Sikkerhedsbrud ved NemID

I stan­dar­der for IT-sik­ker­hed de­fi­ne­res sik­ker­hed ud fra en lille hånd­fuld nøg­le­ord. Nogle af ordene er for­holds­vis ind­ly­sen­de: For ek­sem­pel er det oplagt, at "au­ten­ci­tet" skal være på plads, idet det hen­vi­ser til, at en person er den, ved­kom­men­de udgiver sig for. Også "in­te­gri­tet" er for­stå­e­lig, idet det hen­vi­ser til, at data ikke skal kor­rum­pe­res un­der­vejs.

Andre ord bliver først ind­ly­sen­de ved en smule ef­tertan­ke. Det gælder sidste af de tre nøg­le­ord, som i Dansk Stan­dard norm 484:2005 (i daglig tale kaldet DS484) de­fi­ne­rer IT-sik­ker­hed er "til­gæn­ge­lig­hed". Det dækker over, at data skal være til­gæn­ge­li­ge, når man har behov for dem. I en si­tu­a­tion, hvor man måske skal un­der­skri­ve et skøde eller fo­re­ta­ge en vigtig bank­transak­tion (f.eks. husleje, så man ikke bliver sat på gaden), er det være meget al­vor­ligt, hvis ikke det er muligt at logge på sy­ste­met.

Når mang­len­de til­gæn­ge­lig­hed dermed skal op­fat­tes som et sik­ker­heds­br­ud, kan jeg d.d. do­ku­men­te­re endnu et sik­ker­heds­br­ud hos NemID. Det første (som jeg også selv blev på­vir­ket af) er vel­do­ku­men­te­ret i pressen, idet et stort antal dan­ske­re måtte gå for­gæ­ves i for­sø­get på over­ho­ve­det at be­stil­le NemID.

Det andet sik­ker­heds­br­ud er do­ku­men­te­ret via de to skærm­dumps i dette blo­gind­læg. Jeg havde mod­ta­get min mid­ler­ti­di­ge ad­gangs­ko­de, der skulle gøre det muligt at komme (delvist) gennem lo­gin­pro­ces­sen. Så langt nåede jeg imid­ler­tid ikke. Da jeg ind­ta­ste­de mit CPR-nummer og den mid­ler­ti­di­ge ad­gangs­ko­de, meldte NemID tilbage, at den ikke ac­cep­te­re­de mit CPR-nummer, men derimod skulle bruge et NemID-nummer, som jeg ikke har mod­ta­get.

DanIDs support kunne ikke hjælpe, men fo­re­slog mig at vente, til jeg modtog vel­komst­bre­vet og nøg­le­kor­tet, hvor dette NemID-nummer åben­bart ville fremgå. Således er der en fo­re­lø­bigt for­mo­det løsning på pro­ble­met, men det står al­le­re­de klart, at der er pro­ble­mer i au­ten­ti­fi­ka­tions­me­ka­nis­men, idet NemID ikke ac­cep­te­rer mit CPR-nummer, hvilket hjæl­pe­tek­sten under bruger-ID-feltet ellers fo­re­slår som bruger-ID.

Jeg havde heldigvis ikke et behov for at kunne tilgå mine data i denne omgang, og sikkerhedsbristen gav således ikke anledning til meget andet end hovedrysten fra min side og en opfordring til DanIDs support om, at notere, at systemet vist ikke var blevet testet ordentligt, når den slags fejl kunne opstå.

Mange sikkerhedseksperter - og herunder jeg selv - har allerede påpeget, at selve udgangspunktet for NemID er fundamentalt usikkert. Når det så også viser sig, at systemet udviser den slags fejl som her oplevet, så tegner det ikke godt for borgernes sikkerhed.