Banker forlænger tidsfrist for at skifte til MitID til 45 dage
I disse måneder får tilfældigt udvalgte danskerne besked i deres netbank om, at de skal skifte fra NemID til MitID. Her har bankerne hidtil givet en tidsfrist på 30 dage til at gennemføre skiftet.
Men nu ændrer bankerne tidsfristen fra 30 til 45 dage. Det sker, efter DR har afsløret en række sikkerhedshuller i den nye måde, som MitID fungerer på. Det betyder, at man nu har 15 ekstra dage til at vente med at foretage skiftet, hvis man har fået besked fra sin bank om, at det er blevet ens tur til at tage MitID i brug.
Bankerne presser på for at få flyttet danskerne over til MitID. De forhindrer danskerne i bruge NemID i deres netbank efter tidsfristen på nu 45 dage. Det er til trods for, at Digitaliseringsstyrelsen og Finans Danmark anbefaler folk at beholde deres NemID, indtil overgangen er overstået sommeren 2022.
Læs også: Sådan kommer du i gang som iværksætter og starter egen virksomhed
Længere frist imødekommer bekymrede danskere
Bankerne har indført, at man nu har 45 dage i stedet for 30 dage til at skifte til MitID. Det er gjort for at imødekomme de danskere, som er utrygge ved at skifte til MitID allerede nu.
Digitaliseringsstyrelsen og Finans Danmark udsender nemlig en sikkerhedsopdatering i første halvdel af december, som de vil give danskerne mulighed for at vente på.
Dem, som ellers har haft sidste frist til at skifte til MitID inden opdateringen udsendes, kan derfor nu vente med at skifte, indtil sikkerhedsopdateringen til MitID er rullet ud.
Flere sikkerhedsproblemer opdaget i MitID
MitID er ifølge Digitaliseringsstyrelsen og Finans Danmark væsentligt sikrere end NemID. Der kan blandt andet ikke længere anvendes det fysiske papkort. De udgjorde en sikkerhedsrisiko, fordi folk tog billeder af deres papkort for at gøre loginprocessen nemmere.
Men ikke desto mindre har en række it-eksperter sået tvivl om sikkerheden i MitID.
Kun nødvendigt med brugernavn
Første anklage mod MitIDs design går på, at det er problematisk, at man blot skal bruge et selvvalgt brugernavn for at sende en loginamodning til MitID-appen. Med NemID kræver dette både brugernavn og adgangskode. Det betyder, at man udelukkende ved at gætte en anden persons brugernavn kan sende en loginanmodning. Netop brugernavnet er der ikke de store krav til. Det skal blot indeholde 5-48 tegn, må ikke være identisk med adgangskoden og ikke ligne et CPR-nummer.
Digitaliseringsstyrelsen og Finans Danmark har dog designet sig ud af dette problem. I MitID gives der ikke længere underretninger i appen, når nogen forsøger at logge ind. Brugeren skal derfor altid selv aktivt åbne MitID-appen for at godkende et loginforsøg, der er gyldigt i fem minutter fra det øjeblik, hvor man har logget ind med sit brugernavn.
Der vil dog formentlig være en lille teoretisk chance for, at nogen forsøger at logge ind med brugernavne, der er nemme at gætte, i akkurat samme øjeblik, som brugeren selv forsøger at godkende et login. Det kan føre til, at brugeren kan være meget uheldig og godkende et login, der ikke er vedkommendes eget.
Hjemmeside afslører optagede brugernavne
It-sikkerhedseksperterne kritiserer også, at MitIDs app og hjemmeside kan afsløre, om et bruger-ID er optaget eller ej. Det kan hjælpe it-kriminelle med at finde brugernavne, som man kan sende loginanmodninger til.
Fuld kontrol over MitID-konti, der opnås adgang til
Tredje sikkerhedsproblem opstår, hvis først uvedkommende har fået adgang til en persons MitID. Sker det, kan den it-kriminelle fuldstændig overtage kontrollen over personens MitID.
Det har blandt andet været muligt at godkende anmodninger på vegne af offeret, uden at offeret får besked.
Sikkerhedsopdatering vil gøre det sværere at overtage folks MitID
Digitaliseringsstyrelsen og Finans Danmark har umiddelbart efter DRs henvendelse lappet et af sikkerhedshullerne. Nu får brugere derfor besked, hvis der ændres i ens personlige oplysninger.
Opdateringen, som udsendes til december, vil gøre det sværere for uvedkommende at overtage kontrollen med ens MitID, hvis uheldet skulle ske, at man kommer til at acceptere en loginanmodning, som ikke kom fra en selv.
Fremover skal man logge på med MitID og bekræfte to gange med en tidsperiode imellem, når man ændrer personlige oplysninger i sit MitID. Det er denne opdatering, som bankerne nu giver danskerne mulighed for at vente på.
Se også: Nyheder om it- og cybersikkerhed