Abonner
IT

Knekket BankID – igjen

BankID består av kodekalkulator, personnummer og passord. Selv det er ikke nok for å sikre seg mot ID-tyveri og svindel.
BankID består av kodekalkulator, personnummer og passord. Selv det er ikke nok for å sikre seg mot ID-tyveri og svindel.
Del
Kommenter
Leif Hamnes
27. juni 2008 - 11:22

BankID brukes som identifikasjon og sikkerhetsløsning i Norge av 1,4 millioner nordmenn, men er langt fra sikker.

Les også:

Det mener i hvert fall Kristian Gjøsteen, kryptolog og forsker ved NTNU. Han hacket seg gjennom systemet ganske greit i løpet av et par uker i vinter. Grunnen var avskrudde og defekte mottiltak mot hackerangrep.

Artikkelen fortsetter etter annonsen
annonsørinnhold
DNV
– Spennende å jobbe med løsninger som har en direkte og målbar effekt på miljøet

– Den første feilen fant jeg allerede etter en halvtime på innsiden. Derfra gikk det bare utforbakke, sier Gjøsteen til Dagens Næringsliv

Store hull

I likhet med UiB-professor Jørgen Hole har han gjort det til sin oppgave å påvise hvor lett det er å bryte gjennom sikkerheten i systemet.

Les også:

Bankene avviser sikkerhetssvikt

En av de største truslene er utro tjenere, som kan utgi seg ut for å være noen de ikke er. Sikkerhetssviktene er urovekkende, alvorlige og systematiske, mener Gjøsteen.

Trenger ikke være genial

– Systemet er uegnet til elektronisk identifikasjon. Svindlere vil lett kunne lure til seg passord og engangskoder for deretter å stjele sensitive persondata, sier han, og legger til:

– Hvis studenter i kryptologi hadde gjort tilsvarende feil i en oppgave, hadde de strøket. Jeg fant ikke disse sikkerhetshullene fordi jeg er genial.

Prestisjeløsning

Et svekket BankID svekker også Norges håp om en skikkelig innloggingsprosedyre for ulike offentlige tjenester.

Les også:

BankID tror 2,5 millioner bankkunder vil benytte denne teknologien i løpet av 2008. Det har gjort det fristende å lansere den som mulig tilgangsnøkkel til offentlige og kommunale tjenester, som helsevesenet og trygdekontorer.

– Dersom et system med så veldokumenterte sikkerhetshull skal få lov å styre andre deler av samfunnsinfrastrukturen vår, åpner det for problemer på en rekke andre områder, sier Gjøsteen til DN.

Regjeringen vil møte kryptologer

Det er positivt at forskere avdekker svakheter i sikkerhetsløsningene, mener politisk rådgiver Jørund Leknes (SV) i Fornyings- og administrasjonsdepartementet (FAD).

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Kyoto Group og Schneider Electric inngår intensjonsavtale – skal elektrifisere industrien sammen
Kyoto Group og Schneider Electric inngår intensjonsavtale – skal elektrifisere industrien sammen

– Slik kan man få gjort noe med dem før løsningen tas i bruk, sier han, og peker på at vi trenger en sikker løsning for digital signatur i offentlig sektor.

FAD vil nå be om et møte med kodeknekkere for å lære mer om sikkerhetskritikken mot BankID.

Les mer om:
IT
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvilken ansettelsesform har du takket ja til?
Les mer
Hvilken ansettelsesform har du takket ja til?
    En tjeneste fra