BankID

BankID er en personlig elektronisk legitimasjon som brukes til identifisering og signering på nett. Det er bankene i Norge som tilbyr denne tjenesten. Løsningen blir utviklet gjennom BankID Samarbeidet, som er et samarbeid mellom Finansnæringens Hovedorganisasjon og Sparebankforeningen (disse organisasjonene ble senere delvis slått sammen og heter nå Finans Norge). BankID ble i 2014 etablert som eget selskap, med bankene som eiere. I 2018 ble selskapet fusjonert med Vipps og BankAxept. Etter fire år ble BankID og BankAxept skilt ut fra fra Vipps og etablert som eget selskap, BankID BankAxept AS, i 2022.

BankID er en Public Key Infrastructure (PKI)-løsning og støtter for både autentisering og signering på høyeste tillitsnivå, Høyt. I 2023 ble BankID med biometri lansert som et alternativ på nivå Betydelig.

Det var tidligere også en nettsentrisk versjon av BankID og en mobilversjon lagret i SIM-kortet, men disse ble faset ut høsten 2024.

• BankID med passord (nettsentrisk) ble lansert i 2004. Den vanligste metoden er BankID-app som har over 3 millioner brukere. Det er også mulig å bruke kodebrikke for de som ikke har smarttelefon.
• BankID på mobil ble lansert i 2009 og ble etter hvert utstedt av alle mobiloperatører,^[1] men denne løsningen ble faset ut i 2024.

Løsningen BankID Høyt er basert på kvalifiserte sertifikater, selvdeklarert hos Nasjonal kommunikasjonsmyndighet, på lik linje med Buypass ID og Commfides.^[2]

BankID på høyeste tilltsnivå er godkjent etter EU-standarden eIDAS. For å få BankID kreves fysisk oppmøte med pass og ID-kontroll. Løsningen er en tofaktor-autentisering, med noe du har (mobil eller kodebrikke) og med noe du vet (passord). I Norge kan man få BankID fra fylte 12 år.^[3]

Identifiseringer og signaturer med BankID Høyt er gyldige i hele Europa. BankID med biometri har et lavere tillitsnivå, men er tilstrekkelig for de fleste situasjoner.

Over 4,5 millioner nordmenn bruker BankID for tilgang til nettjenester hos norske banker, bedrifter og det offentlige via ID-porten.^[4] Dette gjør at BankID, sammen med MinID, er den mest utbredte elektroniske identitetsløsningen i Norge.

Sikkerhet

Professor i IT-sikkerhet ved Universitetet i Bergen Kjell Jørgen Hole har sammen med en gruppe doktorgradsstudenter påvist at det var mulig å stjele identiteter i denne løsningen i 2007.^[5][6] Fra advokathold er det hevdet at signaturløsningen vil holde juridisk, selv med de tekniske manglene som er påvist.^[7]

Det finnes alternativer til det svenske systemet som også heter BankID: OpenID er et skalerbart og plattformuavhengig alternativ, og vil dermed være langt billigere å implementere enn BankID. Ifølge svenske sikkerhetseksperter er OpenID like sikkert som svensk BankID, uten at dette er veldig relevant for den norske løsningen.^[8]

Sverige

I Sverige finnes det også en tjeneste som heter BankID. Denne tjenesten er ikke den samme som norske BankID.

BankID er den største elektroniske identifikasjonstjenesten i Sverige og forvaltes av foretaket Finansiell ID-Teknik BID AB, som eies av flere svenske banker. I mars 2018 fantes det cirka 6,5 millioner aktive BankID-brukere^[9] (i juni 2010 2,5 millioner^[10]) og mer enn 600 webtjenester som støtter BankID. Kun personer med svensk personnummer kan få BankID.

Bank-ID har eksistert i følgende varianter:^[11]

• Bank-ID (på fil)
• Bank-ID på kort
• Mobilt BankID (appbasert løsning)
• BankID i mobil (SIM-kortbasert løsning - avviklet i Sverige)

BankID på fil

Tjenesten BankID, iblant også kalt BankID på fil, ble lansert i 2003. Et digitalt sertifikat og en hemmelig kryptonøkkel lagres på datamaskinens harddisk, og fungerer selv om filene flyttes mellom ulike datamaskiner, hvilket innebærer en sikkerhetsrisiko.

For å anvende BankID på en PC kreves at BankID säkerhetsprogram (BISP) installeres i systemet der filen er lagret. Kritikk er blitt rettet mot at det er en altfor plattformavhengig løsning som forutsetter at kunden enten har Microsoft Windows eller Mac OS X.^[12] Tidligere var også Linux til viss grad støttet, men støtte for Linux ble faset ut i 2014.^[13]

BankID på kort

BankID på kort ble lansert i 2005. En hemmelig privat kodenøkkel lagres i smartkortets chip, som fungerar som hardt sertifikat, hvilket anses sikrere ettersom det i almenhet krever fysisk tilgang til kortet for å fungere. Kortet kan være et kreditkort eller et rendyrket bankid-kort. Kortet kan leveres med eller uten fotografi, og kan fungere som legitimasjonsdokument.^[14]

Mobilt BankID

Mobilt BankID ble lansert i oktober 2011,^[15] og er en e-legitimasjon for moderne^[16] smarttelefoner fra visse leverandører som kombineres med en mobilapplikasjon.^[17] Det kan anvendes både for innlogging og signering via web på en vanlig PC, der mobilen fungerer som separat sikkerhetsdosa, og for innlogging via bankens eller myndighetens mobilapplikasjon. Den hemmelige nøkkelen lagres i en mobilapplikasjon (BankID säkerhetsapp), som fungerer som mykt sertifikat. E-tjenesteleverandøren (den myndighet eller det foretak som kunden skal identifisere seg mot) har en valideringsserver.^[18]

I 2014 brukte halvparten av alle svensker med smartmobil tjenesten Mobilt BankID. På tre år økte bruken til 88 prosent.^[19]

BankID i mobil (avviklet)

BankID i mobil ble lansert i 2010 og ble stengt i Sverige høsten 2011. En hemmelig privat kodenøkkel ble lagret på mobilens SIM-kort, som fungerte mer eller mindre som hardt sertifikat ettersom det krevde tilgang til SIM-kortet (direkte eller over nettet). Mobiloperatøren leverte teknikken og tok en avgift for tjenesten.

En privat nøkkel ble generert i SIM-kortet når e-legitimasjonen ble bestilt. Den ble beskyttet i SIM-kortet og forlot aldri kortet, og kan derfor beskrives som et hardt sertifikat. En signaturapplikasjon på SIM-kortet genererer signaturer. Et moderne SIM-kort som støtter SIM Application Toolkit (SAT) var påkrevet. Mobiloperatørene Telia og Telenor leverte tjenesten i Sverige, kalt mobilid eller Mobil id-hantering, og tok da en avgift av kunden ved hver legitimering.^[20][21] Bankene stengte tjenesten i forbindelse med at den app-baserte tjenesten mobilt BankID ble lansert.^[22] BankID i mobil var opprinnelig et samarbeidsprosjekt mellom Finansiell ID-Teknik, Telia og Telenor, med bank-ID-bankene som referansegruppe.^[23][24] Det tekniske funksjonsprinsippet var basert på Wireless PKI-spesifikasjonen (WPKI) som ble utviklet av WPKI-foreningen.^[25]

Se også

• Strong customer authentication (SCA), EU-direktiv
• 3-D Secure, protokoll for korttransaksjoner

Referanser

1. ^ «BankID på mobil - enkleste løsning» (på norsk). Skandiabanken. Arkivert fra originalen 23. juni 2011. Besøkt 6. juli 2011. «Med BankID på mobil kan du logge inn i nettbanken uten kodekort og uten nettbankpassord. […] Foreløpig er tjenesten kun tilgjengelig for de som har Telenor- eller Talkmore-mobilabonnement.» 
2. ^ «Registrerte tilbydere av kvalifiserte sertifikater» (på norsk). Post & Teletilsynet. 12. oktober 2012. Arkivert fra originalen 20. mars 2013. 
3. ^ «Aldersgrense i bankene». bankid.no (på norsk). Besøkt 27. april 2024. 
4. ^ «BankID virker igjen». Aftenposten. 6. juli 2011. Besøkt 6. juli 2011. 
5. ^ Kristian Gjøsteen, kryptolog, post doc., NTNU, Kjell Jørgen Hole professor i IT-sikkerhet, UiB (17. november 2007). «Kronikk: Nettbanken ikke trygg». Aftenposten. Besøkt 15. mai 2017. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.» CS1-vedlikehold: Flere navn: forfatterliste (link)
6. ^ Elisabeth Dalseg (28. november 2007). «Hacket BankID». DinSide. Besøkt 15. mai 2017. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok. - Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.» 
7. ^ Ann Kristin Bentzen Ernes (29. november 2007). «Mener BankID er trygg som e-signatur». Digi. Besøkt 15. mai 2017. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.» 
8. ^ Ann Kristin Bentzen Ernes (21. februar 2007). «OpenID like sikkert som BankID». Digi. Besøkt 15. mai 2017. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PC-en er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.» 
9. ^ Statistik
10. ^ «Statistik BankID Maj 2013» (PDF) (på svensk). Finansiell ID-Teknik BID AB. mai 2013. Arkivert fra originalen (PDF) 29. oktober 2013. 
11. ^ «Arkivert kopi». Arkivert fra originalen 3. juli 2014. Besøkt 27. juni 2014. 
12. ^ Roland Orre (3. februar 2009). «Varför måste alla köra Volvo eller Saab?» (på svensk). Arkivert fra originalen 6. februar 2009. 
13. ^ "BankID för Linux slopas Arkivert 15. august 2019 hos Wayback Machine.". Läst 2014-04-02.
14. ^ Bankid på kort Arkivert 15. juni 2018 hos Wayback Machine., Finansiell ID-teknik, läst 2017-02-13
15. ^ «e-legitimation för mobiler och surfplattor». bankid.com. 19. november 2012. Arkivert fra originalen 28. september 2013. Besøkt 30. september 2013. 
16. ^ BankID - Systemkrav Arkivert 2015-02-20, hos Wayback Machine.
17. ^ «bankid banker». legitimation.se. 2012. Arkivert fra originalen Bruk av |arkiv_url= krever at |arkivdato= også er angitt (hjelp). Besøkt 30. september 2013. 
18. ^ «Arkivert kopi». Arkivert fra originalen 28. september 2013. Besøkt 30. september 2013. 
19. ^ «Mobilt BankID». Svenskarna och internet 2017 (på svensk). Internetstiftelsen i Sverige. Besøkt 29. mai 2018. 
20. ^ Telia: Plånboken i mobilen Arkivert 2. april 2016 hos Wayback Machine., 2010
21. ^ «Mobil ID-hantering». web.archive.org. 28. oktober 2009. Arkivert fra originalen 28. oktober 2009. Besøkt 27. april 2024. 
22. ^ «Arkivert kopi». Arkivert fra originalen 5. august 2014. Besøkt 27. juni 2014. 
23. ^ «Arkivert kopi» (PDF). Arkivert fra originalen (PDF) 20. januar 2011. Besøkt 27. juni 2014. 
24. ^ «Arkivert kopi». Arkivert fra originalen 6. august 2014. Besøkt 27. juni 2014. 
25. ^ «Wayback Machine». web.archive.org. 19. juni 2012. Arkivert fra originalen 19. juni 2012. Besøkt 27. april 2024. 

Eksterne lenker

• Offisielt nettsted  
• EFN mener BankID gir dårlig sikkerhet
• Post & Teletilsynet side om Elektronisk signatur