Lösningen på Bank-ID:s driftstörningar

Under gårdagskvällen låg Bank-ID:s tjänster återigen nere. Dessa återkommande driftstörningar visar att vi i Sverige har målat in oss i ett hörn genom att förlita oss på Bank-ID i så stor utsträckning. Tjänsten som en gång bara användes för bankärenden används idag överallt i samhället. Bara under gårdagskvällen behövde undertecknad använda tjänsten för att logga in i vårt bokföringssystem och för att ta del av ett erbjudande på en streamingtjänst. Om driftstörningen hade inträffat en dag tidigare hade konsekvenserna blivit betydligt större. Fjärde maj var sista dagen att lämna in skattedeklarationen och trycket på att bli klar i sista stund lär ha varit stort.

Bank-ID är en fantastisk lösning ur ett säkerhetsperspektiv. Via den kan vi både legitimera oss (identifiera) och logga in (autentisera) på allehanda tjänster. Problemet med Bank-ID är den centraliserade modellen som ligger till grund. Om Bank-ID har en driftstörning påverkas alla tjänster som förlitar sig på Bank-ID:s servrar, oavsett om tjänsten bara använder Bank-ID för inloggning eller för fullständig legitimering.

Just problemet med centralisering lyfte vi upp som Bank-ID:s största nackdel i avsnitt 52 av Bli säker-podden. På sikt kan problemet lösas genom att vi får en digital motsvarighet till vårt nationella ID-kort som flera olika inloggnings- och legitimeringssystem kan kroka in i. I väntan på det kan vi vidta två åtgärder för att begränsa konsekvenserna av driftstörningar hos Bank-ID.

Konkurrens säkrar driften

Ett av sätten att lösa problemet är att välkomna Bank-ID:s konkurrenter. Närmast tillhands ligger Freja E-ID som utvecklas av svenska Verisec. Freja E-ID kan, precis som Bank-ID, både användas för legitimering och inloggning. Om fler svenskar skaffar Freja E-ID och fler tjänster även börjar erbjuda legitimering/inloggning via den lösningen får vi driftsäkrare system. Genom att ha två oberoende lösningar kan vi använda den ena lösningen när den andra har en driftstörning.

Pensionsmyndighetens webbplats
Pensionsmyndigheten stödjer flera inloggningsmetoder, däribland Bank-ID och Freja E-ID.

Tyvärr dras Freja E-ID med den klassiska ”hönan och ägget-problematiken”. I väntan på att fler svenskar skaffar Freja E-ID kommer få tjänster fokusera på att lägga till stöd för tekniken. Som ett första steg på vägen rekommenderar vi därför dig som läsare att besöka Freja E-ID:s webbplats och se ifall lösningen verkar vara något för dig. Freja E-ID är kostnadsfritt att använda för privatpersoner.

Aktivera (kanske) alternativa inloggningsmetoder

Många tjänster som erbjuder inloggning med Bank-ID erbjuder också alternativa inloggningsmetoder. Till vårt bokföringssystem kan vi exempelvis även logga in med lösenord i kombination med tvåstegsverifiering via SMS. Den inloggningsmetoden fungerar oberoende av huruvida Bank-ID är i drift.

Problemet med att aktivera alternativa inloggningsmetoder är att de riskerar sänka säkerheten. Som ovannämnt är Bank-ID en mycket säker inloggningsmetod, och om den alternativa metoden är mindre säker ökar intrångsrisken. Det vore exempelvis högst olämpligt att tillåta inloggning till bokföringssystemet med enbart lösenord. I andra situationer kan ett ensamt lösenord vara fullt tillräckligt. Streamingtjänsten i fråga hade utan problem kunnat skyddas med ett ensamt lösenord.

För att säkra åtkomsten till dina tjänster via alternativa inloggningsmetoder måste du för varje tjänst överväga riskerna. Fundera över om de erbjudna alternativa inloggningsmetoderna är tillräckligt säkra. Väg intrångsrisken mot konsekvenserna av att inte kunna logga in när Bank-ID ligger nere.