MitID sårbarhed kan fixes med QR-kode

Niels Flensted-Jensen, Nov 3, 2021

DR har for nogle dage siden afsløret, at MitID har en indbygget sårbarhed, der kræver ændringer. Vi foreslår at indføre en QR-kode, der skal scannes af MitID-appen på telefonen, hvilket effektivt vil lukke for det beskrevne angreb.

Afsløringen var af en karakter, der krævede en rettelse til MitID, før DR-nyheden kunne offentliggøres.

Den centrale observation i DR’s analyse er at et login med MitID lidt for nemt kan gennemføres af en person, der blot kender en andens MitID-brugernavn. En nærmere beskrivelse kan læses i DR’s artikel.

Det er dog samtidig vigtigt at understrege, at MitID rent teknisk er mere sikkert end NemID, og at det beskrevne angreb kun vil kunne ramme den uopmærksomme person uden kendskab til de publicerede forholdsregler, hvilket desværre nok ikke er en helt lille del af befolkningen.

Et login må kun startes af den der holder telefonen

Heldigvis skal man ikke længere end over på den anden side af Øresund for finde et eksempel på en robust løsning, der 100% garanterer, at et login aldrig kan startes af andre, end den der skal godkende det. Og det vel at mærke uden at man skal til at indtaste noget som helst.

Den svenske BankID har introduceret et login forløb til brug for login på andre enheder end den hvor app’e er installeret. Oversat til MitID ville det foregå således (se også billedet herunder taget fra den svenske bank, SEB):

  1. Websitet du vil logge på, viser en QR-kode
  2. Du åbner MitID-appen på telefonen som straks tænder kameraet
  3. Du retter kameraet mod QR-koden på websitet
  4. MitID-appen læser QR-koden og genkender den som en signeret loginanmodning fra det konkrete site
  5. Brugeren føres nu igennem et godkendelsesflow, som det allerede i dag findes i MitID-appen

Login with QR-code in Sweden

Denne fremgangsmåde er mere brugervenlig end den nuværende, da den ikke kræver indtastninger overhovedet. Og det er samtidig umuligt for andre end dig selv at starte login-flow’et.

Kravet til Digitaliseringsstyrelsen og Finans Danmark

De to opdragsgivere til MitID må straks bede leverandøren, Nets, om at udvikle et fix til angrebet for effektivt at lukke for det af DR omtalte angreb.

For at bevare brugervenligheden i MitID foreslår vi den beskrevne løsning med QR-koder. Og det er i den forbindelse essentielt, at muligheden for indtastning af bruger ID fjernes fra loginflows med MitID-appen.

Kun med tiltag som dette kan MitID bevare sin meget lovende brugervenlighed, og hvad deraf følger af udbredelse der forhåbentlig langt vil overgå, hvad NemID nogensinde har opnået.