>Men hvis man vil ændre ens brugernavn i det her tilfælde skal man vel ned på borgerservice?
>»Nej man kan gøre det på mitID.dk.«
>Hvis man er blokeret?
>»Nej så kan man ikke, men når angrebet er identificeret og stoppet kan man logge ind. Det er ikke en chikaneform vi har set i praksis.
Det er simpelthen en helt unik chikaneform man aldrig har set før. Det forsikres også at systemet er sikret mod DDOS angreb, som version2s test minder meget om. Men altså det at indtaste tilfældig tekst mange gange, indtil systemet afslører at der er en bruger bag, er helt unikt og aldrig set før.
Desuden så minder vicedirektøren flere gange interviewer om at det er ulovligt at teste systemet med DDOS angreb. Men havde han hellere set at russerne gjorde det her om et halvt år? Men okay, så kompetent som han fremstår, gør de det jo nok alligevel.
Edit: havde ikke set jeg var kommet til at skrive han var direktør i digigaliseringsstyrelsen. Men jeg synes det er meget passende.
> betyder eksempelvis, at en moderne smartphone til tusindvis af kroner i praksis bliver adgangsbilletten til den næste generation af moderne signatur.
…
> Det har vist sig at være et adgangskrav, som mange danskere enten ikke ønsker eller ikke kan leve op til
Hmm. Hvis man nu bare et eller andet sted havde data på hvor mange der kunne og/eller havde lyst til at bruge en offentlig digital løsning på deres telefon til at logge ind på de offentlige systemer.
Jeg kan simpelthen ikke se hvor de kunne få det data henne. /S
…
Hvorfor har de nu ikke liiiiige taget sig sammen og fået et overblik over hvor mange der faktisk brugte NemID på deres telefon, og måske endda med en telefon der havde den tekniske funktionalitet til at scanne deres pas. Det er godt nok et selvmål.
Hvis der skal laves noget om, håber jeg MEGET, at det KUN bliver bag ved brugerfladen og ikke noget der gør, at jeg skal igennem det helvede jeg var tidligere i år, for at få det til at virke.
Det kan kun blive en katastrofe hvis vi brugere oplever nye ændringer.
Bare brug Microsoft Authenticator app… Men nej, vi skal da lave vores egen nationale løsning til 1000000000 milliarder som ikke er sikker, fordi Danmark.
Ud over alt det tekniske er det så virkeligt først nu at de tænker at det kunne være fedt at få en UXdesigner ind over så der bare er lidt opmærksomhed på brugeroplevelsen?
Det plejer at være en af de første ting der er en god ide at gøre så man slipper for at lave et dyrt redesign.
Åh hvor jeg hader MitID. Min kæreste har ikke dansk pas, så hun skulle for små 6 måneder siden ind på Borgerservice for at få oprettet sig. Siden da har hun, ligesom sikkert alle andre, udelukkende brugt NemID da det for brugeren simpelthen er en bedre løsning.
Nu prøvede hun lige at bruge MitID i dag og surprise, surprise så melder appen at der ikke er nogle godkendte loginmetoder. Der står at man skal på Borgerservice igen, bortset fra ét sted på siden hvor der står at man kan benytte NemID i stedet for pas. Når man så bruger NemID skal man verificere sig med sit login til MitID inde på siden for at kunne aktivere MitID. Så får man samme fejl.
Det er simpelthen ikke klar til at overtage for NemID. Jeg kan nogle gange ikke overføre pengebeløb da anmodningen fra min netbank aldrig dukker op i MitID appen.
Jeg kan godt lide BankID fra Sverige. Du bare scanner en qr-code med appen. Ingen brugernavn eller andre lort.
Scammers kan ikke ringe til bedstemor for at konfirmere en login eller transaktion.
Det udbud som NETS vandt så de fik opgaven burde vel have visse deadlines, således at man kan sætte op, sort på hvidt, om de har overholdt deres ende af aftalen.
Eller er alle parter gode venner med hinanden og dermed prioriterer hinandens lommer over alt andet?
Med de fejl og mangler som nævnes i artiklen og kommentarerne her, så skal man være godt dopet op på et eller andet for at kunne oprigtigt sige at alt kører efter planen
*Jeg venter stadig spændt på at Spar Nord’s mobilbank gider at acceptere MitID, uden at give mig en fejlbesked i .json format.*
> Et krav om at scanne sit pas for at aktivere MitID-appen betyder eksempelvis, at en moderne smartphone til tusindvis af kroner i praksis bliver adgangsbilletten til den næste generation af moderne signatur.
Altså, der findes jo også stadig nøglekort og nøgledims (som jeg ikke lige kan huske navnet på… altså, tal dimsen. Den elektroniske. I ved hvad jeg mener, for fanden.)
Man skal da ikke skanne sit pas, skal man? Det husker jeg da ellers ikke.
Ingen vej!
(nej vej!)?
Det er sgu da godt vi alle lige nåede at få det inden dets sikkerhed blev undersøgt.
Jamen man glemmer lige en kæmpe ulempe ved NemID: Passwordet. Når man sidder på en eller anden udenlandsk site og skal betale for en vare dukker en iframe op hvor man skal taste BÅDE sit CPR-nummer (eller brugernavn men mange bruger det første) og så sit super vigtige password. Da det kører i en iframe har man ingen tjek på om den man sender til reelt er NemID og det er ikke svært at lave en fake dialogboks som opsnapper det her. Og så kan man glædeligt hamstre BÅDE CPR-numre og et vigtigt password som folk desværre nok bruger i mange sammenhæng. Hvordan er det mere sikkert end at kun ens eget valgte brugernavn eksponeres over for en 3. part?
Så er det da heldigt vi ikke har brugt så mange penge på det indtil videre /s
Hele ideen med at man fjerner adgangskoden (som man havde i NemID), for så at bede brugerne benytte brugernavnet som en slags pseudo-adgangskode, er så hovedrystende dum, at jeg stadig er helt uforstående for hvordan det kunne nå dertil.
At resten af implementeringen så også er fuld i huller (e.g. at man kan se om et brugernavn er i brug, kan blokere brugere på den måde, osv.), er ikke en voldsomt stor overraskelse.
Men noget er helt misforstået. MitID er ikke for vores skyld – tværtimod.
MitID har været et kolossalt spild af penge og ressourcer. Enhver normal authenticator havde klaret det fint. Til dem der ikke ønskede det, kunne man have udleveret en hardware sikkerhedsnøgle.
Hvis der er én ting vi ved om dansk IT, så er det at man aldrig går tilbage til en fuser. Heller ikke for at fikse den. Det får bare lov at gå sin skæve gang indtil de høje herrer på Christiansborg forbarmer sig over os og giver os et nyt system, om en 10-15 år.
Bare rolig!
Det næste konsulent hus begynder snart at lave DanID det kommer til at koste kun 2 milliarder og kan endnu mindre.
Fordi som alle rigtige udviklere ved, man kan ikke videreudvikle, kun lave nyt nyt nyt.
Kan vi ikke bare bruge…. Enhver anden form og funktionel udgave af 2fa I stedet for denne usle beta test af noget lort? Det er sgu da fuldstændig hjernedødt at det er blevet tvunget på en.
23 comments
Den var gal allerede da de fandt på navnet.
Hvis man tror der er styr på tingene, kan man læse interview med vicedirektør i digigaliseringsstyrelsen:
https://www.version2.dk/artikel/myndighed-bag-mitid-efter-kritik-af-sikkerheden-det-er-den-maade-systemet-virker-paa
Uddrag:
>Men hvis man vil ændre ens brugernavn i det her tilfælde skal man vel ned på borgerservice?
>»Nej man kan gøre det på mitID.dk.«
>Hvis man er blokeret?
>»Nej så kan man ikke, men når angrebet er identificeret og stoppet kan man logge ind. Det er ikke en chikaneform vi har set i praksis.
Det er simpelthen en helt unik chikaneform man aldrig har set før. Det forsikres også at systemet er sikret mod DDOS angreb, som version2s test minder meget om. Men altså det at indtaste tilfældig tekst mange gange, indtil systemet afslører at der er en bruger bag, er helt unikt og aldrig set før.
Desuden så minder vicedirektøren flere gange interviewer om at det er ulovligt at teste systemet med DDOS angreb. Men havde han hellere set at russerne gjorde det her om et halvt år? Men okay, så kompetent som han fremstår, gør de det jo nok alligevel.
Edit: havde ikke set jeg var kommet til at skrive han var direktør i digigaliseringsstyrelsen. Men jeg synes det er meget passende.
> betyder eksempelvis, at en moderne smartphone til tusindvis af kroner i praksis bliver adgangsbilletten til den næste generation af moderne signatur.
…
> Det har vist sig at være et adgangskrav, som mange danskere enten ikke ønsker eller ikke kan leve op til
Hmm. Hvis man nu bare et eller andet sted havde data på hvor mange der kunne og/eller havde lyst til at bruge en offentlig digital løsning på deres telefon til at logge ind på de offentlige systemer.
Jeg kan simpelthen ikke se hvor de kunne få det data henne. /S
…
Hvorfor har de nu ikke liiiiige taget sig sammen og fået et overblik over hvor mange der faktisk brugte NemID på deres telefon, og måske endda med en telefon der havde den tekniske funktionalitet til at scanne deres pas. Det er godt nok et selvmål.
Hvis der skal laves noget om, håber jeg MEGET, at det KUN bliver bag ved brugerfladen og ikke noget der gør, at jeg skal igennem det helvede jeg var tidligere i år, for at få det til at virke.
Det kan kun blive en katastrofe hvis vi brugere oplever nye ændringer.
Umiddelbart lyder det til at de har fundet [samme fejl, som jeg beskrev for otte måneder siden.](https://www.reddit.com/r/Denmark/comments/ss8osm/comment/hwwgija/)
Bare brug Microsoft Authenticator app… Men nej, vi skal da lave vores egen nationale løsning til 1000000000 milliarder som ikke er sikker, fordi Danmark.
Ud over alt det tekniske er det så virkeligt først nu at de tænker at det kunne være fedt at få en UXdesigner ind over så der bare er lidt opmærksomhed på brugeroplevelsen?
Det plejer at være en af de første ting der er en god ide at gøre så man slipper for at lave et dyrt redesign.
Åh hvor jeg hader MitID. Min kæreste har ikke dansk pas, så hun skulle for små 6 måneder siden ind på Borgerservice for at få oprettet sig. Siden da har hun, ligesom sikkert alle andre, udelukkende brugt NemID da det for brugeren simpelthen er en bedre løsning.
Nu prøvede hun lige at bruge MitID i dag og surprise, surprise så melder appen at der ikke er nogle godkendte loginmetoder. Der står at man skal på Borgerservice igen, bortset fra ét sted på siden hvor der står at man kan benytte NemID i stedet for pas. Når man så bruger NemID skal man verificere sig med sit login til MitID inde på siden for at kunne aktivere MitID. Så får man samme fejl.
Det er simpelthen ikke klar til at overtage for NemID. Jeg kan nogle gange ikke overføre pengebeløb da anmodningen fra min netbank aldrig dukker op i MitID appen.
Jeg kan godt lide BankID fra Sverige. Du bare scanner en qr-code med appen. Ingen brugernavn eller andre lort.
Scammers kan ikke ringe til bedstemor for at konfirmere en login eller transaktion.
Det udbud som NETS vandt så de fik opgaven burde vel have visse deadlines, således at man kan sætte op, sort på hvidt, om de har overholdt deres ende af aftalen.
Eller er alle parter gode venner med hinanden og dermed prioriterer hinandens lommer over alt andet?
Med de fejl og mangler som nævnes i artiklen og kommentarerne her, så skal man være godt dopet op på et eller andet for at kunne oprigtigt sige at alt kører efter planen
*Jeg venter stadig spændt på at Spar Nord’s mobilbank gider at acceptere MitID, uden at give mig en fejlbesked i .json format.*
> Et krav om at scanne sit pas for at aktivere MitID-appen betyder eksempelvis, at en moderne smartphone til tusindvis af kroner i praksis bliver adgangsbilletten til den næste generation af moderne signatur.
Altså, der findes jo også stadig nøglekort og nøgledims (som jeg ikke lige kan huske navnet på… altså, tal dimsen. Den elektroniske. I ved hvad jeg mener, for fanden.)
Man skal da ikke skanne sit pas, skal man? Det husker jeg da ellers ikke.
Ingen vej!
(nej vej!)?
Det er sgu da godt vi alle lige nåede at få det inden dets sikkerhed blev undersøgt.
Jamen man glemmer lige en kæmpe ulempe ved NemID: Passwordet. Når man sidder på en eller anden udenlandsk site og skal betale for en vare dukker en iframe op hvor man skal taste BÅDE sit CPR-nummer (eller brugernavn men mange bruger det første) og så sit super vigtige password. Da det kører i en iframe har man ingen tjek på om den man sender til reelt er NemID og det er ikke svært at lave en fake dialogboks som opsnapper det her. Og så kan man glædeligt hamstre BÅDE CPR-numre og et vigtigt password som folk desværre nok bruger i mange sammenhæng. Hvordan er det mere sikkert end at kun ens eget valgte brugernavn eksponeres over for en 3. part?
Så er det da heldigt vi ikke har brugt så mange penge på det indtil videre /s
Hele ideen med at man fjerner adgangskoden (som man havde i NemID), for så at bede brugerne benytte brugernavnet som en slags pseudo-adgangskode, er så hovedrystende dum, at jeg stadig er helt uforstående for hvordan det kunne nå dertil.
At resten af implementeringen så også er fuld i huller (e.g. at man kan se om et brugernavn er i brug, kan blokere brugere på den måde, osv.), er ikke en voldsomt stor overraskelse.
Men noget er helt misforstået. MitID er ikke for vores skyld – tværtimod.
MitID har været et kolossalt spild af penge og ressourcer. Enhver normal authenticator havde klaret det fint. Til dem der ikke ønskede det, kunne man have udleveret en hardware sikkerhedsnøgle.
Hvis der er én ting vi ved om dansk IT, så er det at man aldrig går tilbage til en fuser. Heller ikke for at fikse den. Det får bare lov at gå sin skæve gang indtil de høje herrer på Christiansborg forbarmer sig over os og giver os et nyt system, om en 10-15 år.
Bare rolig!
Det næste konsulent hus begynder snart at lave DanID det kommer til at koste kun 2 milliarder og kan endnu mindre.
Fordi som alle rigtige udviklere ved, man kan ikke videreudvikle, kun lave nyt nyt nyt.
Kan vi ikke bare bruge…. Enhver anden form og funktionel udgave af 2fa I stedet for denne usle beta test af noget lort? Det er sgu da fuldstændig hjernedødt at det er blevet tvunget på en.
Rejsekortet 2.0 – Siger det bare.