Svensk e-legitimation; alla ägg i samma korg?

Ställvik, Emil, Bentell, Morgan

January 2016

A case study has been conducted on an electronic identification service called “Svensk e-legitimation”. The service has been developed on behalf of the Swedish government and is provided by a board created in 2011, E-legitimationsnämnden. The service, whose purpose is to assist with identification at Swedish authorities, also increases the competitiveness between the issuers of e-ID. By reviewing the documents published on websites regarding the service a risk area has been identified. To demonstrate the importance of addressing the risks four attack scenarios were created, scenarios which potential attackers might use. Finally, a solution which aims to secure the identified risks is presented. / En fallstudie har utförts på den elektroniska legitimeringstjänsten Svensk e-legitimation vilken tillhandahålls av E-legitimationsnämnden på uppdrag av Sveriges riksdag. Tjänsten, vars syfte är att bistå med legitimeringsmöjligheter för svenska myndigheter, ökar dessutom konkurrenskraften mellan utfärdare av e-legitimation. Genom att granska dokument publicerade på hemsidor för tjänsten har en hotbild identifierats. För att demonstrera vikten av att åtgärda riskerna inom hotbilden framställdes fyra angreppsscenarion vilka potentiella angripare skulle kunna använda. Slutligen presenterades en lösning vilken ämnar säkerställa de risker som identifierats.

electronic identification

e-ID

Svensk e-legitimation

E-legitimationsnämnden

namecoin

blockchain

SAML

security

risk

elektronisk legitimation

e-legitimation

e-ID

Svensk e-legitimation

E-legitimationsnämnden

namecoin

blockchain

SAML

säkerhet

risk

Mobilt BankID, En studie om säkerhetsriskerna och den äldre generationens bruk av e-legitimation

Rönngård, Sanna, Firulovic, Daniel

January 2020

I Sverige är mobilapplikationen Mobilt BankID, med sina 7,8 miljoner användare år 2020 ett av de mest använda sätten att bekräfta sin identitet på internet eller för att ge autentisering med digital signatur. Applikationen är utvecklad av Finansiell ID-Teknik AB, ett företag som ägs av bankerna och accepteras som giltig identitetshandling av ett brett utbud av e-tjänster som tillhandahålls av myndigheter, sjukvård, banker och olika företag.Som svenska medier rapporterat har det förekommit en stor mängd bedrägerier relaterade till användningen av Mobilt BankID, främst riktad mot äldre. Syftet med denna studie är både att undersöka identifierade säkerhetsrisker gällande applikationen genom en litteraturstudie av tidigare vetenskaplig forskning, populärvetenskapliga artiklar och tidningsartiklar, samt genom att kombinera semistrukturerade intervjuer och en enkätundersökning riktad till användare i åldersintervallet 60-80 år, undersöka om respondenterna är medvetna om befintliga säkerhetsrisker eller har blivit utsatta för bedrägerier. Slutligen fastställer vi om respondenterna känner att de positiva aspekterna av att använda Mobilt BankID överväger de möjliga säkerhetsriskerna.Resultaten visar att det inte finns någon tidigare vetenskaplig forskning som identifierar säkerhetsrisker gällande den svenska versionen av Mobilt BankID. En liten majoritet av respondenterna är medvetna om att vissa risker finns men endast ett fåtal har utsatts för bedrägerier eller upplevt några säkerhetsrelaterade problem. De flesta respondenterna tycks ha en positiv inställning till applikationen och anser den vara trygg och lätt att använda. / In Sweden, the mobile application Mobilt BankID, with its 7,8 million users as of 2020 is among the most frequently used ways to confirm one's identity over the internet or to provide authorisation by digital signatures. The application is developed by Finansiell ID-Teknik AB, a company owned by the banks and is accepted as valid proof of identity by a wide range of e-services provided by the government, healthcare, banks and various companies.As reported by Swedish media there has been a high volume of frauds related to the use of Mobilt BankID primarily targeting the elderly. The purpose of this study is to investigate identified security risks related to the application through a literature study of previous scientific research, popular science articles and newspaper articles, as well as by combining semi-structured interviews and a survey aimed at users in the 60-80 age range, investigating whether respondents are aware existing security risks or have been exposed to fraud. Finally, we are determining whether the respondents feel that the positive aspects of using Mobilt BankID exceed possible security risks.The results we obtain show that there is no previous scientific research investigating security threats posed to the Swedish version of Mobilt BankID. A weak majority of our respondents are aware that certain security threats exist but almost none have been exposed to attacks or experienced any security-related problems. Most of the respondents seem to have a positive attitude towards the application finding it trustworthy and easy to use.

Mobilt BankID

e-legitimation

PKI

äldre användare

BankID

Elektronisk legitimation

Electronic Identification

Elderly usability

Online identification

senior users

Digital immigrants

Engineering and Technology

Teknik och teknologier