BankID

BankID er en personlig elektronisk legitimasjon for identifisering og signering på nett. Løsningen er utviklet gjennom BankID Samarbeidet mellom Finansnæringens Hovedorganisasjon og Sparebankforeningen (nå kjent som Finans Norge). BankID er en Public Key Infrastructure (PKI)-løsning som har støtte for både autentisering og signering. Løsningen består av en sentral infrastruktur driftet av Nets og av flere klientversjoner i forskjellige former.

Over 4,2 millioner nordmenn bruker BankID, hovedsakelig for tilgang til nettjenester hos norske banker, men også i offentlige tjenester og ID-Porten.^[1] Dette gjør at BankID, sammen med MinID, er den mest utbredte elektroniske identitetsløsningen i Norge. BankID tilfredsstiller det høyeste sikkerhetsnivået, nivå 4.

SikkerhetRediger

Professor i IT-sikkerhet ved Universitetet i Bergen Kjell Jørgen Hole har sammen med doktorgradsstudenter påvist at det var mulig å stjele identiteter i denne løsningen i 2007.^[2]^[3] Fra advokathold er det hevdet at signaturløsningen vil holde juridisk, selv med de tekniske manglene som er påvist.^[4]

Det finnes alternativer til det svenske systemet som også heter BankID: OpenID er et skalerbart og plattformuavhengig alternativ, og vil dermed være langt billigere å implementere enn BankID. Ifølge svenske sikkerhetseksperter er OpenID like sikkert som svensk BankID, uten at dette er veldig relevant for den norske løsningen.^[5]

SverigeRediger

I Sverige finnes det også en tjeneste som heter BankID. Denne tjenesten er ikke den samme som norske BankID.

BankID er den største elektroniske identifikasjonstjenesten i Sverige og forvaltes av foretaket Finansiell ID-Teknik BID AB, som eies av flere svenske banker. I mars 2018 fantes det cirka 6,5 millioner aktive BankID-brukere^[6] (i juni 2010 2,5 millioner^[7]) og mer enn 600 webtjenester som støtter BankID. Kun personer med svensk personnummer kan få BankID

VarianterRediger

BankID på mobilRediger

BankID på mobil ble lansert i 2010. En hemmelig privat kodenøkkel ble lagret på mobilens SIM-kort, som fungerte mer eller mindre som hardt sertifikat ettersom det krevde tilgang til SIM-kortet (direkte eller over nettet). Mobiloperatørene leverer teknikken. Enkelte av dem tar en avgift for tjenesten.

I 2022 informerte BankID at tjenesten på mobil, skal gradvis utfases og erstattes av BankID-appen. Det er fortsatt mulig å bruke BankID på mobil i 2023, men tjenesten vil etter hvert avvikles helt.^[8]

BankID på filRediger

Tjenesten BankID, iblant også kalt BankID på fil, ble lansert i 2003. Et digitalt sertifikat og en hemmelig kryptonøkkel lagres på datamaskinens harddisk, og fungerer selv om filene flyttes mellom ulike datamaskiner, hvilket innebærer en sikkerhetsrisiko.

For å bruke BankID på en PC kreves det at BankID säkerhetsprogram (BISP) installeres i systemet der filen er lagret. Kritikk er blitt rettet mot at det er en altfor plattformavhengig løsning som forutsetter at kunden enten har Microsoft Windows eller Mac OS X.^[9] Tidligere var også Linux til viss grad støttet, men støtte for Linux ble faset ut i 2014.^[10]

BankID på kortRediger

BankID på kort ble lansert i 2005. En hemmelig privat kodenøkkel lagres i smartkortets chip, som fungerar som hardt sertifikat, hvilket anses sikrere ettersom det i almenhet krever fysisk tilgang til kortet for å fungere. Kortet kan være et kreditkort eller et rendyrket bankid-kort. Kortet kan leveres med eller uten fotografi, og kan fungere som legitimasjonsdokument.^[11]

Se ogsåRediger

Strong customer authentication (SCA), EU-direktiv
3-D Secure, protokoll for korttransaksjoner

ReferanserRediger

^ «BankID virker igjen». Aftenposten. 6. juli 2011. Besøkt 6. juli 2011.
^ Kristian Gjøsteen, kryptolog, post doc., Norges teknisk-naturvitenskapelige universitet, Kjell Jørgen Hole professor i IT-sikkerhet, Universitetet i Bergen (17. november 2007). «Kronikk: Nettbanken ikke trygg». Aftenposten. Besøkt 15. mai 2017. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.»
^ Elisabeth Dalseg (28. november 2007). «Hacket BankID». DinSide. Besøkt 15. mai 2017. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok. - Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.»
^ Ann Kristin Bentzen Ernes (29. november 2007). «Mener BankID er trygg som e-signatur». Digi. Besøkt 15. mai 2017. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.»
^ Ann Kristin Bentzen Ernes (21. februar 2007). «OpenID like sikkert som BankID». Digi. Besøkt 15. mai 2017. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PC-en er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.»
^ Statistik
^ Finansiell ID-Teknik BID AB. «Statistik BankID Maj 2013» (PDF). Arkivert fra originalen (PDF) 29. oktober 2013.
^ «Slik kommer du i gang med app! - BankID». www.bankid.no (norsk). Besøkt 2. februar 2023.
^ Roland Orre. «Varför måste alla köra Volvo eller Saab?». Arkivert fra originalen 6. februar 2009.
^ "BankID för Linux slopas". Läst 2014-04-02.
^ Bankid på kort, Finansiell ID-teknik, läst 2017-02-13

Eksterne lenkerRediger

[1] «BankID virker igjen». Aftenposten. 6. juli 2011. Besøkt 6. juli 2011.

[2] Kristian Gjøsteen, kryptolog, post doc., Norges teknisk-naturvitenskapelige universitet, Kjell Jørgen Hole professor i IT-sikkerhet, Universitetet i Bergen (17. november 2007). «Kronikk: Nettbanken ikke trygg». Aftenposten. Besøkt 15. mai 2017. «FEIL. Hvis BankID blir tatt i bruk for alt fra bokklubber til apoteker, blir sikkerhetsproblemet akutt. Bankenes felles sikkerhetsløsning er feilkonstruert.»

[3] Elisabeth Dalseg (28. november 2007). «Hacket BankID». DinSide. Besøkt 15. mai 2017. «Professor i IT-sikkerhet ved Universitetet i Bergen, Kjell Jørgen Hole, har sammen med en gruppe doktorgradsstudenter gjennomført målrettede angrep for å bevise at BankID-løsningen ikke er god nok. - Sikkerheten ved autentiseringen eller påloggingen er meget svak. Vi har vist at det er mulig å stjele identitet. For å få til dette, har vi tenkt som de kriminelle og benyttet oss av kjente angrepsteknikker, sier Hole til Computerworld.»

[4] Ann Kristin Bentzen Ernes (29. november 2007). «Mener BankID er trygg som e-signatur». Digi. Besøkt 15. mai 2017. «Advokat mener elektronisk signatur fra BankID vil gjelde, selv med tekniske mangler. […] Advokat Lars Jakob Blanck på sin side mener mangelfull signatur i de fleste tilfeller vil være bindende.»

[5] Ann Kristin Bentzen Ernes (21. februar 2007). «OpenID like sikkert som BankID». Digi. Besøkt 15. mai 2017. «I Sverige går nå sikkerhetseksperter ut og mener OpenID er mer enn sikkert for bank og offentlig sektor. Og ikke minst billigere. Dersom man kobler sammen innloggingsstandarden OpenID til PC-en er det like sikkert som legitimasjon tilsvarende BankID. […] Internettsikkerhetsekspert Stina Ehrensvärd på Yubico mener BankID aldri kommer til å løfte seg. Neste steg for identifisering på Internett må være billigere, enklere og betydelig mer skalerbart, sier hun. Hun mener løsningen blir dyr ettersom den ikke er plattform- eller teknologiuavhengig i motsetning til OpenID.»

[6] Statistik

[Maj2013-7] Finansiell ID-Teknik BID AB. «Statistik BankID Maj 2013» (PDF). Arkivert fra originalen (PDF) 29. oktober 2013.

[8] «Slik kommer du i gang med app! - BankID». www.bankid.no (norsk). Besøkt 2. februar 2023.

[open-9] Roland Orre. «Varför måste alla köra Volvo eller Saab?». Arkivert fra originalen 6. februar 2009.

[10] "BankID för Linux slopas". Läst 2014-04-02.

[bankid-pa-kort-11] Bankid på kort, Finansiell ID-teknik, läst 2017-02-13

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]