Sydbank: Login uden nøglekort er sikkert nok

Jeg kan i den forbindelse kun anbefale i det mindste at tilføje et bogstav før efter eller et passende sted i cpr nummeret hvis man bruger dette som bruger id. Det tager et øjeblik hos nemid.nu at lave og forbedrer sikkerheden betydeligt uden at gøre det vanskeligt at huske.

Det plejer at være god latin i den sammenhæng at tale om noget man har, og noget man ved, og at begge disse er relevante for at få adgang. Hvis den ene ting kompromitteres, skal den skiftes straks...

Nøglekortet er noget jeg har, mit password noget jeg ved. Mit brugernavn er alt for nemt at gætte hos de fleste, cpr eller ej...

Min ene banks mobilapp skal registreres via netbank og nøglekort med en bekræftelseskodekode på telefonen, hvorefter den fungerer som en ting jeg har, til erstatning for nøglekortet. Det er dejlig nemt, ikke noget papkort til den, men en bekræftelseskode via sms for overførsler, og dermed en genbekræftelse af det er noget jeg har. Man kan ikke restore icloud backup til telefonen og få det til at virke, man skal bruge en bekræftelseskode via netbank. Forekommer mig ret godt sikret.

Min anden bank fordrer oprettelse af en 6-cifret pin via netbank, hvorefter mit cpr og den kode giver adgang til at se mine finanser. Det ser ud til de tjekker på IP adressens oprindelsesland, for med en udenlandsk (eks vpn) melder den fejl på adgangen. Det er i min optik temmelig tyndbenet sikkerhed. Til gengæld skal jeg så have papkortet frem ved hver transaktion, bøvlet.

Så jeg må tilstå, at jeg overvejer at skifte den ene bank ud til en anden.

at det er sikkert nok. De mister jo ingen penge, når kundernes oplysninger bliver lækket.

kunne lige så godt sige folk har for svært ved taste beløb ind så vi lader folk automatisk hæve en tudse ad gangen. if it aint broken dont fix it så simpelt er det,

vil i virkeligt lave noget som er nemt så tilknyt en rfid fingerring til alle konti og udlever en ring som skal benyttes ved alle transaktioner så slipper vi for forbrydere stjæler kortet og misbruger det da de mangler ringen for få adgang, og bevar så nem id koden som en ekstra sikkerhed er jo tydeligt det gamle system ikke har fungeret når stakkels ofre har fået afluret deres pin kode og fået lænset deres konto for 15k men bankerne er åbenbart ligeglade da de lader det fortsætte, de sætter bare deres gebyrer op og tørrer al tabet af på kunderne. jeg vil garantere at det nye systen ikke vil stoppe forbryderne i deres ugerninger, og er vel ligesom det der er humlen ikke om det er lidt besværligt at brugeer ikke det vigtige det vigtige er om det er sikkert, der vil altid kun være en til betale tabet og det er dig og mig, grotesk at alle dem der er ansvarlige for sikkerheden er så uansvarlige.

vil man lave system hvor man kan tjekke sine konti uden for meget fikumdik kan man lave system hvor man tilmelder en transaktions status der tikker ind pr email,hver gang der er sket en transaktion som man skulle bekræfte før hver transaktion blev gennemført så ville intet blive udført uden man havde givet sit besyv med. sådan var det før fagre nye elektroniske tidsalder i dag kan folk lænse ens konto og banken kan pålægge gebyrer for overtræk. det er jo total umyndiggørelse. det er ok hvis det er lidt besværligt så længe vi selv bestemmer over vores egne penge det er vel det mindste vi kan forlange.

mest groteske er det er højt uddannede mennesker der laver disse systemer, så jeg burde slet ikke forklarer det for dem det burde de jo selv bedst vide.

Vi er vel enige om at uanset hvilken bank og hvilken løsning og uanset om de så har login til konto-kig uden brug af NemID så skal man alligevel have NemID for at oprette adgangen eller lign.

Altså....Ingen banker lader kunder uden NemID få konto-kig muligheder ?

Spørger fordi jeg ikke har NemID og godt kunne tænke mig at have mulighed for at checke saldo på mine 2 konti.

Behøver ikke alt det andet, alle regninger bliver betalt over PBS og penge overføres mellem konti via MobilePay og køber man noget over DBA så kan man som regel også betale med mobilepay som er meget nemmere end bankoverførsel, ikke mindst fordi modtageren kan se pengene med det samme.

Det er yderst kritisabelt at man som udgangspunkt kan logge ind med to forskellige brugernavne, såfremt man har oprettet brugernavn. Hvorfor spærrer man ikke automatisk for CPR nummer login når/hvis man opretter et brugernavn?

Dernæst er det endvidere endnu mere kritisabelt at systemet er designet til at være case insensitive. Det kan vel være på grund af at man ikke ønsker at modtage en masse support henvendelser pga. Caps Lock, men det er simpelthen til grin. Istedet kunne man jo bare tjekke for om capslock var slået til og vise en fin guide i hvordan man slår denne fra.

"NemID kender ikke forskel på store og små bogstaver i password-feltet, og brugernavnet er ofte et CPR-nummer. Alligevel mener flere banker, at det er sikkert nok at logge ind i netbanken uden nøglekort."

Nej for en person er brugernavnet altid dit CPR du kan ikke lukke dit CPR-nummer og det samme gælder vist nok virksomheder CVR selv om du har et bruger navn så er det altid også dit CPR. De fleste banker jeg kender der tillader login kun med NemID bruger navn og 'pinkode' bruger pinkode fordi NemIDs password er så lidt sikkeret pga. små og store bogstaver.

som allerede de gamle romere sagde!

At bruge sit CPR-nr som identifikation er torskedumt, det ligger jo i de flestes tegnebøger sammen med nøglekortet!

At have nøglekortet liggende sammen med sygesikringsbeviset er torskedumt.....

Sikkerheden ved at have sin egen identifikation i hovedet (ikke CPR) og nøglekortet på sin mobil (uden dropbox el lign) er langt højere, og selv med dropbox er det vanskeligere for kriminelle end at have det hele i hånden, når de har nappet tegnebogen.

At man fornuftigvis skelner mellem sikkerhedsniveauet for at kigge og for at lave transaktioner er sund fornuft, der er to "koder" for kigning, men tre for at flytte penge! Sådan var det da også i årevis i mine netbanker, og er det heldigvis igen, efter jeg (og sikkert andre) havde brokket mig over at skulle bruge nøglekort for at se hvad der står på kontoen, hvad der bliver trukket fremover mv.

...har osse siden deres start sidste sommer, haft den samme løsning som Sydbank nu har brugt i en uges tid...

Tilbage står så bøvlet med e-boks som stadig kræver NemId, med mindre det tilgås mobilt.

Jeg reklamere ellers ikke normalt for banker, men lige i dette tilfælde, har Jyske Bank faktisk introduceret to-faktor systemet for alle transaktioner og logins på deres side. Det synes jeg nu er meget god praksis. så pyt med at mit nøgle kort bliver brugt lidt hurtigere

Den nye løsning er kritisabel. Alle mulige og umulige venner og bekendte, som kender ens fødselsdag, eller kan finde den på ens facebook profil, har nu mulighed for at se indenfor i ens bank og kontrollere, hvor meget der står på kontoerne. Den er HELT gal.

... hvis man absolut vil reducere NemID fra 1 faktor login til 0-faktor login.

Sagen er (også efter den Europæiske Bankunions opfattelse) at et password kan kun betegnes som en sikkerhedsfaktor, hvis det er noget KUN du og ÉN specifik modpart kender. Ikke noget man ukritisk indtaster på enhver webside, der skilter med den samme login-proces uden at man kan overskue hvad der sker bag facaden. Så kan det sikkerhedsteknisk udelukkende opfattes som et appendiks til brugerID'et.

Det ville både være mere brugervenligt samt give brugerne en mere reel opfattelse af sikkerheden i løsningen, hvis man helt fjernede NemID "password"et.

Folk, der ikke har noget at skjule kan så fortsætte med at benytte CPR-nummer som brugerID. Det er jo både praktisk og besparende i alle de tilfælde, hvor man giver sit CPR-nummer til en virksomhed, at den så direkte kan hente oplysningerne i stedet for at skulle gå gennem bankens administration.

Folk, der blot ønsker at obfuskere 0-faktor adgangen til deres konti kan istedet vælge et "kryptisk" brugernavn, f.eks. en konkatenering af deres nuværende brugernavn og password.

I begge tilfælde spares et overflødigt indtastningsfelt.

Og folk, der gerne vil have egentlig 1 eller 2 faktor login med papkort, HW-token og/eller SMS bør så frit kunne tilvælge det.

Det er en utrolig dårlig løsning som er blevet solgt som 'sikker' til politikere og befolkning. Principielt er det da også en sikker løsning, men implementation både teknisk og funktionelt undergraver alt.

Det er samme firma som genererer data til nøglekort og som håndterer verifikation af samme, og som i øvrigt producerer den kode som udfører verifikationen. Kompromitteres dette, evt. indefra, så er hele den danske økonomi på spanden! Snak om at have alle æggene i samme kurv!

Og nøglekortet som offline anden-faktor undergraves af at folk ikke kan overskue at have nøglekortet med sig overalt så de tager et billede med mobilen af det sådan at de kan lade nøglekortet blive derhjemme, og på de fleste smartphones overføres kamera-billeder automatisk til online backup-systemer, f.eks. iCloud eller Dropbox og dette sker ukrypteret. Ja, det må man selvfølgelig ikke, men rigtig mange jeg kender gør det alligevel - af bekvemmelighedsårsager. Resultatet er at billedet og dermed nøglekortet er online og dermed tilgængeligt for en hacker som bare behøver at logge tastetryk og så kan han logge ind alt det han ønsker.

Enhver ægte sikkerhedsekspert ville kunne have forudsagt denne variation af post-it syndromet (indfør for svære passwords og de ender på en post-it på skærmen) og insisteret på at der kun skulle bruges nøglevisere, men så gerne mere end en tilknyttet hver borger, sådan at man kan have en liggende både på arbejdet og derhjemme, og så man har en hvis den anden løber tør for strøm eller på anden vis holder op med at fungere.

Ville man lave en nem løsning som navnet antyder så havde man indført en SSO (Single Sign-On) løsning hvor man logger ind centralt og derfra kan tilgå det hele, både netbank, borger.dk, sundhed.dk, skat.dk og så videre uden yderligere login. Luk browseren eller vær inaktiv i XX minutter og man er logget ud.

Gad vide om man nu, hver gang man laver en bank overførsel eller betaler et girokort, skal bruge en kode fra nøglekortet, ligesom man før skulle taste sit password hver gang?? Så kan man da hurtigt få brugt nogle nøglekort koder, når man omkring d. 1, skal betale 30 regninger..... :-)

Nordea har haft kontokik altid. Alt andet er jo også at skyde gråspurve med kanoner.. Skal der laves en ændring (mail,flyt penge elelr andet) så skal man have nøglekort frem. Troede faktisk det var sådan i alle banker...stakkels DB kunder der skal have deres nøglekort frem evig og altid.

Differentieret sikkerhed giver fortrinlig mening. Jeg billiger absolut tiltaget med to forbehold:

1. Det er lavet ordenligt og de tager andre tiltag for at opretholde nogenlunde samme niveau af sikkerhed (eksempelvis holder øje med hvilke IP'er jeg har logget ind fra og kræver nøglekortet, hvis jeg pludselig kommer fra en usædvanlig IP).
2. Jeg får valgmuligheden for at vælge nøglekortet til.

Hvis man er virksomhed i og bruger netbanken, så har man en meget forskellig selvrisiko ift. en almindelig forbruger. Derfor ville det være oplagt at give virksomheder mulighed for at kræve nøglekort -- også allerede ved login.

Nykredit kører på samme måde og Nordea har konto-kik. Og de har altid gjort det. Tidligere kunne man gå direkte fra Nykredit til e-boks uden nøglekort

Det er meget simplere og billigere at logge ind på folks netbank og hente oplysninger der. Find deres CPR og gæt et svagt password så er du inde. Er der mon max. på antal fejlede loginforsøg?

Personlig er jeg ligeglad med om folk evt. kan hacke sig ind og se hvor meget minus jeg har på alle konti. Så længe de ikke kan stjæle noget, hvis der skulle være mere kredit tilbage :-)

Jeg hader, når jeg f.eks. lige skal checke min e-boks, og så skal til at finde nøglekortet frem, som så lige ligger i pungen i bilen eller hjemme eller lign. Nøglekortet skal være til EKSTRA sikkerhed, når man skal godkende div. ting, og ikke bare fordi man lige skal kigge. Man kunne passende lave det optionalt, så man - MED SIT NØGLEKORT - kunne vælge sikkerhedsniveau på KIG.

Alternativt kan jeg også godt li' SMS authentication, hvor man lige får en kode pr. SMS som man så skal smide ind, da jeg som de fleste andre altid har min telefon med. Jojo - det kan jo nok hackes, men helt nemt er det ikke, og i sidste ende kan de jo sikkert også hacke NemID, hvis de kører samme niveau som andre statslige institutioner. Så har de min private nøgle, og så bliver det jo først rigtig sjovt.

Arbejdernes Landsbank (BEC) har haft det sådan i lang tid. Og det er jeg glad for.

Sådan har det da været i Vestjysk Bank i meget lang tid. Jeg skal kun bruge engangskoden, hvis jeg vil flytte penge. Så længe jeg kan nøjes med at kigge, er det ikke nødvendigt med en engangskode. Det er det samme på mobilbank.

Summa sumarum, hvis man bare skal kigge, så kræves der kun et svagt password. Ærligt talt, jeg synes det er en god nyhed. Sådan har det længe været på min tablet - her er oplysningerne kun beskyttet af et 4-ciffer password. Jeg har længe valgt web-udgaven fra, fordi det var hurtigere at benytte min tablet.

Er det for ringe beskyttelse, fra bankens side, af følsomme oplysninger? Tjoe, måske, men så er det også det. Der er ikke umiddelbart nogen økonomisk risiko, hverken form mig eller banken, ved det.

Der ligger personlige oplysninger på netbank som dermed kan hentes uden brug af nøglekort.

Det er et problem.

Endnu et bevis på at bankerne kun tænker på penge og ikke på borgernes sikkerhed.