BankID er en personlig elektronisk legitimasjon som benyttes ved identifisering og signering på nett. Det er bankene i Norge som tilbyr denne tjenesten. Løsningen er utviklet gjennom BankID Samarbeidet, som er et samarbeid mellom Finansnæringens Hovedorganisasjon og Sparebankforeningen (disse organisasjonene ble senere delvis slått sammen og heter nå Finans Norge). BankID er en Public Key Infrastructure (PKI)-løsning, og har støtte for både autentisering og signering. Løsningen består av en sentral infrastruktur driftet av Nets (tidligere Bankenes BetalingsSentral) og av flere klientversjoner i forskjellige former.

Det finnes en «softlokal» versjon, en «nettsentrisk/banklagret» versjon og en mobil versjon.

  • Softlokal-versjonen ble aldri rullet ut til kunder, og var basert på at sertifikatet skulle ligge ute på den enkelte brukers datamaskin.
  • Banklagret versjon er den som per 2021 er mest utbredt.
  • BankID på mobil tilbys per 2021 av alle mobiloperatører.[1]

Løsningen er basert på kvalifiserte sertifikater selvdeklarert hos Nasjonal kommunikasjonsmyndighet, på lik linje som Buypass ID og Commfides.[2]

Over 4,2 millioner nordmenn bruker BankID, hovedsakelig for tilgang til nettjenester hos norske banker, men også i offentlige tjenester og ID-porten.[3] Dette gjør at BankID, sammen med MinID, er den mest utbredte elektroniske identitetsløsningen i Norge. BankID tilfredsstiller det høyeste sikkerhetsnivået, nivå 4.

Sikkerhet rediger

Professor i IT-sikkerhet ved Universitetet i Bergen Kjell Jørgen Hole har sammen med noen doktorgradsstudenter påvist at det var mulig å stjele identiteter i denne løsningen i 2007.[4][5] Fra advokathold er det hevdet at signaturløsningen vil holde juridisk, selv med de tekniske manglene som er påvist.[6]

Det finnes alternativer til det svenske systemet som også heter BankID: OpenID er et skalerbart og plattformuavhengig alternativ, og vil dermed være langt billigere å implementere enn BankID. Ifølge svenske sikkerhetseksperter er OpenID like sikkert som svensk BankID, uten at dette er veldig relevant for den norske løsningen.[7]

Sverige rediger

I Sverige finnes det også en tjeneste som heter BankID. Denne tjenesten er ikke den samme som norske BankID.

BankID er den største elektroniske identifikasjonstjenesten i Sverige og forvaltes av foretaket Finansiell ID-Teknik BID AB, som eies av flere svenske banker. I mars 2018 fantes det cirka 6,5 millioner aktive BankID-brukere[8] (i juni 2010 2,5 millioner[9]) og mer enn 600 webtjenester som støtter BankID. Kun personer med svensk personnummer kan få BankID.

Bank-ID har eksistert i følgende varianter:[10]

  • Bank-ID (på fil)
  • Bank-ID på kort
  • Mobilt BankID (appbasert løsning)
  • BankID i mobil (SIM-kortbasert løsning - avviklet i Sverige)

BankID på fil rediger

Tjenesten BankID, iblant også kalt BankID på fil, ble lansert i 2003. Et digitalt sertifikat og en hemmelig kryptonøkkel lagres på datamaskinens harddisk, og fungerer selv om filene flyttes mellom ulike datamaskiner, hvilket innebærer en sikkerhetsrisiko.

For å anvende BankID på en PC kreves at BankID säkerhetsprogram (BISP) installeres i systemet der filen er lagret. Kritikk er blitt rettet mot at det er en altfor plattformavhengig løsning som forutsetter at kunden enten har Microsoft Windows eller Mac OS X.[11] Tidligere var også Linux til viss grad støttet, men støtte for Linux ble faset ut i 2014.[12]

BankID på kort rediger

BankID på kort ble lansert i 2005. En hemmelig privat kodenøkkel lagres i smartkortets chip, som fungerar som hardt sertifikat, hvilket anses sikrere ettersom det i almenhet krever fysisk tilgang til kortet for å fungere. Kortet kan være et kreditkort eller et rendyrket bankid-kort. Kortet kan leveres med eller uten fotografi, og kan fungere som legitimasjonsdokument.[13]

Mobilt BankID rediger

Mobilt BankID ble lansert i oktober 2011,[14] og er en e-legitimasjon for moderne[15] smarttelefoner fra visse leverandører som kombineres med en mobilapplikasjon.[16] Det kan anvendes både for innlogging og signering via web på en vanlig PC, der mobilen fungerer som separat sikkerhetsdosa, og for innlogging via bankens eller myndighetens mobilapplikasjon. Den hemmelige nøkkelen lagres i en mobilapplikasjon (BankID säkerhetsapp), som fungerer som mykt sertifikat. E-tjenesteleverandøren (den myndighet eller det foretak som kunden skal identifisere seg mot) har en valideringsserver.[17]

I 2014 brukte halvparten av alle svensker med smartmobil tjenesten Mobilt BankID. På tre år økte bruken til 88 prosent.[18]

BankID i mobil (avviklet) rediger

BankID i mobil ble lansert i 2010 og ble stengt i Sverige høsten 2011. En hemmelig privat kodenøkkel ble lagret på mobilens SIM-kort, som fungerte mer eller mindre som hardt sertifikat ettersom det krevde tilgang til SIM-kortet (direkte eller over nettet). Mobiloperatøren leverte teknikken og tok en avgift for tjenesten.

En privat nøkkel ble generert i SIM-kortet når e-legitimasjonen ble bestilt. Den ble beskyttet i SIM-kortet og forlot aldri kortet, og kan derfor beskrives som et hardt sertifikat. En signaturapplikasjon på SIM-kortet genererer signaturer. Et moderne SIM-kort som støtter SIM Application Toolkit (SAT) var påkrevet. Mobiloperatørene Telia og Telenor leverte tjenesten i Sverige, kalt mobilid eller Mobil id-hantering, og tok da en avgift av kunden ved hver legitimering.[19][20] Bankene stengte tjenesten i forbindelse med at den app-baserte tjenesten mobilt BankID ble lansert.[21] BankID i mobil var opprinnelig et samarbeidsprosjekt mellom Finansiell ID-Teknik, Telia og Telenor, med bank-ID-bankene som referansegruppe.[22][23] Det tekniske funksjonsprinsippet var basert på Wireless PKI-spesifikasjonen (WPKI) som ble utviklet av WPKI-foreningen.[24]

Se også rediger

  • Strong customer authentication (SCA), EU-direktiv
  • 3-D Secure, protokoll for korttransaksjoner

Referanser rediger

  1. ^ Skandiabanken. «BankID på mobil - enkleste løsning» (norsk). Skandiabanken. Arkivert fra originalen 23. juni 2011. Besøkt 6. juli 2011. «Med BankID på mobil kan du logge inn i nettbanken uten kodekort og uten nettbankpassord. [...] Foreløpig er tjenesten kun tilgjengelig for de som har Telenor- eller Talkmore-mobilabonnement.» 
  2. ^ Post- og teletilsynet (12. oktober 2012). «Registrerte tilbydere av kvalifiserte sertifikater» (norsk). Post & Teletilsynet. Arkivert fra originalen 20. mars 2013. 
  3. ^ «BankID virker igjen». Aftenposten. 6. juli 2011. Besøkt 6. juli 2011. 
  4. ^ Kristian Gjøsteen, kryptolog, post doc., Norges teknisk-naturvitenskapelige universitet, Kjell Jørgen Hole professor i IT-sikkerhet, Universitetet i Bergen (17. november 2007). «Kronikk: Nettbanken ikke trygg». Aftenposten. Besøkt 15. mai 2017. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.» 
  5. ^ Elisabeth Dalseg (28. november 2007). «Hacket BankID». DinSide. Besøkt 15. mai 2017. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok. - Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.» 
  6. ^ Ann Kristin Bentzen Ernes (29. november 2007). «Mener BankID er trygg som e-signatur». Digi. Besøkt 15. mai 2017. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.» 
  7. ^ Ann Kristin Bentzen Ernes (21. februar 2007). «OpenID like sikkert som BankID». Digi. Besøkt 15. mai 2017. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PC-en er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.» 
  8. ^ Statistik
  9. ^ Finansiell ID-Teknik BID AB. «Statistik BankID Maj 2013» (PDF). Arkivert fra originalen (PDF) 29. oktober 2013. 
  10. ^ «Arkivert kopi». Arkivert fra originalen 3. juli 2014. Besøkt 27. juni 2014. 
  11. ^ Roland Orre. «Varför måste alla köra Volvo eller Saab?». Arkivert fra originalen 6. februar 2009. 
  12. ^ "BankID för Linux slopas". Läst 2014-04-02.
  13. ^ Bankid på kort Arkivert 15. juni 2018 hos Wayback Machine., Finansiell ID-teknik, läst 2017-02-13
  14. ^ «e-legitimation för mobiler och surfplattor». bankid.com. 19. november 2012. Arkivert fra originalen 28. september 2013. Besøkt 30. september 2013. 
  15. ^ BankID - Systemkrav Arkivert 2015-02-20, hos Wayback Machine.
  16. ^ «bankid banker». legitimation.se. 2012. Arkivert fra originalen . Besøkt 30. september 2013. 
  17. ^ «Arkivert kopi». Arkivert fra originalen 28. september 2013. Besøkt 30. september 2013. 
  18. ^ «Mobilt BankID». Svenskarna och internet 2017 (svensk). Internetstiftelsen i Sverige. Besøkt 29. mai 2018. 
  19. ^ Telia: Plånboken i mobilen, 2010
  20. ^ Telenor: Mobilid, arkiverad version sedan 28 oktober 2009
  21. ^ «Arkivert kopi». Arkivert fra originalen 5. august 2014. Besøkt 27. juni 2014. 
  22. ^ «Arkivert kopi» (PDF). Arkivert fra originalen (PDF) 20. januar 2011. Besøkt 27. juni 2014. 
  23. ^ «Arkivert kopi». Arkivert fra originalen 6. august 2014. Besøkt 27. juni 2014. 
  24. ^ Wpki-föreningens webbplats, arkiverad från 19 juni 2012

Eksterne lenker rediger