Selv om BankID oppleves som temmelig sikkert og trygt av de fleste, så er det fortsatt mulig å gjøre det enda sikrere, uten at det går altfor mye ut over brukervennligheten.
Nå har Jonny Rein Eriksen, som til daglig er utvikler i Opera Software, utviklet en nettleserutvidelse som gjør det mulig å se om BankID-dialogen som vises, ikke er forfalsket.
Farges grønn
Kodebrikkesjekken, den nye nettleserutvidelsen, er i første omgang tilgjengelig for desktop-utgavene av Chrome og Firefox, er tilgjengelig via nettstedet Kodebrikke.no.
Når utvidelsen er installert, viser den som vist i toppbildet i saken et emblem og farger BankID-dialogen med grønt dersom denne kan verifiseres som ekte. I noen tilfeller, avhengig av nettleser og funksjon, utføres sjekken først når brukeren klikker på ikonet som utvidelsen lager ved siden av adressefeltet i nettleseren.
Advarer etter sviende tap for gründerbedrift: – Tenk deg nøye om før du saksøker kunden din
Også en løsning for mobilplattformer er under utvikling.
Kodebrikkesjekken fungerer helt klart best med vanlig BankID, hvor brukeren taster inn en engangskode.
– Støtten for BankID på mobil er svak. For å verifisere den må man starte med vanlig BankID og så velge «Velg annen BankID» i BankID dialogen. Støtten for kodebrikke og app-basert innlogging er god, forteller Eriksen.
Han har tidligere kommet med kritikk av sikkerheten i BankID.
Godt mottatt
Eriksen har vært i samtaler med Vipps, som eier BankID, om løsningen. Dette bekrefter kommunikasjonssjef Hanne Kjærnes overfor digi.no.
– Vi er positive til tiltak og verktøy som kan bidra til å gjøre BankID enda sikrere og tryggere, og tror «Kodebrikkesjekken» kan ha et godt potensial. Jonny har gitt oss en demonstrasjon av løsningen, som vi syntes var veldig spennende og kommer til å fortsette dialogen med han fremover for å finne ut mer om hvordan dette kan fungere for å øke sikkerheten i enda større grad, heter det i en uttalelse digi.no har mottatt fra Kjærnes.
Injisering
Om selve løsningen, forteller Eriksen at den er veldig enkel.
Henter ekspert fra NSM: – Dennis' erfaring er en stor mangelvare i markedet
– Et content-script matcher mot https://csfe.bankid.no og injiserer her. Deretter kommuniserer dette med bakgrunns-scriptet. En melding sendes når popup initieres, slik at den markeres med grønt. Når popup forsvinner så brytes kommunikasjonen, og content-scriptet fjerner sine endringer, skriver Eriksen i en forklaring på virkemåten til digi.no.
– UI er plassert i popup samt BankID-kontrollert iframe, for å hindre at et angriperkontrollert nettsted skal kunne detektere når kodebrikkesjekken kjører, og dermed kunne initiere motangrep mot sjekken, fortsetter han.
Tillit
Eriksen forteller videre at siden dette er en nettleserutvidelse som kjører med rettigheter til å manipulere DOM (Document Object Model) i BankID-iframe-en, så er tillit essensielt for om noen vil kjøre den.
– Spesielt siden den er laget av andre enn banken/Vipps. Det er heller ikke slik at den vil kunne installeres av for eksempel ansatte i bedrifter med strenge installasjonsbegrensninger. Da må den eventuelt godkjennes av admin, avslutter Eriksen.
Stor passordtjeneste: Får støtte for «passnøkler» til Android
