Teknologi / 5 minutter /
Mobiltelefonen som nøkkel
BankID har alltid vært knyttet til anvendelser på web. Teknologien har blitt brukt til identifisering og autentisering på nettsider og til signering av avtaler. Vi ville demonstrere at BankID kan brukes til helt andre ting.
I forbindelse med BankID-dagen viste vi hvordan BankID på mobil kan brukes til å låse opp en fysisk dør. For å få til dette hadde vi kjøpt inn en smartlås og lagd en nett-tjeneste som bruker BankID på mobil. Dinside har skrevet en artikkel som demonstrerer løsningen. Dette blogginnlegget er en utdyping av eksperimentet vårt.
Hvordan virker det?
Døren som ble åpnet har en smartlås som er knyttet til internett. På døren er det også festet en QR-kode som kan skannes av en mobil.
Når brukeren skanner QR-koden åpnes en webside i mobilen som setter i gang en innlogging med BankID på mobil. Hvis brukeren fullfører innloggingen på mobilen sendes et signal til smartlåsen som åpner døren.
BankID på mobil
BankID på mobil er en tjeneste som i hovedsak involverer en mobiltelefon og BankID sin sentrale infrastruktur. Selve tjenesten er basert på SMS, så den krever i seg selv hverken internett eller en smart-telefon.
For å sette i gang innloggingen må man imidlertid sette opp et “brukersted”. Dette er en webside hvor brukeren skriver inn fødselsdato og telefonnummer. På denne websiden vises også en referansekode. Referansekoden skal være den samme som vises på mobilen når man logger inn.
I eksperimentet brukte vi en QR-kode for å åpne websiden med “brukerstedet”. Referansekoden ble dermed vist frem på mobilen som en webside. For å kunne gjøre dette måtte vi med andre ord ha en mobil med internett og nettleser.
For å kontakte tjenestene hos BankID fikk vi låne en tjeneste hos Signicat.
BankID på mobil har i dag ca. 620 000 brukere i Norge. Dette er et tall som øker raskt. Erfaringer fra alle land som innfører id-løsninger basert på mobiltelefon viser at dette er løsninger som blir veldig populære.
Selv om denne løsningen krever en smartmobil med nett-tilgang er det ikke vanskelig å tenke seg andre løsninger for å trigge en innlogging. En mulighet er for eksempel å la brukeren sende en SMS til et bestemt nummer. Utfordringen er å vise frem referansekoden til brukeren.
Det er kritisk for sikkerheten at referansekoden vises frem og at brukeren faktisk sammenligner denne med det som vises på mobilen. Hvis uvedkommende skulle finne på å forsøke å logge inn på f.eks. nettbanken med ditt mobilnummer samtidig med at du forsøker å åpne dørlåsen vil det være umulig for deg å vite om den innloggingen som dukker opp på telefonen kommer fra de som forsøker å komme inn i nettbanken eller ikke.
Smartlåser
Det finnes allerede et bredt utvalg av smartlåser. Felles for dem er at de monteres på innsiden av døra, og dermed er det fortsatt mulig å bruke vanlig nøkkel i tillegg til elektronisk åpning. Låsleverandørene har valgt ulike tekniske løsninger for å kontrollere låsene - både NFC, Bluetooth, Wifi og Z-wave er i bruk. En utfordring er at de fleste låsene er knyttet til leverandøren sin løsning for åpning, for eksempel en egen App. Noen låser har programmeringsgrensesnitt (API), men de fleste låsleverandørene har begrenset tilgjengeligheten til API-et, slik at kun noen få leverandører som låsleverandøren har inngått avtale med får bruke det. Dette er et marked med mye utvikling, noen av de låsene vi undersøkte var det ikke mulig å få kjøpt ennå.
Vi har sett på følgende modeller:
I eksperimentet vårt endte vi opp med å bruke Danalock som bruker Z-wave-protokollen sammen med en kontroller for samme protokoll. Vi klarte på den måten å gjøre det mulig å låse opp (og igjen) låsen over Internett. Låsen er tilgjengelig for salg i Norge og finnes i modeller som har støtte for Bluetooth, Z-wave eller begge deler.
Bruksområder
Er kombinasjonen av BankID og smartlås kun en gimmick eller noe som kan ha reell verdi? Vi har tenkt litt på ulike bruksområder.
Hytteutleie
Norge har godt over 400 000 fritidsboliger (tall fra SSB). Mange ønsker å leie ut hytta i en periode de ikke trenger den selv. Det hadde vært genialt om noen etablerte en tjeneste for hytteutleie med smartlås. Hvis man ønsker å leie hytta går man inn på en nettjeneste, finner ut når hytta er ledig og tegner avtale med BankID. Den samme tjenesten gir dermed tilgang til å åpne hyttedøra med BankID på mobil.
Hotell uten resepsjon
Det finnes allerede hoteller uten resepsjon hvor man kan bruke en mobiltelefon til å låse opp døra. Dette konseptet kunne kanskje fått økt utbredelse om man benyttet seg av BankID på mobil med den sikkerheten løsningen tilbyr knyttet til å vite hvem det er som har “logget seg inn” i hotellrommet.
Bedre kontroll enn ved nøkkelutlån
Hjemmehjelpstjenester har ofte basert seg på en universalnøkkel som gir tilgang til et nøkkelskap som gjør at man kan låse seg inn i aktuell bolig. Dette har blitt misbrukt, blant annet i Stavanger i 2007. Vi tror at slike lovbrudd kan forebygges gjennom sikring av låsen med BankID. Da har man full kontroll på hvem som har vært inne i boligen og man kan også velge på hvilke tidspunkter utenforstående skal ha tilgang.
Bil- og sykkeldeling
Så må vi se utenfor bruksområdet til dørlåser. Nyere biler er tilkoblet Internett. Man kan se for seg en løsning med ad-hoc utleie av biler hvor man tegner avtale med BankID på mobil og så bruker den samme BankID-en til å låse opp bildøra.
Bysykkel er et flott konsept, men løsningene i Trondheim og Oslo krever at man kjøper et plastkort. Hvis man kunne betalt med mobiltelefonen og brukt samme telefon til å låse opp sykkelen er vi overbevist om at bysykkel ville bli mer brukt.
Vi tror at vi vil se flere løsninger hvor BankID og andre eID-løsninger brukes mot fysiske gjenstander i årene framover. Vi er spente på hvilken løsning som blir den første som tar av.
Takk til Signicat for tilgang til tjenesten.