Vi har efter vores artikel om den nye NemID app modtaget en række spørgsmål og kommentarer omkring sikkerheden af denne app, og emnet behandles da også kort i artiklen, men da det er et emne som er ret væsentligt når man skal overveje om det er en app man vil benytte, kigger vi her på nogle af spørgsmålene omkring sikkerheden af NemID nøgleappen.
Mange af de spørgsmål der i går og her til morgen er dumpet ind i vores mail-indbakke, går på om sikkerheden er lige så god som papkortet, og om der er et link som beskriver hvor sikkert det er at bruge appen.
En gennemgang af NemID´s officielle hjemmeside www.nemid.nu, resulterede desværre ikke i en særlig detaljeret beskrivelse af hvor sikker NemID appen er. Man kan dog læse lidt generelt om sikkerheden bag selve NemID via dette link, men den eneste sikkerhedsrelaterede information specifikt om NemID appen er følgende tekst:
”Citat fra NemID.nu: NemID nøgleapp er lige så sikker som NemID nøglekort. Nøgleappen har samme sikkerhedsniveau som NemID nøglekort og lever derfor op til NemID’s sikkerhedsstandarder.”
DR nyhederne har talt med Finans Danmarks digitaliseringsdirektør, Michael Busk-Jepsen, som til spørgsmålet omkring sikkerheden fortæller at, ”de har været meget aktive med udviklings-, test- og konceptfasen og har haft tredjeparter inde over til at vurdere sikkerheden”. Og også her kan man læse at ” appen har det samme høje sikkerhedsniveau som nøglekortet”.
Så jo jeg vil mene sikkerheden for NemID appen er god nok, men det afhænger også af dig og din egen sikkerhed omkring din mobil, og der er plads til forbedringer af nøgleappen. I det følgende får du et par tips til hvad du kan selv kan gøre for at have en god sikkerhed, og så lister jeg er par punkter hvor jeg synes der kunne laves forbedringer.
Som en læser også skrev i en mailkommentar til artiklen, så er det en rigtig god ide at have lås på sin telefon, og helst noget mere sikkert end en 4 cifret kode (gerne en lang kode kombineret med fingeraftryk for bekvemmelighed). Det er nemt at gå ind i indstillinger og skifte til alfanumerisk login på både Android og iPhone. Men hvis du nøjes med en 4 cifret kode på mobilen, så sørg for at det ikke er den samme som du bruger til NemID godkendelse.
Den pinkode du skal bruge for at godkende login med NemID, må ikke være nem at gætte. Koder som 1234, 1111, 1212 eller din fødselsdag og lignende er ikke gode pin koder, da de er for nemme at gætte.
Søg for at holde din telefon opdateret. Selvom sikkerheden generelt er bedre, og risikoen for at få hacket en telefon generelt er mindre end for en computer, så bliver der stadig fundet sikkerhedshuller, og du bør derfor holde telefonen opdateret. Hvis du har en gammel telefon som ikke længere modtager sikkerhedsopdateringer, så bør du måske overveje om du skal vente med at installere NemID appen til du engang skal have en ny telefon.
Hvis du mister din telefon og har installeret NemID appen, skal du straks spærrer for nøgleappen. Det kan du gøre ved at gå ind på NemID.nu og vælge selvbetjening (her skal du så bruge dit gamle NemID pap-nøglekort for at logge ind). Når du er logge ind, går du ind under Mit NemID og vælger NemID nøgleapp, hvor du har mulighed for at spærre nøgleappen på en specifik telefon eller på alle dine enheder hvis du f.eks. har installeret den på både mobilen og en tablet. Alternativt kan du også kontakte NemID supporten eller din bank.
Nøgleappen er sikret med en pin kode, så man ikke uden videre kan godkende login eller åbne appen selvom man har adgang til telefonen. Men der er kun tale om en 4 cifret pin kode – hvorfor ikke 6 cifre eller en alfanumerisk kode bestående af tal, bogstaver og specialtegn? Og selv om man kan slå fingeraftryk og FaceID til, hvilket må betragtes som mere sikkert end en 4 cifret tal kode, så kan man stadig fravælge at logge ind med dette fra login skærmen og falde tilbage på den enkle pinkode – så let slipper man ikke hvis man f.eks. vil logge ind på e-boks med fingeraftryk på mobilen. Det skal dog siges at hvis man taster en forkert kode 3 gange, så skal man bruge NemID kortet for at låse op, så sikkerheden er stadig i orden som det er.
Vi har så mange personlige ting på mobilen i dag, at de fleste har sikret sin mobil med en kode eller fingeraftryk, så det giver et ekstra trin af sikkerhed, medmindre at man altså også bare bruger en 4 cifret pin kode som er dem samme man har brugt til NemID appen. Her så jeg gerne at det var et krav at mobilen også krævedeet login for at man kunne bruge appen, det ville give et ekstra lag af sikkerhed, men i min test kunne jeg nemt slå adgangskode fra på mobilen og så godkende login fra en hjemmeside med de fire cifre i appen alene.
En anden ting er, at når man skal godkende et login på telefonen, så kan man ikke se hvilken side det er man er ved at godkende et login fra. Hvis jeg er ved at logge ind på min bank, så ville jeg gerne se kunne se at dette login er fra min bank og ikke en anden side. Man kunne måske tænke sig til et scenarie hvor det kunne være en svaghed i et forsøg på hacking eller misbrug, men det er selvfølgelig meget teoretisk og højst sandsynlig ikke et reelt problem.
Selvom jeg før gav nogle eksempler hvor jeg synes sikkerheden kunne forbedres, så vil det kun være fair også at fremhove nogle af de punkter hvor nøgleappen faktisk er en forbedring sikkerhedsmæssigt.
Hvis man får fysisk adgang til NemID nøglepapkortet, så har man straks alle dine engangskoder og skal kun bruge brugernavn og kodeord for, at kunne logge ind alle steder. Og hvis en person tager et billede at kortet og lade det ligge, så vil du ikke ane uråd før det er for sent.
Folk vil generelt hurtigt opdage hvis de taber eller mister deres mobiltelefon, mens mange nok først vil opdage at nøglekortet mangler næste gang de skal logge ind et sted som kræver NemID.
Nogle har stik imod reglerne for brug af NemID, valgt at tage et billede af nøglekortet for at have det på mobilen for nemheds skyld. Det bør man naturligvis ikke gøre, men med nøgleappen er risikoen for nogen føler sig fristet til det mindre.