Nets på vej med to-faktor-autentifikation af Dankort-køb på nettet

Illustration: leowolfert/Bigstock
En engangskode sendt på SMS skal forbedre sikkerheden, når danskerne handler på nettet. Det bliver dog frivilligt, om butikkerne vil benytte den.

De fleste har prøvet det, når de har benyttet deres betalingskort til særligt store handler: De er blevet bedt om at opgive et telefonnummer og har modtaget en engangskode på sms, som efterfølgende skal indtastes, inden betalingen godkendes.

Hos Visa hedder det system 3D Secure, og Visa har selv udbudt det, ligesom det gælder andre af de store kortselskaber.

Den type to-faktor-autentifikation findes derimod ikke til at validere Dankort-handler herhjemme, men det ændrer Nets på i løbet af de kommende måneder.

Den nøjagtige dato for introduktionen er ifølge Kasper Kock Kristensen, vicedirektør i Nets med ansvar for misbrugsovervågning, endnu ikke planlagt, men det bliver i år.

»Men på det danske marked bliver vi en aktiv spiller i forhold til at skubbe det ud på markedet,« fastslår han.

To-faktor-autentifikation med engangskoder er en af metoderne til at bekæmpe svindel med betalingskort på internet. De systemer, som findes i dag, bliver ikke udbudt af Nets, men af kortselskaberne selv.

Engangskoder på sms har ikke haft første prioritet hos Nets, fordi misbruget på netop Dankort ikke har været stigende, sådan som det var tilfældet med Visa og andre internationale betalingskort.

Her har automatiseret software gjort de it-kriminelle i stand til at gennemføre over 100 transaktioner, der hver især ligner legitime indkøb, på få sekunder og dermed lænse kortene.

Der er i dag intet system i, hvilke transaktioner der kræver engangskode. Det skyldes, at det alene er op til de internationale butikker at vælge systemet til. Sådan bliver det også for Dankort-betalinger med to-faktor-autentifikation.

For det første er der en oprettelsesudgift og en transaktionsafgift. Prisen er dog ikke nødvendigvis årsagen til, at mange netbutikker fravælger engangskoden.

For de fleste vedkommende handler det mere om at gøre det så enkelt for kunden som muligt at effektuere købet af de varer, der ligger i den virtuelle indkøbskurv. Mange butikker går i modsat retning og gemmer kundernes kortoplysninger, også selv om det øger risikoen for tab.

Med to-faktor-autentifikation hæfter butikken ikke selv for noget tab. Til gengæld er Kaspar Kock Kristensen bevidst om, at det bliver lidt mere besværligt for en kortholder at handle på nettet, men han påpeger, at det EU arbejder på at gøre det til et krav på alle større handler på internet, både med Dankort og internationale kort.

Fagmand: Engangskoder bør altid bruges ved større handler

Betalingskorteksperten Henning N. Jensen, der driver firmaet Pluscon, forudser en diskussion i detailhandlen om engangskoderne.

»Kun de forretninger, som har tab, vil indføre det frivilligt. Men så lærer folk ikke at bruge det, og hvis det skal have succes, er det bedst, at det bliver naturligt i forbindelse med al nethandel over et vist beløb,« siger han.

Ifølge Henning N. Jensen handler det for Nets om at undgå, at danske betalingskort bliver attraktive på det internationale marked for it-kriminalitet.

»Brugerne må acceptere, at de har et betalingsmiddel i hånden, som er anvendeligt af svindlere fra hele verden,« siger han for at understrege vigtigheden af at sikre også rent danske transaktioner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Müller

Typisk vil banken tilbagebetale beløbet til din konto, og så vil det være butikken der står og mangler pengene for de produkter de har sendt. Så det giver god mening at det er dem der kan bestemme om de vil benytte engangskoderne.

Peter Makholm Blogger

Grundlæggende er det forkert at adgangen til vores økonomi i den grad er baseret på "noget jeg har" og endda i et vist omfang overlader til andre, hvad end vi taler om tjeneren på en restaurant eller bare blindt taster ind på en webshop.

Det gør det heler ikke bedre at levetiden for et token er et par år, med mindre vi helt arbitrært får lukket kortet – men hvis vi selv ønsker et nyt kort så skal der betales dummebøder.

Istedet for at løse dette ved at overføre en engangskode uden om kortbetalingen, så få dog udskiftet hele kortnummeret med noget mere dynamisk.

Til internethandel bør det være muligt at man gennem en app eller ens netbank kan indtaste et beløb og så få udstedt et kortnummer der kan bruges til en overførelse af netop dette beløb. Skal jeg ud at rejse bør det være let at få udstedt et kort med et begrænset beløb, som så til gengæld ikke kan spærres automatisk.

Dette vil give forbrugeren magten til at beskytte sig mod snyd – frem for at skulle være afhængig af at butikkerne indføre en valgfri ordning.

Christian Nobel

Er det ikke kortholderen der får lov til at bestemme? Ja undskyld mig, men er det ikke deres konto som bliver lænset?

Fordi "kunden" ingen rettigheder har!

Off topic: Jeg er har indtil ny styret ganske udmærket uden om det såkaldte NemID, og jeg føler heller ikke at min post skal gennem en central webmail der er kontrolleret af NSA, så jeg har ikke "digital post" eller E-boks.

Nå, men på min seneste betalingsoversigt fra PBS, som klarer de fleste af mine betalinger, så ser jeg at fra Tryg er der pludselig lagt et "EJ DIGITAL POST" gebyr på 75 kr. flere af forsikringerne - jeg ringer og spørger hvad nu det er for noget fis, for det eneste post jeg modtager fra Tryg er stort set årsoversigten og diverse spam reklamer.

Tryg påstår så, at det er et gebyr når man ikke modtager deres skrivelser i E-boks, fastlagt fordi Pest Danmark har sat priserne op - og jeg kan jo ikke bare modtage det som almindelig mail!

Jeg er ved at være så træt af dette lorteland, hvor man som borger umyndiggøres og behandles som vildt, der kan jages hele året rundt (eller rettere ens pung kan tømmes) - så godt nok påstod Sander at det var frivilligt, men da den reelle magt her i landet ligger hos bankerne og forsikringsselskaberne, så kan man vælge mellem pest eller kolera, og man betaler en høj pris uagtet hvad.

Samtidig så gisper Pest Danmark, så der går sikkert ikke lang tid før de får nødhjælp fra staten - så skæbnens ironi er at staten skal "spare" på portoen, og så yde de sammen penge et andet sted.

Jeg bliver så træt, så træt.

Gert Madsen

Tryg påstår så, at det er et gebyr når man ikke modtager deres skrivelser i E-boks,


Ja, det var den forrige borgerlige regering, som fjernede kravet om at et gebyr skulle være omkostningsbestemt.
Det er derfor at et brev, som man kan udskrive og kuvertere for 1 kr., nu kan udløse et gebyr på 50,-. Godt nok er portoen steget, men. . .

Jeg spekulerer på om Finanskartellet har været i gang med endnu en sviner. Jeg har lige modtaget et brev fra alm. Brand, som ville have en mail-adresse, for at kunne sende besked om at der var kommet post et ikke nærmere specificeret sted, formodentlig E-boks.
De var så så uforskammede at skrive at de ikke KUNNE give besked.
Et forsikringsselskab, som lyver, for at undgå at skrive at de ikke GIDER give besked.

Er der nogen, som kender et godt forsikringsselskab ?

Anne-Marie Krogsbøll

Folketinget 2. behandler i dag L 119 om "Forslag til lov om supplerende bestemmelser til forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked."
"Resumé
Lovforslaget er et supplement til forordningen om elektronisk identifikation og tillidstjenester (eIDAS-forordningen), som blev vedtaget i 2014 og træder i kraft den 1. juli 2016. eIDAS-forordningen regulerer forholdene for alle tillidstjenesteudbydere, herunder udstedere af elektroniske signaturer som Nets DanID.
Forslaget ophæver den eksisterende lovgivning på området og indeholder bl.a. bestemmelser om at udpege Digitaliseringsstyrelsen som tilsynsorgan for at sikre overholdelse af eIDAS-forordningen og de øvrige bestemmelser, der tilføjes med lovforslaget.
Forslaget giver derudover bemyndigelse til at fastsætte nærmere regler om sikkerhedskrav til tillidstjenesteudbydere og til at fastsætte yderligere bestemmelser om Digitaliseringsstyrelsens tilsyn med tillidstjenesteudbyderne, bl.a. indholdet af de rapporter, som tillidstjenesteudbyderne skal aflægge.
Forslaget indeholder desuden en særlig tavshedspligt for de persongrupper, der beskæftiger sig med at føre tilsyn hos tillidstjenesteudbyderne, og sanktionerer overtrædelse af visse bestemmelser i eIDAS-forordningen.
Loven skal træde i kraft den 1. juli 2016."

Har dette lovforslag relevans i forhold til Nets' satsning på 2-faktor autentifikation?
Er lovforslaget en styrkelse af sikkerheden - eller er det en svækkelse, at man, så vidt jeg kan se, lægger mere bemyndigelse over til Digitaliseringsstyrelsen?

http://www.ft.dk/samling/20151/lovforslag/l119/index.htm

Christian Nobel

Er lovforslaget en styrkelse af sikkerheden - eller er det en svækkelse,

Som jeg ser det er det en klar svækkelse, for der skrives:

Forslaget ophæver den eksisterende lovgivning på området

På den måde får man meget behændigt lovliggjort NemID, da man hermed endegyldigt har reddet sig ud af passusen om at nøglen skal være under brugerens kontrol.

Endnu et skred i den forkerte retning, og endnu mere magt til Danmarks farligste mand, aka. Lars Frelle-Petersen.

Log ind eller Opret konto for at kommentere