Knekket BankID – igjen
Nok en gang slår kryptolog alarm om mangelfull sikkerhet for 1,4 millioner nettbankkunder.
Av Leif Hamnes Publisert: 27.06.2008 kl. 11:22
BankID brukes som identifikasjon og sikkerhetsløsning i Norge av 1,4 millioner nordmenn, men er langt fra sikker.
Les også: Forskere advarer: Usikre ID-løsninger
Det mener i hvert fall Kristian Gjøsteen, kryptolog og forsker ved NTNU. Han hacket seg gjennom systemet ganske greit i løpet av et par uker i vinter. Grunnen var avskrudde og defekte mottiltak mot hackerangrep.
– Den første feilen fant jeg allerede etter en halvtime på innsiden. Derfra gikk det bare utforbakke, sier Gjøsteen til Dagens Næringsliv
Store hull
I likhet med UiB-professor Jørgen Hole har han gjort det til sin oppgave å påvise hvor lett det er å bryte gjennom sikkerheten i systemet.
Les også: Brøt seg inn i nettbanker
Bankene avviser sikkerhetssvikt
En av de største truslene er utro tjenere, som kan utgi seg ut for å være noen de ikke er. Sikkerhetssviktene er urovekkende, alvorlige og systematiske, mener Gjøsteen.
Trenger ikke være genial
– Systemet er uegnet til elektronisk identifikasjon. Svindlere vil lett kunne lure til seg passord og engangskoder for deretter å stjele sensitive persondata, sier han, og legger til:
– Hvis studenter i kryptologi hadde gjort tilsvarende feil i en oppgave, hadde de strøket. Jeg fant ikke disse sikkerhetshullene fordi jeg er genial.
Prestisjeløsning
Et svekket BankID svekker også Norges håp om en skikkelig innloggingsprosedyre for ulike offentlige tjenester.
Les også: Kritiserer ønske om ny ID-standard
BankID tror 2,5 millioner bankkunder vil benytte denne teknologien i løpet av 2008. Det har gjort det fristende å lansere den som mulig tilgangsnøkkel til offentlige og kommunale tjenester, som helsevesenet og trygdekontorer.
– Dersom et system med så veldokumenterte sikkerhetshull skal få lov å styre andre deler av samfunnsinfrastrukturen vår, åpner det for problemer på en rekke andre områder, sier Gjøsteen til DN.
Regjeringen vil møte kryptologer
Det er positivt at forskere avdekker svakheter i sikkerhetsløsningene, mener politisk rådgiver Jørund Leknes (SV) i Fornyings- og administrasjonsdepartementet (FAD).
– Slik kan man få gjort noe med dem før løsningen tas i bruk, sier han, og peker på at vi trenger en sikker løsning for digital signatur i offentlig sektor.
FAD vil nå be om et møte med kodeknekkere for å lære mer om sikkerhetskritikken mot BankID.
Del på Facebook:
Ett års abonnement av Teknisk Ukeblad kun 1590 kr!
