Abonner
FINTECH

– Hvorfor har svenskene sikrere BankID enn oss?

De siste årene har vi sett en rekke tilfeller av BankID-svindel. Hvorfor svindles så mange med BankID i Norge, og hva har man gjort annerledes i Sverige, spør utvikler Jonny Rein Eriksen.

Debatten om BankID fortsetter. Denne gangen sammenligner utvikler Jonny Rein Eriksen svensk og norsk BankID.
Debatten om BankID fortsetter. Denne gangen sammenligner utvikler Jonny Rein Eriksen svensk og norsk BankID. Foto: BankID
Del
Kommenter
Jonny Rein Eriksen
27. aug. 2020 - 19:00

BankID finnes i ulike varianter som hver har egenskaper som påvirker sikkerheten.

  • De fleste banker i Norge tilbyr kodebrikke for å aksessere nettbanken. Som oftest har kodebrikken kun en knapp for å generere engangskode. Enkelte banker som for eksempel Nordea krever PIN-kode før engangskoden genereres. En utfordring med kodebrikke er at den ofte blir liggende hjemme mens du er ute av huset. Dermed er den lett tilgjengelig for misbruk om personnummer og passord er kjent. For de enkleste kodebrikkene sier produsenten gjerne at fysisk aksess ligger utenfor trusselmodellen. I praksis betyr det at du må passe godt på den.
  • BankID på mobil er den mest brukte løsningen. Denne er noe sikrere siden mobilen i større grad oppbevares i nærheten av deg samtidig som den kan gi mer informasjon om BankID brukerstedet. En ulempe er at den kan benyttes uten først å låse opp mobilen. Løsningen har også svært begrensede utviklingsmuligheter.
  • Digital kodebrikke i form av en app er tilgjengelig hos noen banker. Dette er den beste løsningen da mobil og iallfall enkelte bankers kodebrikke-app kan sikres med biometri, og i motsetning til BankID på mobil kan man enkelt tilby forbedringer.

Hvor sikker din BankID-bruk er avhenger derfor av løsningene din bank tilbyr samt hvilke av disse du bruker.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Dødtid koster tid og penger. Slik gjør du videomøtene effektive
Reidar J. Boldevin er konsulentsjef for cybersikkerhet i Columbus Norge. Han skriver om flere av fordelene ved moderne autentiseringsløsninger, samt noen av problemene ved å beholde de utdaterte løsningene.
Les også

Kostnaden ved utdatert IT-sikkerhet

Jonny Rein Eriksen er utvikler, og har også tidligere skrevet om sikkerheten ved BankID.
Jonny Rein Eriksen er utvikler, og har også tidligere skrevet om sikkerheten ved BankID.

Trusselen fra keylogger

Et spørsmål som ofte dukker opp ved misbruk i nære relasjoner er hvordan svindleren har fått tak i passordet. Ofte antas det at passord er delt frivillig, selv om både skuldersurfing og kamera er mulige angrepsvektorer. Enda mer effektivt er det å bruke en keylogger. Dette er et program som registrerer tastetrykk og kan installeres som nettleser-utvidelse, som et skjult program eller som en USB-plugg mellom tastatur og PC. Software keyloggere som er referert er de aller enkleste variantene med åpen kildekode. Langt mer avanserte utgaver kan benyttes både på PC og Android/iOS. Logger du inn med BankID på en PC med keylogger så kan svindleren få ditt personnummer og passord presentert slik:

En god keylogger er nesten umulig å oppdage. Dermed er det vanskelig å forhindre at andre finner passordet ditt. I tillegg kan den fjernes etterpå slik at du aldri merker at den har vært installert. Dette gjør det like viktig å forhindre at andre bruker kodebrikken som det er å holde passordet skjult. Følgelig vil en kodebrikke med PIN-kode gjør det vanskeligere å svindle i nære relasjoner.

Også app-basert kodebrikke er en angrepsvektor selv om den gjerne er beskyttet av biometri. Som et siste steg i påloggingen må du oppgi ditt ordinære BankID-passord på maskinen hvor BankID benyttes. Registreres dette av en keylogger kan passordet misbrukes via fysisk kodebrikke om den er tilgjengelig.

Hvordan fungerer BankID i Sverige?

I Sverige har man et BankID-samarbeid som ligner på det norske. I 2011 droppet de samarbeidet med Telenor om BankID på mobil og gikk over til en app-basert løsning. I dag gjennomføres 97 prosent av alle transaksjoner med denne. Til sammenligning gjennomføres fortsatt over halvparten av norske BankID-transaksjoner med løsningen Sverige gikk bort fra i 2011. En stor andel av de resterende transaksjonene gjennomføres med kodebrikke, den sikkerhetsmessig svakeste løsningen.

På slutten av 2017 startet en svindelbølge hvor svenske bankkunder ble oppringt og lurt til å godkjenne BankID-innlogging på vegne av svindleren. Deretter ble kontoen tømt. Dette kalles gjerne Vishing, eller Voice Phishing, men er også kjent som Olga-svindel da svindlerne gjerne retter seg mot eldre personer.

I 2018 forbedret Finansiell ID-Teknik sikkerheten i BankID-appen. Et ekstra steg ble innført i innloggingen hvor man scanner en QR-kode. Dermed eliminerte man muligheten for å logge inn kun via en telefonsamtale. Fordelen med å ha brukerne på en app-basert løsning er dermed åpenbar. I Norge ville ikke dette vært mulig da BankID på mobil ikke kan oppgraderes til å støtte QR-scanning.

Vis mer

Hva gjør svensk kodebrikke sikrere?

  • Alle svenske kodebrikker krever PIN-kode for å generere engangskode. Trusselen fra keyloggere blir dermed redusert.
  • En kodebrikke som støtter lesing av QR-kode med kamera er tilgjengelig. Olga-svindel kan dermed elimineres også for de som bruker kodebrikke.

Hva gjør svensk BankID-app sikrere?

  • Svensk løsning støtter biometri (fingeravtrykk og ansiktsgjenkjenning) i appen. Mange tjenester støtter i tillegg biometrisk ID slik at PIN-kode ikke må oppgis.
  • Bruk av QR-kode sikrer at BankID ikke misbrukes via Olga-svindel ("Vishing"). Siden dette ble innført har denne type svindel falt drastisk i Sverige.
  • Historikk gir mulighet for å sjekke tidligere BankID bruk. Dermed kan man selv sjekke om BankID er misbrukt.
  • Utstedes ny BankID sendes en melding til BankID-brukeren.

Konklusjon

Norske banker har ikke klart å migrere brukere over på mer moderne løsninger og havnet i bakkant i den teknologiske utviklingen. Velprøvd teknologi som gir bedre sikkerhet og forebygger svindel har vært brukt i flere år i Sverige. Svenske bankkunder er dermed bedre sikret både overfor trusler i nære relasjoner og ved Olga-svindel.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

Dette er ikke nødvendigvis hele svaret på det initielle spørsmålet. Andre systemforskjeller bidrar nok også, slik som at svenske forbrukslån kun utbetales til kontoer som tilhører lånesøkers BankID.

– Landets helsevirksomheter og landets kommuner kan være trygge på at vi er tilgjengelige, skriver Jostein Jensen, sikkerhetsdirektør Norsk helsenett og Gunnar A. Johansen, avdelingsdirektør HelseCERT og KommuneCERT, i dette tilsvaret.
Les også

Vi ruster opp det digitale brannvesenet – det er ikke glemt

Les mer om:
BANK IDDEBATTFINTECH
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra