I absolutely refuse to use NemID with its printed code list.

As a minimum, NemId should offer an electronic "Activ Card" which requires a PIN code for activating prior to typing in the bank's logon challenge, which returns the requested 6 digit code.

Even so, I want separate IDs for all my on-line accesses: - NOT a single ID, the risks associated with current concept really frighten me!

Jeg er kunde i Jyske Bank, og jeg synes at deres håndtering af login er rigtig fint. Og at det så virker i alle browsere (inkl. min telefon - har ikke tjekket mine børns DSi) tiltaler mig.

Men jeg forstår ikke hvorfor vi skal gå efter en centraliseret digital signatur. Det ville da være bedre at udpege 2-4 udbydere af OpenID (se http://www.openid.org/) og bruge dem. Vi borgere kunne så vælge en af de udpegede udbydere. Udbyderen skulle så på en eller anden måde tjekke om vi er den borger, som vi giver os ud for.

Dorte

DIn kritik af NemId er berettiget, men du ser kun den "bløde" side af problemet - hvad man "foretrækker".

Det tunge problem er at man ligger sig mellem 2 spor og laver en dårlig authenficieringsløsning (som fastlåser og ødelægger applikationsudviklingen) og en ubrugeligt Digital Signatur (ingen ved sine sinds fulde fem kunne finde på at afgive suvenænitet til NemId).

Magtproblemet er en fundamental showstopper fordi det vil skævvride hele den danske it-infrastruktur. Det bliver en katastrofe for effektiviteten og sikkerheden i den offentlige sektor.

Den digitale signatur lider under et væsentligt problem i dag, nemlig manglende udbredelse, bl.a. på grund af ringe brugervenlighed. Udbredelsen kræves før digitale selvbetjeningsløsninger kan lette trykket fra manuel sagsbehandling i det offentlige, og før at man kan indgå aftale i markedet i øvrigt på et tilstrækkeligt sikkert grundlag.

Så den kommende DanID-løsning er et bud på hvordan udbredelsen opnås. Den er ikke ideel ud fra en ren sikkerhedsbetragtning, da nøglerne netop ligger på en central server, og processen omkring udstedelsen (fremsendelse pr. post til folkeregisteradressen) indebærer også en vis risiko. Desuden bør DanID vel næppe udlevere noget som helst på ”anmodning fra politi” – en dommerkendelse burde være et minimumskrav.

Men vi lever i den virkelige verden, hvor problemer ofte må løses i den takt, de bliver presserende: Misbrug af digitale signaturer er stort set ikke-eksisterede, mens manglende muligheder for at have en ren digital dialog med myndigheder m.fl. koster flere hundrede millioner kroner årligt.

Blot for god ordens skyld - vi må ikke forveksle tyveri af en digital signatur med tyveri af identitet i almindelighed. Identitetstyveri i almindelighed er nemt så længe en aftalepart accepterer kundens kendskab til et personnummer som bevis for, at kunden også er indehaver af det personnummer – sikkerheden i en digital signatur er meget højere.

Mens jeg ud fra en ren it-faglig synsvinkel kan være bekymret, så er hensynet til udbredelsen også vigtig. Om afvejningen er rimelig kommer an på, hvordan vi som borgere stilles, hvis nogle stjæler vores digitale identiteter som følge af den løsere sikkerhed i DanID-modellen.