BankID

BankID er ein personleg elektronisk legitimasjon, som er utvikla for å auke tryggleiken ved identifisering og signering på Internett. Det er bankane i Noreg som tilbyr denne tenesta.

Innhaldsliste

1 Løysinga
2 I Sverige
3 Kritikk
4 Referanser
5 Bakgrunnsstoff

[endre] Løysinga

BankID er ei PKI-løysing utvikla av BankID Samarbeidet som er eit samarbeid mellom Finansnæringens Hovedorganisasjon og Sparebankforeningen. Løysinga har støtte for både autentisering og signering.

Løysinga er godkjent som kvalifisert signatur av Post- og teletilsynet, på lik linje med BuyPass. ^[1]

Løysinga er sett saman av ein sentral infrastruktur drifta av BBS og fleire klientversjonar i forskjellege former. Ein «softlokal», ein «nettsentrisk/banklagra» og ein mobil versjon.

Softlokal-versjonen vart aldri rulla ut til kundar, og var basert på at sertifikatet skulle ligge ute på den enkelte brukaren si datamaskin.
Banklagra versjon er den som i dag er mest utbreidd.
BankID på mobil er ein versjon som er ferdig utvikla og teke i bruk av Skandiabanken for kundar med Sim-kort frå Telenor (pr 2009)^[2]

[endre] I Sverige

I Sverige har dei ein liknande teneste som heter Bank-id, men denne må ikkje forbytast med den norske, då det ikkje er den same.

[endre] Kritikk

Professor i IT-tryggleik ved Universitetet i Bergen Kjell Jørgen Hole har saman med nokre doktorgradsstudentar påvist at det var mogeleg å stele identitetar i denne løysinga i 2007.^[3]^[4] Frå advokathald er det hevda at signaturløysinga vil halde juridisk, sjølv med dei tekniske manglane som er påviste.^[5]

Det finst alternativ til BankID-systemet: OpenID er eit skalerande og plattformuavhengig alternativ, og vil dermed vere langt rimelegare å implementere enn BankID. I følgje svenske tryggleiksekspertar er OpenID like sikkert som svensk BankID, utan at dette er veldig relevant for den norske løysninga. ^[6]

[endre] Referanser

↑ Post & Teletilsynet. Registrerte tilbydere av kvalifiserte sertifikater (Norsk bokmål). «Registreringen innebærer at Post- og teletilsynet fører tilsyn med at sertifikatutstederen overholder kravene til slik virksomhet i lov om elektronisk signatur og forskrift om krav til utsteder av kvalifiserte sertifikater mv. Sertifikatutstederen går god for at han oppfyller lovens krav gjennom registreringen.»
↑ Skandiabanken. BankID kommer til høsten (Norsk bokmål). «I løpet av året vil også SkandiaBanken tilby BankID som alternativ påloggingsløsning til nettbanken. BankID er en felles standard for sikker identifisering og signering på internett, utviklet av banknæringen i Norge. Med BankID legger vi til rette for fremtidige krav og nye tjenester.»
↑ Kristian Gjøsteen, kryptolog, post doc., Norges Teknisk Naturvitenskapelige Universitet, Kjell Jørgen Hole professor i IT-sikkerhet, Universitetet i Bergen. Kronikk: Nettbanken ikke trygg. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.»
↑ Elisabeth Dalseg; NTB. Hacket BankID. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok. - Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.»
↑ Ann Kristin Bentzen Ernes. Mener BankID er trygg som e-signatur. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.»
↑ OpenID like sikkert som BankID. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PCen er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.»

[endre] Bakgrunnsstoff

[0] Post & Teletilsynet. Registrerte tilbydere av kvalifiserte sertifikater (Norsk bokmål). «Registreringen innebærer at Post- og teletilsynet fører tilsyn med at sertifikatutstederen overholder kravene til slik virksomhet i lov om elektronisk signatur og forskrift om krav til utsteder av kvalifiserte sertifikater mv. Sertifikatutstederen går god for at han oppfyller lovens krav gjennom registreringen.»

[1] Skandiabanken. BankID kommer til høsten (Norsk bokmål). «I løpet av året vil også SkandiaBanken tilby BankID som alternativ påloggingsløsning til nettbanken. BankID er en felles standard for sikker identifisering og signering på internett, utviklet av banknæringen i Norge. Med BankID legger vi til rette for fremtidige krav og nye tjenester.»

[2] Kristian Gjøsteen, kryptolog, post doc., Norges Teknisk Naturvitenskapelige Universitet, Kjell Jørgen Hole professor i IT-sikkerhet, Universitetet i Bergen. Kronikk: Nettbanken ikke trygg. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.»

[3] Elisabeth Dalseg; NTB. Hacket BankID. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok. - Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.»

[4] Ann Kristin Bentzen Ernes. Mener BankID er trygg som e-signatur. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.»

[5] OpenID like sikkert som BankID. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PCen er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.»

[1]

[2]

[3]

[4]

[5]

[6]

BankID

Innhaldsliste

[endre] Løysinga

[endre] I Sverige

[endre] Kritikk

[endre] Referanser

[endre] Bakgrunnsstoff

Personlege verktøy

Namnerom

Variantar

Visningar

Handlingar

Søk

Navigering

Skriv ut / eksporter

Verktøy

På andre språk