Netbank-login uden NemID-papkort får høvl af it-sikkerhedschef

Flere danske netbanker giver nu brugerne mulighed for at logge på uden at bruge NemID-papkortet. Det er en rigtig skidt fremgangsmåde, mener bestyrelsesmedlem i Dansk IT, der også er it-sikkerhedschef og formand for IT-Sikkerhedsrådet.

Da Ingrid Colding-Jørgensen forleden loggede på sin netbank, bemærkede hun, at NemID-papkortet ikke længere var nødvendigt. Med kun sit NemID-brugernavn og NemID-password kunne hun pludselig se alt fra CPR-nummer til de seneste træk på dankortet.

Læs også: Nykredits tilbud: Log på netbank med NemID - uden papkort

»Jeg blev oprigtigt overrasket over det og ringede med det samme til banken for at fortælle, at der måtte være noget galt,« fortæller Ingrid Colding-Jørgensen til Version2.

Som it-sikkerhedschef i GN Store Nord, bestyrelsesmedlem i Dansk IT og som formand for IT-Sikkerhedsrådet mente hun nok at vide, hvordan ændringer i it-sikkerhed burde håndteres, men banken kunne fortælle hende, at der skam ikke var tale om en fejl.

»Så var det, jeg for alvor begyndte at undre mig. Jeg ved godt, bankerne bruger samme setup på mobilen, og det er da også fint nok at give folk mulighed for at vælge sikkerhed fra – men banken skal ikke selv slå det fra som standard,« siger Ingrid Colding-Jørgensen til Version2.

Bankernes argument for at sænke sikkerhedsniveauet er, at brugeren bliver bedt om en kode fra NemID-papkortet, så snart der skal overføres et beløb fra et sted til et andet, og at man derfor ikke kan tabe penge på den lavere sikkerhed.

Men det argument køber Ingrid Colding-Jørgensen ikke:

»De oplysninger, der er adgang til, kan bruges alle mulige andre steder. Med oplysninger om mit CPR-nummer, mit kontonummer og mit kundenummer i banken ved hånden kan du lave identitetstyveri og social engineering så let som ingenting,« siger Ingrid Colding-Jørgensen og giver selv opskriften på hvordan:

»Det er bare at ringe mig op og sige: 'Jeg kan se, du lige har købt nogle sutter online på babytorvet.dk. Desværre er vi kommet til at trække pengene to gange, så hvis du lige giver mig din kreditkort-oplysninger, skal jeg sørge for at tilbageføre beløbet'. Det løber mig koldt ned ad ryggen, for selv som it-sikkerhedskyndig kunne jeg sagtens være røget i den fælde,« siger Ingrid Colding-Jørgensen, der også har skrevet om problemet på Dansk IT's hjemmeside.

Læs også: Danske firmaer: Giv os NemID-login uden engangskoder

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (49)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Som om, vi ikke har diskuteret den ringe sikkerhed omkring NemID nok, her på V2.

Nu underminerer Bankerne også NemID, på noget så basalt som sikkerheden.

Hvad skulle Netz / DanID overhovedet ind i den løsning for, hvis ikke de selv holder sig til deres egen løsning.

Er der tale om endnu en POL-itisk sag, der er under opsejling, eller er der vilje til at løse opgaven, inden det løber helt af sporet ?

  • 7
  • 3
#3 Michael Thomsen

Hvor er det godt, at der endelig kommer fokus på dette problem. Jeg har længe forsøgt at overbevise Lån&Spar (som var den første, der udsatte mig for dette) om at det er en skidt ide; men de var og er fuldstændig ligeglade, og det er tilsyneladende IKKE noget jeg som kunde har mulighed for at slå til igen.

På det seneste ser det ud til at rigtig mange andre banker også er begyndt på det samme stunt.

Der er dog een ting i det nuværende setup, som er endnu værre: Når man først har godkendt den første betaling skal man ikke bruge pap-kortet mere, nu kan man overføre penge udelukkende med kodeordet!

  • 8
  • 0
#4 Thue Kristensen

Jeg har længe forsøgt at overbevise Lån&Spar (som var den første, der udsatte mig for dette) om at det er en skidt ide; men de var og er fuldstændig ligeglade, og det er tilsyneladende IKKE noget jeg som kunde har mulighed for at slå til igen.

Bemærk at de ting som sikkerheden bliver sænket for er oplysninger, og ikke penge som banken skal erstatte. Det tror jeg ikke er noget tilfælde :).

Nykredit har altid tilladt login uden token, for resten. Hvorfra man så kunne få adgang til sin e-boks uden at logge ind igen.

Så længe at brugeren har mulighed for at vælge det til/fra, så synes jeg egenligt at at det er fint nok - så er det jo brugeren selv som kan afveje risiko vs besvær.

  • 5
  • 1
#5 Preben Andersen

»De oplysninger, der er adgang til, kan bruges alle mulige andre steder. Med oplysninger om mit CPR-nummer, mit kontonummer og mit kundenummer i banken ved hånden, kan du lave identitetstyveri og social engineering så let som ingenting,« siger Ingrid Colding-Jørgensen og giver selv opskriften på hvordan.

Og hvordan ville hun få fat i de oplysninger? For at få dem via netbanken skal "hackeren" have følgende:

  • hendes selvvalgte brugerid, hendes cpr nummer eller nemid nummer.
  • hendes adgangskode.

Det mest plausible er i hendes tilfælde nok at hackeren har det selvvalgte brugerid og adgangskoden. Når hackeren allerede har de 2 oplysninger er spillet tabt. Hvad har hackeren så ikke? Hendes private emailadresse via nemid portalen og hvad ellers?

Version2 har da tydeligvis en agenda her, men lad os nu lige få lidt saglighed på banen.

  • 5
  • 11
#8 Preben Andersen

En keylogger på maskinen, så er de oplysninger hjemme. Dernæst er det bare at logge ind uden papkort, så er alle økonomiske oplysninger til rådighed. Det kan der laves et kæmpemæssigt scam på.

Fint scenarie, men hvad har hackeren så ellers ikke haft snuset sig frem til med keyloggeren? Kontonumre, arbejdsmails kodeord osv osv.

Pointen er jo at bankerne fandt på nemid fordi de antager at brugerens pc ikke er sikker. Hvis man køber den antagelse, burde det ikke give mening at logge folk ind uden oplysninger fra pap-kortet, så jeg er enig med Michael Thomsen i et og alt.

Det synes jeg er misvisende. NemID blev frem for alt lanceret for at samle digital signatur og netbank logon og derved gøre det lettere for brugeren at logge på offentlige tjenester og netbank.

  • 6
  • 15
#10 Jesper Poulsen

Fint scenarie, men hvad har hackeren så ellers ikke haft snuset sig frem til med keyloggeren? Kontonumre, arbejdsmails kodeord osv osv.

Det er der ikke så meget gevinst i, som at lave et identitetstyveri. Og et identitetstyveri kræver blot de oplysninger der ligger frit tilgængelige på netbanken, selv når der ikke er brugt papkort.

Selv uden brug af nøglekort kan jeg se mit CPR-nummer, mit navn og min postadresse. Mere skal der ikke til for at stjæle min identitet.

  • 5
  • 0
#12 Preben Andersen

Det er der ikke så meget gevinst i, som at lave et identitetstyveri. Og et identitetstyveri kræver blot de oplysninger der ligger frit tilgængelige på netbanken, selv når der ikke er brugt papkort.

Selv uden brug af nøglekort kan jeg se mit CPR-nummer, mit navn og min postadresse. Mere skal der ikke til for at stjæle min identitet.

Nej, men min pointe var at i det scenarie er sikkerheden allerede tabt, når keyloggeren er på systemet. Uden NemID er et identitetstyveri stadig muligt.

Vi er enige om at det nye tiltag er en forringelse af sikkerheden, men alle de scenarier jeg har læst indtil videre er ikke en konsekvens af det nye tiltag.

NemID er bare ikke en digital signatur. Det er et Single Sign On. Det og intet andet.

Ja, enig, det er desværre rigtig nok. Digital Signatur blev desværre stadig udfaset til fordel for NemID uden signaturdelen klar.

  • 2
  • 6
#14 Niels Ull Harremoës

Hvis jeg nu skal på forældreintra, og ikke selv har PC, så går jeg på biblioteket. Der kan nemt være nogen der har sat en keylogger på, men det var jo ikke et rigtig stort problem, så længe man også skulle have papkortet....

Men nu kan keyloggeren så fange information hvor man kan gå ind og se på min netbank?

Det bør afgjort være noget brugeren aktivt skal vælge til!

  • 4
  • 0
#16 Deleted User

Faktisk vil folkene bag ForældreIntra meget gerne have lov at bruge NemID uden engangskoder:

http://www.version2.dk/artikel/danske-firmaer-giv-os-nemid-login-uden-en...

Det sagde de til en konference om digital signatur i november, og DanID-direktøren forholdt sig også til det paradoksale i, at man kan logge på netbank uden papkort, men ikke på langt mere uskyldige tjenester.

vh.

Jesper, Version2

  • 5
  • 0
#17 Preben Andersen

Men langt mere besværligt.

Virkelig? Hele scenariet er jo allerede mega hypotetisk, hvis der er en keylogger, hvad så med screendumps?

Pointen jeg forsøger at komme frem til er at udgangspunktet i en keylogger installeret på systemet, allerede er gameover set i sikkerhedsøjemed.

NemID bliver aldrig en digital signatur. Uanset hvor meget der bygges på og bygges til bliver det aldrig en digital signatur.

Haha, ja det er jo svært at argumentere imod. Der ligger allerede public/private key i NemID, at DanID så pt. har den private kan man så diskutere det logiske i, men det ligger da i kortene at det bliver muligt.

Det sagde de til en konference om digital signatur i november, og DanID-direktøren forholdt sig også til det paradoksale i, at man kan logge på netbank uden papkort, men ikke på langt mere uskyldige tjenester.

Der er mange kræfter i NemID, et er hvad DanID-direktøren mener - noget andet er hvad bankerne mener.

  • 1
  • 2
#20 Peter Jørgensen

Det kan frygtes at man ikke er så kræsen med hvilke computere og i hvilke omgivelser man bruger sit nemID når man ikke logger rigtigt ind, men kun benytter sig af en læse rettighed.

Og det kan jo så føre til bedre forhold for de kriminelle.

  • 1
  • 1
#21 Deleted User

Hackeren smugler et stykke hjemmestrikket software ind på maskinen.

Programmet finder via foretrukne, oversigt over besøgte hjemmesider osv ud af hvilken bank vedkommende er kunde i.

Så ændres hosts filen til at besøg på www.nordea.dk bliver directed til www.myfavoritehackersite.com som har en kopi af nordea's site, keylogger delen sender så oplysningerne i realtid til en server og når man har user og pass så bruger man det til at logge ind på banken som kunden, så laver man hurtigt en overførsel til sin udenlandske cayman konto og beder om den korrekte NemId nøgle....

Når så visse af bankerne lader en lave flere transaktioner med een nøgle så er det nemt at køre på indtil kontoen bliver lukket.

Hvis man hellere vil så kan man bruge user/pass til at logge ind og aktivere OCES delen på folk's nemID og bruge den passende NemID papkort nøgle og når man er inde der så kan man lige lave adresseændring og få tilsendt et nyt pas, kørekort og et nyt PapID kort.

Summa summarum, systemet er nemt hackbart og vil man kun have folks user pass så man kan logge ind og lave social engineering med de oplysninger man får fra folks konti så kan man nu nøjes med en keylogger og vi er dermed tilbage ved square one.

Sjovt nok var Papkortet NemID's største selling point dengang de forklarede hvad det lige var vi skulle bruge lortet til....

Henrik Madsen

Ja når jeg tænker over det så behøver man jo ikke engang vide hvilken bank de har, man kan bare redirecte alle de banker man vil angribe til deres respektive hacker variant sider.

  • 5
  • 1
#23 Anonym

Som Kai Birger Nielsen skriver, giver et ingen mening, at man først laver pap-kort løsningen, og senere helt selv undlader at benytte den.

@ Preben Andersen. Derfor giver dit svar til Kai Birger Nielsen heller ikke nogen mening. Om NemID anvendes til logon det ene eller det andet sted, er helt underordnet. Systemet er bygget op omkring en procedure, der skal overholdes, for at systemet fungerer. Så hjælper det ikke, at man vælger en del af proceduren fra, når det anvendes i forbindelse med f.eks. Bank forretning. Springer man ud af procedure, så underminerer man sikkerheden af hele NemID systemet.

For mig at se, fremgår det tydeligt, at NemID udelukkende er til for at beskytte Netz, altså finanssektoren, i mod at andre aktører frit kan drive forretning på det marked der hører under Dansk lov.

Der er ikke tale om at man vil sikre identifikationen af den enkelte bruger, eller på anden måde vil tilgodese brugernes retsstilling. Man er udelukkende ude efter at sikre et finansmarked. Man ønsker ikke engang at benytte den sikkerhed der er i NemID systemet.

Tilbage står brugerne, uden nogen væsentlig sikkerhed, og Staten, med en finanssektor, som underminerer det system, som Staten har betalt for at få udviklet. For ikke at snakke om alle andre private virksomheder, der fortsat ikke kan beskytte sig mod identitetstyve og andre svindlere.

De er helt som forventet. En ny POL-litisk skandale under opsejling. Springer som troll op af en æske, så snart der er kommet en ny regering.

Det er ikke kun Ingrid Colding-Jørgensen, der bør være bekymret. Der er en he del politikere, der bør tænke alvorligt over, om det Digitale Samfund, har det rigtige grundlag at bygge på. Allerede nu, er der over 120.000 identitetstyverier bare inden for det sidste år. Det beskytter NemID ikke imod. NemID beskytter KUN et finansmarked, intet andet.

  • 7
  • 1
#24 Søren Rønsberg

Når man ikke kan leve op til reglerne for kvalificerede signaturer, så kan man jo forsøge at lave reglerne om:

Finansrådet tilslutter sig konklusionen om behovet for at revidere modellen for kvalificerede signaturer, ikke mindst fordi det er væsentligt for bankerne, at den danske regering arbejder frem imod et resultat, som sikrer, at Danmark kan bevare den infrastruktur, der allerede er opbygget omkring NemID, og som ikke bygger på kvalificerede certifikater i direktivets forstand.

Det er Finansrådets høringssvar til EU-Kommisionen om e-signatur i det digitale indre marked. Se: http://www.finansraadet.dk/politik/hoeringssvar/hoeringssvar/2011/eu-kom...

Ministeriets endelige konklusion er også ganske underholdende: Fordi Danmark har indført NemId som ikke overholder direktivet, så har direktivet ikke fungeret tilfredsstillende !!!

  • 6
  • 0
#26 Tine Andersen

Uden pap? Ja, jeg har det ikke selv fordi, jeg er talblind. Bare jeg skal taste koder ind for at tage købt software i brug, sveder jeg.

Jeg kan ikke engang mit eget telefonnummer! Så at taste meningsløse engangskoder- de vil aldrig blive rigtige i første hug.

Findes der en handikapvenlig NemID?

Mvh Tine

  • 1
  • 0
#28 Finn Christensen

Bemærk at de ting som sikkerheden bliver sænket for er oplysninger, og ikke penge som banken skal erstatte. Det tror jeg ikke er noget tilfælde :).

Danmark har jo solgt løsningen til private banker, og deres interesse er at undgå tab på kundernes konto (udgift for banken). Dit privatliv - oplysninger, data - er sekundært for deres forretning - så vi får, som vi har redt desværre.

  • 4
  • 0
#29 Jens loggo

1 - Selvfølgelig bør banken ikke automatisk gøre dette, men bør blot give kunderne muligheden.

2 - Der er INGEN pointe i nemID koderne, når man logger på hjemmefra. Det er udelukkende til besvær.

Jeg logger udelukkende på netbank hjemmefra. Derfor er det komplet huld i hovedet, at jeg skal sidde og finde en kode på et latterligt papkort hver eneste gang.

NemID kunne selv have lavet det, så man havde en mulighed for, hjemmefra fra samme computer, ikke at skulle bruge en kode fra papkortet hver gang.

Før i tiden tjekkede jeg min netbank ofte. Nu gider jeg slet ikke, og der går ofte over en uge, fordi det bare er for besværligt.

Samtidig skal man nu også bruge det til f.eks. at spille lotto. Plus også til alt hvad der har med det offentlige at gøre, som eboks, skat, osv. Så får man hurtigt brugt sådan et kort. Sikke en gang spild på papir og porto, når de skal sende de kort.

Skal man lige tjekke sin eboks, sin skat, og netbank, og måske lige spille lotto, så er det 4 gange man skal gennem det login hysteri. De har selvfølgelig ikke lavet det, så man bare skal logge ind en gang, og derfra kan gå videre til de andre sider.

NemID er for meget besvær, i forhold til fordelene.

3 - Problemet med identitetstyveri har intet med dette at gøre. Det er en helt anden sag, hvor det virkelig problem er at visse myndigheder og firmaer, gør alt for lidt for at tjekke folks identitet. Et CPR nummer bør ikke bruges som om det var hemmeligt, for det er det ikke. Ingen skal kunne stjæle nogens identitet, bare fordi de har deres CPR nummer. Det giver for fanden da sig selv, da det er et nummer man går og vifter omkring sig overalt.

  • 0
  • 3
#30 Henrik Krarup Lindholm

Jeg synes det er en rigtig god idé at fjerne papkortet ved første login. Papkortet giver brugerne en falsk tryghed. NEMID er stadig ikke sikret ordentligt (fx mangler den private nøgle at være privat og JAVA giver stadig væsentlige sikkerhedshuller for alle der ikke er it-kyndige). Det er meget bedre at lære folk at tænke sig om og forholde sig til sikkerheden end at lulle folk i søvn og lade dem tro at blot fordi der er et gråt papkort så er man bedre sikret end kronjuvelerne. Lær folk at bruge hovedet: 1 - Brug aldrig den samme login (brugernavn og password) mere end ét sted. 2 - Læg mærke til sikkerhedscertifikater. 3 - Indtast aldrig dit password med mindre du ved hvem der modtager det.

  • 1
  • 1
#31 Jess Scharling

Det behøver da slet ikke være så højteknologisk at finde CPR-numre. Bare rod i naboernes skraldespand - der er helt sikkert bid før man får set sig om. Numrene står jo alle steder - de er ikke en skid hemmelig - nemmelig.

  • 1
  • 0
#32 Anonym

Nej Tine, der findes ikke en handicap venlig version af NemID.

Du kan få en telefonløsning, så vidt jeg er bekendt, men kun hvis du er egentlig handicappet.

Gamle, handicappede, eller bare folk der er lidt tilbagestående over for IT, er man helt ligeglade med.

Der findes en alternativ metode til at identificerer, men den vil Staten ikke kigge på. Man vil kun kigge på hvad Finansrådet beslutter, uanset hvor usammenhængende det så end er. Det er Finansrådet der har magten i Danmark, ikke politikere. Det skal man bare indrette sig efter.

  • 2
  • 2
#33 Thomas Watts

Er der nogen, der kender til banker, der stadig har bare lidt sikkerhed på netbanksfronten?

Netbank er en nødvendighed i et travlt liv, og der samles mere og mere via det, bl.a. e-boks som også nævnt i diskussionen hér, så endnu lavere sikkerhed med NemID (hvem havde troet det muligt...) er en deal-breaker for mig. Håber, der endnu findes banker med lidt sikkerhed derude.

  • 0
  • 0
#34 Mogens Hansen

Jeg synes det er en rigtig god idé at fjerne papkortet ved første login.

Fuldstændigt enig. Hvis folk kan komme så tæt på min computer at de kan installere en keylogger, har jeg betydeligt større problemer end at de kan tilgå min bankkonto - her vil jeg trods alt kunne sandsynliggøre hvad der er sket, og få rullet mine betalinger tilbage. Mht identitetstyveri ville jeg være meget mere bekymret for, at folk får fat i mine mails. Og de er kun beskyttet af et brugernavn og et password.

  • 0
  • 1
#35 Flemming Jønsson

Jeg er også LSB kunde, jeg er faktisk godt tilfreds med at jeg kan logge på uden at bruge mit papkort/token. Men nok ok det

Der er dog een ting i det nuværende setup, som er endnu værre: Når man først har godkendt den første betaling skal man ikke bruge pap-kortet mere, nu kan man overføre penge udelukkende med kodeordet!

Når jeg logger på uden at bruge papkortet, så får jeg ikke lov til at lave mere end én transaktion per kode jeg indtaster. Er du sikker på at du ikke har logget på med papkortet da du observerede den opførsel?

  • 0
  • 1
#37 Ole Schmidt

".........så hvis du lige giver mig din kreditkort-oplysninger, skal jeg sørge for at tilbageføre beløbet'. Det løber mig koldt ned ad ryggen, for selv som it-sikkerhedskyndig kunne jeg sagtens være røget i den fælde,« siger Ingrid Colding-Jørgensen"

Det lyder vanvittigt, at hun kunne bare drømme om, at udlevere kreditkort oplysningerne på anfordring af en ukendt.

  • 0
  • 2
#39 Peter Makholm Blogger

Nu er hverken CPR-numemr eller kontonummer specielt hemmelige, da det er identifikationsnumre man uddeler som en naturlig del af en mængde transaktioner.

Jeg giver i hvert fald rask væk mit kontonummer til folk der skylder mig penge og betaler lige så vel lystigt skyldige beløb via min netbank hvor modtager vist kan se afsenderkontoen. Og CPR-nummeret bliver også lystigt delt ud til foreninger jeg er aktive i eller almennyttige foreninger jeg støtter.

  • 2
  • 0
#40 Peter Makholm Blogger

Adgang til e-Boks er selvfølgelig noget helt andet, da det stort set er en blanko-adgang til oplysninger af temlig forskellig karakter.

Men pointen er at det efter min mening er naturligt at arbejde med forskellige sikkerhedsniveauer for adgang til rene identifikationsoplysninger (CPR-nummer, kontonummer, kundenummer), transaktionsoplysninger og endelig til at foretage transaktioner.

Det første er stort set ligegyldigt, det andet er en ubahaglig krænkelse af mit privatliv, det tredje kan have direkte skadelige konseklvenser.

  • 2
  • 0
#45 Michael Thomsen

Du kan få en telefonløsning, så vidt jeg er bekendt, men kun hvis du er egentlig handicappet.

Det er ikke nødvendigt at være blind for at få voice-response løsningen, og hvis Tine er talblind, er løsningen netop rettet mod hende, så det er bare at ringe til nemid og få det ændret. Tine skal dog være klar foran en computer og hun skal taste en nemid-kode ind før at de kan ændre det.

  • 0
  • 0
#47 Jesper Dohrup

Min bank har også fjernet nøglekort funktionen, og er total ligeglade jvf flg: Kender I til banker der har beholdt nøglekortet? Der er mulighed for at erobre kunder...

Bankernes EDB Central (BEC) og dermed også BANKEN har i lighed med mange andre banker ændret logon til Netbank. Det betyder, at brugeren kun skal bruge sit Bruger-ID (Cpr-nr., NemID-nr. eller selvvalgt Bruger-ID) og adgangskode, når der logges på Netbank. Formålet er, at gøre det lettere og hurtigere for brugeren at logge på Netbank. Fremover behøver brugeren fx ikke sit NemID nøglekort for bare at se saldi o.lign.

Brugeren skal kun benytte nøglekortet ved første godkendelse. Det kan fx være når første betaling, første budgetpost, første betalingskuvert eller andet skal godkendes. Det kan også være, hvis brugeren skal viderestilles til e-Boks.

Når nøglekortet først har været i brug, vil efterfølgende godkendelser ske uden brug af nøglekort.

Da nøglekortet fortsat skal bruges – når der skal foretages en overførsel eller anden forpligtende transaktion – er det bankens opfattelse – at der ikke er ændret i den sikkerhed – som der tilbydes med NemID i Netbank.

  • 0
  • 0
Log ind eller Opret konto for at kommentere