Tryggere nettbank (BankID)

IBM viste nylig en ny løsning for å demme opp for såkalte «man in the middle«-angrep. Løsningen baserer seg på en ekstern enhet som kobles til PCen via USB.

BankID har fått en del kritikk tidligere for svakheter knyttet til visse typer angrep. Selv har jeg vurdert BankID, BuyPass, MinID, Yahoo! ID og Live ID opp mot deres evne til å oppnå tillit hos brukerne, hvor BankID kom godt ut. Bacheloroppgave: Tillit og troverdighet på nett.

Svakhetene
En av svakhetene til BankID såvel som mange andre autentiseringsløsninger er problemet med såkalt «man in the middle«-angrep eller Phishing angrep. Disse gjør at brukeren får en annen informasjon enn banken den banken sender til brukeren og banken får en annen informasjon fra brukeren enn den brukeren selv intenderer å sende. Det er lett å tenke seg til konsekvensene av denne typen angrep.

Ny løsning fra IBM
Angrep knyttet til Phishing har jeg selv presentert en løsning for i min Bacheloroppgave hvor en felles hemmelighet benyttes mellom eksempelvis bank og bruker. Det denne løsningen ikke nødvendigvis fanger opp like bra er problemer knyttet til spionprogramvare eller malware som er installert i nettleseren til brukeren.

IBM har nå utviklet en Zone Trusted Information Channel (ZTIC) (Se youtube-videoen oppe til høyre) som skal demme opp for denne typen angrep. Spørsmålet blir bare om dette er for tungvindt. Skal man ha denne i tillegg til en passordkalkulator tror jeg det, men dersom denne kan inkorporeres i en passordkalkulator tror jeg man er nærmere målet. Spørsmålet blir som i alle sikkerthetshensyn. Når blir det så sikkert at brukeren enten velger å ikke benytte tjenesten, eller prøver å omgå sikkerheten? Med det siste menes at brukeren forsøker å omgå sikkerheten noe som er blitt vanlig hos passordtjenester hvor brukeren får tildelt et vanskelig passord. Mange brukere velger da å skrive det ned, noe som i praksis gjør løsningen mindre sikker enn en løsning som lar brukeren velge et enkelt passord han selv husker.