torsdag den 17. januar 2019

Højesteretsdom: Hæftelse for lån optaget ved misbrug af NemID


Du kan optage et lån, som underskrives med dit NemID. Det er smart. Men hæfter du for et lån, som en anden har optaget i dit navn med brug af dine tvangsudleverede NemID-oplysninger?

Den 8. januar 2019 afgjorde Højesteret to sager om hæftelse for lån optaget ved misbrug af to personers NemID’er, hvor begge følte sig tvunget til at udlevere deres NemID-oplysninger - uden at vide, at der skulle optages lån.

Tilfældet A

I det ene tilfælde om den unge mand kaldt A er oplyst dette sagsforløb ved Fogedretten i Horsens:

Ved lånedokument af 3. oktober 2016 blev der optaget et lån hos Basisbank A/S på 49.680 kr. Lånedokumentet blev underskrevet ved brug af As NemID. Basisbank havde forinden modtaget en låneansøgning, der var udfyldt med As navn, CPR-nr. og adresse. Basisbank havde med ansøgningen tillige modtaget lønsedler og en årsopgørelse, som senere viste sig at være forfalskede, samt oplysning om en mailadresse, hvortil lånedokumentet kunne sendes.
Provenuet blev udbetalt til As konto i en anden bank.
A har selv afgivet følgende forklaring om hændelsesforløbet ved Fogedretten:

A oplyste, at han har haft en narkogæld på 15.000 kr. Af sælgeren, hvis navn han ikke kender, blev han presset til at udlevere kreditkortoplysninger. Skyldneren skulle udlevere kopi af sit pas, MasterCard til Sparekassen Kronjylland, en kopi af nøglekortet med NemID og koden. A tænkte ikke nærmere over, hvad der ville ske. Han var bare glad for, at gælden på den måde kunne komme ud af verden. Han blev senere klar over, at disse oplysninger er blevet misbrugt bl.a. til at optage et lån i Basisbank A/S. Ved at misbruge hans kreditkortoplysninger er der opstået en gæld på i alt ca. 400.000 kr.
Sagen er under efterforskning hos Sydøstjyllands Politi. Han har supplerende oplyst, at låneprovenuet fra Basisbank blev sat ind på den konto, der var oplyst i låneansøgningen.
Da han udleverede en kopi af sit MasterCard i Sparekassen Kronjylland, var der ingen penge på kontoen. Han har ikke brugt nogen af pengene fra lånet i Basisbank. Pengene må være hævet af sælgeren eller narkobagmændene. Skyldneren bor på et værelse hos sin mor. Han har ikke haft arbejde i 2016 og er på kontanthjælp.
A sørgede ikke for at spærre sit NemID før længe efter. A, der har diagnosen ADD (Attention Deficit Disorder - ADHD uden H for hyperaktivitet - den stille ADHD), har ikke over for Fogedretten afgivet en sammenhængende forklaring, men svaret på spørgsmål med korte sætninger – i flere tilfælde enstavelsesord.

Basisbank havde via Fogedretten og Landsretten krævet lånet indfriet hos A pga. misbrug af hans NemID-oplysninger, der var givet til en anden, hvilke udtrykkeligt skal holdes fortrolige sådan som betingelserne for NemID foreskriver. Basisbank mente sig i god tro, selvom der tidligere havde været eksempler på tvungen misbrug af NemID ved lånoptagelse, og at banken ikke ved optagelsen undersøgte, om det kunne være tilfældet her.

Højesterets dom for A og Basisbank

Højesteret lagde til grund for afgørelsen, at loven sidestiller underskrift med NemID med en fysisk underskrift. Selvom det har vist sig, at en NemID-underskrift kan misbruges til dokumentfalsk - endda uden at skyldneren har givet fuldmagt til det og uden dennes viden om formålet - på en let måde sammenlignet med en skrevet underskrift, har lovgiverne ikke fundet, at der skal skelnes mellem de to former for underskrift. En digital NemID-underskrift er gyldig på lige fod med en skriftlig. Derfor har Højesteret ikke kunnet gøre andet end at give Basisbank medhold i, at lånet skal indfries hos A som følge af grov uagtsomhed. Og det selvom den unge mand har vanskeligt ved at tage initiativ pga. ADD til f.eks. at spærre sit NemID og kontakte banken om sagen - og havde følt sig truet i nogen tid efter.

Tilfældet B

I det andet tilfælde foreligger denne sag fra Fogedretten i Holbæk mod den unge mand kaldt B:

Ved lånedokument af 7. februar 2017 blev der optaget et lån hos Basisbank A/S på 43.200 kr. Lånedokumentet blev underskrevet ved brug af Bs NemID. Basisbank havde forinden modtaget en låneansøgning, der var udfyldt med Bs navn, CPR-nr. og adresse og oplysning om en mailadresse, hvortil lånedokumentet kunne fremsendes. Provenuet blev udbetalt til Bs konto i en anden bank.
Basisbank søgte efterfølgende det digitale lånedokument tvangsfuldbyrdet hos B ved Fogedretten i Holbæk.
B afgav denne forklaring til Fogedretten:

Han forklarede …, at han d. 7. februar 2017 blev kontaktet af sine venner på Facebook, C og D (ikke kendt efternavn). De kender en person ved navn ”E”, og denne havde brug for hjælp til at få hævet 40.000 kr. B blev hentet i Kalundborg fra skole og kørt til Holbæk, hvor han mødte ”E” på havnen.
C og D sagde, at han skulle udlevere sit CPR, sit NemID og kontooplysninger. Han fik at vide, at det skulle bruges for, at pengene kunne hæves til E, der skal have dem i kontanter.
Han fik flere gange at vide, at han skulle gøre, som de (D og C) sagde, ”fordi hvis E ikke fik det, som han ville have det, kunne han godt finde på at gøre noget, der ikke er så godt”, eller noget i den retning.
B følte sig truet/presset til at udlevere sine personlige oplysninger, herunder brugernavn og password til NemID. Han hævede 40.000 kr. fra sin konto i Sparekassen Sjælland senere samme dag og gav de 40.000 kr. i kontanter til E. Han fik 3.000 kr. i kontanter for at gøre det, men blev først om aftenen klar over, at det var penge, der var udbetalt via et gældsbrev, der var oprettet i hans navn via internettet. Dette var han ikke klar over, da han gav oplysningerne til D og C. Men om aftenen undrede han sig over, hvor pengene var kommet fra. Det er ikke hans mobil nr., der er anført på gældsbrevet. Han ved ikke, hvem der har det anførte nr. ….
Han havde fået at vide, at det handlede om at ”at få penge ud fra en konto”, og at de skulle bruge hans NemID, for at det kunne lade sig gøre.
Han anmeldte forholdet til politiet næste dag og fremlagde under fogedmødet diverse dokumenter til dokumentation herfor. Han har først modtaget kvittering for anmeldelsen den 6. september 2017, efter at han har rykket politiet for den.
Han har fået oplyst, at sagen er overgivet til efterforskning i Roskilde politis afdeling for økonomisk kriminalitet. Men han har ikke kunnet få kontakt til denne afdeling den seneste uge, hvor han har forsøgt at få at vide, hvor langt sagen er nået.
B kender andre, der har været udsat for samme hændelsesforløb. Det er ….
Fogedretten i Holbæk traf afgørelse den 22. september 2017. Fogedretten nægtede at fremme begæringen om udlæg, og i afgørelsen anføres det bl.a.:

B har i fogedretten under strafansvar afgivet en detaljeret forklaring om forløbet d. 7. februar 2017, og at han ikke var vidende om, at hans personlige oplysninger i relation til NemID blev anvendt til at oprette et gældsbrev i hans navn. Hans forklaring i retten støttes af de oplysninger, han har givet over for politiet, da han anmeldte forholdet dagen efter hændelsen, dvs. d. 8. februar 2017, hvilket er dokumenteret ved fremlæggelse af mail.
På baggrund heraf finder fogedretten det betænkeligt at fremme sagen på baggrund af det fremlagte digitale gældsbrev, jf. Rpl. § 501, stk. 1.
Basisbank kærede fogedrettens afgørelse til Østre Landsret, som den 14. december 2017 ophævede afgørelsen og hjemviste sagen med henblik på fremme af udlægsforretningen. I landsrettens afgørelse anføres det bl.a.:

B har i fogedretten forklaret, at han udleverede sit CPR-nr. og NemID, herunder brugernavn og password, til to venner fra Facebook, og at han fik at vide, at oplysningerne skulle bruges til at hæve 40.000 kr., som en ham ukendt person ved navn E havde brug for hjælp til at få hævet. Han har endvidere forklaret, at han følte sig truet til at udlevere de nævnte oplysninger, og at han senere samme dag fra sin konto hævede 40.000 kr., som han gav til E i kontanter, hvorefter han fik 3.000 kr. Landsretten finder, at B ved at udlevere de nævnte oplysninger og ved – uanset at han efter sin forklaring havde følt sig truet til at udlevere oplysningerne – senere samme dag at hæve 40.000 kr. og udlevere til E uden forinden at foranstalte nærmere undersøgelse af, hvorfra dette beløb, der stod på hans konto, stammede, har udvist en sådan grad af uagtsomhed, at han i forhold til Basisbank A/S hæfter for låneoptagelsen.
B anførte især, at han ikke selv optog lånet eller gav samtykke til det, hvorfor han ikke er skyldner for lånet. Da han hævede pengene, var han ikke klar at det var penge fra et lån, men troede at de var trukket ud af et konkursramt firma. Han tænkte ikke på, at de udleverede NemID-oplysninger kunne benyttes til låntagning i den størrelsesorden. Da han stadig i de første timer efter udleveringen var omgivet af gerningsmanden og dennes tilhængere, følte han sig stadig truet af vold.

Han tilhører en gruppe af ressourcesvage borgere i samfundet, som ikke er i stand til at varetage egne interesser i forbindelse med brugen af digital signatur. Denne gruppes retssikkerhed er truet af NemID-systemet, som har vist sig at være langt lettere at misbruge end det tidligere system med personlig underskrift.

Basisbank var bekendt med, at den form for bedrageri, som han blev udsat for, fandt sted igen og igen. Til trods for, at Basisbank sad inde med denne viden, gjorde banken intet forsøg på at verificere identiteten på låntagerne. Basisbank udviste herved et vist mål af egen skyld. Ved den lemfældige forretningsgang holdt Basisbank sig desuden for egen vindings skyld i bevidst uvidenhed om svig. Da Basisbank burde have indset, at den erklæring, som blev afgivet over for Basisbank i forbindelse med låntagningen, kunne være fremkaldt ved svig fra tredjemands side, og da Basisbank intet gjorde for at afkræfte dette, er erklæringen ikke bindende for afgiveren.

Højesterets dom for B og Basisbank

Ligesom i tilfældet A argumenterede Højesteret for, at Basisbank kan gøre udlæg, idet der er tale om grov uagtsomhed ved udleveringen af NemID-oplysningerne, og at B endda selv havde hævet pengene.

Konsekvenser

Lovgivningen tager ikke hensyn til, at ressourcesvage personer ikke kan modstå tvangsudlevering af NemID-oplysninger og heller ikke sørge for spærring af NemID’et og hurtig underretning af bank og politi.

Som digitaliseringen af samfundet er i dag, skal flest mulige mennesker have en digital signatur for at gennemføre økonomiske og juridiske transaktioner. Ikke alle kan honorere dette til fulde. Det er disse to mennesker kommet til at lide under. De skal betale pengene tilbage. Havde lovgiverne været opmærksom på, at nye former for kriminalitet kan begås ved tvang, som det vil kunne ske ved den omsiggribende digitalisering, kunne de have taget højde for denne situation. Om det vil kunne lade sig gøre uden at svække gyldigheden af NemID er spørgsmålet. Måske handler det for bankerne om at indføre en procedure for bekræftelse af låntagning hos ansøgeren.


Hvordan kan du sikre dig?

Er der nogen måde at sikre sig mod optagelse af lån i ens navn, hvis du bliver tvunget til at give sine NemID-oplysninger fra dig?

Der findes faktisk en sikring mod dette, som du selv skal tilmelde dig. Den kaldes kreditadvarsel

Man kan blive markeret i CPR-registret med en kreditadvarsel. Alle finansielle institutioner og firmaer, der udbyder lån og kreditter, kan trække på denne oplysning i CPR-registret. Det betyder, at hvis nogen vil købe en mobiltelefon på afbetaling, kan vedkommende blive afvist, hvis CPR-nummeret, kørekortnummeret eller pasnummeret er mærket dér med kreditadvarsel. 


Sådan gør du

Det er ret let at blive markeret med kreditadvarsel i CPR-registret. Du kan selv gøre det enten via www.borger.dk eller ved at møde op i borgerservice hos kommunen. 

På www.borger.dk kan du søge efter kreditadvarsel i søgefeltet i øverste, højre hjørne og vælge det første punkt blandt de fire søgeresultater. Eller du kan klikke på linket herunder, som fører dig direkte dertil: 

https://www.borger.dk/internet-og-sikkerhed/identitetstyveri/kreditadvarsel

Her kan læse mere om, hvad kreditadvarsel medfører, og du kan markere kreditadvarsel for dig selv dér. Du skal være klar over, at er du markeret med kreditadvarsel i CPR-registret, kan du få meget svært ved at optage lån selv. Men du vil altid forud for låntagning selv kunne fjerne markeringen kreditadvarsel igen. Det er lige så let at fjerne den igen som at oprette den. 

Og så må du håbe, at en kriminel, der har dine NemID-oplysninger, ikke kender til denne sikring, så han ikke ophæver den. 


Benyt NemID-nøgleappen

Digitaliseringsstyrelsen gav i 2018 mulighed for at benytte tofaktorautentificering med NemID ved, at der kan logges på websteder, der benytter NemID, med en app på mobiltelefonen eller tabletten. Hvis nogen anden optager et lån i dit navn, og du benytter appen, vil du få det at vide og kun kunne godkende det via appen. Du får endda at vide, på hvilket websted det sker. Læs mere om nøglekort-appen her.

Følger af den omsiggribende digitalisering i samfundet for kriminaliteten

Hvis samfundet inden for nogle få år går helt ind for digitale penge og dermed helt bort fra kontanter, hvilke former for berigelseskriminalitet vil der da kunne finde sted?

Bankerne argumenterer for det kontantløse samfund med, at berigelseskriminalitet vil blive meget vanskelig, at man altid kan følge pengene, hvis der ikke kan finde anonyme pengeoverførsler sted.

Men forsvinder de kriminelle elementer så fra samfundet?

Bliver de tvunget til at benytte lovlige måder at skaffe sig penge på - f.eks. ved traditionelt arbejde, kontanthjælp eller arbejdsløshedsunderstøttelse? Eller vil vi opleve desperate kriminelle, der begår kriminalitet á la hjemmerøverier mod formuende mennesker med trusler om vold og det, der er værre, overfor deres familie til følge?

Dette kan de gøre for at tvinge dem til at købe fysiske ting til dem, f.eks. en bil, dyre ting i butikker, narkotiske stoffer eller anonym kryptovaluta. Ting købt på denne måde vil kunne sælges som hælervarer via eBay, Den Blå Avis og personligt via MobilePay, hvorved den kriminelle alligevel får penge ud af det. Men pengene vil kunne følges. Alle aftagere af hælervarer vil kunne findes. Vi ser allerede i dag udbredt svindel med lækkede kreditkortoplysninger, så der kan købes varer og tjenesteydelser via nettet overalt i verden.

Selv køb af anonym kryptovaluta vil fremover kunne følges, for SKAT ser ud til at få mulighed for at få oplyst navn, adresse og CPR-nr. på dem, der har købt og solgt kryptovalutaer via de danske kryptovalutabørser. Og kan SKAT det, så kan politiet vel også få fat på disse oplysninger. Dermed vil kryptovalutategnebøger ikke længere være anonyme, og den kriminelle aktivitet via disse vil kunne følges af myndighederne. Myndighederne vil sikkert gøre, hvad de kan for at gøre alle pengetransaktioner sporbare og personerne bag kendte.


Hvis du vil vide mere

Hvis du vil vide mere om IT-sikkerhed for den almindelige borgere, kan jeg henvise til bogen "Bliv sikker på nettet", der udkom i november 2018. Den kommer ind på mange aspekter af sikkerhed vedrørende NemID:
  • Side 161-163: NemID-phishing
  • Side 163-164: Phishing efter NemID-koder via netbank
  • Side 164-165: Netbanksangreb via man-in-the-browser-teknikker
  • Side 231-239: Kapitel 17 - NemID og hacking
  • Side 233: Er NemID sikker?
  • Side 234-239: Gode råd til hvordan du undgår at dit NemID bliver hacket
Med venlig hilsen

Lars Laursen, forfatter til bogen "Bliv sikker på nettet". 

Kilder: Højesteret: A's sag og Højesteret: B's sag.

5 kommentarer:

  1. Har du et link til afgørelserne i Fogedretten og Landsretten? Dem kan jeg ikke finde.

    Du skriver:

    > Digitaliseringsstyrelsen gav i 2018 mulighed for at benytte tofaktorautentificering med NemID ved, at der kan logges på websteder, der benytter NemID, med en app på mobiltelefonen eller tabletten.

    Bemærk dog at NemID-appen ligesom NemID uden app er usikker og ulovlig. (Se https://www.version2.dk/blog/nemid-er-ikke-kryptologisk-sikker-og-myndighederne-er-ligeglade-513303 for eksempel på et sikkerhedshul)

    SvarSlet
    Svar
    1. Kære Thue,

      Jeg har kun fundet Højesterets afgørelser, som der er links til nederst i indlægget. Søgning på offentliggjorte fogedretsdomme har ikke givet noget resultat. Angiveligt kan der søges her:

      http://domstol.fe1.tangora.com/page13990.aspx

      Men jeg kan ikke få det til virke.

      NemID-appen, til hvilken der er angivet et link til en beskrivelse af, er godkendt af Digitaliseringsstyrelsen. Den kan benyttes sammen med netbanker og offentlige hjemmesider. Den er efterhånden blevet meget populær og er med til at gøre NemID-systemet billigere for det offentlige. En artikel på version2.dk har beskrevet en måde at snyde endog NemID-appen ved login, således at koder kan opsnappes og benyttes andet steds. Det er selvfølgelig uheldigt. Men det kræver et ganske godt kendskab til programmering for at udnytte den mulighed, og det har næppe nogen dansk kriminel. Og de russiske uddannede programmører, der udvikler standardprogrammel til IT-kriminalitet, kaster sig næppe over det danske marked for at udnytte denne mulighed.

      Man skal være klar over, at NemID-systemet bevidst er designet som et kompromis mellem maksimal sikkerhed, brugervenlighed og prisen for at udrulle/drive systemet til/overfor befolkningen (så lave omkostninger som muligt). I praksis har det givet god-nok-sikkerhed, men ikke den maksimale sikkerhed, som krypterings- og sikkerhedseksperter kunne ønske sig. Men en løsning med maksimal sikkerhed vil blive dyrere end den nuværende og mere besværlig at benytte. Og Maren ved kæret skal kunne benytte NemID - man har ikke villet kræve, at brugerne skal være skarpe intellektuelt og værdsætte et besværligt system. Det har skullet være tilgængeligt for personer med en IQ på 70 og opefter. Det sætter nogle begrænsninger.

      Jeg har læst dit interessante blogindlæg fra 2016 om den manglende fælles login-webadresse for alle hjemmesider, der benytter NemID. Jeg tror, at denne fremgangsmåde til dels skyldes, at bankerne benytter deres egen signatur, mens det offentlige benytter en anden. Dermed kan der heller ikke være den samme webadresse ved alle login.

      Med venlig hilsen

      Lars Laursen

      Slet
  2. NemID-appen [...] er godkendt af Digitaliseringsstyrelsen.

    Dit argument her er af typen "appeal to authority". Men Digitaliseringstyrelsen havde jo også godkendt NemID uden app, som jeg har følgende 2 udtalelser om:

    > Jeg har fremlagt dette for professor Lars R. Knudsen, som er en internationalt anerkendt kryptolog og leder af DTU's kryptologi-gruppe. Knudsen er enig i at NemID har et reelt sikkerhedshul, som ikke findes i andre browser-baserede single sign-on systemer, såsom Google's, og han ”finder det besynderligt at Nets ignorerer dette problem”.

    > Når man beder folk om at taste et password på en webside, så bør man bruge de teknologiske muligheder der findes for at bekræfte identiteten af den webside, der får udleveret passwordet. Det vil i praksis sige TLS som findes i alle moderne browsere. Løsningen er på ingen måde perfekt eller ubrydelig, men klart bedre end ingenting. Det er derfor svært at forstå hvorfor NemID ikke bruger den mulighed.

    Jeg har talt med Digitaliseringsstyrelsen, og de er kommet med en række åbenlyst usande påstande. Så at angive at det er ok fordi autoriteten Digitaliseringsstyrelsen siger det er ok er et dårligt argument.

    > En artikel på version2.dk har beskrevet en måde at snyde endog NemID-appen ved login, således at koder kan opsnappes og benyttes andet steds.

    Den tror jeg ikke jeg har læst. Kan du linke?

    > Den det kræver et ganske godt kendskab til programmering for at udnytte den mulighed, og det har næppe nogen dansk kriminel. Og de russiske uddannede programmører, der udvikler standardprogrammel til IT-kriminalitet, kaster sig næppe over det danske marked for at udnytte denne mulighed.

    Hvis der er et sikkerhedshul i NemID-appen, så er den ikke kryptologisk sikker. Loven (og best practice) stiller krav i kryptologiske termer.

    Desuden kan danskere jo også blive angrebet af e.g. stater. Det er ikke ok hvis

    > Man skal være klar over, at NemID-systemet bevidst er designet som et kompromis mellem maksimal sikkerhed, brugervenlighed og prisen for at udrulle/drive systemet til/overfor befolkningen (så lave omkostninger som muligt).

    Jeg har set det her argument før, også fra Digitaliseringsstyrelsen. Men jeg kan ikke simpelthen ikke se hvordan det ville have været dyrere eller mindre brugervenligt at kopiere løsningen fra Google's single signon.

    Jeg har direkte spurgt en embedsmand fra Digitaliseringsstyrelsen, da han fremlagde dette argument, på hvilken måde Google's sikrere løsning er mindre brugervenlig end NemID. Og han svarede simpelthen ikke. I min artikel skrev jeg "eg kan ikke se nogen grund til at NemID ikke bare kopierer Google's eller Facebook's kryptologisk sikre single sign-on designs." Jeg har selvfølgelig sendt den til Digitaliseringsstyrelsen, og i deres officielle svar var der ikke nogen angivelse af hvorfor. Og Digitaliseringsstyrelsen og Nets ville jo have alle grunde til at begrunde deres valg, når jeg render rundt og siger at deres dårlige valg er ubegrundet.

    Så brugervenlighedsargumentet er simpelthen bullshit, så vidt jeg kan se.

    > Og Maren ved kæret skal kunne benytte NemID - man har ikke villet kræve, at brugerne skal være skarpe intellektuelt og værdsætte et besværligt system.

    Jeg har hørt sådanne argumenter før. Jeg spurgte Kammeradvokatens ekspert i dataret, Kirsten Petersen, om det var ok at lave et usikkert system med den begrundelse at de fleste af brugerne alligevel ville være for dumme til at bruge sikkerheden effektivt. Det sagde hun ikke var lovligt.

    > Jeg har læst dit interessante blogindlæg fra 2016 om den manglende fælles login-webadresse for alle hjemmesider, der benytter NemID. Jeg tror, at denne fremgangsmåde til dels skyldes, at bankerne benytter deres egen signatur, mens det offentlige benytter en anden. Dermed kan der heller ikke være den samme webadresse ved alle login.

    Teknisk set hænger den begrundelse ikke sammen, så vidt jeg kan se. Man kunne samme køre 2 forskellige systemer på samme domæne.

    SvarSlet
    Svar
    1. Angående at en mere sikker løsning ville være dyrere for samfundet:

      Dengang i 2010, da NemID blev udrullet, kunne man ikke benytte en smartphone til autentifikation. Hvis man havde valgt større sikkerhed, skulle man have givet hver NemID-bruger et stykke hardware, der kan sættes i en pc. Det havde været en løsning, som måske havde kostet 100 kr. per bruger: 5 millioner borgere x 100 kr. = 500 millioner kroner. Det ville have gjort det dyrere. Staten kunne have påtaget sig udgiften, eller den enkelte borger kunne have gjort det. Men det ville have forsinket udrulningen af NemID-systemet, da ikke alle ville være villige til at betale for det.

      Man kan så være enig eller uenig i, om det er et godt valg. Dette stykke hardware ville så til gengæld ikke passe sammen med tablets og smartphones, da disse kom frem, og der var et ønske om at disse også skulle kunne benyttes til NemID.

      Angående artiklen om et angreb gennemført på trods af autentifikation med NemID-nøgle-appen:

      1: https://www.version2.dk/artikel/udvikler-demonstrerer-elegant-automatiseret-nemid-angreb-1086083

      2: https://www.version2.dk/artikel/digitaliseringsstyrelsen-efter-udvikler-angreb-ja-nemid-saarbar-phishing-1086131

      En løsning på problemet kan bl.a. være altid at vise navnet på websitet, der forsøges at blive logget på, i NemID-nøgle-appen. Dermed kan brugeren afgøre, om det er den rigtige webside, der logges på eller ej. Det kræver dog, at man er årvågen.

      Med venlig hilsen

      Lars Laursen

      Slet
  3. > Angående at en mere sikker løsning ville være dyrere for samfundet: Dengang i 2010, da NemID blev udrullet, kunne man ikke benytte en smartphone til autentifikation.

    Men i min artikel påpeger jeg jo netop at Google's PC browser-baserede løsning, som ikke ville have været dyrere at lave, ville have været sikrere. Og Danmarks 2 førende kryptologer har givet understøttende kommentarer.

    > En løsning på problemet kan bl.a. være altid at vise navnet på websitet, der forsøges at blive logget på, i NemID-nøgle-appen. Dermed kan brugeren afgøre, om det er den rigtige webside, der logges på eller ej. Det kræver dog, at man er årvågen.

    Ja, det er en åbenlys del af en sikker løsning. At de ikke har gjort dette er klart ulovligt. Og tilsyneladende helt uden grund. Man undres.

    SvarSlet