App på vej som erstatning for papkort til netbanken

Finans Danmark mener, den kommende app er lige så sikker som papkortet.

Bankernes brancheorganisation Finans Danmark er på vej med en app til mobilen, der skal kunne erstatte nøglekortet i forbindelse med autentifikation i netbanken. Det oplyser blandt andet DR Nyheder på baggrund af et Ritzau-telegram.

»Vi fornemmer, at der er en meget stor efterspørgsel efter at få en nem, digital løsning,« siger Ulrik Nødgaard, administrerende direktør i Finans Danmark, ifølge Ritzau og fortsætter:

»Selv om danskerne har taget det lille papkort til sig, så må vi også erkende, at med den rivende udvikling, der er på det digitale område, så er tiden nok kommet til også at have en digital løsning på NemID.«

Lige så sikker som pap

Ulrik Nødgaard forsikrer, at den nye app vil være lige så sikker at bruge som nøglekortet af pap. Det synspunkt vil det muligvis ikke være alle i it-sikkerhedsbranchen, der deler.

Den kommende app skal ifølge Ritzau fungere som supplement til NemID-nøglekortet og nøgleviser.

Nyhedsbureauet oplyser desuden, at app'en, når den kommer, ikke vil kunne bruges til autentifikation på eksempelvis borger.dk, da offentlige myndigheder indtil videre ikke er en del af bankernes app-udvikling.

Men det ændrer sig nok. Som Version2 tidligere har fortalt, så indgår netop Finans Danmark i et offentligt-privat-partnerskab med Digitaliseringsstyrelsen i forhold til ejerskabet af NemID-afløseren MitID, som måske er klar i 2019, måske senere.

I forhold til MitID har Digitaliseringsstyrelsen tidligere meldt ud, at den mobile platform vil få en væsentlig betydning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (25)

Simon Mikkelsen

Det synspunkt vil det muligvis ikke være alle i it-sikkerhedsbranchen, der deler.

Nej, for det kan den jo ikke være. En mobiltelefon kan udefrakommende i princippet få fat på i store dele af Verden, men et papkort skal man være fysisk tilstede for at benytte. Får nogen adgang til at fjernstyre telefonen, eller læse nok af dens indhold til selv at køre appen, har man lagt alle æg i samme kurv.

Der er ingen tvivl om at appen er bedre end kodeord alene. Men hvis den kan autorisere at nogen overføre hele indholdet af min bankkonto, med samme gyldighed som hvis jeg bruger papkort, tør jeg ikke bruge den.

Jarnis Bertelsen

Til netbank kan man godt argumentere for at en app på telefonen stadig er en separat faktor i en to-faktor authentikation, specielt hvis man forestiller sig et utopisk scenare, hvor telefonen aldrig er tilsluttet den benyttede pc.

Hvis det gælder mobilbank, kan mobilen vel aldrig være begge faktorer i 2 faktor authentikation. Hvis en ondsindet person får kontrol over mobilen, vil han have adgang til både brugernavn/password samt den anden faktor, som burde være uafhængig.

Jon Hoffmann

Jeg ville ønske, at bankerne kunne anvende Mobile-Connect til at identificere den enkelte bruger. Mobile-Connect er en meget sikker identifikation, hvor de vigtigste oplysninger opbevares stærkt krypteret på telefonens SIM kort. SIM kort er generelt accepteret som sikret mod uautoriseret adgang. Mobile-Connect er en fælles GSMA standard, der let kan anvendes af alle mobil operatører.

Michael Harly

Ex. 1
Google har i flere år brugt den løsning som Finans Danmark er blevet varme på, så mon ikke sikkerheden er i orden hvis den vel og mærket bliver ordenlig programmeret?

Ex. 2:
Sverige's mobil bank id er bundtet op på dit person nr. og en app på din mobile via. dit tlf. nr.

Du taster dit personer nr på hjemmesiden, du åbner app på din mobile hvor du indtaster din password så er du logget ind

Bruges også til at validere bankoverførelser og indberetninger til det offentlige.

Jeg fatter ikke hvorfor man i den lille danske andedam vil genopfinde den dybe tallerken gang på gang, løft hoved og se at landene rund omkring os er flere år foran.

Kristian Rastrup

Var problemet med den digitale signatur ikke at den kun blev brugt mod det offentlige og derfor ingen vidste hvordan den virkede?
Var det ikke hele årsagen til at lave en fælles login mellem bankerne og det offentlige så at folk kunne finde ud af at bruge den når de skulle søge om f. eks. børnehaveplads?

Bliver vi ikke slået hjem i ludo lige her?

Mark Klitgaard

Jeg fatter ikke hvorfor man i den lille danske andedam vil genopfinde den dybe tallerken gang på gang, løft hoved og se at landene rund omkring os er flere år foran.

Nu ved jeg selvfølgelig ikke med dig, men jeg kræver et højere sikkerhedsniveau omkring mine personfølsomme data såsom adgang til min bank og borger.dk end til at authentication til Google tjenester. Det værste der kan ske igennem Google er at min mail måske bliver misbrugt eller jeg skal have fat i banken fordi mit kreditkort er blevet misbrugt i Google Play store.

Derimod ting som kontonumre, CPR nr (som jo desværre bliver kastet rundt alligevel) foretrækker jeg at holde tæt på kroppen da disse kan misbruges i et helt andet omfang.

Jeg vil hellere have en sikker løsning i form af papkortet end en risikabel men moderne løsning.

Bente Hansen

Hvis du både foretager ordregivning, transaktion og betalingen fra din telefon. Så forsvinder 2 factor sikkerheds, da SMS og mail jo kan gribes inden du ser dem.

Så kortet er på en måde, god nok som sikkerhed, som noget analog i en digital verden. Selvom certifikatet burde ligge ved en selv, som en mulighed. Og der burde være flere udbyder, af login løsninger for konkurrencens skyld.

Så vil sikkerhed, og brugervenlighed jo være noget man selv kunne til og fravælge.
Det virker også dobbeltmoralsk og meget uetisk, at alle de løsninger som før var usikker. Som app. på mobil, kun 4 ciffer i sikkerhedskode. Alt sammen, nu de selv har lignende løsninger, er med sikkerheden i orden.

Det virker, som med meget andet fra nets, som meget uvederhæftigt og klamt forretningsmodeller. Med FUD over alt det man ikke selv er istand til.
Sådan nedrakning af andre firmaer, er i firma med etik og moral i orden, nedfældet som ikke i orden i deres forretningsstrategi. Men nok typisk når man kommer fra finans verdens grådighed og etik, samt løbende fra ord og ansvar. Se f.eks. IBM, Google for bedre moral codex.

Peter Helms

Hej Allesammen
Har arbejdet med administrativt EDB i 40 år og er nu IT-Hjælper i Ældresagen og ligesom elektronik er min hobby og sikkerhed har altid været i fokus!

Opbevar aldrig din pinkode sammen med kortet, eller nøglekort/nummerviser sammen med din PC, Tablet, Smartphone! Lås det ned i skuffen ;-).

Hvorfor så mobilbank og kode app på samme enhed, selv om du har f.eks. Norton antivirus e.l.?

Peters kæphest! Fjern CPR og CPR validering fra nettet!

Michael Christensen

Der er fundet sårbarheder i den protokol, der binder mobil nettene sammen. Den hedder SS7 - signaling system 7. Hackere har udnyttet svagheden til at angribe 2FA med, og det har ramt blandt andet tyske bankkunder.

https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/

http://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilf...

Det er et scenarie, der bør afklares, om det kan påvirke appen, selvom jeg håber, at alt er krypteret.

Kjeld Flarup Christensen

Man kan egentligt godt sige at der er trefaktor validering på min bank, når jeg skal betale pengebeløb.
Jeg skal indtaste password
Jeg skal bruge papkortet
Jeg skal svare på en SMS kode.

Skal jeg være grov, så slås alle tre ting sammen til en (man kan jo opsnappe password med en keylogger)

Mark Klitgaard

Har du tænk på at mange bruger gmail eller anden mail til at reset deres gemte password, så jeg er ret sikker på at de gøre alt for at beskytte deres systemmer (lige bortset fra Yahoo) indtil nu.

Hvor mange danske internet udnyder tilbyder brug af 2 faktor auth å deres mail?

Ja, men som jeg forsøgte at fremhæve er det forskellige cases. Det er ikke svært at argumentere for at det ville højne sikkerheden for password recovery til gmail, og for den sags skyld også til login, at indføre papkortet. el. lign.

Når det så er sagt så er det ikke sikkerheden implementeret af Google jeg mener er ringere, men derimod sikkerheden som bruger. Chancen for at bryde Google's sikkerhed og dermed få adgang til min konto regner jeg for værende lille. Derimod er chancen for at min device bliver inficeret med diverse virus, f.eks. en keylogger der aflurer mine passwords højere.

I det tilfælde er det ikke nok til at bryde mit NemID pga. papkortet, hvor det vil være nok at til at bryde mit Google login. Selv hvis det kræver en kode fra min tlf, så kan denne også inficeres og dermed når vi stadigvæk tilbage til at det faktum at vi har 2 faktor auth der er 100% opdelt er sikrere.

Kjeld Flarup Christensen
kenneth krabat

Om tilbud: Jo, jeg kan godt læse

"Den kommende app skal ifølge Ritzau fungere som supplement til NemID-nøglekortet og nøgleviser."

Som supplement. Og hvor længe? Indtil de nuværende 60-årige er væk? De 70-årige? De 80-årige?

Hvis man nu ikke er interesseret i en smartphone - eller at bruge beløbet på at købe en - og blive tvunget til at udskifte den, hver gang det passede producenterne af telefon og/eller OS?!

Per Hansen

Så må du jo skifte til en bank, der bruger et andet system.


Du mener en bank, som ikke er med i bankernes brancheorganisation Finans Danmark?

"Bank- og realkreditsektoren går sammen i Finans Danmark

Bank - og realkreditsektoren samler kræfterne og etablerer én fælles brancheorganisation for hele sektoren. Den nye brancheorganisation får navnet Finans Danmark."
(Kilde: http://www.finansraadet.dk/Presse/Pages/pressemeddelelser/2016/Bank--og-...)

Lyder umiddelbart ikke så nemt at undgå.

Mogens Bluhme

Google har udfaset sms og app til fordel for FIDO's U2F til egne medarbejdere og en option til kunder :

https://www.yubico.com/2016/02/use-of-fido-u2f-security-keys-focus-of-2-...

For de tekniske kan man klikke på det første link (der er også andre producenter end Yubico for at det ikke skal lyde som en ads).

Jeg har megen kritik til overs forNemID men papkortet er IKKE ét af punkterne - faktisk er det genialt i al sin enkelhed (hellere sikkert end smart som det er også er nævnt ovenfor.

Disse keys har det til fælles med papkortet at der ikke er (direkte) internetadgang. Det taler gennem den klient, som der skal connectes fra - med fuld PKI-infrastruktur. Desværre har Apple lukket deres NFC for tredjepart på nyere devices - motivgætteri : de ønsker at dominere/lock-inde deres kunder med fremtidige NFC-baserede betalingsløsninger.

Men så er der USB tilbage eller Bluetooth - sidstnævnte har den lille ulempe, at der på grund af længere rækkevidde kan være andre i nærheden, som kan connecte.

Det behøver ikke at være den eneste 2fa men til de mest kritiske ting kunne man overveje det.

John Jensen

Først som andre er inde på så er en App samlet set mere usikker end papkortet. "En kort verion af mit indlæg i bunden:-)"
Når det drejer sig om IT så er den første regel man skal huske på inden for udvikling...
Kan det bygges kan det også brydes, så kort kan det skrives/siges.
Og som en anden også var inde på, vedkommende der vil have fat i ens kort eller app har lettere ved at få fat i appen(koder osv.) end i kortet hvor man trods alt skal være i nærheden af ofret.

Men alt det er ikke min største anke imod en app, NEJ det er derimod det som min overskrift antyder lidt.
Jeg har to velfungerende smartphones, den ene udvikles der stort set ikke meget til mere, min trofaste HTC Desire, og min primære #1 deluxe pladsen, sådan, en "no nononsense" mobil der bare virker og har gjort det siden starten til trods for mine mange utilsigtede angreb på den.

Så er der den ca 3 år gamle Samsung, der sradig udvikles til, og som stadig bliver opdateret osv.

MEN MEN MEN, det er en Samsung og dermed med de indbyggede vederstyggeligheder Samsung på det tidspunkt formåede at ødelægge alt med.

Men heller ikke dette har min største anke.
Det har derimod, uanset hvilken mobil enhed med nok så meget plads og som er nok så effektiv (for det er de) ja så er der også tilsvarende lokale "genier" her der og alle vegne, der mener at deres projekt selvfølgelig skal have en app tilknyttet, og selvfølgelig er lige netop deres app verdens ottende vidunder, noget vi på ingen måde kan eller skal leve uden.

Kort sagt, vores mobile enheder bliver fyldt med bloatware fra forhandler/producenter osv, alle nogen der lige skal have
"DERES APP PÅ DIT APP-ARAT" man spørger ikke om det er ok nix det er der fra det øjeblik du åbner æsken til dit nye vidunder, tager den ud af æsken og trykker på "Tænd" mindre end 5 minutter efter står du med en "knap så"smartphone, med hele 4GB plads, men der er bare ikke 4GB fri, for 50%-75% er overtaget af BLOATWAREUDBREDERNE allerede fra det øjeblik du trykkede på "Tænd"

Også kommer Nets, el selskabet, den offentlige trafik, de lokale dit og dat den og den med dette og hint osv, osv. osv.

OG HVOR MEGET PLADS ER DER SÅ TILBAGE TIL DIG SELV "N-A-D-A"
Intet, eller i bedstefald kun tæt på 1 GB som hurtigt er brugt.

Så derfor gider jeg ikke de mange apps, derforer min HTC Desire min primære mobil, jeg får aldrig at vide "der er snart ikke mere plads"
for der er ingen der gider udvikle noget til den, der kommer ingen opdateringer, alt ånder fred og ro.
Skal jeg noget andet, så bliver det den trælse Samsung eller min Lenovo tablet.

OK DET VAR ET LANGT INDLÆG, der kort sagde, der er for mange der vil for meget på min mobil.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017