BankID – vara eller icke vara?

I början av sommaren (2024-05-31) kom ett veckobrev från Computer Sweden där Marcus Jerräng kommenterade en debattartikel i DN skriven av Claes Martinsson (2024-05-13). Ämnet handlade om BankID. I sin debattartikel hävdade Claes Martinsson att användandet av BankID borde begränsas medan Marcus Jerräng hävdade det motsatta; BankID borde användas mer. Mycket intressanta läsningar. Dessutom flera bra tankar och funderingar från båda författarna. Enligt mig har båda rätt – fast på olika sätt. I det här inlägget berättar jag varför.

Först och främst, vad är Bank-ID? Jo, BankID är en elektronisk legitimation (eLegitimation eller eLeg). BankID har sin grund i bankvärlden då man tidigt ville ha ett säkert sätt för kunder att identifiera sig elektroniskt. Man var bland de första i Sverige med detta och av den anledningen har BankID vuxit och blivit en slags standard för att elektroniskt legitimera sig. Idag använder många olika tjänster BankID för just inloggning.

Att just väldigt många tjänster använder BankID för inloggning tycker Claes Martinsson är ett problem då BankID blir en slags huvudnyckel. Att det blir en huvudnyckel blir en säkerhetsrisk dels på grund av att personen som använder nyckeln inte alltid inser hur sårbart detta är och att det i sin tur kan utnyttjas av bedragare. Marcus Jerräng ser det dock ur ett annat perspektiv; en användare idag tvingas hålla reda på många olika lösenord vilket i sig gör dem till den svagaste länken. BankID är då ett enkelt och säkert sätt för användaren.

Jag instämmer i båda. BankID tenderar att bli en säkerhetsrisk då det används allt för ofta trots att det kanske inte alltid behövs, eller då andra metoder passar bättre. Samtidigt är BankID, precis som Marcus Jerräng säger, en enkel tjänst för användaren.

Hur löser vi detta? Först och främst så behöver vi, som Claes Martinsson säger, gå genom de säkerhetskrav vi har för vår information och tjänster. Säkerhetskraven bestämmer vilken nivå av säkerhetslösning vi behöver.

eLegitimation kan användas för flera olika säkerhetskrav såsom autentisering, auktorisering och signering. Vad innebär dessa begrepp? Autentisering är att identifiera en person. Auktorisation är att kontrollera vad personen har rätt att göra. Signering är ett godkännande från personen att utföra den önskade aktionen.

Tänk dig en gammal bank. Du ska ta ut pengar från ett konto. Du fyller då i en blankett som talar om hur mycket pengar du vill ta ut och från vilket konto. Du avslutar med att skriva under blanketten – signering. Du lämnar över blanketten tillsammans med din legitimation till kassören i disken. Kassören kontrollerar din legitimation och att det är du – autentisering. Därefter kontrollerar kassören att du har rätt att ta ut pengar från det angivna kontot – auktorisation.

På samma sätt kan du använda en eLegitimation. eLegitimationen identifierar dig och det ligger till grund för att kontrollera vad du får göra i den tjänst du loggar in mot. eLegitimationen kan sedan användas för att skriva under – det vill säga signera – det du sedan vill utföra.
Men… det är här det kommer flera saker att beakta. Först behöver du använda en legitimation som motsvarar den roll du agerar utifrån. Till exempel kan du samtidigt vara både en anställd i en kommun och en medborgare. Som medborgare kan du agera som exempelvis vårdnadshavare för ett barn i skolan. För detta så skulle du behöva två olika legitimationer som bekräftar din roll som anställd respektive medborgare (privatperson). BankID är utfärdat till dig som privatperson och har ingen egentlig koppling till din roll som till exempel anställd i en kommun. Så att använda ditt BankID när du agerar som medborgare i kommunen är korrekt. Men att använda det när du agerar som tjänsteman är fel: där behöver kommunen använda en annan typ av eLegitimation.

Det finns flera alternativ till eLegitimation. Motsvarigheten till BankID är Freja ID. Många företag och organisationer har sina egna eLegitimationer – inom vården finns till exempel SITHS som kan identifiera både personer och tjänster.

Många eLegitimationer kan kombineras med ett fysiskt kort (till exempel ett ID-kort). På detta kort kan man dessutom lagra en nyckel för att ytterligare stärka säkerheten.

Samtidigt skulle jag vilja se en statlig eLegitimation. Detta är på väg men finns inte ute än. Finns en sådan, skulle den kunna användas för att legitimera dig som privatperson. Men den skulle också kunna användas som pass eller körkort. BankID skulle då kunna begränsas till att enbart användas då du hanterar dina bankaffärer.

Jag håller delvis med DN-debattartikelns författare. Jag tror på att ha olika eLegitimationer för olika syften. Ett när jag är privatperson och ett när jag till exempel utövar en yrkesroll. Men oavsett det så kommer legitimationen som identifierar dig som privatperson stå över alla de andra eftersom det är den som representerar dig som individ och det är den som styrker din identitet då andra legitimationer ska utfärdas.

Ja, jag återkommer alltid till Sagan om Ringen…

”En ring att sämja dem,

en ring att främja dem,

en ring att djupt i mörkrets

vida riken tämja dem”