BankID finnes i ulike varianter som hver har egenskaper som påvirker sikkerheten.
- De fleste banker i Norge tilbyr kodebrikke for å aksessere nettbanken. Som oftest har kodebrikken kun en knapp for å generere engangskode. Enkelte banker som for eksempel Nordea krever PIN-kode før engangskoden genereres. En utfordring med kodebrikke er at den ofte blir liggende hjemme mens du er ute av huset. Dermed er den lett tilgjengelig for misbruk om personnummer og passord er kjent. For de enkleste kodebrikkene sier produsenten gjerne at fysisk aksess ligger utenfor trusselmodellen. I praksis betyr det at du må passe godt på den.
- BankID på mobil er den mest brukte løsningen. Denne er noe sikrere siden mobilen i større grad oppbevares i nærheten av deg samtidig som den kan gi mer informasjon om BankID brukerstedet. En ulempe er at den kan benyttes uten først å låse opp mobilen. Løsningen har også svært begrensede utviklingsmuligheter.
- Digital kodebrikke i form av en app er tilgjengelig hos noen banker. Dette er den beste løsningen da mobil og iallfall enkelte bankers kodebrikke-app kan sikres med biometri, og i motsetning til BankID på mobil kan man enkelt tilby forbedringer.
Hvor sikker din BankID-bruk er avhenger derfor av løsningene din bank tilbyr samt hvilke av disse du bruker.
Trusselen fra keylogger
Et spørsmål som ofte dukker opp ved misbruk i nære relasjoner er hvordan svindleren har fått tak i passordet. Ofte antas det at passord er delt frivillig, selv om både skuldersurfing og kamera er mulige angrepsvektorer. Enda mer effektivt er det å bruke en keylogger. Dette er et program som registrerer tastetrykk og kan installeres som nettleser-utvidelse, som et skjult program eller som en USB-plugg mellom tastatur og PC. Software keyloggere som er referert er de aller enkleste variantene med åpen kildekode. Langt mer avanserte utgaver kan benyttes både på PC og Android/iOS. Logger du inn med BankID på en PC med keylogger så kan svindleren få ditt personnummer og passord presentert slik:
En god keylogger er nesten umulig å oppdage. Dermed er det vanskelig å forhindre at andre finner passordet ditt. I tillegg kan den fjernes etterpå slik at du aldri merker at den har vært installert. Dette gjør det like viktig å forhindre at andre bruker kodebrikken som det er å holde passordet skjult. Følgelig vil en kodebrikke med PIN-kode gjør det vanskeligere å svindle i nære relasjoner.
Også app-basert kodebrikke er en angrepsvektor selv om den gjerne er beskyttet av biometri. Som et siste steg i påloggingen må du oppgi ditt ordinære BankID-passord på maskinen hvor BankID benyttes. Registreres dette av en keylogger kan passordet misbrukes via fysisk kodebrikke om den er tilgjengelig.
Hvordan fungerer BankID i Sverige?
I Sverige har man et BankID-samarbeid som ligner på det norske. I 2011 droppet de samarbeidet med Telenor om BankID på mobil og gikk over til en app-basert løsning. I dag gjennomføres 97 prosent av alle transaksjoner med denne. Til sammenligning gjennomføres fortsatt over halvparten av norske BankID-transaksjoner med løsningen Sverige gikk bort fra i 2011. En stor andel av de resterende transaksjonene gjennomføres med kodebrikke, den sikkerhetsmessig svakeste løsningen.
På slutten av 2017 startet en svindelbølge hvor svenske bankkunder ble oppringt og lurt til å godkjenne BankID-innlogging på vegne av svindleren. Deretter ble kontoen tømt. Dette kalles gjerne Vishing, eller Voice Phishing, men er også kjent som Olga-svindel da svindlerne gjerne retter seg mot eldre personer.
I 2018 forbedret Finansiell ID-Teknik sikkerheten i BankID-appen. Et ekstra steg ble innført i innloggingen hvor man scanner en QR-kode. Dermed eliminerte man muligheten for å logge inn kun via en telefonsamtale. Fordelen med å ha brukerne på en app-basert løsning er dermed åpenbar. I Norge ville ikke dette vært mulig da BankID på mobil ikke kan oppgraderes til å støtte QR-scanning.
Hva gjør svensk kodebrikke sikrere?
- Alle svenske kodebrikker krever PIN-kode for å generere engangskode. Trusselen fra keyloggere blir dermed redusert.
- En kodebrikke som støtter lesing av QR-kode med kamera er tilgjengelig. Olga-svindel kan dermed elimineres også for de som bruker kodebrikke.
Hva gjør svensk BankID-app sikrere?
- Svensk løsning støtter biometri (fingeravtrykk og ansiktsgjenkjenning) i appen. Mange tjenester støtter i tillegg biometrisk ID slik at PIN-kode ikke må oppgis.
- Bruk av QR-kode sikrer at BankID ikke misbrukes via Olga-svindel ("Vishing"). Siden dette ble innført har denne type svindel falt drastisk i Sverige.
- Historikk gir mulighet for å sjekke tidligere BankID bruk. Dermed kan man selv sjekke om BankID er misbrukt.
- Utstedes ny BankID sendes en melding til BankID-brukeren.
Konklusjon
Norske banker har ikke klart å migrere brukere over på mer moderne løsninger og havnet i bakkant i den teknologiske utviklingen. Velprøvd teknologi som gir bedre sikkerhet og forebygger svindel har vært brukt i flere år i Sverige. Svenske bankkunder er dermed bedre sikret både overfor trusler i nære relasjoner og ved Olga-svindel.
Dette er ikke nødvendigvis hele svaret på det initielle spørsmålet. Andre systemforskjeller bidrar nok også, slik som at svenske forbrukslån kun utbetales til kontoer som tilhører lånesøkers BankID.