Riskerna med BankID som ingen pratar om
BankID är ett säkert och smidigt sätt att identifiera sig online. Men i takt med dess ökade popularitet och användning har det blivit en svag länk – en single point of failure – på mer än ett sätt.
Förut användes BankID enbart för att logga in i bankens internettjänster. Bakom BankID står just storbankerna. Det är företaget Finansiell ID-Teknik BID AB som äger BankID, men det i sin tur ägs av storbankerna.
Idag används däremot BankID till mycket mer än att bara logga in i banken. Alla myndigheter så som Skatteverket, Bolagsverket och Försäkringskassan använder BankID. Allt fler företag har också börjat använda BankID, alltifrån digitala brevlådor, post- och fraktföretag, mataffärer, hostingleverantörer, bokföringsprogram med mera. Enligt Finansiell ID-Teknik görs dagligen 18 miljoner identifieringar med BankID.
Det är här som riskerna börjar hopa sig. Vi kan bara föreställa oss konsekvenserna av ett långvarigt driftavbrott av BankID. Vi kan inte logga in i banken för att betala räkningar, inte sköta våra ärenden hos myndigheterna, inte logga in våra dagliga tjänster, inte läsa de digitala brevlådorna, inte köpa något online, inte beställa mediciner på recept, företagare kan inte komma åt sin bokföring och mycket annat.
Detta gör också BankID till ett hett mål för utländska makter som vill störa samhället. Med tanke på alla de hackerattacker och överbelastningsattacker som skett de senaste åren mot både myndigheter, kommuner och företag är det inte otänkbart att även BankID är ett mål för utländska hackare.
Ett sätt att komma runt denna svaga länk är att använda flera olika e-legitimationer, exempelvis även Freja eID. På så sätt blir vi inte lika beroende av en enda leverantör. Än så länge är Freja eID långt ifrån lika populärt som BankID, mycket på grund av att det är betydligt färre företag som idag accepterar Freja jämfört med BankID.
Men även för individen finns risker med den ökade användning av BankID. Den största risken är att bli rånad och tvingad att uppge BankID-koden och lämna ifrån sig mobiltelefonen. Rånaren kan då tömma alla ens konton, köpa dyra lyxprylar online och ta ut stora lån. Rånaren skulle också kunna ta del av alla ens läkarjournaler, hämta ut recept, skriva över domännamn till sig själv och mycket annat.
Denna risken ökar dessutom för exempelvis företagsledare eller styrelseledamöter med firmateckningsrätt. En rånare eller kidnappare skulle kunna skriva över företagets eller föreningens alla tillgångar till sig själv, ta ut lån på miljonbelopp, skriva över eller sälja aktier och mycket annat.
Det enda sättet att komma runt denna risken idag är att inte använda BankID i sin mobiltelefon utan istället ha en sekundär enhet för detta som förblir inlåst. Detta medför dock extra kostnader. Det tar också bort lite av smidigheten med BankID, men det är det kanske värt med tanke på riskerna?
Ett sätt att komma runt detta hade varit om BankID implementerade en “anti-kod”. Inbrottslarm brukar använda funktionen anti-kod, som innebär att användaren knappar in en förutbestämd kod på manöverpanelen om han eller hon är hotad. Detta löser ut ett tyst larm som påkallar uppmärksamhet från bevakningsföretaget eller polisen. En anti-kod för BankID skulle kunna spärra personens BankID och bara kunna låsas upp igen genom ett besök hos banken.
Nyhetsbrev
Nyhetsuppdateringar från tidningen direkt till din inkorg, helt kostnadsfritt. Avsluta när du vill.
Relaterade artiklar
-
Avlyssna trafik på servern med Wireshark och TShark
Wireshark är ett ovärderligt verktyg för att felsöka nätverkskonfigurationer, applikationer, API:er, demoner och mycket annat. I kombination med
tshark
kan vi dessutom avlyssna trafiken på en server i realtid. -
PGP-krypterat formulär
Jag blev inspirerad av Tutanotas Secure Connect – ett säkert webbformulär som skickar uppgifterna krypterat direkt till inkorgen. Skulle det inte gå att bygga något liknande med PGP? Det gick, och det var dessutom förvånansvärt enkelt då det redan finns ett GnuPG-bibliotek för PHP.
-
Var försiktig med att curl:a skript som root
Att installera program i Linux genom att omdirigera utdata från Curl till skalet är snabbt och smidigt. Men det är ack så farligt om du inte känner till programmet eller dess ursprung.
-
GDPR som ett stöd, inte ett hinder
Företag, föreningar och kommuner borde se GDPR som ett stöd och en vägledning, inte ett hinder. Trots det är det många som väntar ut Schrems II-domens efterspel för att inte behöva göra något. Andra försöker komma runt GDPR på olika sätt. Men man får glömma inte bort vem GDPR ska skydda – organisationens viktigaste tillgångar; kunderna, medlemmarna och invånarna.
Senaste nyheterna och inläggen
-
Avlyssna trafik på servern med Wireshark och TShark
Wireshark är ett ovärderligt verktyg för att felsöka nätverkskonfigurationer, applikationer, API:er, demoner och mycket annat. I kombination med
tshark
kan vi dessutom avlyssna trafiken på en server i realtid. -
Mysig stämning på sommarens första demoparty
I helgen var det Reunion 2024 i Kvidinge Folkets hus, sommarens första skånska demoparty. Partyt organiserades av Jesper “Skuggan” Klingvall. På plats fanns ett 30-tal besökare.
-
Sommarens skånska demopartyn
Årets sommar bjuder på två skånska demopartyn. Först ut är Reunion i Kvidinge den 28–30 juni. Därefter är det Pågadata i Örtofta den 9–11 augusti.
-
Polisernas fängelsedomar står fast
Efter tre år är målet mot de två poliser som olovligen tog sig in i en berusad mans bostad i Landskrona och misshandlade honom klart. Högsta domstolen beslutade den sjätte mars att avvisa överklagan. Fängelsedomarna för poliserna står därmed fast.
Utvalda artiklar
-
Mysig stämning på sommarens första demoparty
I helgen var det Reunion 2024 i Kvidinge Folkets hus, sommarens första skånska demoparty. Partyt organiserades av Jesper “Skuggan” Klingvall. På plats fanns ett 30-tal besökare.
-
Datorparty i Landskrona
I helgen höll Syntax Society sitt årliga sommarparty. Platsen var en källarlokal i Landskrona där ett femtontal personer medverkade.
-
Det första Pågadata har ägt rum
I helgen ägde det första Pågadata rum – uppföljaren till Gubbdata. Platsen var Folkets Hus i Kvidinge. Organisatör av partyt var Johan “z-nexx” Osvaldsson med hjälp från Jesper “Skuggan” Klingvall. Partyt hade över 100 anmälda deltagare.
-
Även hovrätten fäller poliserna för att ha satt dit oskyldig
Hovrätten fastställer straffet för de två poliser som förra året dömdes till vardera ett års fängelse av Lunds tingsrätt för att ha misshandlat och satt dit en oskyldig man. De båda poliserna ska även betala skadestånd till mannen.
-
Retroloppis i Påarp
Idag var det retroloppis hos Andreas Nilsson i Påarp. På baksidan av huset fanns hundratals spel uppradade på långa bord. Trots friska vindar och sval temperatur var loppisen välbesökt.
CyberInfo Sverige är ett it- och medieföretag i nordvästra Skåne som tillhandahåller böcker, utbildningar, nyheter och konsulttjänster inom Linux, säkerhet och programmering.
CyberInfo Sverige är godkänd för F-skatt, är momsregistrerat och innehar
utgivningsbevis för webbplatsen www.cyberinfo.se.