BankID

Den opprinnelige løsningen til BankID baserer seg på en fysisk kodebrikke som distribueres av kundens bank. I praksis ble denne opprinnelige utgaven av BankID basert på en samling av forskjellige kodebrikke-løsninger som ulike banker alt hadde, og de fleste kunder kunne benytte samme kodebrikke videre. Løsningen fungerer ved at banken alltid vet hva de neste kodene som kodebrikken genererer vil være. Løsningen krever også at et passord tastes inn sammen med koden fra kodebrikken.

I 2022 ble en ny løsning for BankID lansert, som baserer seg på en autentiserings-app for Android og iOS. Denne utgaven går under navnet BankID-app, men også bare BankID etter hvert som andre løsninger slik som BankID mobil er blitt avviklet. Løsningen fungerer ved at appen ber deg bekrefte at det er du som forsøker gjøre en handling i en navngitt tjeneste. I tillegg kreves det at brukeren oppgir et personlig passord i tjenesten, på samme måte som med den opprinnelige kodebrikken. Appen har også en del andre funksjoner, for eksempel at den kan benyttes som legitimasjon. Appen kan også knytte biometri opp mot autentiseringen.

BankID mobil var en tjeneste som ble lansert i 2009, og var lenge den foretrukne formen for BankID, da man slapp å ha med seg en fysisk kodebrikke. Ved bruk av BankID mobil viste tjenesten en kode bestående av to tilfeldig valgte ord, som også ble sendt til brukerens mobil. Samsvarte koden som ble vist på mobilen med det som tjenesten viste, tastet brukeren inn en personlig PIN-kode i mobilen for å bekrefte. Løsningen slet med driftsproblemer, spesielt knyttet til den tette integreringen med mobilens SIM-kort, SMS-meldinger og avhengigheten av teleoperatørene. Høsten 2024 ble BankID mobil faset helt ut etter en lengre overgangsperiode til BankID-app.

Høsten 2024 eksisterer BankID basert på kodebrikke og BankID basert på app side om side, med en klar overvekt av app-brukere.

Selve BankID-løsningen har fra et rent teknisk ståsted hatt få kjente sikkerhetsutfordringer og sikkerhetshendelser. De kjente sikkerhetsutfordringene er i all hovedsak knyttet til brukerens håndtering av løsningen, samt angrep som spiller på manipulasjon av brukeren.

Den vanligste sikkerhetsutfordringen er at brukeren direkte eller indirekte har gitt andre tilgang til å benytte brukerens BankID. Dette kan for eksempel være i form av utilstrekkelig fysisk sikring av enheter, samt kjente eller for enkle passord. I andre tilfeller har brukeren selv gitt andre tillatelse samt nødvendig tilgang og informasjon for å benytte BankID i ett bestemt ærend, uten å se risikoen dette medfører for annet bruk. Det kan være svært vanskelig å bevise at slikt misbruk ikke er utført av brukeren selv. Å selv tillate at andre benytter brukerens BankID er også i strid med brukeravtalen til BankID.

Det har også vært mange ulike angrep der brukeren lures til å selv akseptere BankID-forespørsler og oppgi passord i hva brukeren tror er legitime situasjoner. Situasjonene er imidlertid oppkonstruerte og til dels kamuflerte av angriperen.

• elektronisk identitet
• tofaktorautentisering
• autentisering
• legitimasjon