Adgang til Saxo Bank online kræver kun simpelt login: »Det er chokerende«

At de først retter det når en kunde gør opmærksom på det er desværre for sent. Det er så elementært at det illustrerer at organisationen måske ikke har ret meget fokus på sikkerhed helt generelt, så hvis jeg var kunde ville jeg nok tænke over hvor mange andre huller de har i deres systemer.

Tværtimod er jeg rystet over, hvor mange der kræver Nemid login til at handle på handelspaltformen. Det er alt for langsomt og dårligt - det gjorde Saxo også en tid?

og Alm Brand bnak som overtog det for alm mennesker

Det vil altså sige at hvis man får fat i id-nummer og kode for en Saxo Bank-kunde - fx ved et klassisk phishing-angreb - kan man sælge alle vedkommendes aktier og så tømme kontoen.

Er det korrekt?

Hos Lån & Spar kan man komme ind og se kontooversigt og -uddrag m.m. blot ved at anvende brugernavn og adgangskode i NemID-boksen, men man skal have nøglekortet frem hvis man vil foretage en overførsel.

Kan man rent faktisk foretage overførsler i Saxo Bank ved udelukkende at logge ind med brugernavn og adgangskode, eller kan man kun se kontooversigter, lissom hos Lån & Spar?

Kan man rent faktisk foretage overførsler i Saxo Bank ved udelukkende at logge ind med brugernavn og adgangskode, eller kan man kun se kontooversigter, lissom hos Lån & Spar?

Når det er skrevet så specifikt, kan det næsten ikke være en misforståelse:

Han har samtidig testet, om det også var muligt at overføre penge - ikke bare til egne konti, men til en vilkårlig konto efter det simple login. Og det var det:

Hvis bare kunderne gad holde deres mund, og gøre, som vi siger, så ville det altså være noget lettere, at drive sin forretning. Som om det ikke er bøvlet nok, at de kommer rendende midt i arbejdstiden, og forstyrrer de ansatte, med alle mulige spørgsmål, nu vil de gud hjælpe mig, også have os til, at bekymre os, om DERES sikkerhed, og så på internettet endda.
Det er ikke nemt, at drive en bank, i dag.

Når det er skrevet så specifikt, kan det næsten ikke være en misforståelse:

Og:

»I det konkrete tilfælde har en kunde i Danmark dog gjort os opmærksomme på en mulighed, der kan udnyttes ved, at man fejlagtigt bruger eget navn i en tredjepartsoverførsel til en bankkonto, man ikke er de reelle ejer af,« tilføjer Saxo Bank.

Det ser ud til at man ikke kan overfører til en 3 mands konto.
Eller det har været mening, men på grund af en fejl i systemet, så har det været forholdvis simple at forbi gå dette.

Regler om blokering og brug af Nemid, har nok ligget efter den regle som betød at overføresel mellem egen konti er ok, uden kontrol.

Denne fejl, hvor systemt har tilad overføresle til 3 mandskonto, hvis man angav sit eget navn, har været simple. Så simple at der ikke blev testet for det, eller andre har prøvet det før nu, eller nogle har misbrugt det.
Fejlen findes måske også i andre netbanker.

Jeg synes at Saxo Bank har handlet fint, over for anmelder og har behandlet ham ordenligt, ingen politi anmeldel osv.
De skylder ham bestemt mere end 2 kasser vin, en helt kasse med meget god vin, vil helt sikkert være på sin plads.

Men sikkerheden, eller den manglene kontrol og test af et meget vigtigt produkt som netbank. Det skal Saxo Bank, da helt sikkert have på punklen for.

Men tror desvære ikke, at dette er eneste sikkerheds fejl, ved især nok de mindre banker. De ønsker jo ikke at skræmme kunder væk ved at gøre noget besværligt, eller at bruge for mange penge på sikkerhed.

Som at 4 ciffer i pind koder, var alt for lidt, og dårlig sikkerhed, endtil at man skulle lave et nemt mobilprodukt. Hvorefter at bankerne, næste puttet et krav om kun 4 ciffer ned i halsen på kunderne.

Lidt pudsigt:
Jeg fik en indbetaling retur, fordi jeg forsøgte at overføre penge til min kones Saxo Bank konto. Indbetaling accepteres kun, hvis den kommer fra ejeren selv.

Man kan både foretage handler og lave overførsler ved brug af username/psw. For overførslerne gælder dog, at de kun kan laves til en konto i andet pengeinstitut, der indehaves af den samme person / en person med samme navn.

... skal man nok vaere mere bekymret for hvad bankens medarbejdere laver paa ens konti, end for hackere: https://www.fyens.dk/erhverv/Landsret-aendrer-afgoerelse-og-doemmer-Saxo... . I dette tilfaelde haevede banken uretmaessigt (iflg. Landsrettens dom) 3 mio kr hos en kunde, for at daekke bankens egne spekulationsstab. Mange andre kunder var ude for det samme den nat, men de faerreste havde raad til at foere en langvarig sag mod Saxo Bank.

men de faerreste havde raad til at foere en langvarig sag mod Saxo Bank.

... mere sandsynligt: Ønskede ikke at de økonomiske detaljer om deres engagement i Saxo Bank kom frem i en retssal ?

Det er jo ikke ligefrem kontanthjælpsmodtagere der er det primære kundesegment for Saxo...

... at Saxo blev opmærksom på behovet for 2 faktor autentifikation.

For EU's PSD2 (Second Payment Services Directive) gør "Strong Customer Authentication" (SCA) som involverer to eller flere faktorer til et krav fra 14. september.

Nu er sikkerhedsmangler hos banker desværre generelt nærmere normen end undtagelsen, så derfor har Den Europæiske Banktilsynsmyndighed (EBA) for nylig måttet udgive en "opinion", med svar på mange af de spørgsmål/problemer der har været luftet omkring SCA. Den vil formentlig være nyttig læsning for Saxo Bank.

Det er noget sludder. Hvis man bliver snydt af en bank med dansk banklicens, har man som dansk bankkunde naturligvis krav paa retsstatens beskyttelse. Ganske alm. mennesker handler med valuta hos brokere som Saxo, jeg vil tro at man kan komme i gang med den slags med et indskud paa under 10.000 kr. Men fordi der er tale om gearede investeringer, kan man komme til at tabe langt mere end det man har skudt ind. Problemet ved at laegge sag an mod en bank som Saxo er at de har rigtig mange penge til at forsvare sig med, og at det er svaert at finde en kompetent advokat i DK som kan/vil tage sagen, fordi Saxo allerede er kunde hos de fleste af de store advokatfirmaer. Dine og andres letkoebte fordomme om onde spekulanter som har fortjent at blive snydt, er maaske forklaringen paa at sagen kun har vaeret meget lidt omtalt i pressen, som ellers ynder at berette om bankens stifter og dennes politiske holdninger og bedrifter.

Sikkerheden hos Saxo er også bedre end hos Nordnet. Nogle gange næsten hysterisk.

De har en solid kontrol og complaince, som man ikke finder andre steder.

Mange tænker kun it og arbejdspladser desværre, men hos Saxo får jeg underretninger. Det gjorde jeg ikke andre steder. Meget bedre styr på sikkerheden hos Saxo Bank end noget andet sted, jeg har haft konti.

Undskyld Jakob, men givet indholdet af den artikel du lige har læst så er det du siger jo faktuelt forkert. Såfremt der ingen sikkerhed er omkring overførsler, så er der jo tydeligt ikke styr på det.

Danske Banks mobilbank app er ikke meget bedre.
På papiret er der en 2 faktor authentication:
1- appen er låst til min smartphone
2- en simpel 4 tals kode

I realiteten er det dog ikke specielt sikkert hvis min smartphone bliver tabt eller sjålet

Så er 4-tals koden i princippet alt hvad det forhindre nogen i at tømme min konto.

Jeg kan jo lægge en skærmlås på. Men
der er ikke noget krav. Desuden har jeg af bekvemligheds hensyn åbnet telefonen i 5 min efter jeg har tastet skærmkoden ind.

Jeg har af samme årsag udskiftet min 4 cifret kode med metric scanner på min mobil.

Ved at benytte metric scanning, har du elemineret den 4 cifrede kode, og dermed sikker

Men du kan jo netop ikke flytte penge fra dit eget engagement uden nemID i Danske Banks mobilapp. Derudover står det dig frit for at slå funktionen hvor den husker dit login fra. Jeg synes ikke rigtig det er sammenligneligt.

Disclaimer: Jeg er ansat i Danske Bank, men arbejder ikke med Mobil appen.

Det er noget sludder. Hvis man bliver snydt af en bank med dansk banklicens, har man som dansk bankkunde naturligvis krav paa retsstatens beskyttelse.

Selvfølgelig har man det, men det er der sjovt nok mange rige mennesker der fravælger, fordi retsstaten måske kunne finde på at spørge hvor de konkrete midler kommer fra, hvem de tilhører, hvorledes og hvor de er beskattet osv.

Du ved, den slags man ikke taler om i skattesnyderghettoen nord for København :-)

I den nye mobil app kræves der ikke nemID for at flytte penge til 3. mands konto

Den 4 ciffrede kode der skal bruges til den nye Danske Banks mobil app er ‘ mobil kode’. Den er på 4 cifre. findes ved at gå ind på web bank og kan ikke ændre. ( kan fornyes via webbank men er stadig 4 cifre)

Du har selv valgt at logge ind via en service kode på 4 cifre. Slå det fra, og appen kræver nemid login. Det gør den i hvert fald på den her tablet.

Artiklen glemmer at nævne hvor nemt det er at tilmelde sig 2FA hos Saxo Bank:
https://www.help.saxo/hc/en-us/articles/360001265203

Derudover savner jeg den gamle Danske Bank app med hjulet. Den nye er rodet og uoverskuelig.

Men også at man er meget glad for at være blevet gjort opmærksom på den potentielle svaghed i login-proceduren:

Kan det nu også passe?
Bruger de overhovedet selv deres App, og har de bare en lille smule forstand på sikkerhed.

Det lyder som damage control.
I virkeligheden burde de være enormt flove over at de ikke selv havde set den.

Det lyder sikkert provokerende, men autentikering af bankens brugere er dømt til at mislykkes. I stedet skal man autentikere transaktionerne.

Bruce Schneier har skrevet om det helt tilbage i 2006, hvor netbankangreb var et relativt nyt fænomen. Man skulle tro at indlægget ville blive forældet på 13 år, men vi er øjensynligt ikke blevet klogere.

https://www.schneier.com/blog/archives/2006/11/fighting_fraudu.html