NemID har rundet 10 år. Ifølge Digitaliseringsstyrelsen er det 98 pct. af os, der bruger NemID. Over halvdelen af den danske befolkning har nøgleappen, og da Covid19 var på sit højeste i marts, blev den brugt over 30 mio. gange.
Sådan skriver Digitaliseringsstyrelsens direktør, Rikke Zeberg, på LinkedIn i anledning af, at NemID er blevet 10 år. NemID er jo en digital signatur, der nemt og brugervenligt giver os adgang til en lang række tjenester.
Men så nemt var det slet ikke med den første digitale identifikationsunderskrift, Digital Signatur, som NemId afløste.
En besværlig signatur
Digital Signatur var et stykke software, der skulle installeres på en pc og derfor svær at tage med sig på farten, med mindre man rendte rundt med en USB-nøgle i lommen, kunne finde ud af at installere softwaren på maskinen og huske at afinstallere den igen. Det gjorde de færreste dengang for ti år siden, hvor mange heller ikke havde bærbar pc, de kunne have signaturen på. Alligevel repræsenterede signaturen et vigtigt udviklingstrin i digitaliseringen af Danmark, fordi den gjorde en lang række processer digitale, hurtigere og sparede den offentlige sektor for en masse papirarbejde.
Det stod imidlertid klart, at der var behov for en ny og mere mobil tilgang til løsningen, da digital signatur havde nået sin udløbsdato med syv år på bagen. Derfor kom NemID på banen, som med det lille analoge papkort flyttede den hardwarebaserede digitale kodegenerator på pc’en over til baglommen på brugeren.
Med NemID blev den digitale signatur dermed uafhængig af platform og med ét mobil. En fantastisk stykke udviklingsarbejde, simpelt, nemt at anvende og nemt at forstå. At NemID blev til i et samarbejde mellem finanssektoren og myndighederne og dermed kunne bruges både i banken og på kommunekontoret, gav den et fantastisk rygstød, som var med til at sikre den høje udbredelse.
Vi må anerkende det hedengangne IT- og Telestyrelsen, Den Digitale Taskforce og finanssektoren for i fællesskab at have lavet et fremragende produkt, der ikke uden grund har rundet det første skarpe hjørne.
Et besværligt papkort
NemID blev imidlertid også udsat for kritik ved lanceringen. Var den for analog, usmart, for svær at forstå? Jeg husker selv at have set komikeren Anders Matthesen give papkortet en på sinkadusen. Det var bare for klodset, skulle man forstå, gammeldags, kikset. Mange fandt det besværligt at have et papkort, når man ikke en gang havde en pung at have det i.
Som det er med al menneskelig indblanding i teknik, fandt brugerne deres egne veje til at gøre det nemmere for dem selv.
Og mange – op mod 20 pct. – begyndte at tage et billede af nøglekortet og have det liggende på en webmail, der jo altid var tilgængelig fra en pc. Da smartphonen blev allemandseje omkring 2013-14 blev sikkerheden ved nøglekortet yderligere udfordret, fordi nøglekortet nu kunne ligge på telefonen som et billede. Med det var hele sikkerhedsarkitekturen bag nøglekortet så udsat gennem et brud på princippet om to fysisk adskilte kodesystemer mellem noget du ved – din adgangskode – og noget du har – din login-nøgle.
Krav om mobilitet
Samtidig begyndte der at rejses en forventning fra brugerne om, at digitale tjenester skulle kunne anvendes fra mobile platforme. Så nu kunne man med et billede af nøglekortet på mobilen, med et cpr-nummer og password mere eller mindre tømme en bankkonto eller på anden måde begå identitetstyveri ved hjælp af en telefon.
Det var lige nøjagtig det, som blev oplevet i finansverdenen, hvor man så en stigning i tilfælde, hvor især unge fik misbrugt deres nøglekort. Mistanken rejstes i banksektoren om, at der foregik systematisk svindel, at brugerne solgte deres nøglekort, for banken dækkede jo alligevel tabet. Det var mere eller mindre uden økonomisk risiko at miste nøglekortet, blot man kunne stille en troværdig historie op om tabet, og at svindleren måtte have gættet sig frem til cpr-nummeret og adgangskoden.
Næste skridt blev derfor nøglekortsappen, der blev lanceret for godt to år siden.
Balancer
Er appen så mere sikker end papkortet? Før man svarer på det spørgsmål, skal man kigge på den sikkerhedsmæssige balance. Al sikkerhed handler om at finde balancen mellem brugervenlighed, sikkerhed og økonomi. Hvis vi antager, at papkortet var et udtryk for passende balance ved lanceringen i 2010, så blev sikkerheden udfordret, fordi brugerne tog et billede af nøglekortet for at kompensere for manglende brugervenlighed, men det udfordrede sikkerheden ved løsningen og dermed økonomien. At kreative sjæle kunne misbruge nøglekortet ved at sælge koder, gik også ud over økonomien.
Dette skulle det næste udviklingstrin i NemID forholde sig til. Og løsningen var NemID’s nøglekorts-app, som i princippet er mindre sikker end nøglekortet, fordi du kan logge ind på en digital selvbetjeningsløsning i fx din bank via den samme enhed, hvor du har dit nøglekort med din engangskode. Dette er en klar sikkerhedsmæssig udfordring.
Men fordi brugervenligheden er blevet så meget bedre, er et foto af nøglekortet ikke længere er nødvendigt for magelige bruger. Dermed er den samlede sikkerhed steget. Samtidig er risikoen for svind faldet, fordi misbrug af nøglekort – fx de unges salg af papkortet – stort set er elimineret. Dermed er nøglekortsapp’en samlet set sikrere end papkortet, selv om den på papiret er mindre sikker.
Det store og hastigt voksende problem, vi oplever nu, er phishing, smishing og vishing (phishing via sms og ”voice”, dvs. taletelefoni), der rammer os i massive bølger og forsøger at franarre ofrene deres adgangskoder og NemID-nøgler. Senest har vi så galt hørt om et eksempel, hvor de kriminelle har sendt et gammeldags papirbrev til et uskyldigt offer og ved at give sig ud som bank eller myndighed forsøgt at få en kopi af vedkommendes nøglekort. Vi har også gennem årene set angreb, hvor koden i en enkelt transaktion er blevet opsnappet fra en falsk NemID-loginside.
Alle disse problemer imødegår app’en, for nu kan man ikke længere lokkes til at udlevere nøglekoderne.
To- eller multifaktorautentifikation til folket
Husk på, at NemID repræsenterer to-faktorautentifikation, som er den sikreste login-løsning, der findes. Også sikrere end biometri, hvis det står alene. App’en giver mulighed for at sikre NemID med flere lag – en ægte multifaktorløsning. Og derfor bliver app-løsningen alligevel sikker, selv om den bor på én enhed.
Derfor er det heller ikke nok for en NemID-tyv at stjæle din smartphone. Først skal han lukke telefonen op – og du har selvfølgelig sikret den med den første faktor, hvad enten det er et fingeraftryk, ansigtsgenkendelse, et mønster eller en pinkode. Den næste faktor er dit brugernavn og kodeord til NemID, som tyven også skal have afluret. Herefter møder han den tredje faktor: din pinkode til NemID-appen (og den er selvfølgelig forskellig fra den, der kan låse din telefon op). Først herefter kan man swipe sig til login – efter at have overbevist sig om, at det er den forventede tjeneste, man logger ind på.
Hvis alle digitale tjenester brugte multifaktorlogin var meget vundet, men det er en anden historie.
At vi har NemID – en gratis, statsanerkendt digital identitet på sikkerhedsniveau ”betydelig” jf. standarderne – giver Danmark et stort forspring i digitaliseringen. Men historien om NemID minder os også om, at ingenting er 100 pct. sikkert og at man skal holde øje med udviklingen omkring sig for at være med. At NemID har formået det i de ti første års levetid, er også værd at fejre.
Tillykke!