NemID: Et effektivt middel mod netbankrøvere

Danske netbanker har ikke været udsat for et eneste indbrud i mere end otte måneder. Konsulent fra Finansrådet giver NemID æren.

Det går godt for sikkerheden i de danske netbanker, der ikke har været udsat for indbrudsforsøg siden september 2010.

Juridisk konsulent Henriette Rolskov fortæller til Nyhedsbrevet Finans, at hun mener, man blandt andet kan takke indførelsen af NemID, der havde premiere i sommeren 2010, for det.

»Mange af de hackere, der begår kriminalitet, går efter de lette mål for at opnå en gevinst. Med NemID er Danmark blevet et sværere mål, og derfor søger hackerne andre steder hen,« udtaler hun til Nyhedsbrevet Finans og fortæller videre, at hun er godt tilfreds med NemID’s sikkerhedsløsning.

»NemID er en to-faktorløsning, hvor en del består af det kodeord, du kender, og en andel del af det nøglekort, du har og som ikke ligger på computeren, og det er en vigtig del af sikkerheden. Hvis man passer på sin kode og opbevarer nøglekortet sikkert, så har løsningen en rigtig høj sikkerhed,« udtaler Henriette Rolskov.

Generelt viste 2010 et voldsomt fald i antallet af indbrudsforsøg, der kun nåede op på 12 forsøg og som kostede bankerne et tab på lidt over 400.000 kroner. Til sammenligning blev der i 2009 registreret 111 indbrudsforsøg og 251 i 2008, der samlet for begge år udgjorde et tab på mere end 13 millioner kroner.

Netop på grund af de mange indbrud har branchen også selv haft stor fokus på at sætte ind over for de tyveknægte, der oftest kommer fra østlandene. Derfor har bankerne i samarbejde med Finansrådet for eksempel skabt et forum, hvor man kan følge udviklingen af de nyeste sikkerhedsforanstaltninger.

»Arbejdet med sikkerhed er dynamisk og man skal hele tiden være på forkant, derfor holder vi øje med udviklingen inden for it-kriminalitet, og for det er marked der udvikler sig. Vi sørger for løbende at følge, hvad der foregår på hackerfronten,« udtaler hun.

Tidligere har Finansrådet været mere forsigtige med at udråbe NemID til hovedårsagen for faldet i netbank-indbrud. En anden mulig forklaring er for eksempel, at det var nogle få bander, som forsøgte sig adskillige gange mod danske banker, og som nu har fundet andre jagtmarker.

Læs også: Voldsomt fald i netbankindbrud - men ikke på grund af NemID

Kommentarer (28)

Peter Makholm

Er dette ikke en voldsom gammel historie? Jeg synes tidligere at have undret mig over en jounalists mangel på kritik over at historien ikek hænger statistisk sammen?

NemID har i bedste fald kun haft betydning i de sidste 6 måneder af 2010. Hvis NemID er hovedårsagen til de færre indbrudsforsøg må første halvår være sammenlignligt med 2009.

Men selv hvis alle 12 indbrudsforsøg er foregåret i det første halvår af 2010, så er der tale om et, i absiolutte tal, betragteligt fald som ikke lader sig forklare ud fra den fremsatte teori.

Iøvrigt må man antage at enhver ændring i procedure, som brugerne er klart bekendt med, vil betyde en midlertidig reduktion i egentlige angreb.

Jesper Hedemann

Hvis talende allere er på ved ned fra 2008 til 2010?
12 i 2010
111 i 2009
251 i 2008

Hvordan kan NemID som havde premiere i sommeren 2010 men ikke rigtig blev brugt før vi blev tvunget til og bruge det i 2011 så få ære på nogen som var i tilbage gang. ?

Casper Bang

Det giver vel sig selv, at hvis noget er svært at bruge for alm. brugere, så er det også svært at bruge for tyve! :) Det er vel heller ikke for ingenting at de fleste netbanker lancerer "skygge systemer" der tillader alternativer til papkortet!

Peter Makholm

Hvad svarede Henriette Rolskov da I ringede til hende for at høre hvad der havde ændret sig siden I snakekde med Marianne Mosbek i februars?

Talmaterialet ser ikke ud til at have ændret sig, kun konklussionen.

Peter Makholm

Har du kilder der opgør antallet af indbrud på banker?

Jeg har ikke brugt tid på at lede selv, så jeg har kun http://finansraadet.dk/tal--fakta/statistik-og-tal/netbankindbrud---stat... som der bliver henvist til i februar-artiklen.

Interessant nok sker alle 12 indbrud i tredje kvartal af 2010. Det vil sige at udrulning af NemID har absolut ingen dokumenterbar øget sikkerhed i forhold til perioden umidelbart før introduktionen af NemID.

jesper madsen

At sammenligne Danske/Jyske bank før nemid er jo som at sammenligne pærer og æbler. Jyske brugte et 2 faktor system allerede og Danske en nøgle der lå lokalt på pc'en.

Man kunne jo vende den og sige netop fordi jyske bank ikke har haft nogle forsøg mens danske bank har så underbygger det jo bare at 2 faktor med et nøglekort virker. (om man kan lide det eller ej).

Jess Nielsen

Godt nok har Jyske Bank ikke haft nogle forsøg fordi de bruger 2 faktur med et nøglekort, men det er ikke ensbetydende med at "det er et effektivt middel". Findes der to systemer; et svært som 2 faktor systemet og et nemt (fx med en nøgle på disken) så er det jo indelysende at hackere vælger den nemme fremfor den svære, når nu muligheden er der. Der er jo ingen grund til at gøre det svære for sig selv end højst nødvendigt.

Det at alle nu er over på 2 faktor med nøglekort sætter blot denne autentikationsmekanisme mere i søgelyset blandt hackere og derved øges risikoen naturligvis også for at der findes huller som kan blive brugt til angreb.

Det er derfor min overbevisning at det blot er et spørgsmål om tid før 2 faktor systemet med nøglekort får angreb som før.

Martin Kofoed

Man kunne jo vende den og sige netop fordi jyske bank ikke har haft nogle forsøg mens danske bank har så underbygger det jo bare at 2 faktor med et nøglekort virker. (om man kan lide det eller ej).

My point exactly!

Det er altså ikke NemID som systemkompleks, men derimod det simple faktum, at NemID har adopteret en 2-faktor authentication-model. Og det kan jeg sådan set GODT lide. Men min pointe er, at det skyldes modellen og ikke den tekniske implementation, som overskriften indikerer.

Martin Kofoed

Det er derfor min overbevisning at det blot er et spørgsmål om tid før 2 faktor systemet med nøglekort får angreb som før.

Ja, vi vil sikkert på et tidspunkt se proxyløsninger for at lave man-in-the-middle. Og til den tid vil det blive ekstra grimt med NemID, da det er single-point of attack til samtlige netbanker, samtlige offentlige services og diverse private sites. Gys!

jesper madsen

Selvfølgelig vil der komme forsøg på angreb på nemid. Alle systemer bliver angrebet, og selvfølgelig vil der blive fundet huller. Det sikre system findes ikke.
Men mon ikke at de har en plan for at sikre det mere og dermed sikre det et stykke tid igen. Konspirations teorier er meget sjove, men tvivler personligt stærkt på at bankerne ville stole på et system de betragtede som usikkert, er trods alt dem der betaler regningen ved misbrug.
Hvis man begynder at anklage et system for angreb og huller der ikke er anvendt endnu, så er intet jo sikkert. Måske vi skal tilbage til bankbogen?

Jess Nielsen

Pr. definition er intet system 100% sikkert, da vi her snakker beregningsmæssig sikkerhed. Det er kun et spørgsmål om tid før man finder et hul som kan bruges til et angreb.

Vi må ikke glemme at indfærslen af nemid også er en politisk beslutning, hvorfor nogle ting ofte bliver implementeret fordi det er smart, in og vi skal være en IT-nation. På den bekostning er det ikke utænkeligt at der bliver foretaget beslutninger, der kan kompromitere sikkerheden.

Som tidligere nævnt af Martin Kofoed, så er der nu et single point of failure og dette leder i hvert fald til et klassisk DoS angreb. Hvordan vil nemid håndtere dette... og vil det åbne op for andre huller i de systemer som anvender nemid... Herudover så er det selvfølgelig også meget nemmere at lave andre angreb, når man ved at al autentifikation skal gå igennem netop et sted...

Hans Schou

Før NemID havde Jyske Bank en løsning der virkede med næsten alle de browsere der fandtes. Ingen andre banker var bare i nærheden af JB på det punkt.

JB's løsning brugte kun Java Script og ikke en Java Applet. Et meget simplet setup.

Den Java applet gør det væsentligt langsommere at logge ind, end det gjorde med Java Script.

NemID bruger nu en løsning der giver DanID fuld adgang til alle brugerens filer - hvis de vil.

NemID bruger 6 cifre koder, hvor JB brugte 4 cifre koder. Det gør det mere besværligt at logge ind. Hvis der har været svindel der skyldes at der kun var 4 cifre og noget har brute-force et-eller-andet, så er det fair nok at øge sikkerheden på denne måde. Jeg syntes bare vi mangler dokumentation for at det reelt at sket. Indtil da, så tvivler jeg.

Jacob Ottesen

Lige præcis. Som Jyske Bank kunde har NemId repræsenteret en decideret serviceforringelse. Udover de ting du nævner så skal man heller ikke længere indtaste en engangskode når man udfører en transaktion - det skulle man med det gamle system.

Deres gamle system kunne også bruges på alle computere, hvilket ikke længere er tilfældet pga. Java tingen. Det er især en joke fordi Jyske Bank fremhævede NemId som en løsning der kunne bruges overalt.

Erik Bruus

Nej 100% sikre systemer findes ikke, men det kan jo komme tæt på. Før nemid havde jeg Activcard. Virker på samme måde, dog var papkortet en lille regnemaskinelignende tingest. Den genererede også engangskoder. Jeg læste et sted at der heller ikke havde været netbankindbrud via dette gamle system. Så det var også sikkert. nemid er bare en ny version med papkort. Jeg kan heller ikke lige komme i tanke om hvordan man skulle kunne bryde dette system. mvh, Erik.

Hans Schou

Erik Bruus:

Før nemid havde jeg Activcard. Virker på samme måde

Activecard er bedre end papkort på et enkelt punkt. Selv har jeg kun brugt papkort, og det har været "godt nok".

Man kan ikke tage en kopi af et ActiveCard. Det kan man af papkortet. Hvis nogen tager et foto af dit papkort, har du ikke mistet noget, og du er måske ikke klar over det. Hvis nogen stjæler dit ActiveCard, har du det ikke mere, og du er dermed klar over det.

Det bliver aldrig 100% sikkert, men ActiveCard er en god ting. Papkort det næstbedste. Anders 'anden' Mattesen brokker sig over det, men det er godt for sikkerheden.

Der er to minusser ved NemId:

  • Den trojanske hest bagdør til alle brugerens filer

  • At den er en Java applet og ikke Java Script

Når de to alvorlige problemer er løst, skal jeg have NemID, for så er det godt.

Finn Christensen

Henriette Rolskov = Finansrådet = Bankerne = NemID = partsindlæg.

Henriette er jurist, og jeg vil nødig stå i en retssal (med Henriette) hvor enten forsvar eller anklager samt dommeren er fraværende :)

Klaus Skelbæk Madsen

Jeg kan heller ikke lige komme i tanke om hvordan man skulle kunne bryde dette system

Det er nu ikke så svært. Du får adgang til brugerens maskine. Du logger passwordet (ikke kort-koden) når det bliver indtastet i NemID applet'en. Når brugeren så er logget på sin netbank med koden fra kortet, har du 2 muligheder:

1) Hvis banken ikke kræver kort-koder for at godkende overførsler, så har du jo password'et. Så er det bare at sætte overførsler igang i baggrunden.
2) Hvis banken kræver kort-koder for at godkende overførsler (er der nogen af dem der gør det?), venter du på at brugeren selv skal lave en overførsel. Når brugeren så indtaster den korrekte kort-kode, returnerer du en fejl-meddelelse (f.eks. forkert kode), og bruger selv kort-koden til at godkende din overførsel med.

Michael Intile

Det er ikke uladesiggørligt, i dag den 22. juni, vil Danske Bank have brugere til at installere en applikation med følgende specifikation:

This application will run with unrestricted access to your
personal files and other facilities (webcam, microphone) on
your computer.

Jeg må indrømme at det løber med koldt ned af ryggen.............men det har der måske stået på alle tidligere applikationer, jeg har blot ikke været opmærksom på det?

Søren Dybro

Ikke så svært?
"Når brugeren så indtaster den korrekte kort-kode, returnerer du en fejl-meddelelse (f.eks. forkert kode), og bruger selv kort-koden til at godkende din overførsel med."
Hvordan vil du gøre det i praksis? Det er vel appletten der spørger dig om koden, så du skal vel lave om i appletten for at kunne give fejl-meddelelsen.
Hvis du laver en mock applet skal du også lige vide hvilke nøgle numre der er på kodekortet for at kunne hijacke koden.

Klaus Skelbæk Madsen

Hvordan vil du gøre det i praksis?

Beklager. Mit scenarie 2 var unødigt kompliceret.

Det kan gøres simplere, ved simpelthen at sende en anden overførsel til godkendelse end den brugeren beder om.

I SDC's løsning vil brugeren så godt nok kunne se at destinations-kontoen er blevet ændret i godkendelses applet'en, men det gælder kun hvis man ikke bruger udbakken til overførslerne.

Indrømmet, det er ikke så simpelt som inden NemID, men det er stadigvæk muligt for den dedikerede.

Michael Nielsen

I 1994, arbejdede jeg med at lave et system baseret på digital signaturer.. Vi havde forkastet det 2 faktor system som både ActiveCard, og NemID er baseret på fordi vores sikkerheds analyse viste at disse løsninger er ufatteligt usikre over for .

  1. Standard externt Man-in-the-middle angreb.
  2. Viruser og trojaner, som fortager et aktivt lokalt Man-in-the-middle angreb.

NemID er basalt set en smule bedre end rene password løsninger, er på næsten det samme niveau som secure ID løsninger, men har det problem at andre kunne havde fotokopieret dit pap kort (det kan man ikke med secureID), men Secure ID er blevet hacket, og er 2-faktor sikkerheds system.

NemID har faktisk implementeret næsten alle sikkerheds løsninger, fra password, til digital signatur, men desværre er det ikke en synagi effekt de opnår, men de opnår at designe et system der har alle svaghederne af eksisterende systemer, og har dårligere sikkerhede end mange af de pure standard løsninger, som feks.

  1. Active card
  2. Secure ID
  3. Software Digital signatur.

Den reelt eneste forskel mellem den simpleste og dårligeste system (passwords), er at passworded ændre sig hver gang. Så systemet er marginalt bedre end passwords, men ikke bedre end nogen anden standard løsning.

Og det har vi - skatte borgerne - betalt næsten en milliard kroner for, og bankerne har lagt 1.4 millard..

Hvor vi kunne havde taget et standard off-the-shelf løsning (læs meget billigt), og havde haft et bedre system.

Vitar Enluns

Jeg har aldrig været stor tilhænger af NEMid. Sikkerhedsmæssigt er det rigtig dumt at samme login bruges til mange services. HVIS den brydes er der adgang til næsten ALT. De fleste vælger at bruge NEMID til alt for nemhedens skyld, og har altså tilvalgt en del services, fx. borger.dk etc. På et eller andet tidspunkt bliver den jo nok brudt. En anden mulighed er naturligvis at ET login til alt kan give mulighederne øgede overvågningsmuligheder. Ja, du giver jo NEMID fuld kontrol med din PC...også fx. webcam og mic. Gad vide om politiet også bruger det, eller kan bruge det som en bagdør, udover alle de muligheder de allerede har ifm. terrorlov, osv. Jeg ved godt det lyder paranoidt, men mht. sikkerhed er det OK at være paranoid.

Peter Mogensen

Jeg synes man (og især seriøse IT-medier) bør holde sig en ting for øje:
Det er klart at Finansrådet (og DanID) gerne ser denne historie på opmærksomhed, da det fremstiller NemID som "sikkert" og jo så forhåbentlig kan få nogle politikere til at overhøre kritikken af NemID.

Men som altid bør man jo hver gang man siger "sikkerhed", spørge "for hvem?" og "i forhold til hvilket trusselsscenarie?"
Og det burde jo så være klart at selv hvis man antager at det er "NemID", der har æret for en evt. bedring i netbank-indbrud (hvilket andre har påvist nok nærmere skyldes nøglekortet jf. Jyske Bank), så har det INTET med kritikken af NemID at gøre!

Ingen har benægtet at NemID ville give bankerne større sikkerhed imod netbank-inbrud end deres håbløse gamle løsninger med "nøglefiler" på folks computere (Jyske Bank undtaget).
Men kritikken går jo ikke på bankernes sikkerhed, men på borgerens - og ikke kun på netbank-indbrud, men på borgerens sikkerhed i forhold til basale demokratiske princippet.

Jovist - NemID er nok sikrere for bankerne end deres gamle bras. Men det kan ikke bruges som argument imod kritikken af NemID.

Jess Nielsen

Personligt er jeg fortaler for brug af ActiveCard / SecureID i stedet for de latterlige papkort, som blev sendt ud med posten og det er selvom det vil koste nogle hundrede kroner i depositum. Herved opnåes der også en standard løsning som er betydelig billigere som Michael Nielsen også er inde på.

NemId konceptet giver dårlige associationer i retning af gsm nettet og dets sikkerhedskoncept, som også er fuldt af huller og ikke på noget tidspunkt lever op til dets design mål - men det er en helt anden historie.

Jess Nielsen

The Two Faces of Hacking

Some hackers use software and hardware to express themselves creatively — either solving entirely novel technical challenges or finding new ways to skin the same old cats. Others are motivated by money, power, politics, or pure mischief. They steal identities, deface Web sites, and break into supposedly secure and certainly sensitive databases.

The hacker matrix

http://spectrum.ieee.org/static/hacker-matrix/?utm_source=techalert&utm_...

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

SQL kursus grundlæggende

Hvornår: 2015-10-05 Hvor: Storkøbenhavn Pris: kr. 6800.00

JSP - Servlets og JavaServer Pages (JSP) - Foundation

Hvornår: 2015-11-09 Hvor: Storkøbenhavn Pris: kr. 17700.00

ITIL® Service Transition Lifecycle

Hvornår: 2015-10-26 Hvor: Efter aftale Pris: kr. 5395.00

Den personlige journalist

Hvornår: 2015-10-06 Hvor: Storkøbenhavn Pris: kr. 3900.00

Innovation og forretningsudvikling for ledere og projektledere

Hvornår: 2015-10-22 Hvor: Storkøbenhavn Pris: kr. 11400.00