Jyske Bank: Vi bestemmer brugernes password

17. maj 2010 kl. 13:0521
Alt for mange vælger et usikkert kodeord, så hos Jyske Bank må kunderne ikke selv vælge. Til gengæld får de et password, der er nemt at huske.
Artiklen er ældre end 30 dage

De mange passwords, der er nødvendige i et digitalt liv, er svære at holde styr på, og derfor vælger rigtig mange den nemmeste løsning. For eksempel Lone24, hvis der er krav om både tal, og små og store bogstaver, i kodeordet. Det viser en undersøgelse af danskernes password-vaner.

Af samme grund får kunderne ikke lov til selv at bestemme i Jyske Banks netbank. Her udstikker banken et fast password, som skal bruges sammen med de engangskoder, som bliver tilsendt løbende på små kort.

»Vi maskingenererer nogle stærke passwords, som kunden ikke kan ændre. Men vi gør dem nemme at memorere,« forklarer Jens Nielsen, it-direktør i Jyske Bank.

Han vil af sikkerhedsmæssige grunde ikke uddybe hvilke algoritmer og principper, der ligger bag kodeordene, eller give et eksempel på ét. Men kort fortalt er det vrøvleord, der kan udtales, og derfor er nemmere at huske end helt tilfældigt sammensatte kombinationer.

Artiklen fortsætter efter annoncen

»Hvis det er for svært at huske, giver det problemer for kunderne. Og hvis de selv kan vælge, så vælger de hellere et password, der er nemt og ikke sikkert nok,« forklarer han.

Tiltaget har været en succes i banken, der som én af de få herhjemme bruger en løsning med engangskoder, i stedet for en nøglefil. Der har ikke været brok fra kunderne over, at de ikke selv kan vælge password.

»Kunderne kan sagtens forstå, at det er en del af den sikkerhed, der er nødvendig i en netbank,« siger Jens Nielsen.

Fra 1. juli og henover efteråret skifter alle danske banker i øvrigt til login-løsningen NemID, der samtidigt vil fungere som den nye nationale digitale signatur for borgerne. NemID rummer dog to løsninger - en til netbankerne og en til alle andre formål - der udadtil fremstår helt ens.

21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
17. maj 2010 kl. 13:27

Jeg er tidligere kunde i Jyske Netbank, og jeg har ikke noget mod at sige at mit kodeord var "9gang2sjal", siden jeg blev oprettet som bruger engang i midt 1990'erne (var det vel?) indtil jeg skiftede bank for 3 år siden.

9
17. maj 2010 kl. 16:48

Har også engang brugt Jyske netbank, ... ser ud til at deres kodeord altid starter med et tal efterfulgt af fire bogstaver så et tal og fire bogstaver igen.

11
17. maj 2010 kl. 18:02

Har også engang brugt Jyske netbank, ... ser ud til at deres kodeord altid starter med et tal efterfulgt af fire bogstaver så et tal og fire bogstaver igen.

Det kan jeg så hermed afkræfte med udgangspunkt i det password, de har givet mig. Det grundlæggende koncept er dog i samme boldgade.

13
17. maj 2010 kl. 18:10

Jeg elsker deres netbank! At man ikke er bundet af en bestemt computer men blot skal have sig nøglekort med sig og mulighed for nemt og sikkert logge på er fedt!

Jeg husker også mit kodeord nemt fordi det er så sjovt som det er.

Mit første dankort havde jeg dog en spøjs oplevelse med.. Pin koden var det sidste 4 cifre i mit CPR nummer. Det er jo helt tilfældigt men alligevel hvad er chancen for at det rammer noget ens? :)

21
18. maj 2010 kl. 10:33

Pin koden var det sidste 4 cifre i mit CPR nummer. Det er jo helt tilfældigt men alligevel hvad er chancen for at det rammer noget ens? :)

1/10000.

14
17. maj 2010 kl. 20:13

Gu ve hvor mange af deres kunder der så bruger det password alle mulig andre steder, for ikke at skulle huske på flere forskellige koder.....

;o)

15
17. maj 2010 kl. 20:27

Indrømmet tanken strejfede mig - men det gør jeg nu ihvertfald ikke. Men det kunne tænkes nogen gjorde det er helt sikkert.

6
17. maj 2010 kl. 14:53

Jeg er tidligere kunde i Jyske Netbank, og jeg har ikke noget mod at sige at mit kodeord var "9gang2sjal", siden jeg blev oprettet som bruger engang i midt 1990'erne (var det vel?) indtil jeg skiftede bank for 3 år siden.

Hmm, lidt skummelt.. Jeg havde også engang en kode der sluttede på sjal..

Hvor mange forskellige mon de bruger?

2
17. maj 2010 kl. 13:51

Det er godt fordi det eliminerer rigtigt dårlige passwords som fx 12345678 eller asdfasdf. Men det er skidt fordi det sætter loft over hvor komplekse passwords brugerne nu kan få.

Eftersom brugervenlighed er vigtigt for en virksomhed med mange brugere, kan jeg let forestille mig at disse genererede passwords består af små bogstaver og tal. Det gør det noget lettere at bruteforce sig igennem, når man på forhånd kan udelukke specialtegn, og formentligt også store bogstaver.

En bedre løsning mener jeg ville være at lade brugerne skifte deres passwords hvis de har lyst, men lave nogle ret strenge krav til de brugervalgte passwords, og nogle rigtigt gode checks på hvad brugerne vælger, så passwords som fx "aabbcc11" osv. kan undgås. Et krav om at et brugervalgt password skal indeholde mindst ét specialtegn mener jeg heller ikke ville være forkert. (Hvis brugeren ikke kan lide specialtegn i passwords, kan vedkomne jo bare beholde det udleverede autogenererede password...)

7
17. maj 2010 kl. 15:12

Det kodeord du får står jo ikke alene da du skal bruge det sammen med en engangs kode, hvilket vil gøre det umuligt at bruteforce efter min mening.

Så som Per siger

Jyske Banks politik er 100% fornuftig, når man ser det i sammenhæng med deres éngangskode-system

Det vil rigtig nok ikke være en fornuftig løsning for en hjemeside hvor kodeordet skal stå alene.

Ps. Kan sige at jeg ikke har noget "sjal" i mit kodeord :)

8
17. maj 2010 kl. 16:10

Da jeg har en lang historie som Linux/Mac-bruger bag mig, har jeg faktisk valgt bank efter netbanken – og valget faldt på Jyske Bank fordi de har en løsning der er implementeret i almindelig god gammeldags HTML. Ikke noget Java/ActiveX/Flash/whatever.

Et andet plus er at man så ikke er afhængig af at bruge en bestemt PC, men bare skal have sit pap-kort med :)

10
17. maj 2010 kl. 16:53
  • Banken vælger et kodeord som er "sikkert nok" (i sammenhæng med engangsnøgler)
  • Brugeren kan ikke genbruge kodeord fra andre tjenester
  • Brugeren slipper for at prøve at finde på noget hemmeligt
  • Kodeordet er faktisk til at huske

Mit kodeord indeholder heller ikke "sjal", men strukturen er overraskende tæt på.

Generelt vil jeg også sige at deres netbank er ok, men den mangler lidt finpudsning af en GUI-ekspert. Fx. kan man ikke blot klikke sig tilbage gennem posteringer, man er nødt til at søge. Og browserens frem- og tilbage-knapper er lukket område.

Åbningstiderne er ikke imponerende: Lukket 24-06 hver nat!

Men teknisk er det selvfølgelig prisværdigt at man kan bruge den fra (tilnærmelsesvis) alle browsere på enhver maskine.

12
17. maj 2010 kl. 18:09

Har også engang brugt Jyske netbank, ... ser ud til at deres kodeord altid starter med et tal efterfulgt af fire bogstaver så et tal og fire bogstaver igen.

Det er godt nok ikke altid tilfældet – jeg er også stødt på trebogstavsord.

4
17. maj 2010 kl. 14:29

Hvis folk selv kan vælge kodeord, er der stor risiko for, at det bliver samme kodeord som allerede er i anvendelse andre steder. Derfor er det ikke nødvendigvis særlig smart, selv med strenge krav til kompleksitet.

Jeg synes, at Jyske Banks politik er 100% fornuftig, når man ser det i sammenhæng med deres éngangskode-system.

22
21. maj 2010 kl. 05:53

Jeg er også Jyske Bank kunde, og kan godt lide systemet med både adgangskode og kodekort. Men det irriterer mit blodtryk, at man bliver tvunget til at indtaste ny kode fra kodekortet hver gang man vil gennemføre en transaktion, hvis man vil lave flere transaktioner i samme session.

Jeg er godt klar over at det er for at forhindre uvedkommende kan gøre skade, hvis man har glemt at logge af netbanken. Men i forvejen timer en session ud efter 10 minutter, og jeg synes det er formynderisk ikke at give brugerne mulighed for at vælge at et indtastet sæt koder skal gælde hele sessionen, hvis man kører på en pc som ikke er placeret i det offentlige rum.

23
21. maj 2010 kl. 09:15

Hej Thomas,

Jeg har Sydbank, og som jeg har kunnet læse mig frem til så bruger både Jyske Bank og Sydbank samme løsning med nøglekort. Når jeg f.eks. laver transaktioner kan jeg sætte dem i kø og godkende dem samlet til sidst og derved kun bruge en nøgle. Har du ikke samme mulighed?

5
17. maj 2010 kl. 14:35

...som man ikke har kunnet komme ind på hele dagen, fordi de har glemt at holde deres SSL certifikat opdateret.

Disse mennesker tiltror man sine penge, og snart skal de også været involveret i administration af digitale signatur.

Skræmmende.

3
17. maj 2010 kl. 14:15

Han vil af sikkerhedsmæssige grunde ikke uddybe hvilke algoritmer og principper, der ligger bag kodeordene, eller give et eksempel på ét. Men kort fortalt er det vrøvleord, der kan udtales, og derfor er nemmere at huske end helt tilfældigt sammensatte kombinationer.

Alle gamle VMS-brugere kan nok huske SET PASSWORD /GENERATE, der genererede udtalbare og komplet uforståelige passwords

Var algoritmen ikke baseret på FIPS-181 ?