Ber myndighetene stanse BankID

- Svindlere vil lett kunne lure til seg passord og engangskoder, sier NTNU-forsker Kristian Gjøsteen.

BankID-systemet har fått massiv kritikk fra forskere som professor Hole ved Universitetet i Bergen. Kritikken preller imidlertid av hos bankene.

Nå får Hole følge av NTNU-forsker Kristian Gjøsteen. Han har gått til angrep på nettbanken fpr å sjekke sikkerheten. Resultatet var nedslående, og nå slår han alarm.

Gjøsteen mener BankID er så dårlig at myndighetene må ta affære og stanse prestisjeprosjektet.

- Systemet er uegnet til elektronisk identifikasjon. Svindlere vil lett kunne lure til seg passord og engangskoder for deretter å stjele sensitive persondata, sier Kristian Gjøsteen til Dagens Næringsliv.

Allerede etter en halvtime hadde Gjøsteen funnet et alvorlig sikkerhetshull, og det stoppet ikke der. Han mener feilene er grove og elementære.

- Hvis studenter i kryptologi hadde gjort tilsvarende feil i en oppgave, hadde de strøket, sier Gjøsteen til Dagens Næringsliv.

Nå vil sikkerhetsmiljøene ved NTNU og Universitetet i Bergen ha tilgang på dokumentasjonen til BankID slik at de kan gjøre en skikkelig gjennomgang av sikkerheten.

Post- og teletilsynet på sin side vil ikke gi forskerne tilgang.

- Forskerne ønsker fullt innsyn i dokumentasjonen knyttet til sikkerhetssystemene, men dette er informasjon vi mener bør være bak lås og slå, sier avdelingsdirektør Jan Graff i Teletilsynet, til Dagens Næringsliv.

Innen sikkerhetsbransjen kalles denne tankegangen for «security by obscurity», ett tankesett som har fått mye kritikk.

Bruce Schneier, en av verdens mest kjente sikkerhetseksperter, argumenterer for at «Alle kan lage et sikkerhetssystem de selv ikke kan knekke». Han mener derfor at alle sikkerhetsløsninger bør gjennomgå en fullstendig ekstern sikkerhetsvurdering.

Post- og teletilsynet mener forøvrig at BankID er godt nok som sikkerhetssystem.

    Les også:

Til toppen