Netliferesearch.no

Brukerkaos for offentlig eID

Lillian Medby
21. desember 2008
Tags:

Computerworld og VG Nett har begge skrevet om eID denne uken. I korte trekk går saken ut på at Regjeringen skal tilby alle nordmenn et nasjonalt ID-kort med en elektronisk ID (eID), i 2010. Med eID skal alle fra 13 år og oppover identifisere seg sikkert elektronisk, og bruke offentlige og private tjenester på nettet fra sin hjemme-pc.

Ideen kan være god, men det er avgjørende at et slikt krevende og viktig prosjekt involverer topp kompetanse på brukskvalitet- og testing. La ikke dette prosjektet bli et i rekken av offentlige prosjekter som kjører i gang og bruker millioner av skattekroner, men glemmer det viktigste: At noen faktisk skal bruke det ferdige systemet.

Her er fire  fallgruver som Regjeringen bør være klar over når de setter igang dette prosjektet:

1. Teknisk sikkerhet vurderes som viktigere enn sosial sikkerhet

Det er en overhengende fare for at teknisk sikkerhet vurderes som viktigere enn sosial sikkerhet (les: brukervennlighet) i slike prosjekter. Til tross for at mennesker er det svakeste ledd her. All verdens kryptering kan ikke hindre at folk skriver ned passordet sitt på en lapp og legger i lommeboka eller klistrer på pc’en fordi det er umulig å huske.

For å få smartkortet med eID må brukeren ifølge kilder Computerworld har snakket med, møte opp på et politikontor (samme utleveringsrutine som pass). Glemmer brukeren passordet til eID-en, må den sannsynligvis sendes som rekommandert post.

Passordene bør genereres på en fornuftig måte, a la hatt42cola, eller eventuelt la brukeren velge seg passord selv. Da med gitte begrensninger (ikke ord som finnes i ordlister, må inneholde et visst antall tall og små/store bokstaver etc).

2. Et hav av ulike identifiseringsmetoder skaper forvirring
Hvor mange ulike passord og pinkoder har du? Og hvor ofte sliter du med å (raskt) få utført tjenester, fordi du ikke finner igjen passordet, må lete, eller må bruke “glemt passord” funksjon? For min del skjer det (altfor) ofte.

Det er allerede mange sikkerhetssystemer og mange begreper i sving, og ingen av dem er tydelige. To av disse er:

  • MinID: Akkurat lansert av Regjeringen. Skal erstatte PIN-koder på selvangivelsen, og brukes blant annet på Norge.no. Eneste forskjell fra “gammel” løsning er at man får et papirkort med PIN-koder uavhengig av selvangivelsen. PIN-kortet til MinID har ikke ordet “MinID” på seg, enda det er det det kalles overalt. Det står “norge.no” og “Minside”, men når det skal brukes andre steder og man referer til “MinID” vil ikke brukerne skjønne at det er det det refereres til.
  • BankID: fra BankIDs nettside: “BankID er en personlig og enkel elektronisk legitimasjon for sikker identifisering og signering på nettet. BankID tilbys og utstedes av bankene i Norge.” Utfordringen med BankID er at mange tror de har denne, fordi de har den svarte kodebrikka. Men det er ikke BankID, BankID er innloggingssystemet. Hvem skjønner det? Postbankens kunder har for eksempel kodebrikka, men ikke BankID.

Vi trenger ikke enda et forvirrende sikkerhetssystem – vi trenger en opprydning!  La brukere av elektronisk ID benytte den samme identiteten på tvers av tjenester. Vi etterlyser et samarbeid mellom eID, MinID, BankID, BuyPass Smartkort…

3. Systemet blir altfor vanskelig å implementere og bruke

For å få eID til å fungere på nettsider, kreves det at det kobles til en smartkortleser, noe svært mange brukere ikke er vant til å forholde seg til. Kortet brukes dessuten på ulike typer pc-er, operativsystemer, programvare, nettlesere og smartkortlesere. Dette kan skape et hav av konfigurasjoner, og dermed kreve mye brukerstøtte fra myndighetene.

Finland har allerede gjennomført eID på smartkort, og her er noen av sidene
som viser hva brukerne må forholde seg til.

Det blir en selvfølge at brukeren ikke skal måtte forholde seg til en tabell over kortlesere a’la den finske. Kortleseren må være svært enkel å implementere for den enkelte bruker. I det legger jeg at prosessen er tydelig, brukeren skal måtte foreta så få valg som mulig underveis, og alle instruksjoner må være skrevet på et menneskelig språk. Det gjelder også eventuelle feilmeldinger.

Helst skal man kunne utvikle én type kortleser, som fungerer på alle typer pc-er, operativsystemer og nettlesere.

Her må det stilles strenge krav til grensesnitt, og man må teste, teste, teste….

4. Man glemmer å følge med i tiden

Det å kreve en kortleser er også veldig i strid med den utviklingen man forventer seg. Mens flere og flere bruker internett på mobile enheter, jobber myndighetene med en sikkerhetsløsning som baserer seg på at folk bruker internett på PCen hjemme. Løsningen kan fort være avleggs før den er lansert. Jobb heller med en sikker løsning der mobiltelefonen kan brukes som identifikasjon. Mobilen er personlig + folk har den alltid med = den perfekte IDen (i brukerens hode).

Et smartkort er like lett å stjele som et PIN-kort eller en mobiltelefon…

Her kan du lese artikkelen til Mats Lillesund om eID i Computerworld og på VG Nett.

Hva tenker du om elektronisk identifisering og Regjeringens eID prosjekt?


Lik dette innlegget 1 personer liker dette innlegget
Loading ... Loading ...

9 kommentarer


Tor
21. desember 2008
kl. 22:33

Enig at det er for mye kaos og dårlige løsninger rundt dette. Tror dessverre at det ikke kommer til å komme noen gode løsninger heller, folk som blir satt til dette arbeidet er vanligvis ikke oppdatert nok på moderne løsninger – bare se på Java-løsningen til BankID, grøss.


Øyvind Nordhagen
22. desember 2008
kl. 09:19

Jeg tenker at du har veldig rett. Skandiabanken har lenge operert med fødselsnummer, egendefinert passord og engangspassord på SMS. De vurderer at dette er en god nok sikkerhet, og jeg tror de gjør en riktig vurdering. Smartkort og-lesere kan stjeles og hackes, og jeg tror faktisk noe av sikkerheten med løsningen til Skandiabanken er at den er lite attraktiv for opportunistisk identitetstyveri. Skandiabankens klareste svakhet er at den eneste begrensningen for det egendefinerte passordet er at det må være minimum 8 tegn. Hvis et slikt passord også hadde blitt definert av systemet til å inneholde bokstaver, både store og små, og tall i tilfeldig rekkefølge, hadde dette vært godt nok.


August Lilleaas
22. desember 2008
kl. 09:21

«eID»-navnet er morsomt. «Han ble skikkeli eid ass» er en vanlig frase blandt dagens unge, og betyr noe helt annet enn e-id.


Kjell-Morten
22. desember 2008
kl. 10:18

En innlogginsløsning som bruker mobiltelefonen og er godkjent for bankID er på vei. Er spent på om de har klart å få til noe som er akseptabelt for brukerne – ikke bare teknologene, men det er uansett et steg i riktig retning:

http://www.dagensit.no/bransje/article1566136.ece


Ram Yoga
22. desember 2008
kl. 12:45

Mange gode poenger du tar opp, Lillian! Spesielt det med sosial sikkerhet og mobilitet. Personlig bruker jeg to datamaskiner og en iPhone daglig. Stadig flere jobber med flere maskiner. For meg virker det tullete å ikke ha en løsning som er ordentlig mobil.

Det finnes de som påstår at BankID fungerer godt nok. Til de sier jeg bare: Prøv å logge inn på en nettbank som bruker BankID på en maskin som ikke har Java installert (eller en for gammel versjon av Java). Jeg skulle likt å se den jevne bruker som ville klart å finne fram og installere det.

Det finnes også de som mener at sikkerhetløsningen med BuyPass smartkort i f.eks. Altinn fungerer godt. Jeg har observert flere brukere prøve å komme inn der første gang, og det er enda vanskeligere enn BankID.

Hvis Regjeringen har ambisjoner om at eID er noe som alle skal bruke MÅ de rydde opp i de store hinderne det er å ta i bruk løsningen første gang. Her kan de lære mye fra nettbutikker.


Bård Øien
6. januar 2009
kl. 12:52

Kjempebra artikkel. Og et veldig godt poeng med mobiltelefonen! Kan ikke se noen grunn til at en engangskode tilsendt på SMS kombinert med et passord bestående av minimum åtte tegn (herav både siffer, store og små bokstaver) skal være mindre sikkert enn en kodekalkulator. Heller tvert i mot, som du sier. Får håpe noen av beslutningstakerne i prosessen leser denne bloggen! :-)


Per E
9. januar 2009
kl. 12:15

DNBNor har problemer internt med at ansatte ikke får logget på nettbanken med BankID fordi de ikke får installert riktig java-versjon. Det sier vel sitt om det.


Arne Berner
13. januar 2009
kl. 00:22

Det er riktig at det offentlige har et kaos av brukere å forholde seg til, det er det samfunnet vi lever i. Det eneste som er sikkert er at det IKKE finnes EN ideell løsning for alle brukere av offentlig sektor.
Det er for mange brukergrupper og for mange forskjellige behov.

Løsningen er å tilby et samtrafikknav, slik de planlegger, som tilbyr innlogging med flere forskjellige løsninger. Ja, det blir da et hav av innloggingsløsninger, men dette er ET av MANGE kompromisser som må gjøres for å tilby offentlige tjenester til ALLE.
Ved å tilby flere innloggingsløsninger vil det også bli lettere å følge med i utviklingen istedenfor og satse alt på et kort.

Smartkort løsningen som de planlegger i borgerkortet har jeg liten tro på ut i fra brukerstøtte utfordringen, den økende overgangen til mobile enheter og ikke minst hvordan dette skal ut rulles til alle. Hvor mye vil det koste å utstede og sende ut? hvem skal betale regningen? Skal det være frivillig eventuelt og hvor lang tid vil det da ta?

Bruk av mobiltelefoner for innlogging er meget spennende men for øyeblikket ikke godt nok med tanke på registrering og genereringprosedyren for nøkler osv. Dette er hoved årsaken til at bankene ikke har rullet ut Mobil-BankID enda i stor skala.

Det er ingen ideell løsning der ute, dette må utvikles steg-vis. Både med tanke på det tekniske og brukervennligheten. Selv om det er mange hinder i veien så har jeg faktisk troen på at det offentlige denne gangen kan levere noe som er bedre enn det vi har i dag.


Drittlei!!
23. mai 2009
kl. 13:27

Du glemte en liten ting, innloggingen til http://www.altinn.no (for selvangivelsen). Er nemlig en av de som har skaffet meg et sånn supersikkert buypass smartkort, men jeg kan jo ikke logge meg inn på minID for å søke om nytt studielån med det. Totalt evneveikt av staten!

Gi oss din kommentar

eller