Ny NemID illustration

Ny NemID kan være farlig

En splinterny udgave af NemID bliver i disse dage lanceret hos alle netbanker og offentlige myndigheder. Nu advarer eksperter mod en sikkerhedsbrist, der betyder, at dit CPR-nummer og din adgangskode kan ligge frit tilgængeligt for tyve i din browser. Vi viser, hvordan du trygt kan bruge det nye NemID.

24. oktober 2014

Netop i disse uger arbejder offentlige myndigheder og de fleste netbanker på at erstatte den Java-baserede NemID med en udgave, der også virker på tablets og smartphones. Desværre giver det nye initiativ et alvorligt sikkerhedsproblem: Fordi dit NemID-login nu ikke længere starter en såkaldt Java-applet, er det i stedet internetbrowserens egne funktioner, der gælder - og langt de fleste moderne browsere tilbyder at gemme både det indtastede brugernavn og kode, præcis som var der tale om dit login til Facebook eller den lokale skakklub.

Forskellen er dog, at med NemID er brugernavnet typisk dit CPR-nummer, og klikker du på "Ja" til at gemme oplysningerne, er de dermed frit tilgængelige for en tyv, der får din telefon, tablet eller pc i hænderne. Han mangler blot koden fra dit nøglekort, for at kunne udgive sig for at være dig på din netbank, på borger.dk eller andre tjenester med stærkt personfølsomme oplysninger.

Eksperterne advarer

Det får nu en af Danmarks fremmeste sikkerhedseksperter til at advare mod fremgangsmåden: "Det er naturligvis ikke godt for sikkerheden, når brugere gemmer deres brugernavn og password på pc'en. Det er særlig kritisk, når det gælder på computere, der deles med andre, og hvis det kun er brugernavn og password der skal benyttes til login," fortæller Shehzad Ahmad, der er chef for sikkerhedsfirmaet DK-CERT.

Den 1. november skal alle danskere være klar til at modtage digital post fra det offentlige – og har man ikke selv en computer, må man anvende en pc på det lokale bibliotek eller Borgercenter. Det kan blive en risikabel sag, hvis bibliotekets computer husker både brugernavn og kode til NemID. Charlotte Jacoby fra Digitaliseringsstyrelsen uddyber:

”Vi er klar over, at flere og flere browsere tilbyder at huske diverse adgangskoder på forskellige hjemmesider - for at gøre det nemmere for brugerne. Brugerne skal være opmærksomme på, at det betyder, at andre brugere af samme computer kan få adgang til de hjemmesider, hvor brugeren har valgt at gemme adgangskoden. Vi anbefaler derfor generelt altid brugerne at sige nej til at gemme oplysninger om adgangskoder. Vi anbefaler også, at de altid sikrer sig, at de er logget af efter brug – især hvis de logger på fra en offentlig computer. Begge dele er særligt vigtigt at huske, når en bruger er logget på med sit NemID.”

Gem aldrig din adgangskode

Hvis du har gemt dine login-oplysninger i browseren, vil en eventuel tyv have direkte adgang til to af de tre sikkerhedsdele ved NemID. Han mangler blot dit nøglekort for at kunne tømme din bankkonto. Kortet kan han skaffe ved også at stjæle din tegnebog – eller blot åbne, hvis du har været så letsindig af affotografere nøglekortet med mobiltelefonen. Shehzad Ahmad fra DK-Cert uddyber:

"Jeg er positiv over ændringen til det nye loginsystem, fordi sikkerhedsudfordringerne med Java var yderst problematiske, men hvad angår NemID, skal man følge Digitaliseringsstyrelsens anbefaling om ikke at gemme brugernavn og password på computeren - også selvom det stadig kræves at indtaste den sidste tredjedel af nøglen, som kommer fra NemID-nøglekortet," siger Shehzad Ahmad.

Nets, der står bag NemID, lancerede i sommer den Java-fri login-løsning, og de forskellige tjenesteudbydere har tiden frem til nytår til at klargøre deres systemer til den nye NemID-løsning.

”Nets DanID anbefaler, at brugere IKKE lader browseren opbevare bruger-ID og adgangskode til NemID. Dette vil reducere sikkerheden til de tjenester, der benytter NemID. Digitaliseringsstyrelsen advarer om det på nemid.nu, og Nets er i dialog med bankerne om, hvordan deres netbankkunder får kendskab til anbefalingen fra Nets DanID”, siger Ulrik Marschall, der er presseansvarlig hos Nets/DanID.

Charlotte Jacoby fra Digitaliseringsstyrelsen fortæller, at styrelsen er meget opmærksomme på truslen, og at de nu er gået i gang med at informere om vigtigheden af at logge af og sige nej til at huske adgangskoder i nyhederne på Digitaliseringsstyrelsens hjemmeside www.digst.dk og på www.nemid.nu, og i forbindelse med Digital Post. Styrelsen vil derudover løbende gøre brugerne opmærksomme på vigtigheden af både at huske at logge af efter brug og at sige nej til at huske adgangskoder.

Herunder kan du se, hvad du skal gøre for at undgå sikkerhedstruslen:

Når din browser spørger dig, om du vil gemme adgangskoden til fx din netbank, skal du klikke på ”Aldrig på dette websted" eller "Ikke nu". Har du allerede gemt oplysningerne, kan du her se, hvordan du sletter dem igen:

Chrome Klik på menu-knappen øverst i højre side og vælg Indstillinger. Klik på Vis avancerede indstillinger… Rul ned og klik på Administrer adgangskoder. Klik på din netbanks adresse i oversigten og klik på krydset for at slette den.

Firefox Klik på menu-knappen øverst i højre side og vælg Indstillinger. Klik på fanen Sikkerhed og klik på Gemte adgangskoder… Klik på din netbanks adresse i oversigten og klik på Fjern for at slette den.

Internet Explorer Klik på tandhjulet øverst til højre og vælg Internetindstillinger. Vælg fanen Indhold og klik på Indstillinger ud for Autofuldførelse. Klik på Slet oversigten over autofuldførelse… Sæt markering ved Adgangskoder og klik på Slet.

Hent 3 gratis hæfter om NemID og Digital post Er du endnu ikke kommet i gang med NemID og har tilmeldt dig digital post hos borger.dk, kan du her hente 3 gratis hæfter, der hjælper dig godt igang: www.komputer.dk/digital

Måske er du interesseret i ...