BankID

BankID er ein personleg elektronisk legitimasjon, som er utvikla for å auke tryggleiken ved identifisering og signering på Internett. Det er bankane i Noreg som tilbyr denne tenesta.

Løysinga[endre | endre wikiteksten]

BankID er ei PKI-løysing utvikla av BankID Samarbeidet som er eit samarbeid mellom Finansnæringens Hovedorganisasjon og Sparebankforeningen. Løysinga har støtte for både autentisering og signering.

Løysinga er godkjent som kvalifisert signatur av Post- og teletilsynet, på lik linje med BuyPass.^[1]

Løysinga er sett saman av ein sentral infrastruktur drifta av BBS og fleire klientversjonar i forskjellige former. Ein «softlokal», ein «nettsentrisk/banklagra» og ein mobil versjon.

Softlokal-versjonen vart aldri rulla ut til kundar, og var basert på at sertifikatet skulle ligge ute på den enkelte brukaren si datamaskin.
Banklagra versjon er den som i dag er mest utbreidd.
BankID på mobil vart teken i bruk av Skandiabanken for kundar med Sim-kort frå Telenor i 2009^[2] og er no tilgjengeleg hos alle dei større teleoperatørane.^[3]

I Sverige[endre | endre wikiteksten]

I Sverige har dei ei liknande teneste som heiter BankID, men denne må ikkje forbytast med den norske, då det ikkje er den same.

Kritikk[endre | endre wikiteksten]

Professor i IT-tryggleik ved Universitetet i Bergen Kjell Jørgen Hole har saman med nokre doktorgradsstudentar påvist at det var mogeleg å stele identitetar i denne løysinga i 2007.^[4]^[5] Frå advokathald er det hevda at signaturløysinga vil halde juridisk, sjølv med dei tekniske manglane som er påviste.^[6]

Det finst alternativ til BankID-systemet: OpenID er eit skalerande og plattformuavhengig alternativ, og vil dermed vere langt rimelegare å implementere enn BankID. I følgje svenske tryggleiksekspertar er OpenID like sikkert som svensk BankID, utan at dette er veldig relevant for den norske løysninga.^[7]

Referansar[endre | endre wikiteksten]

↑ «Registrerte tilbydere av kvalifiserte sertifikater» (på norsk bokmål). Post & Teletilsynet. 15. mai 2006. Henta 24. juli 2008. «Registreringen innebærer at Post- og teletilsynet fører tilsyn med at sertifikatutstederen overholder kravene til slik virksomhet i lov om elektronisk signatur og forskrift om krav til utsteder av kvalifiserte sertifikater mv. Sertifikatutstederen går god for at han oppfyller lovens krav gjennom registreringen.»
↑ «BankID kommer til høsten» (på norsk bokmål). Skandiabanken. 24. april 2008. Henta 24. juli 2008. «I løpet av året vil også SkandiaBanken tilby BankID som alternativ påloggingsløsning til nettbanken. BankID er en felles standard for sikker identifisering og signering på internett, utviklet av banknæringen i Norge. Med BankID legger vi til rette for fremtidige krav og nye tjenester.»
↑ «BankID på mobil».
↑ Kristian Gjøsteen (17. november 2007). «Kronikk: Nettbanken ikke trygg». Aftenposten. Henta 16. mars 2010. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.»
↑ Elisabeth Dalseg (28. november 2007). «Hacket BankID». DinSide. Henta 29. november 2007. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok.

- Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.»
↑ Ann Kristin Bentzen Ernes (29. november 2007). «Mener BankID er trygg som e-signatur». Digi. Henta 29. november 2007. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.»
↑ Ann Kristin Bentzen Ernes (21. februar 2007). «OpenID like sikkert som BankID». Digi. Arkivert frå originalen 24. februar 2008. Henta 21. februar 2007. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PCen er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.»

Bakgrunnsstoff[endre | endre wikiteksten]

[1] «Registrerte tilbydere av kvalifiserte sertifikater» (på norsk bokmål). Post & Teletilsynet. 15. mai 2006. Henta 24. juli 2008. «Registreringen innebærer at Post- og teletilsynet fører tilsyn med at sertifikatutstederen overholder kravene til slik virksomhet i lov om elektronisk signatur og forskrift om krav til utsteder av kvalifiserte sertifikater mv. Sertifikatutstederen går god for at han oppfyller lovens krav gjennom registreringen.»

[2] «BankID kommer til høsten» (på norsk bokmål). Skandiabanken. 24. april 2008. Henta 24. juli 2008. «I løpet av året vil også SkandiaBanken tilby BankID som alternativ påloggingsløsning til nettbanken. BankID er en felles standard for sikker identifisering og signering på internett, utviklet av banknæringen i Norge. Med BankID legger vi til rette for fremtidige krav og nye tjenester.»

[3] «BankID på mobil».

[4] Kristian Gjøsteen (17. november 2007). «Kronikk: Nettbanken ikke trygg». Aftenposten. Henta 16. mars 2010. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.»

[5] Elisabeth Dalseg (28. november 2007). «Hacket BankID». DinSide. Henta 29. november 2007. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok.

- Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.»

[6] Ann Kristin Bentzen Ernes (29. november 2007). «Mener BankID er trygg som e-signatur». Digi. Henta 29. november 2007. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.»

[7] Ann Kristin Bentzen Ernes (21. februar 2007). «OpenID like sikkert som BankID». Digi. Arkivert frå originalen 24. februar 2008. Henta 21. februar 2007. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PCen er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.»

[1]

[2]

[3]

[4]

[5]

[6]

[7]