Jyske Bank: Vi bestemmer brugernes password

Alt for mange vælger et usikkert kodeord, så hos Jyske Bank må kunderne ikke selv vælge. Til gengæld får de et password, der er nemt at huske.

De mange passwords, der er nødvendige i et digitalt liv, er svære at holde styr på, og derfor vælger rigtig mange den nemmeste løsning. For eksempel Lone24, hvis der er krav om både tal, og små og store bogstaver, i kodeordet. Det viser en undersøgelse af danskernes password-vaner.

Af samme grund får kunderne ikke lov til selv at bestemme i Jyske Banks netbank. Her udstikker banken et fast password, som skal bruges sammen med de engangskoder, som bliver tilsendt løbende på små kort.

»Vi maskingenererer nogle stærke passwords, som kunden ikke kan ændre. Men vi gør dem nemme at memorere,« forklarer Jens Nielsen, it-direktør i Jyske Bank.

Han vil af sikkerhedsmæssige grunde ikke uddybe hvilke algoritmer og principper, der ligger bag kodeordene, eller give et eksempel på ét. Men kort fortalt er det vrøvleord, der kan udtales, og derfor er nemmere at huske end helt tilfældigt sammensatte kombinationer.

»Hvis det er for svært at huske, giver det problemer for kunderne. Og hvis de selv kan vælge, så vælger de hellere et password, der er nemt og ikke sikkert nok,« forklarer han.

Tiltaget har været en succes i banken, der som én af de få herhjemme bruger en løsning med engangskoder, i stedet for en nøglefil. Der har ikke været brok fra kunderne over, at de ikke selv kan vælge password.

»Kunderne kan sagtens forstå, at det er en del af den sikkerhed, der er nødvendig i en netbank,« siger Jens Nielsen.

Fra 1. juli og henover efteråret skifter alle danske banker i øvrigt til login-løsningen NemID, der samtidigt vil fungere som den nye nationale digitale signatur for borgerne. NemID rummer dog to løsninger - en til netbankerne og en til alle andre formål - der udadtil fremstår helt ens.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Daniel Gertsen

Det er godt fordi det eliminerer rigtigt dårlige passwords som fx 12345678 eller asdfasdf. Men det er skidt fordi det sætter loft over hvor komplekse passwords brugerne nu kan få.

Eftersom brugervenlighed er vigtigt for en virksomhed med mange brugere, kan jeg let forestille mig at disse genererede passwords består af små bogstaver og tal. Det gør det noget lettere at bruteforce sig igennem, når man på forhånd kan udelukke specialtegn, og formentligt også store bogstaver.

En bedre løsning mener jeg ville være at lade brugerne skifte deres passwords hvis de har lyst, men lave nogle ret strenge krav til de brugervalgte passwords, og nogle rigtigt gode checks på hvad brugerne vælger, så passwords som fx "aabbcc11" osv. kan undgås. Et krav om at et brugervalgt password skal indeholde mindst ét specialtegn mener jeg heller ikke ville være forkert. (Hvis brugeren ikke kan lide specialtegn i passwords, kan vedkomne jo bare beholde det udleverede autogenererede password...)

  • 0
  • 0
#3 Per Tolbøll

Han vil af sikkerhedsmæssige grunde ikke uddybe hvilke algoritmer og principper, der ligger bag kodeordene, eller give et eksempel på ét. Men kort fortalt er det vrøvleord, der kan udtales, og derfor er nemmere at huske end helt tilfældigt sammensatte kombinationer.

Alle gamle VMS-brugere kan nok huske SET PASSWORD /GENERATE, der genererede udtalbare og komplet uforståelige passwords

Var algoritmen ikke baseret på FIPS-181 ?

  • 0
  • 0
#4 Troels Arvin

Hvis folk selv kan vælge kodeord, er der stor risiko for, at det bliver samme kodeord som allerede er i anvendelse andre steder. Derfor er det ikke nødvendigvis særlig smart, selv med strenge krav til kompleksitet.

Jeg synes, at Jyske Banks politik er 100% fornuftig, når man ser det i sammenhæng med deres éngangskode-system.

  • 0
  • 0
#6 Ove Andersen

Jeg er tidligere kunde i Jyske Netbank, og jeg har ikke noget mod at sige at mit kodeord var "9gang2sjal", siden jeg blev oprettet som bruger engang i midt 1990'erne (var det vel?) indtil jeg skiftede bank for 3 år siden.

Hmm, lidt skummelt.. Jeg havde også engang en kode der sluttede på sjal..

Hvor mange forskellige mon de bruger?

  • 0
  • 0
#7 Michael Rimestad

Det kodeord du får står jo ikke alene da du skal bruge det sammen med en engangs kode, hvilket vil gøre det umuligt at bruteforce efter min mening.

Så som Per siger

Jyske Banks politik er 100% fornuftig, når man ser det i sammenhæng med deres éngangskode-system

Det vil rigtig nok ikke være en fornuftig løsning for en hjemeside hvor kodeordet skal stå alene.

Ps. Kan sige at jeg ikke har noget "sjal" i mit kodeord :)

  • 0
  • 0
#8 Mikkel Høgh

Da jeg har en lang historie som Linux/Mac-bruger bag mig, har jeg faktisk valgt bank efter netbanken – og valget faldt på Jyske Bank fordi de har en løsning der er implementeret i almindelig god gammeldags HTML. Ikke noget Java/ActiveX/Flash/whatever.

Et andet plus er at man så ikke er afhængig af at bruge en bestemt PC, men bare skal have sit pap-kort med :)

  • 0
  • 0
#10 Mikkel Blanné
  • Banken vælger et kodeord som er "sikkert nok" (i sammenhæng med engangsnøgler)
  • Brugeren kan ikke genbruge kodeord fra andre tjenester
  • Brugeren slipper for at prøve at finde på noget hemmeligt
  • Kodeordet er faktisk til at huske

Mit kodeord indeholder heller ikke "sjal", men strukturen er overraskende tæt på.

Generelt vil jeg også sige at deres netbank er ok, men den mangler lidt finpudsning af en GUI-ekspert. Fx. kan man ikke blot klikke sig tilbage gennem posteringer, man er nødt til at søge. Og browserens frem- og tilbage-knapper er lukket område.

Åbningstiderne er ikke imponerende: Lukket 24-06 hver nat!

Men teknisk er det selvfølgelig prisværdigt at man kan bruge den fra (tilnærmelsesvis) alle browsere på enhver maskine.

  • 0
  • 0
#11 Jens Fallesen

Har også engang brugt Jyske netbank, ... ser ud til at deres kodeord altid starter med et tal efterfulgt af fire bogstaver så et tal og fire bogstaver igen.

Det kan jeg så hermed afkræfte med udgangspunkt i det password, de har givet mig. Det grundlæggende koncept er dog i samme boldgade.

  • 0
  • 0
#12 Mikkel Høgh

Har også engang brugt Jyske netbank, ... ser ud til at deres kodeord altid starter med et tal efterfulgt af fire bogstaver så et tal og fire bogstaver igen.

Det er godt nok ikke altid tilfældet – jeg er også stødt på trebogstavsord.

  • 0
  • 0
#13 Kasper Smith

Jeg elsker deres netbank! At man ikke er bundet af en bestemt computer men blot skal have sig nøglekort med sig og mulighed for nemt og sikkert logge på er fedt!

Jeg husker også mit kodeord nemt fordi det er så sjovt som det er.

Mit første dankort havde jeg dog en spøjs oplevelse med.. Pin koden var det sidste 4 cifre i mit CPR nummer. Det er jo helt tilfældigt men alligevel hvad er chancen for at det rammer noget ens? :)

  • 0
  • 0
#16 Vijay Prasad

Det er godt nok ikke altid tilfældet – jeg er også stødt på trebogstavsord.

Eller :)

Jeg elsker deres netbank! At man ikke er bundet af en bestemt computer men blot skal have sig nøglekort med sig og mulighed for nemt og sikkert logge på er fedt!

Nu findes der også andre løsninger hvor du har et sikkert "token", og som er noget lettere at bruge (signering på usb-device for eksempel). Jeg kan godt lide at ting sker i et sikkert token, specielt når jeg f.eks. er på netcafe i 3. verdens lande og antivirus ligner noget der ikke er opdateret i laaaaang tid :)

Mvh,

  • 0
  • 0
#17 Andreas Olsen

Hos danske bank kan man vælge deres active card løsning, så man heller ikke er bundet til en bestemt pc/platform.

Dog har man stadig en selvvalgt kode.

Nogen der ved om disse løsninger forsvinder når man bliver tvangsindlagt til NetID/Digital Signatur?

  • 0
  • 0
#18 Vijay Prasad

Nogen der ved om disse løsninger forsvinder når man bliver tvangsindlagt til NetID/Digital Signatur?

Jyske Bank: http://www.jyskebank.dk/privat/privatkunde/jyskenetbank/omjyskenetbank/3...

Det er i øvrigt interessant at alle banker vælger samme login system. Tidligere har det været de enkelte banker som er forsøgt hacket/phishet. Nu skal man kun snyde et enkelt system for at have brudt alle banker :) (ja, det burde være en "græde-smiley")

Mvh,

  • 0
  • 0
#19 Ole Tange Blogger

Jeg valgte Jyske Bank i sin tid fordi de reklamerede med, at deres løsning virkede på flere platforme. Og det må jeg sige, de har levet op til.

Jeg har brugt netbanken fra min mobiltelefons browser, som ikke har java.

Men det er nok slut efter NemID - så kan man ikke bruge browsere uden java. :(

  • 0
  • 0
#22 Thomas Vedel

Jeg er også Jyske Bank kunde, og kan godt lide systemet med både adgangskode og kodekort. Men det irriterer mit blodtryk, at man bliver tvunget til at indtaste ny kode fra kodekortet hver gang man vil gennemføre en transaktion, hvis man vil lave flere transaktioner i samme session.

Jeg er godt klar over at det er for at forhindre uvedkommende kan gøre skade, hvis man har glemt at logge af netbanken. Men i forvejen timer en session ud efter 10 minutter, og jeg synes det er formynderisk ikke at give brugerne mulighed for at vælge at et indtastet sæt koder skal gælde hele sessionen, hvis man kører på en pc som ikke er placeret i det offentlige rum.

  • 0
  • 0
#23 Michael Degn

Hej Thomas,

Jeg har Sydbank, og som jeg har kunnet læse mig frem til så bruger både Jyske Bank og Sydbank samme løsning med nøglekort. Når jeg f.eks. laver transaktioner kan jeg sætte dem i kø og godkende dem samlet til sidst og derved kun bruge en nøgle. Har du ikke samme mulighed?

  • 0
  • 0
Log ind eller Opret konto for at kommentere