Malware-ekspert: Her er et sikkert netbank-login

Det er for besværligt.

Man bliver nød til at tænke på, om problemet er stort nok til at det er besværet værd, at undgå problemet.

Det er i øvrigt en del mere end 10 sekunder ekstra, at det tager at bruge den metode.

Det er ikke besværet værd, men det ville være fint at give folk muligheden for at vælge.

Hvad med at kigge til Sverige? Nordea bruger en kortlæser til login og netbetalinger. Password eller PIN-kode skal dermed ikke indtastes online (= sikkert?). SEB bruger en "kortlæser" uden kort, idet læseren programmeres med en kode, der ikke behøver at være betalingskortets PIN-kode. Igen ingen online indtastning af password. Læserne er nemme at have med i tasken eller lommen, og man behøver ingen (synlige) nøglekoder trykt på et A4-ark, der heller ikke er så nemt at gå rundt med.

I saxo privatbank, har de kun 2 flade password som man kan bruge fra hvilken som helst platform, håber det bliver bedre på det nye website.https://investering.saxoprivatbank.dk/default.asp

Jeg har en (fra en Belgisk Bank) som jeg skal holde op mod PC-skærmen. Skærmen sender challenge som en slags optisk morse-kode via en lille java-app, så jeg skal kun indtaste pin-kode i dimsen og response i web-browseren. Den virker fint!

Jeg er desværre ikke meget inde i betalingskortsikkerhed. Men jeg kender til "lommeregner" sikkerhedsmodellen fra Holland, hvor både Rabobank og ABN Ambro bruger den type sikkerhed. Det der umiddelbart slår mig ved den model er, at lommeregneren, som naturligvis ikke er online, beder om pinkode, og kan læse på kortet om pinkoden er korrekt. Den kan også spærre kortet ved tre forkert forsøg. Det kan være jeg tager fejl, men kan man så ikke også læse den korrekte pinkode på kortet? Er dankortet herhjemme opbygget på samme måde? Det virker helt åndsvagt, hvis ikke at pinkode informationen kun ligger hos Nets.

Det minder mig om den jeg havde fra Danske Bank, før de gik over til det der nemID. Deres løsning var ca. dobbelt så tyk som et NemID papkort, men passede stadig i pungen. Og så skulle du købe batteri til den ca hvert 2. år.

Og det er nok den mest sikrer løsning der er til identifikation, og den er lidt så let at bruge som et pap kort.

På Netbank området er Danmark et uland i forhold til Slovakiet.

Men allright, i Danmark er kasselinien i supermarkedet også betjent af en kassedame, i modsætning til f.eks Slovenien hvor de fleste supermarkeder har indført at man selv bipper varerne og betaler med kontanter eller kort.

På den måde kan én medarbejder holde "ild" i 4 kasser og der er altid mindst 4 kasser åbent i supermarkedet hvilket = nærmest ingen kø.

Dette på trods af at man nok kunne få 4 kassedamer i Slovenien til samme pris som én i Danmark.

Oh well, vi er vist ikke så langt fremme som vi selv går og tror.

Jeg har prøvet en terminal der ikke fylder mere end et almindeligt kreditkort. God sikkerhed behøver ikke betyde at vi skal have en kæmpe klodset terminal. Det system jeg prøvede fylder i virkligheden mindre end NemID!

Det kan også laves smartere end beskrevet. Kontonummer og beløb kan overføres til terminalen med en QR kode og indbygget sensor (kamera) i terminalen. Så viser terminalen "Overfør kr. X,XX til konto Y?" ud fra oplysninger gemt i QR koden.

En sådan terminal er sikkert nok dyrere i indkøb end et papkort. Særligt hvis man er en organisation der er vandt til at håndtere storskala udskrifter (banker der sende kontoudtog med mere). NemID er lavet så det passer ind i de teknologier bankerne allerede bruger, hvorfor en NemID aktivering ligner et dankort aktivering på en prik.

Hvis man skal bruge 5 millioner terminaler så kan man forhandle nogle rigtig gode priser på plads. Terminalerne kan forventes at holde længere end papkortet, der jo skal udskiftes når alle koderne er opbrugt.

Med forbehold for at DanID kan få en mobilløsning til at koste 100 millioner kroner, så burde en ordentlig terminalbaseret løsning ikke være uoverskueligt meget dyrere end den eksisterende papkortsløsning.

Hvis man nu blot kombinerede OTP løsningen med en kode vist på skærmen, og en SMS sendt til eens telefon, hvorefter man selv skulle sammenligne indholdet, så ville man være kommet langt.

MITM ville ikke være umuligt, men mange mange gange sværere.

At kunne vælge mellem flere løsninger er nok det bedste. Det han vel mener med single-point-of-contact er at man kun skal hacke et system, så hacker man hele Danmark. Det betyder at det virkeligt kan betale sig at lægge kræfter i at knække nemid. Problematisk er det for mig at se også at den samme kode giver adgang til flere ting, det vil sige at der er større risici for at dele af koden aflures. Mange herunder mig selv bruger jo de samme password flere steder fordi det er umuligt at vælge et unikt hver sted.

Men password til min PayPal bruges kun der. Og jeg ville hellere end gerne kun bruge mit netbank password i netbanken og ingen andre steder.

Da jeg for et års tid siden skrev om Mit netbank-design! var jeg lidt inde på samme løsning:

Egentlig ville jeg gerne have en digital signatur der dækkede hele transaktionen: Et tidspunkt, et fortløbende transaktions-id og for pengeoverførelse et beløb en afsender-konto og en modtager-konto. Selvfølgelig foretaget af en ekstern enhed der ikke kunne angribes på sammen måde som en normal desktop computer.

Og ligeledes at det må være muligt for banken at lave en differentieret service:

Men den får vi nok ikke lige den normale kunde med på, men lad os ikke forfalde til laveste fællesnævner. Giv kunderne flere muligheder: Stol på bankens webapp, autoriser modtageren eller autoriser hele transaktionen. Hvilket niveau af sikkerhed en kunder kræver kan så afgøres som en del af rollesystemet.

Jeg kan rigtig godt lide, at beløbet er en del af koden. Det reducerer risikoen for et man-in-the middle angreb betragteligt.

Bemærkningen om "single point of contact", er lige i øjet.