Hvor trygg er Bank Id?

[Krig og fred]

Usikker på hvor jeg skulle poste dette, men bare flytt det hvis det er feil. 

Jeg logget meg på Furst sine sider med Bank Id for å sjekke et prøvesvar, og når jeg er ferdig lukker jeg nettleseren. Jeg bruker Brave som automatisk sletter logg når nettleser lukkes.

Etter 40-60 sekunder fant jeg ut at jeg skulle sjekke NAV.no, og når jeg går på nettsiden ser at jeg er logget inn. Jeg logger meg helt ut av alt, også logger jeg meg inn på nytt, og forsøker både med nav.no og skattetaten.no. Hvis man logger seg på Furst med bank id, kan man gå inn på statlige sider og du vil være innlogget. Jeg tar det for gitt at dette gjelde alle sider som bruker ID porten og ikke bare Furst. 

Jeg trodde at når man logger seg inn med Bank ID, så logger man seg inn på en *session*, og ikke "hele" nettleseren? Altså at hver forespørsel om innlogging er unik, og at du derfor ikke kan logge deg på flere sider med samme session/økt?

Dette virker som om noe man kan utnytte på noen måte? 

 

 

[nebrewfoz]

Kan se ut som om noe lignende har skjedd før: https://community.brave.com/t/brave-browser-not-removing-session-cookies-on-exit/467630

[Krig og fred]

Aha, så det er Brave som er synderen. Takk for info. 

[nebrewfoz]

3 minutes ago, Krig og fred said:

Aha, så det er Brave som er synderen. Takk for info. 

Vel, den saken jeg linket til er fra i fjor. Jeg ville ha trodd at de hadde fikset det nå, men kanskje feilen har blitt gjeninnført ved en (annen) feil?

[Herr Brun]

Pålogging med ID-porten er på tvers av alle sider som bruker ID-porten, og en session varer en stund (30 minutter inaktiv, 120 minutter ved aktivitet, ifølge denne linken https://docs.digdir.no/docs/idporten/oidc/oidc_guide_idporten).

Dette ligger ikke hos bankID (som er en éngangs-identifikasjon - hva som skjer etter at du har identifisert deg er så opp til den du har gitt identifikasjonen til), men hos ID-porten. 

Endret 2. desember av Herr Brun