BankID består av kodekalkulator, personnummer og passord. Selv det er ikke nok for å sikre seg mot ID-tyveri og svindel.

Knekket BankID – igjen

  • IT

BankID brukes som identifikasjon og sikkerhetsløsning i Norge av 1,4 millioner nordmenn, men er langt fra sikker.

Les også:

Det mener i hvert fall Kristian Gjøsteen, kryptolog og forsker ved NTNU. Han hacket seg gjennom systemet ganske greit i løpet av et par uker i vinter. Grunnen var avskrudde og defekte mottiltak mot hackerangrep.

– Den første feilen fant jeg allerede etter en halvtime på innsiden. Derfra gikk det bare utforbakke, sier Gjøsteen til Dagens Næringsliv

Store hull

I likhet med UiB-professor Jørgen Hole har han gjort det til sin oppgave å påvise hvor lett det er å bryte gjennom sikkerheten i systemet.

Les også:

Bankene avviser sikkerhetssvikt

En av de største truslene er utro tjenere, som kan utgi seg ut for å være noen de ikke er. Sikkerhetssviktene er urovekkende, alvorlige og systematiske, mener Gjøsteen.

Trenger ikke være genial

– Systemet er uegnet til elektronisk identifikasjon. Svindlere vil lett kunne lure til seg passord og engangskoder for deretter å stjele sensitive persondata, sier han, og legger til:

– Hvis studenter i kryptologi hadde gjort tilsvarende feil i en oppgave, hadde de strøket. Jeg fant ikke disse sikkerhetshullene fordi jeg er genial.

Prestisjeløsning

Et svekket BankID svekker også Norges håp om en skikkelig innloggingsprosedyre for ulike offentlige tjenester.

Les også:

BankID tror 2,5 millioner bankkunder vil benytte denne teknologien i løpet av 2008. Det har gjort det fristende å lansere den som mulig tilgangsnøkkel til offentlige og kommunale tjenester, som helsevesenet og trygdekontorer.

– Dersom et system med så veldokumenterte sikkerhetshull skal få lov å styre andre deler av samfunnsinfrastrukturen vår, åpner det for problemer på en rekke andre områder, sier Gjøsteen til DN.

Regjeringen vil møte kryptologer

Det er positivt at forskere avdekker svakheter i sikkerhetsløsningene, mener politisk rådgiver Jørund Leknes (SV) i Fornyings- og administrasjonsdepartementet (FAD).

– Slik kan man få gjort noe med dem før løsningen tas i bruk, sier han, og peker på at vi trenger en sikker løsning for digital signatur i offentlig sektor.

FAD vil nå be om et møte med kodeknekkere for å lære mer om sikkerhetskritikken mot BankID.