MitID er et fremskridt – hvis det bliver brugt rigtigt

Danmark er ved at indfase et nyt digitalt ID system, kendt som MitID. En studerende og en række forskere fra Institut for Datalogi ved Aarhus Universitet har gennemført en analyse af det nye system på basis af den information der er offentlig tilgængelig. Konklusionen er, at MitID på en lang række punkter er bedre organiseret og mere sikkert end det gamle NemID. 

Men det er vigtigt at gøre opmærksom på, at nye brugere af MitID bør være omhyggelige med at vælge et brugernavn, der ikke er for nemt at gætte. Hvis en angriber har kendskab til et brugernavn, kan man nemlig under visse omstændigheder holde en bruger ude af systemet i længere tid. Den mulighed findes til en vis grad også i NemID, men kan altså undgås i MitID ved at vælge et brugernavn, der ikke har nogen åbenlys forbindelse til den pågældende person. 

Vi opfordrer til at nye brugere vejledes bedre i at vælge gode brugernavne, i det mindste indtil systemet er opdateret så problemet løses. Analysen er lavet af studerende Thomas Kingo T. Mogensen der studerer datalogi, i samarbejde med lektor Diego Aranha, adjunkt Sophia Yakoubov og professor Ivan Damgård. 

En mere detaljeret rapport kan findes her. MitID er bekendt med rapporten, og systemet er efterfølgende opdateret, så de "social engineering" angreb, der omtales, er blevet væsentligt sværere at gennemføre.

Opdateret oktober 2022:

Den endelige rapport kan downloades her. Desuden har Version2 skrevet en artikel om en lignende undersøgelse af MitID. Det tyder derfor på at ikke alle sikkerhedsbrister er løst, og dette har Thomas og Diego talt med Politiken om.