NemID-koder gemt på telefonen ødelægger netbank-sikkerheden

27 kommentarer.  Hop til debatten
NemID-koder gemt på telefonen ødelægger netbank-sikkerheden
Illustration: Privatfoto.
Hvis man gemmer sine NemID-engangskoder på sin smartphone, smuldrer sikkerheden. Alligevel downloader danskerne applikationer til netop at gemme papirkoderne digitalt.
3. maj 2011 kl. 10:54
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Et papkort er for besværligt ? jeg tager da bare et billede af engangskoderne med min smartphone, så jeg altid har dem ved hånden.

Sådan tænker nogle af NemID-brugerne, til trods for at det er lodret imod reglerne at digitalisere de analoge papkort. Hele ideen med at have engangskoderne på papir er nemlig, at de skal være helt adskilt fra brugerens computer og smartphone.

Alligevel er applikationer, som er udviklet kun til at gemme koderne på en smartphone, blevet populære, og det går ud over sikkerheden. Det skriver Børsen.

I takt med at alle danske banker med respekt for sig selv har udviklet en mobil-applikation for netbank, kan en stjålen mobiltelefon være en gave til en it-kriminel, hvis også engangskoderne følger med på telefonen. Dermed er der typisk kun det selvvalgte kodeord tilbage mellem hackeren og fri adgang til netbanken ? afhængigt af hvilken sikkerhedsmodel, banken har valgt.

Artiklen fortsætter efter annoncen

Selv uden digitalisering af engangskoderne kan en stjålen dametaske med både mobiltelefon og pung give hackere for let spil, mener sikkerhedsekspert Ulf Munkedal fra Fort Consult.

Papkortet med koder bliver nemlig ofte opbevaret i pungen, hvor man også har sygesikringskort med CPR-nummer, og dermed har tyven to af de tre oplysninger, der skal til for at logge ind med NemID.

Hans råd er, at man beskytter sin smartphone med adgangskode, og sørger for ikke at opbevare sine NemID-engangskoder samme sted som sin telefon.

27 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
3. maj 2011 kl. 11:15

Papkortet med koder bliver nemlig ofte opbevaret i pungen, hvor man også har sygesikringskort med CPR-nummer, og dermed har tyven to af de tre oplysninger, der skal til for at logge ind med NemID.

Det er muligt at deaktivere CPR login, så der i stedet skal anvendes et selvvalgt brugernavn. Det bruger jeg. Måske kun et lille løft i sikkerheden, men trods alt...

1
3. maj 2011 kl. 11:13

Altså bortset fra det SKRIGENDE INDLYSENDE i at det er dumt at opbevare koderne fra papkortet på den måde, så er der (så vidt jeg ved) ikke nogen af de netbank-apps der faktisk bruger nemid. Ét er at Børsen skriver den slags nonsens men at V2 så kopierer artiklen er lidt sølle...

11
3. maj 2011 kl. 12:08

Jyskebank netbank app til Android bruger en mobil kode til alt det basale som at se konti osv. Hvis man vil betale regninger, overføre penge osv. så skal man bruge NemID også.

12
3. maj 2011 kl. 12:12

Var det ikke noget med, at den kom til sommer? Så kan de jo skrotte papkortene ved samme lejlighed.

3
3. maj 2011 kl. 11:18

Hvad mener du med "ikke nogen af de netbank-apps der faktisk bruger nemid." Altså danske banks mobil app bruger cpr/nemId nummer + en mobil service kode i stedet for nemID passwordet + engangs koder fra nemID pap kortet. Så jo. Pap koderne er i brug på bankernes mobil apps.

9
3. maj 2011 kl. 11:33

Vi render rundt med et Visa-kort, med hvilket man kan købe ting i vores navn tusindvis af steder. Vi har dumme passwords, eller det samme i brug nærmest alle steder. Vi har vores papkort i samme lomme, pung eller taske som mobiltelefonen. Vores computer og telefon husker vores passwords, og har rigelig anden information på os.

Den fysiske opdeling af korrekte responser, og den enhed med hvilken man logger på, er i princippet fin - begge skal stjæles for at man kommer nogen vegne.

Men folk vælger selv mellem nemhed og sikkerhed. Den fysiske adskillelse virker kun hvis den opretholdes af brugeren, og det gør den ikke. Men irritationsmomentet at skulle bruge kortet (som, npr det opbevares sammen med mobilen ingen ekstra sikkerhed giver!), betyder at folk vælger det simple eller velkendte password.

Hvis din metode ikke tvinger folk til bedre sikkerhed (og det gør denne ikke), så har du ikke vundet noget ved at tvinge den ned over folks hoveder. Stil hellere arbitrære, tilfældige krav til folks kodeord, så det bliver nødt til at være nyt og stærkt. Og lad mig så for fanden gemme mine koder på samme app som jeg logger ind med; forskellen i sikkerhed er neglicibelt (men det skal vel sælges som sær-service senere).

PS: Og, ligesom Visa-kort mm. ligger den bedste sikkerhed jo i at man kan lukke kortet, så snart det forsvinder. Det samme kan man efterhånden med mobilen selv.

6
3. maj 2011 kl. 11:29

Det gør min bank ikke - jeg skal aktivere "mobilbank" i netbanken hvorefter jeg med mit cprnummer og en forvalgt 4 cifret pinkode har adgang til min netbank fra mobilen (en Android app)...