Netbank-login uden NemID-papkort får høvl af it-sikkerhedschef

6. februar 2012 kl. 15:0549
Flere danske netbanker giver nu brugerne mulighed for at logge på uden at bruge NemID-papkortet. Det er en rigtig skidt fremgangsmåde, mener bestyrelsesmedlem i Dansk IT, der også er it-sikkerhedschef og formand for IT-Sikkerhedsrådet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da Ingrid Colding-Jørgensen forleden loggede på sin netbank, bemærkede hun, at NemID-papkortet ikke længere var nødvendigt. Med kun sit NemID-brugernavn og NemID-password kunne hun pludselig se alt fra CPR-nummer til de seneste træk på dankortet.

»Jeg blev oprigtigt overrasket over det og ringede med det samme til banken for at fortælle, at der måtte være noget galt,« fortæller Ingrid Colding-Jørgensen til Version2.

Som it-sikkerhedschef i GN Store Nord, bestyrelsesmedlem i Dansk IT og som formand for IT-Sikkerhedsrådet mente hun nok at vide, hvordan ændringer i it-sikkerhed burde håndteres, men banken kunne fortælle hende, at der skam ikke var tale om en fejl.

»Så var det, jeg for alvor begyndte at undre mig. Jeg ved godt, bankerne bruger samme setup på mobilen, og det er da også fint nok at give folk mulighed for at vælge sikkerhed fra – men banken skal ikke selv slå det fra som standard,« siger Ingrid Colding-Jørgensen til Version2.

Artiklen fortsætter efter annoncen

Bankernes argument for at sænke sikkerhedsniveauet er, at brugeren bliver bedt om en kode fra NemID-papkortet, så snart der skal overføres et beløb fra et sted til et andet, og at man derfor ikke kan tabe penge på den lavere sikkerhed.

Men det argument køber Ingrid Colding-Jørgensen ikke:

»De oplysninger, der er adgang til, kan bruges alle mulige andre steder. Med oplysninger om mit CPR-nummer, mit kontonummer og mit kundenummer i banken ved hånden kan du lave identitetstyveri og social engineering så let som ingenting,« siger Ingrid Colding-Jørgensen og giver selv opskriften på hvordan:

»Det er bare at ringe mig op og sige: 'Jeg kan se, du lige har købt nogle sutter online på babytorvet.dk. Desværre er vi kommet til at trække pengene to gange, så hvis du lige giver mig din kreditkort-oplysninger, skal jeg sørge for at tilbageføre beløbet'. Det løber mig koldt ned ad ryggen, for selv som it-sikkerhedskyndig kunne jeg sagtens være røget i den fælde,« siger Ingrid Colding-Jørgensen, der også har skrevet om problemet på Dansk IT's hjemmeside.

49 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
48
19. november 2016 kl. 00:16

Danske bank har jeg ikke oplevet har undladt nøgle fra nøglekortet

47
10. februar 2012 kl. 13:11

Min bank har også fjernet nøglekort funktionen, og er total ligeglade jvf flg: Kender I til banker der har beholdt nøglekortet? Der er mulighed for at erobre kunder...

Bankernes EDB Central (BEC) og dermed også BANKEN har i lighed med mange andre banker ændret logon til Netbank. Det betyder, at brugeren kun skal bruge sit Bruger-ID (Cpr-nr., NemID-nr. eller selvvalgt Bruger-ID) og adgangskode, når der logges på Netbank. Formålet er, at gøre det lettere og hurtigere for brugeren at logge på Netbank. Fremover behøver brugeren fx ikke sit NemID nøglekort for bare at se saldi o.lign.

Brugeren skal kun benytte nøglekortet ved første godkendelse. Det kan fx være når første betaling, første budgetpost, første betalingskuvert eller andet skal godkendes. Det kan også være, hvis brugeren skal viderestilles til e-Boks.

Når nøglekortet først har været i brug, vil efterfølgende godkendelser ske uden brug af nøglekort.

Da nøglekortet fortsat skal bruges – når der skal foretages en overførsel eller anden forpligtende transaktion – er det bankens opfattelse – at der ikke er ændret i den sikkerhed – som der tilbydes med NemID i Netbank.

39
7. februar 2012 kl. 12:17

Nu er hverken CPR-numemr eller kontonummer specielt hemmelige, da det er identifikationsnumre man uddeler som en naturlig del af en mængde transaktioner.

Jeg giver i hvert fald rask væk mit kontonummer til folk der skylder mig penge og betaler lige så vel lystigt skyldige beløb via min netbank hvor modtager vist kan se afsenderkontoen. Og CPR-nummeret bliver også lystigt delt ud til foreninger jeg er aktive i eller almennyttige foreninger jeg støtter.

41
7. februar 2012 kl. 13:03

Det man normalt forstår ved kreditkort oplysninger er ikke kontonummer og cprnummer.

46
7. februar 2012 kl. 15:11

Ingrid Colding-Jørgensen, hvis indlæg er skyld i hele debatten. Jeg er enig i at det er irrelevant som debatten har udviklet sig, men jeg undrede mig bare over at en IT kyndig kunne skrive sådan.

40
7. februar 2012 kl. 12:56

Adgang til e-Boks er selvfølgelig noget helt andet, da det stort set er en blanko-adgang til oplysninger af temlig forskellig karakter.

Men pointen er at det efter min mening er naturligt at arbejde med forskellige sikkerhedsniveauer for adgang til rene identifikationsoplysninger (CPR-nummer, kontonummer, kundenummer), transaktionsoplysninger og endelig til at foretage transaktioner.

Det første er stort set ligegyldigt, det andet er en ubahaglig krænkelse af mit privatliv, det tredje kan have direkte skadelige konseklvenser.

37
7. februar 2012 kl. 12:02

".........så hvis du lige giver mig din kreditkort-oplysninger, skal jeg sørge for at tilbageføre beløbet'. Det løber mig koldt ned ad ryggen, for selv som it-sikkerhedskyndig kunne jeg sagtens være røget i den fælde,« siger Ingrid Colding-Jørgensen"

Det lyder vanvittigt, at hun kunne bare drømme om, at udlevere kreditkort oplysningerne på anfordring af en ukendt.

36
7. februar 2012 kl. 11:01

Nu er det kun ca. 5 banker (bl.a. Danske Bank og Nordea) som selv driver deres netbank, resten kører enten på BECs eller SDCs webbank.

33
7. februar 2012 kl. 09:12

Er der nogen, der kender til banker, der stadig har bare lidt sikkerhed på netbanksfronten?

Netbank er en nødvendighed i et travlt liv, og der samles mere og mere via det, bl.a. e-boks som også nævnt i diskussionen hér, så endnu lavere sikkerhed med NemID (hvem havde troet det muligt...) er en deal-breaker for mig. Håber, der endnu findes banker med lidt sikkerhed derude.

38
7. februar 2012 kl. 12:09

Danske Bank afkræver dig en kode fra papkortet/nøgleviseren, når du logger på deres netbank.

31
7. februar 2012 kl. 08:14

Det behøver da slet ikke være så højteknologisk at finde CPR-numre. Bare rod i naboernes skraldespand - der er helt sikkert bid før man får set sig om. Numrene står jo alle steder - de er ikke en skid hemmelig - nemmelig.

30
7. februar 2012 kl. 06:33

Jeg synes det er en rigtig god idé at fjerne papkortet ved første login. Papkortet giver brugerne en falsk tryghed. NEMID er stadig ikke sikret ordentligt (fx mangler den private nøgle at være privat og JAVA giver stadig væsentlige sikkerhedshuller for alle der ikke er it-kyndige). Det er meget bedre at lære folk at tænke sig om og forholde sig til sikkerheden end at lulle folk i søvn og lade dem tro at blot fordi der er et gråt papkort så er man bedre sikret end kronjuvelerne. Lær folk at bruge hovedet: 1 - Brug aldrig den samme login (brugernavn og password) mere end ét sted. 2 - Læg mærke til sikkerhedscertifikater. 3 - Indtast aldrig dit password med mindre du ved hvem der modtager det.

34
7. februar 2012 kl. 10:01

Jeg synes det er en rigtig god idé at fjerne papkortet ved første login.

Fuldstændigt enig. Hvis folk kan komme så tæt på min computer at de kan installere en keylogger, har jeg betydeligt større problemer end at de kan tilgå min bankkonto - her vil jeg trods alt kunne sandsynliggøre hvad der er sket, og få rullet mine betalinger tilbage. Mht identitetstyveri ville jeg være meget mere bekymret for, at folk får fat i mine mails. Og de er kun beskyttet af et brugernavn og et password.

29
6. februar 2012 kl. 23:06

1 - Selvfølgelig bør banken ikke automatisk gøre dette, men bør blot give kunderne muligheden.

2 - Der er INGEN pointe i nemID koderne, når man logger på hjemmefra. Det er udelukkende til besvær.

Jeg logger udelukkende på netbank hjemmefra. Derfor er det komplet huld i hovedet, at jeg skal sidde og finde en kode på et latterligt papkort hver eneste gang.

NemID kunne selv have lavet det, så man havde en mulighed for, hjemmefra fra samme computer, ikke at skulle bruge en kode fra papkortet hver gang.

Før i tiden tjekkede jeg min netbank ofte. Nu gider jeg slet ikke, og der går ofte over en uge, fordi det bare er for besværligt.

Samtidig skal man nu også bruge det til f.eks. at spille lotto. Plus også til alt hvad der har med det offentlige at gøre, som eboks, skat, osv. Så får man hurtigt brugt sådan et kort. Sikke en gang spild på papir og porto, når de skal sende de kort.

Skal man lige tjekke sin eboks, sin skat, og netbank, og måske lige spille lotto, så er det 4 gange man skal gennem det login hysteri. De har selvfølgelig ikke lavet det, så man bare skal logge ind en gang, og derfra kan gå videre til de andre sider.

NemID er for meget besvær, i forhold til fordelene.

3 - Problemet med identitetstyveri har intet med dette at gøre. Det er en helt anden sag, hvor det virkelig problem er at visse myndigheder og firmaer, gør alt for lidt for at tjekke folks identitet. Et CPR nummer bør ikke bruges som om det var hemmeligt, for det er det ikke. Ingen skal kunne stjæle nogens identitet, bare fordi de har deres CPR nummer. Det giver for fanden da sig selv, da det er et nummer man går og vifter omkring sig overalt.

27
6. februar 2012 kl. 22:00

Det giver et muligt man-in-the-middle angreb lidt flere muligheder, at kunne starte en pap-løs session med banken og samtidig foregøgle offeret at vedkommende skal logge ind med kort. Om det har nogen praktisk betydning, kan jeg dog ikke bedømme.

Mvh Erik

26
6. februar 2012 kl. 21:47

Uden pap? Ja, jeg har det ikke selv fordi, jeg er talblind. Bare jeg skal taste koder ind for at tage købt software i brug, sveder jeg.

Jeg kan ikke engang mit eget telefonnummer! Så at taste meningsløse engangskoder- de vil aldrig blive rigtige i første hug.

Findes der en handikapvenlig NemID?

Mvh Tine

32
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 02/07/2012 - 08:38

Nej Tine, der findes ikke en handicap venlig version af NemID.

Du kan få en telefonløsning, så vidt jeg er bekendt, men kun hvis du er egentlig handicappet.

Gamle, handicappede, eller bare folk der er lidt tilbagestående over for IT, er man helt ligeglade med.

Der findes en alternativ metode til at identificerer, men den vil Staten ikke kigge på. Man vil kun kigge på hvad Finansrådet beslutter, uanset hvor usammenhængende det så end er. Det er Finansrådet der har magten i Danmark, ikke politikere. Det skal man bare indrette sig efter.

25
6. februar 2012 kl. 21:45

Altså - ikke hvis jeg går ind på eBoks direkte, men hvis jeg logger på min netbank, som ikke kræver NemID før jeg skal betale noget. Der kan jeg helt stille og roligt trykke "Start eboks", og så er jeg derinde. Meget bekvemt, men det giver så lige adgang til ENDNU flere personlige oplysninger.

24
6. februar 2012 kl. 21:40

Når man ikke kan leve op til reglerne for kvalificerede signaturer, så kan man jo forsøge at lave reglerne om:

Finansrådet tilslutter sig konklusionen om behovet for at revidere modellen for kvalificerede signaturer, ikke mindst fordi det er væsentligt for bankerne, at den danske regering arbejder frem imod et resultat, som sikrer, at Danmark kan bevare den infrastruktur, der allerede er opbygget omkring NemID, og som ikke bygger på kvalificerede certifikater i direktivets forstand.

Det er Finansrådets høringssvar til EU-Kommisionen om e-signatur i det digitale indre marked. Se: http://www.finansraadet.dk/politik/hoeringssvar/hoeringssvar/2011/eu-kommissionen-om-e-identifikation-og-e-signatur-i-det-digitale-indre-marked-.aspx

Ministeriets endelige konklusion er også ganske underholdende: Fordi Danmark har indført NemId som ikke overholder direktivet, så har direktivet ikke fungeret tilfredsstillende !!!

21
6. februar 2012 kl. 18:43

Hackeren smugler et stykke hjemmestrikket software ind på maskinen.

Programmet finder via foretrukne, oversigt over besøgte hjemmesider osv ud af hvilken bank vedkommende er kunde i.

Så ændres hosts filen til at besøg på www.nordea.dk bliver directed til www.myfavoritehackersite.com som har en kopi af nordea's site, keylogger delen sender så oplysningerne i realtid til en server og når man har user og pass så bruger man det til at logge ind på banken som kunden, så laver man hurtigt en overførsel til sin udenlandske cayman konto og beder om den korrekte NemId nøgle....

Når så visse af bankerne lader en lave flere transaktioner med een nøgle så er det nemt at køre på indtil kontoen bliver lukket.

Hvis man hellere vil så kan man bruge user/pass til at logge ind og aktivere OCES delen på folk's nemID og bruge den passende NemID papkort nøgle og når man er inde der så kan man lige lave adresseændring og få tilsendt et nyt pas, kørekort og et nyt PapID kort.

Summa summarum, systemet er nemt hackbart og vil man kun have folks user pass så man kan logge ind og lave social engineering med de oplysninger man får fra folks konti så kan man nu nøjes med en keylogger og vi er dermed tilbage ved square one.

Sjovt nok var Papkortet NemID's største selling point dengang de forklarede hvad det lige var vi skulle bruge lortet til....

Henrik Madsen

Ja når jeg tænker over det så behøver man jo ikke engang vide hvilken bank de har, man kan bare redirecte alle de banker man vil angribe til deres respektive hacker variant sider.

20
6. februar 2012 kl. 18:36

Det kan frygtes at man ikke er så kræsen med hvilke computere og i hvilke omgivelser man bruger sit nemID når man ikke logger rigtigt ind, men kun benytter sig af en læse rettighed.

Og det kan jo så føre til bedre forhold for de kriminelle.

17
6. februar 2012 kl. 17:38

Men langt mere besværligt.

Virkelig? Hele scenariet er jo allerede mega hypotetisk, hvis der er en keylogger, hvad så med screendumps?

Pointen jeg forsøger at komme frem til er at udgangspunktet i en keylogger installeret på systemet, allerede er gameover set i sikkerhedsøjemed.

NemID bliver aldrig en digital signatur. Uanset hvor meget der bygges på og bygges til bliver det aldrig en digital signatur.

Haha, ja det er jo svært at argumentere imod. Der ligger allerede public/private key i NemID, at DanID så pt. har den private kan man så diskutere det logiske i, men det ligger da i kortene at det bliver muligt.

Det sagde de til en konference om digital signatur i november, og DanID-direktøren forholdt sig også til det paradoksale i, at man kan logge på netbank uden papkort, men ikke på langt mere uskyldige tjenester.

Der er mange kræfter i NemID, et er hvad DanID-direktøren mener - noget andet er hvad bankerne mener.

18
6. februar 2012 kl. 18:00

Virkelig?

Ja, virkelig. Du har alt serveret på et sølvfad. Det bliver ikke nemmere.

Hele scenariet er jo allerede mega hypotetisk, hvis der er en keylogger,

Nej, det er ikke specielt hypotetisk - kun for den naive.

14
6. februar 2012 kl. 17:04

Hvis jeg nu skal på forældreintra, og ikke selv har PC, så går jeg på biblioteket. Der kan nemt være nogen der har sat en keylogger på, men det var jo ikke et rigtig stort problem, så længe man også skulle have papkortet....

Men nu kan keyloggeren så fange information hvor man kan gå ind og se på min netbank?

Det bør afgjort være noget brugeren aktivt skal vælge til!

13
6. februar 2012 kl. 16:55

Uden NemID er et identitetstyveri stadig muligt.

Men langt mere besværligt.

Digital Signatur blev desværre stadig udfaset til fordel for NemID uden signaturdelen klar.

NemID bliver aldrig en digital signatur. Uanset hvor meget der bygges på og bygges til bliver det aldrig en digital signatur.

12
6. februar 2012 kl. 16:45

Det er der ikke så meget gevinst i, som at lave et identitetstyveri. Og et identitetstyveri kræver blot de oplysninger der ligger frit tilgængelige på netbanken, selv når der ikke er brugt papkort.</p>
<p>Selv uden brug af nøglekort kan jeg se mit CPR-nummer, mit navn og min postadresse. Mere skal der ikke til for at stjæle min identitet.

Nej, men min pointe var at i det scenarie er sikkerheden allerede tabt, når keyloggeren er på systemet. Uden NemID er et identitetstyveri stadig muligt.

Vi er enige om at det nye tiltag er en forringelse af sikkerheden, men alle de scenarier jeg har læst indtil videre er ikke en konsekvens af det nye tiltag.

NemID er bare ikke en digital signatur. Det er et Single Sign On. Det og intet andet.

Ja, enig, det er desværre rigtig nok. Digital Signatur blev desværre stadig udfaset til fordel for NemID uden signaturdelen klar.

9
6. februar 2012 kl. 16:25

endnu en begmand til alle dem, der åd joken om at NemID konstruktionen havde til formål at øge sikkerheden for brugerne. Hvis det havde været tilfældet, var det nok lavet på en anden måde (læs: på den rigtige måde).

5
6. februar 2012 kl. 15:55

»De oplysninger, der er adgang til, kan bruges alle mulige andre steder. Med oplysninger om mit CPR-nummer, mit kontonummer og mit kundenummer i banken ved hånden, kan du lave identitetstyveri og social engineering så let som ingenting,« siger Ingrid Colding-Jørgensen og giver selv opskriften på hvordan.

Og hvordan ville hun få fat i de oplysninger? For at få dem via netbanken skal "hackeren" have følgende:

  • hendes selvvalgte brugerid, hendes cpr nummer eller nemid nummer.
  • hendes adgangskode.

Det mest plausible er i hendes tilfælde nok at hackeren har det selvvalgte brugerid og adgangskoden. Når hackeren allerede har de 2 oplysninger er spillet tabt. Hvad har hackeren så ikke? Hendes private emailadresse via nemid portalen og hvad ellers?

Version2 har da tydeligvis en agenda her, men lad os nu lige få lidt saglighed på banen.

7
6. februar 2012 kl. 16:08

Pointen er jo at bankerne fandt på nemid fordi de antager at brugerens pc ikke er sikker. Hvis man køber den antagelse, burde det ikke give mening at logge folk ind uden oplysninger fra pap-kortet, så jeg er enig med Michael Thomsen i et og alt.

8
6. februar 2012 kl. 16:16

En keylogger på maskinen, så er de oplysninger hjemme. Dernæst er det bare at logge ind uden papkort, så er alle økonomiske oplysninger til rådighed. Det kan der laves et kæmpemæssigt scam på.

Fint scenarie, men hvad har hackeren så ellers ikke haft snuset sig frem til med keyloggeren? Kontonumre, arbejdsmails kodeord osv osv.

Pointen er jo at bankerne fandt på nemid fordi de antager at brugerens pc ikke er sikker. Hvis man køber den antagelse, burde det ikke give mening at logge folk ind uden oplysninger fra pap-kortet, så jeg er enig med Michael Thomsen i et og alt.

Det synes jeg er misvisende. NemID blev frem for alt lanceret for at samle digital signatur og netbank logon og derved gøre det lettere for brugeren at logge på offentlige tjenester og netbank.

23
Indsendt af Thomas Hansen (ikke efterprøvet) den man, 02/06/2012 - 19:06

Som Kai Birger Nielsen skriver, giver et ingen mening, at man først laver pap-kort løsningen, og senere helt selv undlader at benytte den.

@ Preben Andersen. Derfor giver dit svar til Kai Birger Nielsen heller ikke nogen mening. Om NemID anvendes til logon det ene eller det andet sted, er helt underordnet. Systemet er bygget op omkring en procedure, der skal overholdes, for at systemet fungerer. Så hjælper det ikke, at man vælger en del af proceduren fra, når det anvendes i forbindelse med f.eks. Bank forretning. Springer man ud af procedure, så underminerer man sikkerheden af hele NemID systemet.

For mig at se, fremgår det tydeligt, at NemID udelukkende er til for at beskytte Netz, altså finanssektoren, i mod at andre aktører frit kan drive forretning på det marked der hører under Dansk lov.

Der er ikke tale om at man vil sikre identifikationen af den enkelte bruger, eller på anden måde vil tilgodese brugernes retsstilling. Man er udelukkende ude efter at sikre et finansmarked. Man ønsker ikke engang at benytte den sikkerhed der er i NemID systemet.

Tilbage står brugerne, uden nogen væsentlig sikkerhed, og Staten, med en finanssektor, som underminerer det system, som Staten har betalt for at få udviklet. For ikke at snakke om alle andre private virksomheder, der fortsat ikke kan beskytte sig mod identitetstyve og andre svindlere.

De er helt som forventet. En ny POL-litisk skandale under opsejling. Springer som troll op af en æske, så snart der er kommet en ny regering.

Det er ikke kun Ingrid Colding-Jørgensen, der bør være bekymret. Der er en he del politikere, der bør tænke alvorligt over, om det Digitale Samfund, har det rigtige grundlag at bygge på. Allerede nu, er der over 120.000 identitetstyverier bare inden for det sidste år. Det beskytter NemID ikke imod. NemID beskytter KUN et finansmarked, intet andet.

10
6. februar 2012 kl. 16:25

Fint scenarie, men hvad har hackeren så ellers ikke haft snuset sig frem til med keyloggeren? Kontonumre, arbejdsmails kodeord osv osv.

Det er der ikke så meget gevinst i, som at lave et identitetstyveri. Og et identitetstyveri kræver blot de oplysninger der ligger frit tilgængelige på netbanken, selv når der ikke er brugt papkort.

Selv uden brug af nøglekort kan jeg se mit CPR-nummer, mit navn og min postadresse. Mere skal der ikke til for at stjæle min identitet.

3
6. februar 2012 kl. 15:37

Hvor er det godt, at der endelig kommer fokus på dette problem. Jeg har længe forsøgt at overbevise Lån&Spar (som var den første, der udsatte mig for dette) om at det er en skidt ide; men de var og er fuldstændig ligeglade, og det er tilsyneladende IKKE noget jeg som kunde har mulighed for at slå til igen.

På det seneste ser det ud til at rigtig mange andre banker også er begyndt på det samme stunt.

Der er dog een ting i det nuværende setup, som er endnu værre: Når man først har godkendt den første betaling skal man ikke bruge pap-kortet mere, nu kan man overføre penge udelukkende med kodeordet!

35
7. februar 2012 kl. 10:59

Jeg er også LSB kunde, jeg er faktisk godt tilfreds med at jeg kan logge på uden at bruge mit papkort/token. Men nok ok det

Der er dog een ting i det nuværende setup, som er endnu værre: Når man først har godkendt den første betaling skal man ikke bruge pap-kortet mere, nu kan man overføre penge udelukkende med kodeordet!

Når jeg logger på uden at bruge papkortet, så får jeg ikke lov til at lave mere end én transaktion per kode jeg indtaster. Er du sikker på at du ikke har logget på med papkortet da du observerede den opførsel?

4
6. februar 2012 kl. 15:51

Jeg har længe forsøgt at overbevise Lån&Spar (som var den første, der udsatte mig for dette) om at det er en skidt ide; men de var og er fuldstændig ligeglade, og det er tilsyneladende IKKE noget jeg som kunde har mulighed for at slå til igen.

Bemærk at de ting som sikkerheden bliver sænket for er oplysninger, og ikke penge som banken skal erstatte. Det tror jeg ikke er noget tilfælde :).

Nykredit har altid tilladt login uden token, for resten. Hvorfra man så kunne få adgang til sin e-boks uden at logge ind igen.

Så længe at brugeren har mulighed for at vælge det til/fra, så synes jeg egenligt at at det er fint nok - så er det jo brugeren selv som kan afveje risiko vs besvær.

2
6. februar 2012 kl. 15:36

Når lavinen skal rulle, kan den lige så godt rulle ordenligt!

1
Indsendt af Thomas Hansen (ikke efterprøvet) den man, 02/06/2012 - 15:21

Som om, vi ikke har diskuteret den ringe sikkerhed omkring NemID nok, her på V2.

Nu underminerer Bankerne også NemID, på noget så basalt som sikkerheden.

Hvad skulle Netz / DanID overhovedet ind i den løsning for, hvis ikke de selv holder sig til deres egen løsning.

Er der tale om endnu en POL-itisk sag, der er under opsejling, eller er der vilje til at løse opgaven, inden det løber helt af sporet ?