Sikkerhetshull i BankID

BankID er et rammeverk som blant annet skal forenkle autentiseringen av kunder i klient-tjener applikasjoner på nettet. I dag benyttes BankID først og fremst til autentisering av kunder i norske nettbanker. Over 600.000 kunder bruker det allerede, men i løpet av året er trolig to millioner kunder over på bankID.

LES OGSÅ: Fortsatt mange nettbankhull

Professor Kjell Jørgen Hole ved Selmersenteret, forskningssenteret for kodeteori og kryptologi ved Universitetet i Bergen, har tidligere påvist en rekke feil og mangler i bankenes sikkerhetsløsninger, og nettbankene har for første gang blitt gjenstand for vellykkede angrep denne vinteren.

Samme sårbarheter

BankID-autentiseringen av nettbankkunder er imidlertid ikke sterkere enn i andre norske nettbanker, de er blant annet sårbare for tjenestenektangrep, kombinerte tjenestenekt- og phishing-angrep. BankID gjør det også mulig å bygge detaljerte kundeprofiler som kundene ikke kan kontrollere bruken av. At stadig flere banker beveger mot den samme sikkerhetsstrukturen gjør at angriperne får nok en fordel.

- Bruken av fødselsnummer som identifiserer kundene og en autentisering i form av pinkode og passord, er gammel teknologi fra nettbankene som er litt overraskende at de tar med inn i BankID. Dette blir en nasjonal id-løsning, så det er veldig viktig at dette blir bra. En slik monokultur som oppstår når alle skal bruke BankID vil være en ekstra trussel, det vil gjøre det enklere for angriperne, mener Hole.

Gode hjelpere

BankID-koordinator Grete Sørensen har ikke lukket øynene for problematikken, og ble briefet om sikkerhetsspørmålene ved et besøk på Selmersenteret for kort tid siden.

LES OGSÅ: Nettbank-kunder ønsker tøffere sikkerhetstiltak

- Vi synes det er flott at professor Kjell Jørgen Hole og miljøet i Bergen engasjerer seg, det er viktig at vi har gode hjelpere, påpeker Sørensen.

Hun er imidlertid ikke veldig bekymret over funnene.

- Vi lager ikke BankID fordi autentiseringen i nettbankene ikke er god nok. Når det er sagt, er vi alltid ute etter å bli bedre og det er ulike tiltak vi vurderer som vil bedre sikkerheten. Når det gjelder bruk av fødsesnummer er det noe noe som unikt identifiserer alle enkeltpersoner i Norge, og det er noe folk husker, men BankID kan også benytte andre identifikatorer, påpeker Sørensen.