BankID-systemet har fått massiv kritikk fra forskere som professor Hole ved Universitetet i Bergen. Kritikken preller imidlertid av hos bankene.
Nå får Hole følge av NTNU-forsker Kristian Gjøsteen. Han har gått til angrep på nettbanken fpr å sjekke sikkerheten. Resultatet var nedslående, og nå slår han alarm.
Gjøsteen mener BankID er så dårlig at myndighetene må ta affære og stanse prestisjeprosjektet.
- Systemet er uegnet til elektronisk identifikasjon. Svindlere vil lett kunne lure til seg passord og engangskoder for deretter å stjele sensitive persondata, sier Kristian Gjøsteen til Dagens Næringsliv.
Allerede etter en halvtime hadde Gjøsteen funnet et alvorlig sikkerhetshull, og det stoppet ikke der. Han mener feilene er grove og elementære.
- Hvis studenter i kryptologi hadde gjort tilsvarende feil i en oppgave, hadde de strøket, sier Gjøsteen til Dagens Næringsliv.
Nå vil sikkerhetsmiljøene ved NTNU og Universitetet i Bergen ha tilgang på dokumentasjonen til BankID slik at de kan gjøre en skikkelig gjennomgang av sikkerheten.
Post- og teletilsynet på sin side vil ikke gi forskerne tilgang.
- Forskerne ønsker fullt innsyn i dokumentasjonen knyttet til sikkerhetssystemene, men dette er informasjon vi mener bør være bak lås og slå, sier avdelingsdirektør Jan Graff i Teletilsynet, til Dagens Næringsliv.
Innen sikkerhetsbransjen kalles denne tankegangen for «security by obscurity», ett tankesett som har fått mye kritikk.
Bruce Schneier, en av verdens mest kjente sikkerhetseksperter, argumenterer for at «Alle kan lage et sikkerhetssystem de selv ikke kan knekke». Han mener derfor at alle sikkerhetsløsninger bør gjennomgå en fullstendig ekstern sikkerhetsvurdering.
Post- og teletilsynet mener forøvrig at BankID er godt nok som sikkerhetssystem.
Les også:
- [06.10.2008] Komplett har tatt i bruk BankID
- [08.08.2008] Russisk mafia plantet zombier i USAs politi
- [16.07.2008] Fnyser av BankID-kritikk
- [05.06.2008] Professor får hat-post etter BankID-kritikk
- [27.03.2008] Hver fjerde nordmann bruker BankID
- [25.02.2008] Mener nettbanker er sikre tross innbrudd
- [25.02.2008] Nye innbrudd i nettbanker med BankID
- [22.02.2008] BankID kan ta jobben som offentlig digital ID
- [20.12.2007] EFN mener BankID gir dårlig sikkerhet
- [19.12.2007] Det er ikke BankID som er hacket
- [14.12.2007] Tilbakeviser at nettbankene er usikre
- [29.11.2007] Mener BankID er trygg som e-signatur
- [28.11.2007] Professor hacket nettbankene
- [19.11.2007] Advarer mot dårlig sikkerhet i BankID
