ABC Nyheter

Hva er BankID? Bankid.no definerer det slik: "BankID er en elektronisk legitimasjon og signaturtjeneste som tilbys av bankene i Norge.".

BankID skal gjøre det enklere å signere og idendifisere seg, og BankID har satt opp følgende hovedpunkter (hentet fra deres webside):

Identifisering

Identifisering benyttes når du bruker BankID som elektronisk legitimasjon, for eksempel når du logger deg inn på et BankID-brukersted.

Signering

Signering benyttes når du bruker BankID til å lage en personlig elektronisk signatur, for eksempel når du inngår en avtale med et BankID-brukersted. En elektronisk signatur med BankID er like bindende som en håndskrevet signatur på papir.

De som står bak BankID er en samlet banknæring med hele den norske befolkning som kundegrunnlag, skriver BankID.no på sin webside. BankID-samarbeidet er i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen, og skal utvikle en samordnet infrastruktur.

Advarer mot BankID

Professor i IT-sikkerhet Kjell Jørgen Hole i Bergen og kryptolog Krisitan Gjøsteen ved Norges TekniskNaturvitenskaplige Universitet går ut i sin kronikk i Aftenposten og advarer mot BankID.

De vektlegger særlig to punkter og mener nettbanken har en alvorlig sikkerhetsfeil ved at den ikke skiller mellom engangskoder som brukes til å logge inn og engangskoder som brukes for å betale regninger med. De skriver videre at passord og engangskode knyttes ikke til handling kunden vil ha utført og vil derfor gjøre nettbanken usikker.

Grunnen til dette er at i et såkalt phising-forsøk vil du kunne få en epost som ser ut til å komme fra, i dette tilfellet, banken din. I eposten blir du bedt om å trykke en vedlagt lenke og hvis du gjør det kommer du til en webside som ser til forveksling ut siden banken din bruker.

Du blir bedt om å logge på, men får en feilmelding og blir bedt om å prøve på nytt. Det som skjer nå er at du har lagt igjen en gyldig kode i første forsøk som kan brukes for de som står bak til å logge på kontoen din i den virkelige banken. Dette siden kodene du nå har lagt igjen kan brukes om hverandre.

Hole og Gjøsteen peker ytterligere til et to andre viktige punkter:

Den digital signaturen ikke er knyttet til en person slik en håndskrevet signatur er, men knyttes kun til en såkalt signeringsnøkkel - sammenlignbart med et segl knyttet til et stempel.

Og videre -

Det er banken som oppbevarer kundens signeringsnøkkel. Med dette kan banken sette kundens signatur på hva banken måtte ønske uten at kunden involveres. Banken må sannsynliggjøre at kunden har bedt om å få laget signaturen, men kundens passord og engangskode er på ingen måte knyttet til det som signeres og en evt. konflikt mellom kunde og bank vil ende med ord mot ord, skriver Hole og Gjøsteen.

Til slutt peker de til et alvorlig punkt hvor det fremkommer at BankID-signaturen ikke er bindende.

Høster kritikk

17. oktober tidligere i år skrev FNH og Sparebankforeningen et brev til Stortinget (Word-fil) og en rekke departementer. De oppfordrer til å bruke eksisterende eID-løsninger.

– Vi har svært velfungerende eID-løsninger i drift i dag som brukes av nesten en million nordmenn. Hvorfor skal da staten bruke 20 millioner kroner på å utvikle dette fra grunnen av, undrer Arne Skauge, administrerende direktør i Finansnæringens Hovedorganisasjon i en artikkel i Teknisk Ukeblad.

Skauge viser og til at en ensidig offentlig eID-løsning ikke har vært noen suksess i verken Finland eller Storbritania.

Et annet ankepunkt han viser i brevet er at en ny løsning vil trolig stenge ut kunder som allerede har en eID-løsning. Dette mener han vil føre til forsinkelser i bruk av offentlige tjenester mer enn de blir fremskyndet.

Katarina de Brisis i FAD sier at saken er til vurdering hos politikerne i følge Teknisk Ukeblad.

For øvrig er det veldig få, om ingen konsekvensanalyser utenom de bankene har laget selv for hva BankID kan føre til på lengre sikt.