BankID er idioti satt i system

Bruk vanlig HTTPS i stedet for Java. Hvorfor?

BankID (og alle norske banker) bruker en teknikk som heter to-faktor autentisering for sikker identifisering. Det er brukernavn + passord + en nøkkel (kodekort / brikke).

Hvorfor BankID har implementert dette med Java er ikke idiotisk i seg selv, men et paradoks. Slik jeg forstår det så bruker, BankID Java-appleten til sikker kommunikasjon med banken. Og de bruker Java i tilfelle browseren er kompromittert for “sikkerhets skyld”.

Men er browseren infisert, så kan det godt hende malware har kontroll på hva browseren kjører av applets, inkludert Java. Og da er man like langt. Når Java-appleten er ferdig med autentiseringen, så sendes brukeren til nettbanken med vanlig HTTPS / nettside. Og er browseren infisert, er man like langt.

Å kreve Java for hele befolkningen er idiotisk med tanke på det lite imponerende sikkerhetsomdømmet.