Skarp kritik af dansk netbank-sikkerhed

I samtlige indbrud i danske netbanker i 2007 har kunderne haft en nøglefil på pc'en i stedet for en separat nøgleenhed som en token med engangskodeord eller nøglekort. Eksperter kritiserer bankerne for at spare på sikkerheden.

Alle bankkunder, der i 2007 fik ubudne gæster i netbanken, har haft en løsning, der har bestået af kombinationen af en nøglefil på computeren og et password.

Problemet med ovenstående løsning kan være, at hvis en hacker tiltvinger sig adgang til en klient-pc, så har han eller hun også adgang til nøglen samtidig med, at det er muligt at opsnappe et password via keylogging.

Bedre sikkerhedsløsninger findes. De rummer en nøgle, der fysisk set er adskilt fra computeren ? eksempelvis et nøglekort eller en token, der løbende opdateres med engangskodeord. Nogle banker tilbyder allerede disse sikkerhedsløsninger helt eller delvist, men nøglefilerne er stadig de mest udbredte.

Og nøglefiler er bare ikke sikre nok, mener Urs E. Gattiker, der er professor og CTO i den internationale konsulentvirksomhed Cytrap Labs. Han rådgiver finansielle institutioner og EU om sikkerhed.

»Jeg mener, bankerne bør forbedre sig,« siger Urs E. Gattiker til Version2 og tilføjer:

»Alt, hvad der ligger på din computer, er ikke sikkert.«

Urs E. Gattiker forklarer, at når flere brugere i stadig stigende grad er permanent online, så øger de også risikoen for at få computeren og dens indhold kompromitteret. Blandt andet hvis de bliver en del af et af de evigt voksende botnet.

Nøglefilernes udbredelse i Danmark får Urs E. Gattiker til at spekulere på, om de danske banker sætter økonomiske interesser over brugernes sikkerhed, fordi nøglefiler er billigere end tokens.

»Pengene taler, men sikkerheden betaler prisen,« siger han.

Sværere vej for hackerne

Heller ikke chefen for den danske sikkerhedsorganisation DK Cert, Shehzad Ahmad er forundret over, at det netop er denne form for sikkerhedsløsning, der er blevet hacket. Han efterlyser en token med engangskodeord eller lignende løsning hos de danske banker.

Pointen med denne løsning er, at selvom en hacker får adgang til en computer, giver det ikke automatisk adgang videre til netbanken, fordi hackeren også skal opsnappe data fra nøgleenheden.

»Det er jo bare et bevis på, at det er det, der skal til for at få så høj sikkerhed som overhovedet muligt inden for rimelighedens grænser,« siger Shehzad Ahmad.

Banklandet Schweiz på sikker kurs

Hos bankernes brancheorganisation Finansrådet mener kontorchef Birgitte Mikkelsen ikke, at man på baggrund af typen af netbankindbrud kan konkludere, at en løsning med en fysisk adskilt nøgleenhed er mere sikker end den traditionelle netbankløsning, hvor en fil og et password giver adgang til netbanken.

»Jeg kan jo godt forstå, at udefra set, så virker det som om, en engangskodeløsning er bedre end en softwarecertifikatløsning, fordi vi kan se, at de angreb, der har været, er lykkedes i forbindelse med softwareløsningerne. Men det kommer meget an på, hvordan man implementerer det her, og det kommer an på, hvad det er for nogle angrebstyper, vi er ude i,« siger Birgitte Mikkelsen.

Udsagnet undrer Urs E. Gattiker. Han henviser til, at i mange andre europæiske lande er nøglefiler ikke en gangbar løsning. Eksempelvis i banklandet Schweiz, hvor bankerne kun bruger token-løsninger eller lignende. Også i England er nøglefiler en sjældenhed.

»Heller ikke i Belgien eller i Tyskland bruger man nøglefiler. Det er der flere årsager til, men en af dem er sikkerhed,« siger Urs E. Gattiker.

Nøglefiler billigere for bankerne

Men Finansrådet mener altså ikke, at den ene løsning nødvendigvis er sikrere end den anden.

»Den type angreb, vi har set, er gået ud over dem med nøglefiler og ikke nøglekort. Men at sige generelt, at det er en sikrere løsning, det kommer fuldstændigt an på, hvad det er for en angrebstype, man er i gang med,« siger Birgitte Mikkelsen og mener desuden, at når det netop er bankkunder med nøglefiler, der er blevet ramt, kan det hænge sammen med løsningens generelle udbredelse i Danmark.

Urs E. Gattiker påpeger, at lige så snart antallet af netbank-indbrud bliver tilstrækkeligt omfangsrigt, eller der kommer tilstrækkelig med presse på problematikken omkring nøglefilerne, så vil bankerne formentligt begynde at se sig om efter en anden sikkerhedsløsning.

Shehzad Ahmad fra DK Cert hælder også til en løsning med eksempelvis et smartcard, som sikkerhedsorganisationen selv bruger til døre og computere.

»Vi har her på vores kontor et smartcard, der bruges til dørene også. Ja, det havde da været nemmere uden, men jeg ved, det er det, der skal til for at få sikkerheden,« siger Shehzad Ahmad.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jørgen Soetmann

Jyske Bank benytter sig af eengangskoder som man får tilsendt 80 af af gangen på et lille kort. Når man har brugt de 60, sendes automatisk 80 nye med posten. Ved login sender Jyske Bank en kode som man skal finde på sit nøglekort, og sende den tilhørende kode tilbage sammen med sit password. Udveksling af eengangskoder skal endvidere ske ved hver transaktion (overførsel af penge, sende mails, opdatering af information etc).

Fordelen er dels sikkerheden, dels at det fungerer på alle PC'er uden at efterlade sig brugbare spor.

Ulempen er den mere omstændelige procedure, hvor man skal have sit nøglekort frem og have det liggende mens man arbejder i netbanken. Har dog vænnet mig til proceduren nu.

  • 0
  • 0
Svend Lyngsø

Jeg kunne godt lide at vide hvor mange af dem der har fået taget deres nøgle til netbank, der havde deres sikkerhed i orden? Hvis de bare havde fult rådene i ”Netsikker nu!”, var det måske aldrig sket. Intet er 100% sikker, men meget kan gøres ved det ved godt omtanke.

  • 0
  • 0
Ole Rahn

Jeg er enig i at sikkerheden ikke er i top. Men sålænge bankernes samlede tab ikke kan måles med udgifterne til en forbedret sikkerhed, tror jeg ikke at sikkerheden bliver forbedret.

En nem, billig og hurtig måde til at forbedre netbank-sikkerheden en smule: Sørg for at din nøglefil kun ligger på en USB nøgle eller en cd. Og hav den kun siddende i din pc, når du bruger netbank.

Og husk selvfølgelig at opdatere dit operativsystem og din antivirus med alle nødvendige patches og øvrige sikkerhedsopdateringer.

  • 0
  • 0
Jan Andersen

Sparekasserne, Nordea og Danske Bank er for nyligt overgået til en ny type nøglefiler, som skulle være 'låst' til ens PC, så en simpel kopi af nøglefilen er værdiløs. Skal nøglefilen bruges på en anden PC, skal kopi gøres inde fra Netbanken efter log on. Er der nogen, som ved hvor sikker denne metode er?

  • 0
  • 0
Michael Kjeldsen

Ud over argumentet med sikkerheden, så tilbyder Jyske Bank (som jeg har) jo også en større grad af portabilitet. Jeg kan have mit nøglekort i min pung, og derved tilgå min netbank fra enhver computer, uden at skulle huske en usb-nøgle eller have nøglen liggende på en "hemmelig" server somewhere.

Det er faktisk den funktionalitet jeg er mest glad for ved Jyske Banks løsning (sikkerheden ikke taget i betragtning), og er reelt en af grundene til, at jeg ikke overvejer at skifte bank.

  • 0
  • 0
Jørgen L. Sørensen

Umiddelbart synes jeg at Birgitte Mikkelsens udsagn tyder på uvidenhed - eller også er min uvidenhed større end jeg troede.

Med en nøglefil på min pc skal en ondsindet person "kun" skaffe sig adgang til min pc og installere et program til at registrere og opsnappe hvad jeg skriver samt snuppe samt min nøglefil (hvis jeg havde en). Dernæst kan vedkommende i ro og mag logge på banken som mig og misbruge systemet efter behag.

Med et nøglekort (som også Sydbank give mulighed for:-) logger jeg på med mit brugernavn og en adgangskode, hvorefter banken beder mig indtaste koden fra en angivet placering på mit nøglekort. Altså skal en ondsindet person være på samtidig som mig og ændre transaktionen (kontonumer/beløb) på vej til banken. Da koden kun bruges én gang kan vedkommende ikke gemme den og bruge den senere.

Jeg mener derfor helt klart at et nøglekort i min pung er langt mere sikkert end en nøglefil på min pc - eller har jeg misforstået noget?

  • 0
  • 0
Henrik Kramselund Jereminsen Blogger

Husk ved sammenligninger med andre lande at en del af disse har tilladt banker hvor man kun med brugerid og kodeord kunne få adgang.

Hvad man kan forlange af brugerne har en del med modenhed at gøre - og ikke alle er klar til det samme!

Det er vel beskrevet hvad man bruger som autentifikation, men det er ikke alt som i praksis kan bruges i Danmark.

Nøglefilen var fin i DK i mange år, man antog at det var svært at inficere og stjæle denne. Har man en nøglefil med tilstrækkelig længde udelukker man bruteforce angreb.

God sikkerhed er baseret på afvejning af truslerne og konsekvenserne. Det må altså være op til bankerne at finde den løsning de mener der passer deres kunder bedst - og min bank tilbyder faktisk begge modeller ;-)

og til dem der stadig bruger Windows til at tilgå banken, tsk tsk - det er 2008 nu, lyt, lær og skift væk fra det OS ;-)

  • 0
  • 0
Helge Svendsen

http://www.danskebank.dk/activcard

Man kan altså sagtens få et system, der virker på den måde, som der efterlyses i artiklen.

Man skal bruge aktiv card på Mac og Linux hos Danske Bank.

På windows kan man vælge mellem en keyfile og Activ card. Sidstnævnte er en java løsning.

Activcard er mere besværlig at bruge end en keyfile naturligvis.

SÅ mon ikke sikkerheds problemerne til dels også kan tilskrives brugernes magelighed?

  • 0
  • 0
Axel Hammerschmidt

Når man skal godkende en betaling i Danske Netbank med Activcard (en lille lommeregner) sender bankens edb-system et 6-cifret tal som kunden skal indtaste i sin Activcard "lommeregner" og så indtaste det 6-cifrede tal der derved kommer frem i "lommeregnerens" display ind i et felt på skærmen til PCen og sende tallet tilbage for at godkende betalingerne.

Så vidt jeg ved, så er det første tal bankens edb-system sender ikke afhængig af de data (beløb, modtager kontonummer etc) der ligger og vente på at blive godkendt.

Så en man-in-the-middle ville kunne ændre beløbene og omdirigerer betalingen til en anden konto.

Man-in-the-middle angreb ville ikke kunne lade sig gøre, hvis det første tal, som bankens edb-system sender er en funktion af de beløb og kontonummer der indgår i betalingerne.

  • 0
  • 0
Povl Ole Haarlev Olsen

"Altså skal en ondsindet person være på samtidig som mig og ændre transaktionen (kontonumer/beløb) på vej til banken."

Eller bare "sidde og vente" i din browser og ændre kontonummer og beløb hver gang du overføre penge...

Ondsindede personer behøver ikke være på samtidig med dig, hvis de allerede har været inde på din maskine og installeret et lille program, der kan "sidde og vente" for dem.

  • 0
  • 0
Jørgen L. Sørensen

Citat - Eller bare "sidde og vente" i din browser og ændre kontonummer og beløb hver gang du overføre penge...

Ondsindede personer behøver ikke være på samtidig med dig, hvis de allerede har været inde på din maskine og installeret et lille program, der kan "sidde og vente" for dem. - citat slut.

Det lyder umiddelbart rigtigt. Men det giver dem kun en mulighed hver gang jeg er på - i modsætning til hvis de henter en nøglefil og adgangskode og i ro og mag kan sidder og udforske hvad jeg eventuelt måtte have af konti og værdipapirer. Samtidig med dette får de som regel også mulighed for at skrive til min bankrådgiver og laver mere triggy transkationer.

Jeg anser derfor stadig engangskoder for at være bedre end en nøglefil og et fast kodeord - og som andre har påpeget er det nemmere hvis man har brug for at køre netbank over en anden pc (som man bør have tillid til ;-)

  • 0
  • 0
Jens Andresen

Jeg har prøvet det med Danske Bank, idet jeg skiftede til en større harddisk. Ved hjælp af passende software fil jeg klonet min gamle harddisk til den nye. Alt kørte fint, undtagen adgang til Danske Bank. Jeg måtte bede om en ny nøgle fra banken forat komme på igen. Det vil sige at en der stjæler min nøglefil for at benytte den på sin PC,ikke får megen glæde af det, selvom det skulle lykkes at aflure mit password også.

Det virker på mig som et rimeligt sikkert system.

  • 0
  • 0
Jan Andersen

Tak for det Jens Andr. Jeg føler mig også rimeligt sikker med det nuværende system. Eksperterne orker næppe at forklare os alm. mennesker hvordan en hacker via en trojan alligevel kan tømme vores bankkonto. Det ser ud som om de mener at en trojan kan aflure selve kommunikationen mellem vores PC og Netbanken, eller at en trojan kan fjernstyre vores browser til at besøge Netbanken for hackeren. Det ville være rart om eksperterne en gang i mellem ville forklare tingene i et sprog som alle kan forstå.

  • 0
  • 0
Eskild Nielsen

Nøglefiler kan exporteres og importeres - og der er intet i vejen for at en en nøglefil kan bruges på flere maskiner.

Dvs har the bad guy afluret dit password, så kan han lave en export af din nøglefil til din harddisk - kopiere denne og så i ro og mag tømme din konto

/eskild

  • 0
  • 0
Helge Svendsen

argh. Hvorfor kan man ikke slette et indlæg i det her skod forum...

"har the bad guy afluret dit password, så kan han lave en export af din nøglefil til din harddisk - kopiere denne og så i ro og mag tømme din konto "

Det er klart. Hvis man har fået en trojan installeret, der via en keylogger kan få fat i keyfiles pwd. Ja så har man problemer.

Det samme kan siges om pgp passcodes og passcodes til et alm. personligt certifikat.

Det ændrer ikke på at Danske Banks aktiv card, hvor en kode er en engangs kode baseret på request response, ikke kan hackes på den led.

Selvom de snapper koden så kan den kun bruges den ene gang.

Så som der skrives ovenfor skal der pilles ved request undervejs eks. at udskifte et target konto nummer med et andet for en given penge overførsel.

Det vil også kræve en trojan imho, da jeg ikke rigtig tror på, at ssl er så usikker en protokol.

Så ville vi se mange flere sager, hvor folk havde knækket krypteringen.

  • 0
  • 0
Nicolaj Stilling Borchorst

Jeg bruger dagligt en netbank udviklet af BEC. For snart 3 år siden kom jeg til at logge ind mens der var Caps lock på.... det virkede fint.

Jeg spurgte BEC om det ikke var en ide at ændre password politik, så passwords var case sensitive. Svaret fra BEC var: "Det er helt korrekt, at der ikke tages højde for store og små bogstaver i eks. underskriftskoden i webbank. Dette er et bevidst valg fra BEC."

Situationen er den samme i dag.

Det ændre selvfølgelig ikke noget i diskutionen om hvorvidt man skal en form for hardware nøgle, men jeg synes det giver et billed af at bankerne måske ikke leverer den sikkerhed man kunne ønske sig.

  • 0
  • 0
Log ind eller Opret konto for at kommentere