fredag 5. august 2011

BankID? Nei takk!

Den ligger ikke i lommen
når jeg trenger den!
Jeg har hatt konto hos Skandiabanken i litt over ti år, og må si jeg i grunn er veldig fornøyd. Denne banken krever ikke (men støtter) BankID for pålogging, og utføring av transaksjoner. Så vidt jeg har forstått er dette unntaket, ikke regelen. Jeg har også et kundeforhold hos DnBNOR, og denne banken krever BankID hele tiden.

Hva er galt med BankID?
Det er for all del ikke noe galt med BankID i utgangspunktet. Jeg har ingen grunn til å tvile på at det er en av de sikreste måtene å autentisere deg som bruker. Det er bare så fryktelig upraktisk. Ikke bare må jeg ha med meg kodebrikken hvis jeg skal inn på nettbanken, men faktisk må jeg ha den når jeg skal bruke kortet mitt på nettet for å betale for en tjeneste. For et par år siden hadde jeg en venninne på besøk som skulle kjøpe en togbillett på nettet fra PCen min. Men det lot seg ikke gjøre fordi hun ikke hadde med seg kodebrikken. Heldigvis hadde jeg et kort som ikke krevde slik tullete autentisering, og kunne legge ut for henne.

Nei takk...
Mange tenker sikkert at man vil verne om pengene sine, og synes det er verdt å gjøre en innsats for å unngå en tømt konto. Joda, men husk på at det er bankens ansvar hvis noen misbruker kontoen din (med mindre du har opptrådt uaktsomt, f.eks gitt bort koden din.) Men jeg ser argumentet med at det kan føles ubehagelig å bli svindlet, selv om du får tilbake pengene.

Skandiabankens alternativer
Det som er viktig å huske på, er at Skandiabanken er en trygg bank, selv om den har andre måter å autentisere brukeren på. For innlogging støtter Skandiabanken enten en engangskode tilsendt som SMS, eller fra et kort i kredittkortstørrelse. I tillegg kreves naturligvis ditt fødselsnummer og et sikkert personlig passord.

Når det gjelder sikker e-handel, benytter Skandiabanken "Verified by Visa". I nettbanken settes en spesiell melding, som skal fungere som bevis på at de du handler med benytter seg av tjenesten, samt et personlig VISA-passord. Når du handler så ser du meldingen din, og du må taste inn passordet. Så sant du husker det får du gjennomført kjøpet. Mye lettere enn å ha en BankID-brikke i lommen.

Altinn bør jo være sikkert nok!
Jeg har i flere år nå levert selvangivelsen på nett. Jeg skal ikke akkurat skryte av Altinn, for de har hatt en god porsjon problemer, stort sett med nedetid. Jeg har dog aldri hørt om at personopplysninger har kommet på avveie. De opererer riktignok med 4-5 "sikkerhetsnivåer" ved innlogging. Jeg benytter MinID, som er nærmest identisk med Skandiabanken sin. Personnummer/passord + SMS-kode (eventuelt engangskoder fra dokumenter). Jeg mener dette er tilstrekkelig sikkert, og bare så det er sagt: jeg hadde ikke vært spesielt begeistret om uvedkommende fikk tilgang til mine skattedokumenter og lignende fra Altinn.

BankID på mobil
Det er noe som kalles BankID på mobil. Dette ser ut til å være en godkjent løsning for mitt vedkommende. Dessverre er det kun Telenor (inkludert dJuice) som støtter dette for øyeblikket. Det er heller ikke alle nettsteder som krever BankID som støtter mobilutgaven. Mobilen har jeg alltid med meg, og enten meldingene kommer som SMS, eller det er en app så synes jeg det er en brukbar løsning. Jeg regner det også som mer sannsynlig at flere teleselskaper begynner å støtte dette, framfor at bankene lærer av Skandiabanken og finner alternative godkjenningsmetoder. Likevel skal jeg ikke legge skjul på at jeg foretrekker Skandiabanken så lenge BankID er valgfritt.

3 kommentarer:

  1. Helt enig. Møkk lei den "donglen".

    SvarSlett
  2. "Det er for all del ikke noe galt med BankID i utgangspunktet. Jeg har ingen grunn til å tvile på at det er en av de sikreste måtene å autentisere deg som bruker."

    Jeg er av den motsatte oppfatning, BankID er i bunn og grunn helt feil design da løsningen er totalt kontrollert av BBS og bankene. Dette er en løsning hvor BBS sitter på alle nøklene. Satt på spissen, løsningen er allerede kompromittert, da det nødvendigvis finnes BBS-ansatte som har full mulighet til å utgi seg for hvem som helst her i landet.

    Jeg misliker at man ikke har mulighet til å skru av muligheten for BankID-innlogging i Skandiabanken.

    Det er alltid en risiko for kompromittering av innlogging - og før hadde man i det minste noen "vanntette skott". Dersom Skandiabanken-kontoen min ble kompromittert ville jeg kunne miste alt jeg har i Skandiabanken ... og litt til (kontokreditt), det ville vært et stort økonomisk tap, men ikke personlig ruin. Dersom noen kompromiterer min BankID, vil de kunne tømme samtlige konti jeg har i samtlige banker, signere lån i mitt navn, legge inn bud på bolig, etc ... og snart også ha tilgang til alt av offentlige systemer.

    BankID blir ikke sikrere enn BBS og bankene som utsteder BankID. Jeg har en sterk tro på at mange ansatte, både i BBS og i enkeltstående banker (til og med banker hvor jeg ikke har noe kundeforhold), har teoretisk mulighet til å identifisere seg som meg.

    SvarSlett
    Svar
    1. Takk for innspill. Jeg ser at denne bloggposten kunne vært oppdatert. Jeg fokuserte mest på det upraktiske med BankID, uten å egentlig vurdere sikkerhet så mye.

      Slett