'giraf1' uden nøglekort er godt nok til netbanken

I netbankløsninger fra Bankdata er nøglekortet i udgangspunktet ikke nødvendigt.

Der er stor sikkerhedsmæssig forskel på adgangskravet ved login til eksempelvis Borger.dk og så til en række danske pengeinstitutter.

Mens nøglekortet er obligatorisk ved login med NemID til offentlige tjenester, så er det muligt at logge på flere danske netbanker og dér få adgang til kontooverblik, rådgiver-korrespondance og andet alene ved at indtaste et brugernavn - ofte cpr-nummeret - og et kodeord.

Og da det sker, at kodeord, som af mange genbruges i forskellige sammenhænge, og cpr-numre optræder i datalæk, kan kriminelle i princippet få kendskab til netbank-login'et.

En engangskode fra nøglekortet ville i sådanne tilfælde være en væsentlig barriere for digitale indbrudstyve, men det forudsætter altså, at nøglekortet anvendes ved login.

Mange netbankløsninger baserer sig imidlertid på teknologi fra selskabet Bankdata, hvor det i udgangspunktet er muligt at logge i netbanken uden nøglekort, og hvor det er kravene for NemID-kodeord, der gælder. Og baseret på de krav er det muligt for brugere at vælge relativt svage kodeord som eksempelvis ‘giraf1’.

NemID-kodeordene behøver nemlig ikke være længere end seks tegn, og derudover skal de som eneste krav indeholde et tal. Så 'giraf1', vil være et acceptabelt kodeord i denne sammenhæng. Der skeles i øvrigt ikke til store eller små bogstaver, ligesom æ, ø og å ikke er blandt de tilladte tegn i et NemID-kodeord.

I stedet for et kodeord er det i øvrigt muligt at vælge en firecifret pinkode.

Brugere bliver i udgangspunktet heller aldrig bedt om at skifte deres NemID-kodeord. Så hvis 'giraf1' blev anvendt til en NemID-konto for tre år siden, så er det i udgangspunktet, medmindre brugeren aktivt har skiftet det, stadig det gyldige kodeord til den pågældende konto. Også uanset om kombinationen af brugernavn og kodeord måtte være lækket i andre sammenhænge.

Nøglekort et must

Netop for at beskytte borgerne har den offentlige sektor besluttet, at brug af nøglekort er et must i forbindelse med login til eksempelvis borger.dk, TastSelv hos Skat eller sundhed.dk, oplyser teamleder i Digitaliseringsstyrelsen Kenneth Mose Kruuse.

»I den offentlige sektor stiller vi jo altid krav om, at du skal bruge nøglekortet i enhver sammenhæng,« siger han.

Kenneth Mose Kruuse understreger i den forbindelse, at han udelukkende udtaler sig på baggrund af de krav, der er til beskyttelse af personfølsomme data i offentlige systemer, og den risikovurdering, som ligger til grund for de offentlige krav til sikkerhedsniveauet ved login.

»Vi kan ikke på nogen måde acceptere eller leve med en situation, hvor private oplysninger på en eller anden måde bliver kompromitteret.«

Så når Digitaliseringsstyrelsen i forhold til offentlige data vurderer, at et kodeord som ‘giraf1’, som brugere aldrig skal skifte, er godt nok i forhold til de nuværende kodeordskrav, så hænger det altså sammen med, at nøglekortet indgår som en obligatorisk del af sikkerheden.

Indgik nøglekortet ikke som en del af login-proceduren i interaktionen med de offentlige systemer, så ville kravene til kodeord se anderledes ud.

»Så ville vi vurdere på et andet trusselsbillede, som ville afføde nogle helt andre krav,« siger Kenneth Mose Kruuse og tilføjer:

»Det er jo en samlet sikkerhedsbetragtning, vi laver. De trusler, vi kender, og det sikkerhedsniveau for offentlige data, vi har valgt at lægge os på, det baserer sig naturligvis også på, at vi har nøglekortet. Det er klart.«

Bankdata: Vi kan ikke gøre noget

I Bankdata mener man, at løsningen, hvor det ikke er nødvendigt at finde nøglekortet frem ved login, er sikker nok.

»Vi bruger jo NemID, som standard, og så har vi så bare ikke nøglekort ved logon. Vi har som en mulighed, at man individuelt kan tilvælge, at man vil have nøglekortet med,« siger Allan Vadskjær Severinsen, underdirektør i Bankdata for området Digitale Brugere.

Visse handlinger kræver som standard i Bankdatas løsning godkendelse via nøglekort, eksempelvis hvis brugeren forsøger at overføre penge til en andens bankkonto. Uden nøglekort er det dog stadig muligt eksempelvis at få et konto-overblik og se korrespondancen med en bankrådgiver.

Synes du, kravene til kodeord er gode nok i forhold til, at de giver adgang til folks bankoplysninger?

»Det kan man jo diskutere. Vi har jo valgt at lægge os op ad NemID,« siger han og fortsætter:

»Hvis man ikke synes, det er godt nok, så har man jo mulighed for at koble papkortet til. Og desuden får man jo kun adgang til at vise kontooplysninger. Hvis man laver transaktioner, så skal man jo bruge kodekortet.«

Men bankoplysninger kan vel i sig selv også være følsomme oplysninger?

»Det er jeg enig i. Men vi har valgt at følge sektoren, vi kan ikke rigtigt gøre noget der.«

Hvad den generelle banksektor angår, så skal kunderne hos flere andre netbankløsninger i udgangspunktet have nøglekortet frem i forbindelse med login.

I kunne vel gøre det, at I stillede krav om brug af nøglekort som standard, når man loggede ind?

»Det kunne man jo gøre. Og det er jo et valg, bankerne kan tage. De har så valgt, at de hellere vil have, det skulle være let at logge på.«

En af de store pengeinstitutter, som indgår i Bankdatas ejerkreds, er Sydbank. Version2 har spurgt bankens pressekontakt, hvorfor sikkerheden anses som værende god nok uden brug af nøglekort ved login. Pressekontakten henviste dog til Bankdata.

Hvad tænker du? Er eksempelvis Bankdatas model med login uden nøglekort praktisk og brugervenlig, eller bør der som standard involveres et nøglekort bare for at tilgå i bankdata?

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (22)

Jonas Andersen

Jeg har personligt Sydbank.
Jeg synes også at det er fint at jeg ikke skal have det nøglekort frem hver gang.
Jeg har en nøglekode husker (Keeweb) til at kunne have en 20 cifret kode, som gør det nemt at logge ind.

Man kunne måske lave en aftale med Nets om at hvis der ikke skal bruges kode, så skal koden være af X antal mere tegn en de 6 karaktere som de er i dag?

Casper Olsen

Man kunne måske lave en aftale med Nets om at hvis der ikke skal bruges kode, så skal koden være af X antal mere tegn en de 6 karaktere som de er i dag?

Skulle vi måske starte med at at Nets begyndte at kende forskel på store/små bogstaver? Det ville da til at starte med, give lidt bedre sikkerhed...

DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn

Ønsker man et bomstærkt kodeord, er der rig mulighed for det, siger Peter Lind Damkjær. Man kan bruge visse specialtegn i sit kodeord og gøre det op til 40 tegn langt.

Morten Christiansen

Man kan jo selv sætte et stærk adgangskode på hvis man er nervøs.

personligt bryder jeg mig ikke om svage koder, så mit er et "must" på minimum 12 tal og bogstaver.

syntes dog at de skulle give mulighed for at slå 2-faktor til.

Kristian Sørensen

Kan man overhovedet oprette en lang nemid kode i dag, de presser jo nærmest på for at få folk til at skifte til en fire cifret pin kode.

For nyligt skulle jeg oprette en slemId "medarbejder signatur".

Der blev jeg tvunget til at vælge et kodeord med kun 4 tegn.

Der er ikke noget sted i mit IT-liv hvor jeg selv frivilligt vælger så korte kodeord.

De tvinger os til at bruge slemId, de tvinger os til at lade væsentlige data om os være tilgængelige på nettet kun beskyttet af slemId og nu tvinger de os så til at forringe slemId sikkerheden yderligere.

Føj.

Peter D Hansen

For fuldstændighedens skyld bør Version 2 måske nævne at også de 2 andre store datacentraler SDC og BEC heller ikke kræver engangskode ved login, først ved betalinger/overførsler.

Så det er næsten alle "mindre" danske banker, som er ramt af denne fejl eller feature...

Morten Hansen

Jeg er ikke ingeniør, men har hørt at tilfældig sammensatte ord, som giver mening for mig, ofte er stærkere og langt sværere at gætte.

Fx kunne følgende give god mening for mig: 'hestMorfarpilhalte', da det hele refererer til en oplevelse i mit liv. Dette er i modsætning til '?&hHkrLmd', som blot gør, at jeg skriver det ned i en note på telefonen eller gemmer det på en lap papir.

Hvad er egentlig det sikreste password?

Johan Kjær Hansen

Førsteprioritet er at undgå tab af bankens penge. Ikke noget jeg har fundet på, det står i deres "fortrolige" risk assessment reports.

Engang solgte bankerne gratis Ulandskalenderen for at hjælpe børn i fattige lande.

I dag sælger din "bankrådgiver" dig Apple aktier, så du kan være med til at udnytte børn i fattige lande.

Trods fine løfter om CSR og etisk ledelse, er de ligeglade med alt, også dine persondata. Kun i det tilfælde, at det koster dem på bundlinien, lytter de.

Da de er genforsikrede skal vi op i en vis beløbsstørrelse, før de gider at interessere sig for det - står også i risk assessment reports.

Det eneste bankerne lærte af finanskrisen er, at det kan betale sig at være røvhuller.

Jeg kan kun opfordre alle til at bruge crypto-currencies, så finans-monopolerne kan ende på historiens lodseplads.

Bankerne har brug for os, vi har ikke brug for dem. De ved det, og det skræmmer dem mere end EU-bøder.

Hans Dybkjær

Enig. E-boks, som kræver nøglekort, ser jeg meget sjældent. Hvis netbanken gjorde det samme, ville jeg meget sjældent se min konto. Det er et irritationsmoment at skulle have nøglekortet frem, brillerne af for at finde og læse nummeret på kortet, og brillerne på igen for at indtaste nummeret, og det er nok til at man er mindre tilbøjelig til at bruge tjenesten.

Og selvfølgelig skal nemid gøre det nemt at bruge og udskifte længere koder.

Christian Schmidt

Et nyttigt kompromis mellem sikkerhed og brugervenlighed er at kræve nøglekort ved første login fra en given computer. Når man har anvendt sit nøglekort, bliver der sat en cookie, der sørger for, at man ved efterfølgende logins kan logge ind kun vha. adgangskode (fx begrænset til én måned). Det kunne være rart, om bankerne tilbød den mulighed.

torben ibsen

I vores familie er det denne app, der genererer vores passwords. Totalt nonsens passwords på op til 25 karakterer (af enhver slags). Hver af vores login's på nettet har sit helt eget password. I denne app kan man også gemme alle de fortrolige oplysninger, man ellers ikke skriver ned. - Synkronisering til både IOS og MAC virker helt perfekt. Det er nemmere og hurtigere at logge ind med denne app end det er selv at taste sine passwords. - Der må findes noget tilsvarende udenfor Apple verdenen.

Johnny Nielsen

Jeg synes at man har fundet 1 god balance ved log-on til eksempelvis Sydbank uden brug af papkortet. Det er til gene hvis det skal hives op hver gang at man lige vil se sin saldo.
At der så kræves godkendelse med papkortet ved overførsel er godt, det giver følelse af sikkerhed og uden at være til stor gene.
Hvornår kan jeg få den chip i nakken så jeg kan slippe for papkortet?

Jan Heisterberg

Jeg er tilfreds med den løsning jeg har på min iPad, som er en PIN-kode og NemId ved pengetransaktioner.
På min PC skal jeg have nøglekortet fra NemId - det er en "pain in the a.....!.

Og så må de forskellige banker m.fl. vel selv vælge ? Det er DERES kunder og DERES forretning. Utilfredse kan flytte !
Husk, det er jo KUN penge - ikke noget uerstatteligt eller særlig personligt (som sygedata, behandlinger, osv).

Noget andet er, at bankerne - som kundeservice - kunne tilbyde valgfrihed. F.eks. at du KUN kan komme på med NemId eller at din PIN er f.eks. istedt 12 cifre. Så kunne de nervøse vælge. Tiden er er ikke til Big Brother-valg - udover et vist minimum.

P.S.: Og så ville jeg da gerne have et transaktionsloft på alle min konti: "højst x.xxx kroner, med mindre særlig frigivet eller fast betaling". Mon ikke det ville stoppe mange store svindler - eller frygten for dem ?

Jan Heisterberg

Det er almen kendt, at et godt adgangssystem kan bygge på:
- noget du ved (e.g. din pinkode eller brugerkode)
- noget du har (fysisk) dvs. dit nøglekort

Bemærk, at tit personnummer IKKE falder i disse kategorier.
Ovenfor skriver jeg, at ud fra en risiko-vurdering så kan nogle adgange alene være bekyttet af noget du ved (og som du trues til at opgive). Andet yderligere af noget du har (fysisk).
Det sidste betyder, at du på et værtshus ikke kan trues eller pines til at udlevere noget du har i skuffen derhjemme.

Log ind eller opret en konto for at skrive kommentarer