<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <p>Probably Mr Dombrovski has been presented with the Danish "NemID"
      a <i>previously</i> bank owned eID where service providers place
      a login applet on their own webpage. The 2. factor (which is
      partly optional for banks) has been paperbased ch/resp. But most
      recently an app redirect option has been available (and popular).
      But it is implemented in a way that still makes NemID extremely
      susceptible to realtime phishing.<br>
    </p>
    <p>There is no possibility for ordinary users to distinguish real
      RP's from fake - and not even requirements for authorized RP's to
      used encrypted connections.</p>
    <p>It was originally planned to notify NemID under eIDAS by simply
      defining NemID to have the desired security level in the "National
      Standard for the Security Level of Identities". But as a result of
      a public hearing this "security by mere aspiration" definition was
      removed. And there is currently no intention from Danish
      authorities to notify NemID under eIDAS. This is planned for a
      next generation eID labeled "MitID" that will most likely be
      introduced in 2021.</p>
    <p>So in short the Danish eID with the new 2. factor app actually
      uses redirection, but implemented in a way that still does not
      qualify it to be notified as an eID under the eIDAS scheme.</p>
    <p>FYI:  Here is an article from the leading Danish IT-newssite
      Version2 (hoping that it translates reasonably using online
      translation services):<br>
      <a moz-do-not-send="true"
href="https://www.version2.dk/artikel/digitaliseringsstyrelsen-efter-udvikler-angreb-ja-nemid-saarbar-phishing-1086131">https://www.version2.dk/artikel/digitaliseringsstyrelsen-efter-udvikler-angreb-ja-nemid-saarbar-phishing-1086131</a></p>
    <p>Best,<br>
      Henrik Biering<br>
    </p>
    <div class="moz-cite-prefix">Den 09-03-2019 kl. 15:30 skrev nat via
      Openid-specs-fapi:<br>
    </div>
    <blockquote type="cite"
      cite="mid:7c18ce45296d77cf8ef2f6fc1c684e23@sakimura.org">Restarting
      the thread as I want to make a youtube video on this one and want
      to hear your opinions.
      <br>
      <br>
      So, Mr Dombrovskis says:
      <br>
      <br>
      "I would like to encourage industry players to shift their
      attention away from authentication methods that are redirecting
      TPP customers to the banks' webpages (or apps). This cannot be the
      basis for innovative and competitive European payment services.
      Instead, the focus should in my view be on the development of
      convenient and secure new authentication methods. Such new forms
      of authentication, which are now more and more widely used, can be
      linked to e-IDs, issued by public authorities or private entities
      as in the Nordic countries, that may be used by customers with
      numerous market participants..."
      <br>
      <br>
      What I do not understand is that why he thinks "Such new forms of
      authentication" does not involve a redirect.
      <br>
      As far as I understand, "private entities as in the Nordic
      countries" uses either SAML or OpenID Connect and make use of
      "redirect" to perform the user authentication that is linked to
      e-IDs, and they are provided by banks. If I am right, then the
      above statement is saying:
      <br>
      <br>
      "Shift their attention away from authentication methods that are
      redirecting TPP customers to the banks' webpages (or apps) to
      authentication methods that are redirecting TPP customers to the
      banks' webpages (or apps)."
      <br>
      <br>
      It just does not make sense...
      <br>
      <br>
      I could go on with a generic Youtube video showing how redirecting
      can be non-intrusing but I wanted to understand the above
      statement better.
      <br>
      <br>
      Best,
      <br>
      <br>
      Nat
      <br>
      <br>
      On 2019-02-22 18:25, Dave Tonge via Openid-specs-fapi wrote:
      <br>
      <blockquote type="cite">Dear FAPI WG
        <br>
        <br>
        I just received this and think it may be of interest to you:
        <br>
        <br>
        Please find attached a letter and attachment from Commission
        Vice
        <br>
        President Dombrovskis.
        <br>
        <br>
        He has made some discouraging comments about redirection to
        webpages
        <br>
        and apps:
        <br>
        <br>
        “I WOULD LIKE TO ENCOURAGE INDUSTRY PLAYERS TO SHIFT THEIR
        ATTENTION
        <br>
        AWAY FROM AUTHENTICATION METHODS THAT ARE REDIRECTING TPP
        CUSTOMERS TO
        <br>
        THE BANKS&#39; WEBPAGES (OR APPS). THIS CANNOT BE THE BASIS
        FOR
        <br>
        INNOVATIVE AND COMPETITIVE EUROPEAN PAYMENT SERVICES. Instead,
        the
        <br>
        focus should in my view be on the development of convenient and
        secure
        <br>
        new authentication methods. Such new forms of authentication,
        which
        <br>
        are now more and more widely used, can be linked to e-IDs,
        issued by
        <br>
        public authorities or private entities as in the Nordic
        countries,
        <br>
        that may be used by customers with numerous market
        participants…”
        <br>
        <br>
        …“I also invite industry players to work together to find
        <br>
        practical solutions to other problems that payment initiation
        service
        <br>
        and/or account information service providers are facing. One of
        them
        <br>
        is the regular renewal, every 90 days, of consent for the TPPs’
        <br>
        access to accounts. This consent renewal requires STRONG
        CUSTOMER
        <br>
        AUTHENTICATION, WHICH WOULD BE A MAJOR INCONVENIENCE IF DONE FOR
        EACH
        <br>
        BANK USING CONVENTIONAL AUTHENTICATION METHODS AND POSSIBLY
        <br>
        REDIRECTION TO THE BANKS’ AUTHENTICATION PAGES.”
        <br>
        <br>
        Dave
        <br>
        _______________________________________________
        <br>
        Openid-specs-fapi mailing list
        <br>
        <a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-fapi@lists.openid.net">Openid-specs-fapi@lists.openid.net</a>
        <br>
        <a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a>
        <br>
      </blockquote>
      _______________________________________________
      <br>
      Openid-specs-fapi mailing list
      <br>
      <a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-fapi@lists.openid.net">Openid-specs-fapi@lists.openid.net</a>
      <br>
      <a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a>
      <br>
    </blockquote>
  </body>
</html>