ret i alt. Undtagen lige den med brugernavnet. Brugernavnet er ikke “bare” et brugernavn og det nævner MitID faktisk også ret explicit på deres hjemmeside:

   > Et stærkt bruger-ID er et, man selv kan huske, men som andre har svært ved at gætte, fx ved at bruge specialtegn og tal.

   Langt de fleste ville, når de hører bruger-ID tænke “super, jeg skynder mig at tage u/SkibDen inden andre nupper det!”, men faktum er at man i bruger-ID’et har lavet en absurd sammenblanding af brugernavn og kode, ved at man skal vælge et hemmeligt bruger-ID som andre ikke må kunne gætte..

   u/svendburner er en af de fortalere for hvorfor det er fucked up, som rammer hovedet på sømmet hver gang – og hvem er på røven ret ofte pga systemets fuckups.

   That being said, har du ret i alle dine andre pointer – MitID er fantastisk og den helt absurde mængde af digitalisering vi har i Danmark er fantastisk – prøv at snakke med en hvilken som helst udlænding og spørg hvor mange forskellige logins de har eller hvor mange af de ting vi kan digitalt, de skal møde fysisk op et sted for at gøre.

10. Nu har jeg besluttet mig til at ignorer mitID indtil jeg får flyttet mig til Danmark om et par mdr.

    FIDO2/U2F med egen hardware (yubikey) – eller om man stadigvæk er tvunget til at have deres hardware (hvad det så end er) ?

    Det ville jo være lidt smart hvis man kunne sætte en yubikey (eller anden FIDO2/U2F nøgle) som man så smider i bankboksen til en dag hvor man ikke kan finde telefonen.

11. Det for besværligt. De får mig kun til at skifte med tvang.

12. Det mest latterlige er at man ikke kan bruge det med en rooted android tlf. Staten kræver altså at den er kunstigt låst og at man ikke har adgang til sin egen mobils filsystem. De siger det er pga sikkerhed men comeon. Tænk hvis det var det samme på PC? At man skulle have filsystemet blokeret for bruge forskellige offentlige hjemmesider og services?

13. u/rstorbank du skriver: “*Har du ikke tid til at køre i borgerservice, så kan du ringe til din bank’s MitID nummer (*[*https://mitid.dk/bank*](https://mitid.dk/bank)*) de kan hjælpe dig med at blive oprettet uden fremmøde…. forvent dog ventetid, for de er presset på tid på samme måde som borgerservice.”*

    Er du helt sikker på det? Forudsætter dette ikke at man netop er Identitessikret?

14. Mine svigerforældre talte om at deres iPhones var for gamle til MitID. Jeg ved intet om iPhones, men er det muligt at tage MitID i brug uden indblanding af app’en og springe direkte på en nøgleviser?

15. Det eneste jeg hører her er undskyldninger. Det er bøvlet og ud fra et brugermæssigt oplevelsessynspunkt en forringelse.

    Personligt hader jeg det – mest af alt de manglende push notifikationer som var noget af det der gjorde nemid tåleligt. Det er ikke bare en “meh” som du prøver at få det til at lyde som.

16. Til OP

    Du er en champ – god post!

17. 1. Der kan med MitId nu laves DOS (denial of service)-agtige angreb ved at sende requests med tilfældige brugernavne, der så vil blive lukket, hvis de findes
    2. Som bruger har du stadig ingen garanti for at dit MitId ikke bliver misbrugt (evt. af insiders, som det er sket med NemId) – for du opbevarer ikke selv din private nøgle
    3. Det er dårlig sikkerhed med 6 tal som verifikation, eksempelvis vil det for mange brugere være oplagt at bruge fødselsdato

    Hvis jeg tager fejl i det ovenstående, vil jeg gerne vide det.

18. Du skriver:

    *men det er noget de vælger, men til alle offentlige løsninger er der alternativer der ikke kræver Nem/MitID (enkelte er dog ret godt skjulte).*

    Hvilke alternativer er det udover at du kan overbevise kommunen om at du skal undtages for digital selvbetjening?

19. > Man får ikke Push-beskeder i MitID… Fuck MitID

    Helt enig; det er fucking elendigt design. Og det er affødt af deres ligeså åndssvage tilgang til BrugerID i stedet for user/pass.

    Det kan virkelig ikke passe at man skal ind manuelt og finde sin MitID app, hver gang man skal godkende et login. Vi bruger systemet mere og mere, og så bør man ikke gøre det mere besværligt at bruge.

    Da jeg valgte BrugerID, var jeg hurtig og fik et SUPER BrugerID. Nu viser det sig så at det faktisk var et password jeg valgte, da BrugerID er hemmeligt og ikke være let gætbart. Jeg aner ikke hvordan UserID pludselig er blevet password.

20. Yderst godt indlæg OP!

    NemID startede også som et clusterf**k. Det virkede ikke på telefoner i starten fordi det krævede Java og de ville ikke lave en app fordi “*så kunne det reverses*”. De nægtede også at implementere TOTP fordi de mente det var usikkert, men valgte så senere at supportere push beskeder som de mente var mere sikkert (det er det ikke).

    Da browserne besluttede sig for at blokere Java Applets som standard, der var NemID virkelig ude og skide, så de byggede en JavaScript version der havde en million problemer.

    Efter årevis af problemer og hundredevis af millioner af kroner landede vi på noget der var nogenlunde brugervenligt og brugbart.

    Jeg har dog altid været stor fan af både simplere og mere sikre systemer såsom det [Estoniske system](https://www.id.ee/). Det er i min optik eksemplet på en success historie. Det er åbent (koden ligger på [Github](https://github.com/open-eid)), baseret på X509 certifikater så man både løser brugergodkendelse og brugeridentitets problemerne på samme tid. Det er implementeret fuldt i statens systemer, så selv nede på kommunen skal du bare have dit identifikations kort (smart card) med, så smider du det i læseren, indtaster din PIN kode og nu er du verificeret. Ikke noget af det der sygesikring/kørekort/pas pjat vi har.

    Du kan bruge det til e-mail signaturer, brugergodkendelse til Windows/Linux/Mac, kryptere og signere filer til deling ud over bare et login til hjemmesider. Ingen Java eller JavaScript nødvendigt, det hele er integreret ind i browserne/e-mail klienter allerede.

21. Nice try, MitID studentermedhjælper..

22. Mit ID loader mere end marginalt langsommere end NemID, … fuck Mit ID

23. Desværre, jeg har ikke mulighed for at svare på de mere tekniske spørgsmål

24. Jeg vil gerne sætte spørgsmålstegn ved selve præmissen om at MitID skulle udvikles i første omgang, nemlig den tekniske præmis. Jeg vil påstå at NemID kunne udbygges til at understøtte alle krav, og man snildt kunne lave en faset, helt frivillig, udvidelse af NemID for at introducere mere funktionalitet løbende; f.eks. Oprettelse via pas chip, eller understøttelse af eIDAS.
    Dyrere? Ja,måske. Mere driftstungt? Who knows….pointen er at MitID er resultatet af rådgivning fra IT branchen selv, hvor ny teknologi (læs: hvad udviklere gider beskæftige sig med) og en indædt modstand mod parallel drift ofte er alt for styrende. Læg dertil den sindsyge paranoia fra sikkerheds-eksperter, hvor alle alligevel ender på konklusionen om at intet alligevel er 100% sikkert. So what’s the fucking point? Hvis det er så hemmeligt, så behold det offline – der har vi ærlig talt lidt at lære fra vores tyske naboer.

    Så, FUCK MitID!

25. Min største kritik af MitID er at man skal bruge en pinkode i stedet for et kodeord.

    Jeg kan ikke huske en 6 cifret pinkode, men jeg kan let huske et kodeord.

26. Jeg er mest spændt på, hvad der sker, når jeg skal have ny telefon. Hvordan får man så mitID med der?

27. Hvad gør jeg fra udlandet? Har i forvejen ikke NemID, men er nød til at oprette adgang så jeg kan begynde og betale min studiegæld af osv.

28. Jeg prøvede at opdatere til MitID, fordi…ja, nu passede det mig lige.

    Jeg ringede til min bank, som forsikrede mig om, at jeg godt kunne oprette MitID uden at have fået et prompt fra banken angående MitID.

    Jeg brugte u/rstorbank’s link ([https://www.mitid.dk/fa-mitid-med-nemid/](https://www.mitid.dk/fa-mitid-med-nemid/)), hvor det er beskrevet at jeg skal bruge “mit NemID og adgang til SMS eller e-mail.”

    Fint. Jeg logger ind med NemID, men får så at vide, at jeg ikke kan oprette MitID, fordi jeg skal opdatere mine oplysninger – Hvilket jeg skal bruge et pas til – som jeg ikke har.

    HECK!

    Det var pokkers. Der stod ellers, at jeg skulle bruge “NemID og adgang til SMS eller e-mail”. Ikke så meget som én stavelse om, at et pas er påkrævet. Medmindre selvfølgelig man gider fucke ned på borgerservice.

    ​

    Nå, men jeg prøver at bestille tid til MitID på min kommunes hjemmeside. Det kan jeg ikke få lov til, for jeg har ikke fået et prompt fra min bank endnu.

    Duuumme kommune!

    Nå, men så gik der da 20-30 minutter med det…

29. > Man bliver bedre beskyttet mod falske hjemmesider. Logger man ind på MitID via en browser, vil der stå mitid.dk sidst i URL’en – så ved man, at man er på en rigtig side, og at det er sikkert at handle eller angive sine oplysninger

    Så http://www.fishingMitid.dk er altså en sikker URL ifl. vejledningen til Mitid! Ja det er helt sikkert!!

    Edit: Citatet er direkte fra mitid.dk > menu > sikkerhed > Læs mere om, hvordan MitID styrker sikkerheden

30. Jeg har ingen identitet, jeg er bare en skal af et menneske

31. Jeg har ikke forholdt mig til det endnu, hvilket tydeligvis er en fejl, da jeg ikke har nogen forståelse for hvordan det virker hvis man som mig har en dybt forældet telefon, der ikke undersøtter MitID… Så jeg køber mig gerne tilfreds med at det er fint og bedre, men damn.

32. Jeg priser mig lykkelig for jeg fik aktiveret MitID vha NemID på telefonen på 5 min. Har ikke haft bøvl én eneste gang.

33. Mit store grief er at det jo er 1000 gange nemmere at lave social engineering attacks nu.

    “hej. Jeg kommer fra Banken/Mitid”.

    “For at komme videre skal jeg lige bekræfte dit brugernavn.”.

    “Du skal dog også lige bevise at det er dig, så du skal lige swipe godkendt i App’en”. / “jeg sender lige en bekræftelse, så vi kan checke om dit mitid virker”.

    — The end.

    Tidligere skulle man lokke, CPR, kodeord og papkort ud af folk.

    Nu skal man så pludseligt forstå hvad et swipe betyder, og at selvom der står det er fra banken, så kan det være fra en hacker.

34. BrugerId ER jo et fucking kodeord, hvis det ikke var, så ville det jo ikke være meningen man skulle holde det hemmeligt og have et bruger id der er svært at gætte.

    De har jo fucket godt og grundigt op. I starten tillod de push-beskeder men blev nød til at fjerne det fordi at sammenknepningen af brugerid og kodeord gjorde at man kunne sende requests til folk og der var risiko for at folk så pushbeskeden og godkendte den per automatik

35. Informationerne på hjemmesiden og i telefonen er for dårlige… FUCK MITID!

    Fik låst min app/id fordi jeg glemte pinkode. Hjemmeside umuligt at finde information om det. Kun at jeg skulle bruge NemID til at oprette et id.

    Kærestens telefon går i stykker og hun har ikke dit NemID papkort. Ingen information om hvordan man kommer ud af den kattepine, altså ud over hvordan man opsætter MitID med NemID. Ingen forklaring om hvordan man får MitID uden NemID.

    Ringer til supporttelefonen. Dårlige valgmuligheder som ikke dækker over det jeg skal bruge. Da vi fik fat i supporteren fik vi ikke den mulighed at vi kunne besøge Borgerservice.

    Alt sammen føles som Facebook support: skridt vi gider ikke at tale med dig! (Supporteren var rar, men ingen hjælp). Jo, det kan være fejl 40, men MitID har været noget lort når det ikke virkede.

    Men ellers er jeg glad bruger af MitID.

36. Blev for meget da jeg kom til Brugerid, så jeg afbrød “flowet”..

    [https://imgur.com/xqBrcSW](https://imgur.com/xqBrcSW)

    Jeg flowede ellers lige så godt.

37. Der står jeg skal bruge

    >den nyeste version af NemID nøgleapp
    >
    >dansk pas med chip. Det gælder som hovedregel pas, som er udstedt efter 1. januar 2012. Når passet bliver scannet, tjekker appen i Rigspolitiets systemer, at passet er gyldigt
    >
    >en smartphone, som kan aflæse en chip (NFC-læser). Det kan de fleste Android-telefoner og iPhone-modellerne 7 og opefter.
    >
    Jeg har alle tre ting, men min iPhone 12 Pro Max kan ikke læse chippen i passet, sansynligvis fordi NFC chippen i passet er for gammel, og bruger en ældre teknologi.

    **Fuck MitID**

38. Men der er ingen der besvarer det vigtigste spørgsmål, hvorfor?
    Hvorfor skal vi have et nyt system? Det er helt væk set fra et forbrugerperspektiv. Og hvis det er noget med det tekniske bag, så hvorfor ikke fikse det i baggrunden uden at skifte hele layout? Jaja vi unge techvirgins på reddit skal nok finde ud af det, men det skal være et system der er pædagogiskt for hele samfundet. Feks gamle mennesker bruger forever at fatte hvordan man bruger disse ting, så skal man aldrig ikke ændre dem.

39. >Har du ikke tid til at køre i borgerservice, så kan du ringe til din bank’s MitID nummer ([https://mitid.dk/bank](https://mitid.dk/bank)) de kan hjælpe dig med at blive oprettet uden fremmøde…. forvent dog ventetid, for de er presset på tid på samme måde som borgerservice.

    Jeg har ikke pas og mit NemID er ikke identitetssikret. Jeg har lige ringet til bankens MitID nummer og de kunne ikke hjælpe mig – jeg skal i borgerservice. De har først tid sidst i næste uge – i arbejdstiden. Jeg føler mig som en andenrangsborger. Fuck MitID.

40. Jeg får en fejl ca. Halvdelen af gangene jeg logger på.

    Jeg får også besked om at der er for mange logins, og jeg skal vente et par minutter før jeg kan logge ind igen.

    Yderligere går det også væsentligt langsommere, når det så endelig virker.