Sett at du allerede har integrert danske MitID i nett- eller mobilappen din. I så fall vet du sannsynligvis allerede at det ikke er så komplisert.
Men du har kanskje også lagt merke til at noen brukere går seg vill under innlogging eller pålogging. I slike situasjoner finnes det måter å forbedre den generelle sluttbrukeropplevelsen på, samtidig som prosessen blir sikrere.
Følg rådene nedenfor for å optimalisere brukeropplevelsen med MitID, øke antallet vellykkede pålogginger og til syvende og sist avvise en hel klasse av phishing-angrep gjennom sosial manipulering.
I det følgende skisserer vi de ulike scenariene og hva du kan gjøre for å forbedre sluttbrukeropplevelsen og sikkerheten. Både gjennom den innebygde MitID-funksjonaliteten og noen ekstra integrasjonsalternativer du kan velge å implementere.
Bruk MitID i applikasjonene dine
Det er ikke vanskelig å integrere MitID slik at sluttbrukerne kan logge inn i mobil- og nettappene dine. Du må finne en offisiell MitID-megler som passer til dine spesifikke behov, men uansett hvilken du velger, går det bra så lenge teknologistakken din støtter OpenID Connect (det gjør alle tilstrekkelige, oppdaterte plattformer og programmeringsrammeverk). Idura er en slik sertifisert, offisiell MitID-megler.
Når du har integrert MitID fra et teknisk perspektiv, vil de finere detaljene i brukeropplevelsen komme til overflaten hvis du graver litt dypere. Noen av UX-problemene inkluderer følgende:
Brukerne går seg vill på telefonen når de forlater appen eller nettstedet ditt for å finne MitID-appen og finne tilbake til deg etter å ha fullført MitID-autentiseringen.
Du har implementert MitID-app-switch i de opprinnelige appene dine, hvis du har noen. Brukerne går imidlertid fortsatt vill i webappen din, ettersom app-bytte fra web til MitID ikke finnes i standard MitID-opplevelsen.
Noen brukere kan ha problemer med å bruke MitID på datamaskinen og deretter finne og fullføre MitID-appen på telefonen for å fullføre prosessen. Av sikkerhetsmessige årsaker gir ikke MitID-appen seg selv med noen varsler.
Du, og den kyndige bruker, er kanskje bekymret for risikoen for phishing med MitID (og forgjengeren NemID). I en kort periode var dette en sak i danske medier. Nå er det stort sett glemt, og ikke mye har endret seg.
Nedenfor tar vi for oss hvordan man ved å utnytte den innebygde MitID-funksjonaliteten og supplere den med ytterligere tiltak kan avhjelpe noen av disse bekymringene.
Diagrammet ovenfor viser de tre alternativene i komprimert form.
Bruk app-bytte for å unngå å miste brukeren
Anta at du har en betydelig andel av brukerne dine på mobile enheter. Bygger du egne apper for iOS og Android? Eller bygger du én responsiv webapplikasjon for alle formfaktorer?
1. App-bytte fra innfødte apper
Hvis du bygger en egenutviklet app for Android eller iOS, må du sørge for at brukeren ikke går seg vill under påloggingen. Hvis de må finne MitID-appen manuelt, kan de glemme eller ikke finne tilbake til appen din etter at påloggingen er fullført. Løsningen på dette er den MitID-støttede app-switch-funksjonen. Nøyaktig hvordan du implementerer app-switch avhenger av MitID-megleren din, men det bør være enkelt nok ettersom det er innebygd i MitID-kjernen.
Den opprinnelige appen din kan oppdage om MitID er installert på enheten. Og så, i det minste med en megler som Idura, er det et spørsmål om å [sende med riktig tilbakekallingsadresse og et innloggingstips](https://docs.criipto.com/verify/guides/appswitch/) som indikerer at du vil ha app-switch.
2. App-bytte fra en webapp på telefonen
Hvis du bygger en - typisk responsiv - webapp for nettleseren, tilbyr ikke MitID innebygd støtte for app-switching. I stedet må du bruke den innebygde funksjonen for app-til-app-bytte i MitID, men med noen få forbehold. For eksempel kan du ikke, fra en webapp, oppdage om MitID faktisk er installert på enheten. Slik deteksjon er bare mulig fra en egenutviklet app.
Det er litt vanskelig å få det til å fungere fra nettleseren til MitID-appen og deretter tilbake til nettleseren igjen. Det vil kreve at MitID-megleren din deltar for å få det til å fungere, men hvis du bruker Idura, støttes bytte fra web til app og tilbake uten videre.
3. Eliminer phishing-angrep
Til slutt, en ting som har plaget tofaktorautentiseringsløsninger, som MitID og mange andre før det, er risikoen for phishing-angrep. Et phishing-angrep på Mit ID er en type identitetsangrep der gjerningsmannen initierer innloggingen på sin egen datamaskin og deretter lurer deg til å godkjenne den i MitID-appen.
Det er i hovedsak to måter skurkene gjør dette på:
A) Social engineering-angrep, der gjerningsmannen på en eller annen måte får tak i MitID-brukernavnet ditt. Han skriver inn brukernavnet ditt på et nettsted, for eksempel i banken din, og ringer deg deretter og lurer deg til å åpne MitID-appen og godkjenne påloggingen. Svindleren stjeler nå pengene dine!
B) Tekniske angrep, der gjerningspersonen setter opp et nettsted som ser ut som banken din (og har et domenenavn som kan være banken din). Du lokkes deretter til det falske nettstedet, og etter å ha tastet inn brukernavnet ditt, taster gjerningspersonen umiddelbart inn brukernavnet på den ekte bankens nettsted. Brukeren vil nå, intetanende, åpne MitID-appen og godkjenne påloggingen. Igjen stjeler svindleren pengene dine!
Det første angrepet, sosial manipulering, kan elimineres helt ved hjelp av tekniske midler. Med Idura brukes denne QR-koden for å sikre at telefonen med MitID-appen er i nærheten av dataskjermen der påloggingen skjer. Den lille videoen viser hvordan en QR-kode på en nettside brukes til å overføre innloggingen til brukerens personlige telefon.
Se hvordan QR-koden fungerer i videoen nedenfor
Det andre angrepet, det tekniske angrepet, kan gjøres mer komplisert å gjennomføre, men kan ikke elimineres med dagens muligheter. (En NFC-forbindelse mellom nettleseren og telefonen ville gjort det!) Den stadig skiftende QR-koden kan ikke bare skjermdumpes og brukes på et falskt phishing-nettsted. Men med tekniske ferdigheter vil det likevel være mulig å streame en QR-kode fra ett nettsted, for eksempel den ekte nettbanken, til et falskt nettsted.
Basert på Iduras erfaring er det mulig å bygge en enda sikrere påloggingsprosess og samtidig øke brukervennligheten. Men vær oppmerksom på at brukerne må begynne å skanne QR-koder i stedet for den vanlige MitID-opplevelsen for å gjøre dette vellykket.
Kort sagt: Veiled og utdann brukerne dine
Hvis du utvikler en native app, bør du implementere app-til-app-bytte umiddelbart. Alle MitID-meglere unntatt NemLog-in støtter dette.
Hvis du utvikler webapplikasjoner, bør du vurdere de andre tiltakene som er beskrevet. De vil kreve samarbeid med megleren din, ettersom det må passe inn i selve innloggingsflyten. Og hvis du bruker Idura som MitID-megler, er alle disse tiltakene allerede implementert for deg, klare til å slås på for applikasjonene dine.
Som beskrevet er det mulig å gjøre MitID enklere å bruke i enkelte scenarier. Det er til og med mulig å redusere angrepsflaten du eksponerer hvis du bruker QR-koder for å overføre all datainnføring og alle handlinger under pålogging til den personlige telefonen.
Til slutt, uansett hva du gjør for å holde brukerne på den smale stien til en vellykket og legitim innlogging, må du alltid minne dem på at de aldri må godkjenne en MitID-innlogging på forespørsel fra noen andre. MitID er strengt personlig og bør forbli det.
Idura som MitID-megler
Idura er en offisiell, sertifisert MitID-megler og betjener for tiden mange store og små selskaper. Idura er bygget av utviklere for utviklere og tilbyr omfattende tilpasnings- og utvidelsesmuligheter slik at du kan skape en merkevareopplevelse som brukerne dine vil sette pris på.
Ta kontakt med våre MitID-eksperter for å dra nytte av app-switch og QR-kodeløsningen på nettstedet eller i appen din.
Slik integrerer du norsk BankID med Auth0: En detaljert veiledning
Skal du utvide virksomheten fra Sverige? Slik håndterer du eID-verifisering i Danmark, Norge og Finland
