Ny sikkerhedsbrist: Banker logger ikke kunder af efter NemID-login

Tjekker du netbank på en fremmed computer uden at lukke hele browseren ned bagefter, kan andre få adgang. Både Eik Bank og Lån & Spar er ramt af sikkerhedsbristen.

Med NemID kan du logge på netbank fra alle computere, lyder reklametrommerne fra DanID. Men gør man det, som kunde i Eik Bank eller Lån & Spar Bank, skal man passe på.

Lukker man ikke hele browseren ned efter et besøg, men kun det faneblad, man brugte, har andre nemlig adgang til ens bankkonti bagefter. Det skriver Politiken.

Psykoterapeut Mark Colclough opdagede sikkerhedsproblemet og fortalte avisen om det. Han er kunde i de to banker og bruger med det nye NemID-login tit offentlige eller lånte computere til sine banksager. Men så opdagede han, at en person, der overtog computeren og browseren, havde fuld adgang til hans netbank blot ved at åbne et nyt faneblad med netbankens forside og trykke 'log på'. Man bliver ikke afkrævet brugernavn, kodeord eller engangskode, fordi man stadig optræder som logget ind, selvom fanebladet fra første besøg blev lukket.

Andre kan dermed få adgang til at se oplysninger om saldo og brevveksling med banken, mens det dog kræver password at flytte penge rundt.

Problemet med adgang for andre brugere af computeren opstår både i Chrome 6 og Internet Explorer 8 hos Lån & Spar Bank, mens Eik Bank kun har samme sikkerhedsbrist i Chrome og ikke i Internet Explorer, forklarer psykoterapeuten. Der er ingen forskel på, om man bruger NemID eller den tidligere login-metode.

Mark Colclough vil nu være meget omhyggelig med at lukke browseren helt ned, når han har lånt andres computere til at ordne bankforretninger, fortæller han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Svend Eriksen

For det første kunne jeg aldrig drømme om at anvende netbank på en anden computer end min egen. For det andet ville jeg stensikkert sørge for at logge af selv når jeg var færdig med at bruge min netbank, hvis jeg af en eller anden grund var tvunget til at bruge den på en offentlig computer.

Folk er også selv ansvarlige for deres egen sikkerhed. Man kan jo heller ikke bebrejde dankortet for at være usikkert fordi man kan glemme sit dankort i en hæveautomat.

  • 0
  • 0
#2 Kristian Larsen

Nu er hele argumentet for det der fantastiske NemID papkort jo primært at du ikke er låst til 1 maskine og argumentet for den defekte sikkerhedsmodel at det skulle være NEMT fordi folk er FOR DUMME til den rigtige model. Mao. med de forudsætninger man har givet ift. NemID er det her klart en sikkerhedsbrist og det er helt rimeligt at brokke sig.

  • 0
  • 0
#3 Jes Andersen

Det er faktisk et af de to steder hvor private browsing giver mening.

Den anden er når en anden person lige skal tjekke mail på ens computer og gerne vil logge ind på facebook, gmail etc uden at logge nogen ud.

  • 0
  • 0
#5 Anonym

Jeg mener ikke at det er befordrende for en sund stillingtagen til NemId at man puster en masse problemer ud af proportioner.

Dette problem skyldes en fejl hos den konkrete serviceprovider og ikke NemId. Hvis en service provider accepterer en historisk credential til en senere transaktion, så er et serviceprovideren som begår en fejl. Her giver det adgang til bankdata, men det er et generelt problem i bankerne at deres systemer er pivåbne og kun fanger ikke- autoriserede overførsler.

Reglen i finansielle sammenhænge er generelt at man bør autorisere transaktionen, men ALDRIG personen (med antagelsen af at identifikation automatisk giver autorisation til at gennemføre overførsel - det er den største kilde til kriminalitet i verden i dag).

NemId er fejldesignet fra starten uden nogen form for fremtidsvision eller værdiskabelse for samfundet, dvs. kan ikke stoppes hurtigt nok, men det er ikke befordrende at forvirre situationen yderligere.

  • 0
  • 0
#6 Nick Nissen

Kan ikke rigtigt se at det har noget med NemID.

Hvis folk trykkede på log ud knappen ville der jo ikke være noget problem, det er fordi at browseren holder sessionen indtil browseren lukkes.

  • 0
  • 0
#7 Jonas Høgh

er er ingen forskel på, om man bruger NemID eller den tidligere login-metode.<<

Altså ikke noget at gøre med NemID.

Ved "den gamle metode" forstås, i hvert fald i Eik Banks tilfælde, login med nøglefil og password (analogt med den gamle digitale signatur). Det er derfor noget nyt, at netbanken kan anvendes fra en offentlig computer, undtagen for de, der medbringer nøglefilen på en USB-stick.

Men det er naturligvis bankernes ansvar at sørge for, at den (IMHO tåbelige) forudsætning for NemID, at den kan bruges på alle computere, er opfyldt af deres implementeringer.

  • 0
  • 0
#8 Deleted User

og det er det fordi man netop sælger varen med, at man kan tage den med alle steder hen - når man skal underskrive dokumenter i banken, hos ejendomsmægleren, advokat ect.

Når du sidder hos rådgiveren og har skrevet under - lukker du så alle de browservinduer som rådgiveren måtte have åben, for det er nemlig ikke nok at lukke det man var i - det var det i hvert fald ikke tidligere med den gamle digitale signatur, der skulle man lukke alle åbne sider ned før man var logget helt af!

Det er ikke sikkert og det er bare ikke godt nok. Samtidig tvinger man jo også mennesker, der ikke har egen pc til at gå i byen og skrive under, for man kan jo stort set ikke modtage noget fra banker og det offentlige mere uden at man skal kunne skrive under digitalt - og det bliver helt sikkert mere i fremtiden.

Tro det eller ej, der findes faktisk stadig en del mennesker, som ikke har egen pc og dermed heller ikke forstand på hvordan den virker - hvor er det nemt at snyde dem hvis ikke systemet man tvinger dem til at bruge er sikkert.

  • 0
  • 0
#9 Svend Andersen

For det første kunne jeg aldrig drømme om at anvende netbank på en anden computer end min egen.

Det er det, at N3mID lægger op til, at vi skal gøre.

For det andet ville jeg stensikkert sørge for at logge af selv når jeg var færdig med at bruge min netbank, hvis jeg af en eller anden grund var tvunget til at bruge den på en offentlig computer.

Men er du sikker på, at du virkelig bliver logget af systemet, blot fordi du trykker "log af"?

Folk er også selv ansvarlige for deres egen sikkerhed. Man kan jo heller ikke bebrejde dankortet for at være usikkert fordi man kan glemme sit dankort i en hæveautomat.

Der er da himmel til forskel. Brugeren lukker fanebladet ned, og væk er netbanken, men du er stadig logget på. Hvordan kan du forvente, at ikke it-kyndige skal kunne vide det? Som Mai skriver, lukker du hele browseren ned, og derved alle de aktive vinduer der er i brug for din sag, hvis du er til møde i banken eller hos advokaten?

Det er hjemmesidens ejermand, osom skal tage et ansvar.

  • 0
  • 0
#10 Peter Andersen

Vil "Private Browsing" aka "Porn Mode" Ctrl-Alt-P hjælpe i det her tilfælde?

Hvis jeg benytter en offentlig computer, f.eks bibliotekets, til noget som helst privat (webmail, netbank) - så booter jeg den om muligt bagefter. Biblioteket benytter så vidt jeg husker "DeepFreeze" - der sletter alt hvad brugeren har lavet.

  • 0
  • 0
#11 Jens Beltofte

EIK Bank får det nok aldrig fikset alligevel.... de bliver sandsyneligvis overtaget af staten pr. 1/10. Men de benytter standard netbanken fra BEC, så spørgsmålet er om problemet også eksisterer hos andre banker der benytter BEC's system.

  • 0
  • 0
#13 Ask Holme

Hvis man nærlæser interviewet hos politiken, så fremgår det ret klart at fejlen opstår fordi brugeren undlader at trykke på "log ud". Dvs. Brugeren forventer at systemet automatisk logger ham ud når han lukker fanebladet ned.

Men sådan er det altså såvidt jeg ved ingen internetapplikationer der fungere. Primært fordi alle baserer sig på cookies (som understøttelse af server-side-sessions) og cookies udløber når hele browseren, ikke fanebladet lukkes.

Man kan selvfølgelig mene at applikationer bør lave det sådan at man automatisk logges ud hvis man tilgår login siden, men omvendt ville rigtig mange brugere nok syntes at det var møj irriterende.

Helt ærligt så vil jeg mene at der er tale om en fejl 40 hos pågældende psykoterapeut - Der er aldrig nogen som er lovet at man blev sikret ved at lukke et faneblad og det bliver altså ikke en fejl bare fordi han har misforstået al tilgængelig information.

  • 0
  • 0
#14 Jens Beltofte

Interessant at han faktisk ikke har klikket log ud, men bare lukket fanen. Tidligere blev man automatisk logged ud af EIK Banks netbank hvis man havde været inaktiv i 15 minutter. Ved dog ikke om det er tilfældet efter de er gået over til NemID. Så de har i hvert fald tidligere forsøgt, at sikre sig mod at folk ikke logger rigtigt ud.

  • 0
  • 0
#19 Jarnis Bertelsen

For det første kunne jeg aldrig drømme om at anvende netbank på en anden computer end min egen.

Jeg har været ude for at være i udlandet og have brug for at kontakte min bankrådgiver. Hvis man er væk i længere tid og modtager elektroniske indbetalingskort, er det også praktisk at kunne logge ind og betale dem. Det er fint at være paranoid omkring sin netbank, men der er mange scenarier, hvor at kunne logge på netbanken fra en vilkårlig computer er en nice-på-grænsen-til-need-to-have feature.

  • 0
  • 0
Log ind eller Opret konto for at kommentere