NemID

NemID logo NemID er en god ide, eller rettere sagt, et nationalt loginsystem er en god ide, og et nationalt loginsystem med multifaktor autentificering er endda en rigtig god ide.

Der er egentlig ikke grund til at bruge tid på en diskussion om hvorvidt NemID er sikkert eller ej, det er et loginsystem med multifaktor autentificering næmest pr. definition, og det endda på trods af NemIDs mindre optimale implementering der ikke gør forskel på store/små bogstaver i kodeord.

Så langt så godt, og så er der vel egentlig hellere ikke meget mere positivt at sige om NemID og virksomhederne bag implementeringen, siden den gode ide er det gået støt ned af bakke.

NemID har haft en hård fødsel, og har siden nedkomsten været et interessant studie i negativ omtale. Man plejer at sige dårlig omtale er bedre end ingen omtale, om det også gør sig gældende for et sikkerhedssystem tvivler jeg lidt på. Jeg tror en del almindelige virksomheder kunne have følt sig fristet til nogle risikable hovsa løsninger for at lappe lidt på tingene, men her kan vi nok prise os lykkelige over at virksomhederne bag NemID er kendt for at handle ekstremt langsomt, eller velovervejet om man vil 🙂

Nå, lad os kigge på nogle af de ting der peger på vi måske alligevel ikke kan føle os helt trygge ved løsningen som den er.
På fødselsdagen bragede NemID systemet ned. Som man kan læse i en artiklen på Computerworld skyldes nedbruddet at NemID lavede flere CPR opslag end CPR systemets maskineri kunne klare. Det er mig lidt en gåde hvordan man kunne havne i den situation, umiddelbart kan jeg komme i tanke om følgende muligheder

  • Måske har man ikke foretaget loadtest inden idriftsættelsen, hvis det er tilfældet er man ikke ikke særlig god til sit arbejde.
  • Måske har man foretaget loadtest, men grundet den massive omtale forregnet sig totalt ? Det er aldrig en god ide at lade marketingfolk og politikere styre udrulning af store IT systemer !
  • Måske har man foretaget loadtest og indset der kunne blive et kapacitetsproblem når det kom til opslag i CPR, men tænkt at “det går nok”, i dette tilfælde er man sgu en torsk.

Alt i alt er det ret bekymrende at man hos NemID ikke forudser den slags problemer og tager sine forholdsregler, det er nok ikke sidste gang NemID får mange besøgende. Man bliver nødt til at spørge sig selv om der er andre situationer de heller ikke har taget højde for.

Nærmest siden dag 1 (jeg var ihvertfald hurtig til at ringe og fejlmelde) har man hos NemID været klar over at det ikke er muligt at bestille NemID såfremt man har hemmelig adresse og ønsker at identificere sig med Digital Signatur. At fejlen ikke er rettet her næsten 3 måneder senere skyldes nok den førnævnte, og i dette tilfælde meget udtalte, træghed hos virksomhederne bag NemID. Men at muligheden fortsat er tilgængelig på NemIDs hjemmeside, uden så meget som en note om at den ikke virker, ja det begriber jeg ganske enkelt ikke, og pessimist som jeg jo, synes jeg det vidner om en stor grad af ligegyldighed fra NemIDs side.
Jeg synes ikke rigtig der er nogen god undskyldning for at gå i luften med en funktionalitet der ikke virker, hvis ikke det er blevet testet inden idriftsættelsen nærmer vi os punktet hvor vi kan tillade os at kalde NemID nogle amatører, og har de kendt til problemet er de da godt nok kedeligt arrogante. 🙂

Jeg har opgivet at få mig et NemID via hjemmesiden, og venter i stedet på at min bank sender mig et en dag, og håber så iøvrigt på det er mit eget NemID, og ikke en andens som det skete for en gymnasieelev der er kunde hos Danske Bank.
Danske Banks udtalelse i artiklen om at de ikke agter at gøre noget for at den slags ikke gentager sig vidner iøvrigt om fornævnte arrogance fra virksomhederne bag NemID systemet. Jeg synes Danske Bank skulle skamme sig over sådan en udtalelse, og så iøvrigt skynde sig at indføre dobbeltkontrol i forbindelse med udlevering af NemID, sådan lidt i med det man ser på apotekerne hvor mindst 2 personer kontrollerer at man får den rigtige medicin udleveret.

4 kommentarer til “NemID

  1. BlueBoden siger:

    Vi har allerede et loginsystem som er bedre, og meget mere modent end NemID. Det er den traditionelle kombination af Brugernavn og Adgangskode. Det er ikke bare et nationalt system, men brugt internationalt.

    Sikkerhedsforanstaltningerne der skal forhindre uautoriserede adgang, er så højt udviklede, at det praktisk talt er umuligt at gætte en adgangskode.

    Det med nøglekort burde ikke være en nødvendighed, når man bruger sin private hjemme-PC. Det eneste tidspunkt hvor det kunne være en fordel at bede om trædie kode, er når der anvendes visse trådløse forbindelser, eller anden computer/enhed.

    Jeg kunne godt gå med til at enheder skulle godkendes, eksempelvis ved at man indtaster en kode fra papkortet. Men det er fuldkommen overflødigt, at bede folk om det hver eneste gang de logger på fra deres private PC.

  2. Sune Beck siger:

    Øhh… Ja man kan jo være enig! Ud med nem-id og lad det liberale marked bestemme standarden inden for sikkerhed.

  3. Ole siger:

    Jeg kan ikke sige andet end at det burde kunne være lavet på en lettere måde, det føles håbløst at man skal slæbe rundt på det foldede glansbillede.

    Og det har ikke haft den mest stabile statistik http://www.ernemidnedeigen.dk/

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *