Valdemar Bilas Side

Jeg kan finde gyldige Bruger-ID til "sikre" MitID

På trods af markedsføringen, har jeg endnu ikke hørt et eneste konkret argument for hvorfor MitID skulle være mere sikkert i fremtiden end NemID. Har du dine koder i en offline passwordmanager med en stærk kode, behøver du ikke mere end et password til at opnå tilstrækkelig IT-sikkerhed. Jeg efterlyser derfor stadig en "jeg-ved-hvad-jeg-laver-knap" der vil lade mig logge ind på mine konti uden alt muligt tofaktor-gøgl, der bevæger sig mere og mere i retning af at det bliver obligatorisk at have en smartphone med statslige apps.

Heldigvis kan man få en kodelæser, der bruger den mere sikre og private (i forhold til andre former for tofaktorgodkendelse) TOTP-protokol. Men det er også det eneste jeg vil rose MitID for. Jeg har nemlig lige lært at det er latterligt nemt at finde gyldige Bruger-ID til MitID. Sådan gør man:

Step 1: Gå til en service der kræver MitID-login

Her har jeg valgt Sydbank. Vi skal bare have et MitID-login-vindue.

Step 2: Tast noget tilfældigt i Bruger-ID-feltet

Nu tester vi hvad der sker når vi taster noget forkert som Bruger-ID. Det burde se sådan her ud når du trykker fortsæt:

forkert-bruger.png

Step 3: Tast noget der kunne lyde som et rigtigt ID i Bruger-ID-feltet

Gå nu tilbage og prøv med et Bruger-ID der kunne lyde rigtigt. Her har jeg prøvet med "jensvejmand".

Hvis Bruger-ID'et eksisterer, burde login-skærmen nu se sådan her ud:

korrekt-bruger.png

Så nu ved du altså at der er nogen der har valgt at bruge "jensvejmand" som Bruger-ID til MitID. Det ville være latterligt nemt at få en computer til bare at gennemgå forskellige kombinationer af ord fra ordbogen for at lave en liste med eksisterende Bruger-ID.

Hvad kan man gøre med et Bruger-ID?

Man skal selvfølgelig også bruge et password og tofaktorgodkendelsen til at logge på. Man kan altså ikke logge på uden koden. Det betyder dog ikke at det er ligemeget. Du kan eksempelvis forsøge dig med at spærre et MitID hvis du har Bruger-ID'et. Man bliver dog bedt om et CPR-nummer til dette, men CPR-numre lækker også hele tiden fra offentlige IT-løsninger – fx. gennem den nye løsning til Digital Post og sikkert også MitID selv i fremtiden. Så hvis du har en liste med Bruger-ID og en liste med CPR-numre, kan du få en computer til at prøve kombinationer af disse.

Er der en bestemt person du forsøger at ramme, kan du måske regne deres Bruger-ID ud ved at prøve med deres navn(e), andre brugernavne til fx. sociale medier eller andet. I så fald er det endnu lettere at knytte et CPR-nummer til et Bruger-ID, da du nu ved hvem der ejer Bruger-ID'et.

Alternativt kan du lave det klassiske trick med at forsøge at ringe en supportmedarbejder op og lade som om du ikke forstår dig på IT og har glemt dine koder osv. osv. for at få dem til at give dig en ny.

Og kan du ikke bryde ind, kan du jo altid bare irritere en person ved at sende dem konstante MitID-anmodninger. Måske der endda er nogen, der kommer til at trykke på en på et tidspunkt – MitID-appen sender dog heldigvis ikke notifikationer, så det ville kun være hvis vedkommende tilfældigvis var ved at logge ind allerede.

Beklager ulejligheden

Så jeg har nu til 1. maj til at migrere til denne "sikre løsning". Og det burde bare være en eller anden simpel formular jeg udfylder på nettet og bekræfter med NemID. Men fordi jeg ikke har NemID-appen, kan jeg kun gøre det i Borgerservice. Så jeg må bestille tid i Borgerservice, hvilket bare burde være gennem en eller anden simpel formular jeg udfylder på nettet og bekræfter med NemID, men deres webportal kan man ikke bestille tid til MitID på, her skal man ringe mellem kl. 10 og 15 for at bestille tid. I telefonen snakker jeg med en robot, der siger at man kan bestille tid på nettet, hvad man ikke kan, inden den siger at de har meget travlt og at man kan ringe senere. Herefter lægger den på, forresten tikker uret stadig og du kan ikke logge på din bank for at administrere dine egne penge før vi svarer dig, godnat og fuck dig fra borger"service".

Når jeg endelig når igennem, kan jeg først få en tid d. 11. maj – og det er endda en tid til NemID, som der var flere af, for hvis jeg har en tid til NemID, kan jeg derefter klare resten selv. Så når jeg endelig har fået gjort det, kan jeg se frem til at vente på at de sender kodelæseren (og hvem ved hvor lang tid sådan noget tager?) så jeg kan styre mine egne penge igen.

Hvorfor er det offentlige så dårligt og dyrt når det kommer til IT?

Der er en tendens til at skyde skylden på det offentliges IT-niveau på at folk i det offentlige generelt er nogle utekniske boomere. Men det er jo ikke utekniske boomere, der udvikler IT-løsningerne. Det er bl.a. folk i private virksomheder der er helt med på de nyeste moderne tech-trends. Den primære årsag er nok mere systematiske problemer som eksisterer på tværs af det offentlige (og ting det offentlige udbyder), også uden for IT-løsningerne. Disse problemer viser sig bare meget let når en hel befolkning fx skal migrere fra én digital løsning til en anden. Jeg skriver formentligt et indlæg om problemer og bureaukrati der opstår når noget lægges under den offentlige sektor på et tidspunkt. Men ikke nu.