- BankID for dårlig sikret


Bilde: iStock

BankID

BankID er en elektronisk legitimasjon og signaturtjeneste som tilbys av mange banker i Norge.

Les mer på bankid.no.

Professor Kjell Jørgen Hole ved Universitetet i Bergen har sammen med tre doktorgradsstudenter avslørt dårlig sikkerhet i den såkalte BankID-løsningen.

- Sikkerheten ved autentiseringen er alt for dårlig, sier Hole til Computerworld. Hole har lenge advart mot BankID, men føler at han ikke er blitt hørt.

I en periode fra februar til november har Hole og hans studenter gjennomført målrettede angrep mot to banker. Hensikten har vært å demonstrere for sikkerhetseksperter hva som er mulig. Det blir presisert at de hele tiden har brukt sine egne konti.

To angrepsmetoder

Forskerne brukte et phishingforsøk etterfulgt av et "mannen i midten"-angrep. "Kunden" får en e-post som tilsynelatende kommer fra banken, og som inneholder en lenke. Dersom kunden klikker på lenken blir vedkommende videresendt til en falsk adresse som ser ut som nettbankens side.

Kunden logger seg inn på vanlig måte, men etter det tar angriperne over kontrollen. I tillegg kunne forskerne sende kunden en feilmelding, og be om et ekstra engangspassord slik at forskerne kunne utføre en transaksjon i nettbanken, forteller Hole.

Forskerne klarte å lure til seg såpass mye sensitiv informasjon at de fikk full kontroll over en bankkonto som ble forsøkt utnyttet. Alt var åpent.

De har fra dag én informert Bankenes standardiseringskontor (BSK) og bankene om svakhetene. Likevel er tilsynelatende ingenting blitt gjort.

Omstridt forskning

Ikke alle er like begeistret over forskningsmetoden. Leder Tore Larsen Orderløkken fra Norsk senter for informasjonssikring (NorSIS) tar avstand fra metoden, og mener Hole har gått ut over sine fullmakter.

Grete Sørensen i BankID sier at sikkerhetshullet som Hole benytter i "mannen i midten"-angrepet ble tettet i november.

Professoren har også sine betenkeligheter, men mener metoden er forsvarlig siden bankene er blitt informert hele veien.

Disputas neste år

Avsløringen skal presenteres i studentenes doktorgradsavhandlinger under disputasen som er planlagt til mars og april neste år.

(Kilde: Computerworld)

Kommentarer (78)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen