BankID er idioti satt i system

Bruk vanlig HTTPS i stedet for Java. Hvorfor?

BankID (og alle norske banker) bruker en teknikk som heter to-faktor autentisering for sikker identifisering. Det er brukernavn + passord + en nøkkel (kodekort / brikke).

Hvorfor BankID har implementert dette med Java er ikke idiotisk i seg selv, men et paradoks. Slik jeg forstår det så bruker, BankID Java-appleten til sikker kommunikasjon med banken. Og de bruker Java i tilfelle browseren er kompromittert for “sikkerhets skyld”.

Men er browseren infisert, så kan det godt hende malware har kontroll på hva browseren kjører av applets, inkludert Java. Og da er man like langt. Når Java-appleten er ferdig med autentiseringen, så sendes brukeren til nettbanken med vanlig HTTPS / nettside. Og er browseren infisert, er man like langt.

Å kreve Java for hele befolkningen er idiotisk med tanke på det lite imponerende sikkerhetsomdømmet.

One thought on “BankID er idioti satt i system”

  1. Appreciating the time and energy you put into your website and detailed information you offer.

    It’s awesome to come across a blog every once in a while that isn’t
    the same out of date rehashed information. Fantastic
    read! I’ve bookmarked your site and I’m adding your RSS feeds to my Google account.

Leave a Reply

Your email address will not be published. Required fields are marked *