Sydbank: Login uden nøglekort er sikkert nok

NemID kender ikke forskel på store og små bogstaver i password-feltet, og brugernavnet er ofte et CPR-nummer. Alligevel mener flere banker, at det er sikkert nok at logge ind i netbanken uden nøglekort.

Bankdata, som leverer netbank til blandt andet Sydbank, har ændret i løsningen, så det ikke længere er nødvendigt at indtaste den sekscifrede engangskode fra NemID-nøglekortet, når kunderne logger ind. Kortet skal nu i stedet bruges ved eksempelvis første transaktion. Sydbank begrunder ændringen med et ønske om at lette login for de mange kunder, der blot er interesserede i at se kontooversigten.

Det er frivilligt, om bankerne vil anvende den nye løsning med login uden nøglekort, det har langt hovedparten af de 12 pengeinstitutter, som står bag Bankdata, dog valgt, oplyser Bankdata til Version2.

Selvom der dermed ikke længere er 2-faktor-autentifikation forbundet med login-løsningen, altså kombinationen af det fysiske nøglekort og brugernavn plus adgangskode, så er det sikkert nok, mener man hos Sydbank, der er medejer af Bankdata.

Områdedirektør for 'Kunder' i Sydbank Jess Olsen henviser blandt andet til, at Sydbanks mobilbankløsning i forvejen kunne tilgås uden brug af nøglekortet.

»Sydbank arbejder tæt sammen med de øvrige pengeinstitutter i landet på dette område, og flere af de andre banker har samme login, som vi har nu. Vi prioriterer sikkerhed meget højt, når vi udvikler og styrker vores NetBank, og vi mener fortsat, at vores NetBank er meget sikker, ligesom vores MobilBank er det,« oplyser områdedirektøren i en mail sendt via bankens kommunikationsafdeling.

Stadig nødvendigt med papkort

Selvom Bankdata og dermed også Sydbank nu har droppet indtastning af engangskoder fra NemID-nøglekortet i forbindelse med login, er det dog stadig nødvendigt at finde papkortet frem, eksempelvis når der skal flyttes penge fra en konto til en anden. Dog kun ved første transaktion. Tidligere har det - da nøglekortet var nødvendigt ved login - været nok at indtaste kodeordet til NemID ved en transaktion.

»Vi arbejder hele tiden på at styrke vores digitale selvbetjeningsløsninger, så de er tidssvarende og lever op til brugernes anvendelse af eksempelvis NetBank. Det gælder både brug, brugervenlighed og ikke mindst sikkerheden. Et ønske fra mange af vores brugere har gennem en længere periode været et mere smidigt login, hvor man ikke skal have sit nøglekort frem, som mange kender fra vores meget populære MobilBank, og derfor har vi udviklet en fælles løsning, der tilgodeser det,« fortæller Jess Olsen i mailen, som fortsætter:

»Vi kan se, at over 80 pct. af dem, som benytter NetBanken, kun kommer for at se oversigten over deres konti. Og alle dem vil vi gerne tilbyde en nem adgang – i stil med det, som de kender fra vores MobilBank.«

Som Version2 tidligere har kunnet fortælle, bliver der ikke skelet til, om brugeren benytter store eller små bogstaver i password-feltet til NemID. 'KODEORD' er altså det samme som 'kodeord'. Det giver færre kombinationsmuligheder og gør det dermed i princippet lettere for uvedkommende at forsøge at gætte kodeordet. Og i udgangspunktet er CPR-nummeret også brugernavnet i NemID. Og som det flere gange har vist sig, er et CPR-nummer ikke nødvendigvis vanskeligt at opdrive for uvedkommende.

Læs også: DanID afviser password-kritik: Ligegyldigt at skelne mellem store og små tegn

Ingen af delene får dog tilsyneladende Jess Olsen til at ligge søvnløs om natten:

»Det er klart, at NemID-nøglekortet er en væsentlig del af sikkerheden, og det er derfor, brugerne fortsat skal benytte det, hvis de eksempelvis skal sende penge eller foretage sig andet end at få et overblik over deres konti. Men helt overordnet er sikkerheden i vores NetBank bygget op omkring en lang række forskellige tiltag og foranstaltninger, der skal modvirke svindel, og nogle af disse er synlige for brugerne, mens andre er usynlige. Og i forbindelse med, at vi har udviklet en mere opdateret NetBank, har vi således også skærpet sikkerheden andre steder i denne.«

Hos konkurrerende leverandør af netbankløsninger Bankernes EDB Central (BEC) har man gennem længere tid kørt med en variation af den model, som nu også Bankdata og Sydbank er overgået til.

Som at gå i papircontaineren

Udviklingsdirektør i BEC Henrik Jensen fortæller, at netbank-kunderne her har mulighed for selv at vælge, om de vil indtaste brugernavn, adgangskode og engangskode fra nøglekort i forbindelse med login og så adgangskoden igen i forbindelse med eksempelvis en transaktion. Eller alternativt logge ind med brugernavn og adgangskode og så indtaste engangskoder fra nøglekortet, når transaktioner og lignende skal gennemføres.

Om løsningen med login uden brug af nøglekort siger Henrik Jensen fra BEC:

»Det er jo en kiggeadgang, man får, når man bare bruger et brugernavn og et password. Lidt som at gå i papircontaineren. Der er ikke lås på, men jeg smider stadig mine kontoudskrifter i den.«

Mener du, at nøglekortet øger sikkerheden ved login?

»Jo flere faktorer man bruger, også ved login, desto større vil sikkerheden altid være. Man skal bare være opmærksom på, at skal man foretage ting, der er økonomisk forpligtende, så skal man bruge nøglekortet,« siger Henrik Jensen.

Danske Bank: Vi fortsætter med nøglekort-login

Hos Danske Bank er der umiddelbart ingen planer om at ændre ved den nuværende model, hvor kunderne bruger nøglekort ved login mod så at kunne 'nøjes' med NemID-kodeordet i forbindelse med eksempelvis en transaktion.

»Vi har indtil videre valgt at fastholde modellen med at bruge nøglekort, når du via desktop går i netbanken.Til gengæld slipper du i de fleste situationer for nøglekort, når du gennemfører transaktioner,« oplyser chef for eBanking i Danske Bank, underdirektør Jeppe Buk i en mail sendt via bankens presseafdeling, som fortsætter:

»Vores kundeundersøgelser giver ikke anledning til lige nu at prioritere at ændre det. Vi kan nemlig se, at rigtig mange kunder bruger vores mobilbank som den hurtige adgang til et kontokig uden brug af nøglekort. Men vokser ønsket fra kunderne om samme model via desktop, kan det udmærket være, at vi genovervejer setuppet på et tidspunkt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (51)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Jensen

Summa sumarum, hvis man bare skal kigge, så kræves der kun et svagt password. Ærligt talt, jeg synes det er en god nyhed. Sådan har det længe været på min tablet - her er oplysningerne kun beskyttet af et 4-ciffer password. Jeg har længe valgt web-udgaven fra, fordi det var hurtigere at benytte min tablet.

Er det for ringe beskyttelse, fra bankens side, af følsomme oplysninger? Tjoe, måske, men så er det også det. Der er ikke umiddelbart nogen økonomisk risiko, hverken form mig eller banken, ved det.

  • 11
  • 4
Brian Funk

Sådan har det da været i Vestjysk Bank i meget lang tid. Jeg skal kun bruge engangskoden, hvis jeg vil flytte penge. Så længe jeg kan nøjes med at kigge, er det ikke nødvendigt med en engangskode. Det er det samme på mobilbank.

  • 8
  • 1
Christian P. Broe Petersen

Personlig er jeg ligeglad med om folk evt. kan hacke sig ind og se hvor meget minus jeg har på alle konti. Så længe de ikke kan stjæle noget, hvis der skulle være mere kredit tilbage :-)

Jeg hader, når jeg f.eks. lige skal checke min e-boks, og så skal til at finde nøglekortet frem, som så lige ligger i pungen i bilen eller hjemme eller lign. Nøglekortet skal være til EKSTRA sikkerhed, når man skal godkende div. ting, og ikke bare fordi man lige skal kigge. Man kunne passende lave det optionalt, så man - MED SIT NØGLEKORT - kunne vælge sikkerhedsniveau på KIG.

Alternativt kan jeg også godt li' SMS authentication, hvor man lige får en kode pr. SMS som man så skal smide ind, da jeg som de fleste andre altid har min telefon med. Jojo - det kan jo nok hackes, men helt nemt er det ikke, og i sidste ende kan de jo sikkert også hacke NemID, hvis de kører samme niveau som andre statslige institutioner. Så har de min private nøgle, og så bliver det jo først rigtig sjovt.

  • 8
  • 0
Casper Thomsen

Differentieret sikkerhed giver fortrinlig mening. Jeg billiger absolut tiltaget med to forbehold:

  1. Det er lavet ordenligt og de tager andre tiltag for at opretholde nogenlunde samme niveau af sikkerhed (eksempelvis holder øje med hvilke IP'er jeg har logget ind fra og kræver nøglekortet, hvis jeg pludselig kommer fra en usædvanlig IP).
  2. Jeg får valgmuligheden for at vælge nøglekortet til.

Hvis man er virksomhed i og bruger netbanken, så har man en meget forskellig selvrisiko ift. en almindelig forbruger. Derfor ville det være oplagt at give virksomheder mulighed for at kræve nøglekort -- også allerede ved login.

  • 4
  • 0
Jesper Østergaard

Hos Nordea er det et aktivt tilvalg - og hedder - som du nævner "konto-kig". Bemærk samtidig ansvarsfraskrivelsen:
Ansvar
Nordea er ikke ansvarlig for tab eller misbrug som følge af
andres uberettigede adgang til din Netbank konto-kik, hvis din
personlige kode har været anvendt, og
-hvis du ikke har underrettet os snarest muligt, efter at du har
fået kendskab til, at koden er kommet til en uberettiget persons kendskab
-hvis du har oplyst koden til den, der har foretaget den uberettigede anvendelse
-hvis du ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse

  • 5
  • 1
David Rechnagel Udsen

Enig, hos Lån & Spar Bank har man også kunne det i årevis. De gik over til JavaScript-udgaven af NemID med det samme den var tilgængelig. Og hvis man ikke kan lide at logge ind uden nøglekort, kan man slå det til for sin bruger (ikke bare for den browser man bruger på det givne tidspunkt).[0]

[0] Og man kan slå det fra igen.

  • 4
  • 1
carsten thomsen

Nordea har haft kontokik altid.
Alt andet er jo også at skyde gråspurve med kanoner..
Skal der laves en ændring (mail,flyt penge elelr andet) så skal man have nøglekort frem.
Troede faktisk det var sådan i alle banker...stakkels DB kunder der skal have deres nøglekort frem evig og altid.

  • 4
  • 5
Thorvald Johannes Pedersen

Gad vide om man nu, hver gang man laver en bank overførsel eller betaler et girokort, skal bruge en kode fra nøglekortet, ligesom man før skulle taste sit password hver gang?? Så kan man da hurtigt få brugt nogle nøglekort koder, når man omkring d. 1, skal betale 30 regninger..... :-)

  • 0
  • 3
Per Gøtterup

Det er en utrolig dårlig løsning som er blevet solgt som 'sikker' til politikere og befolkning. Principielt er det da også en sikker løsning, men implementation både teknisk og funktionelt undergraver alt.

Det er samme firma som genererer data til nøglekort og som håndterer verifikation af samme, og som i øvrigt producerer den kode som udfører verifikationen. Kompromitteres dette, evt. indefra, så er hele den danske økonomi på spanden! Snak om at have alle æggene i samme kurv!

Og nøglekortet som offline anden-faktor undergraves af at folk ikke kan overskue at have nøglekortet med sig overalt så de tager et billede med mobilen af det sådan at de kan lade nøglekortet blive derhjemme, og på de fleste smartphones overføres kamera-billeder automatisk til online backup-systemer, f.eks. iCloud eller Dropbox og dette sker ukrypteret. Ja, det må man selvfølgelig ikke, men rigtig mange jeg kender gør det alligevel - af bekvemmelighedsårsager. Resultatet er at billedet og dermed nøglekortet er online og dermed tilgængeligt for en hacker som bare behøver at logge tastetryk og så kan han logge ind alt det han ønsker.

Enhver ægte sikkerhedsekspert ville kunne have forudsagt denne variation af post-it syndromet (indfør for svære passwords og de ender på en post-it på skærmen) og insisteret på at der kun skulle bruges nøglevisere, men så gerne mere end en tilknyttet hver borger, sådan at man kan have en liggende både på arbejdet og derhjemme, og så man har en hvis den anden løber tør for strøm eller på anden vis holder op med at fungere.

Ville man lave en nem løsning som navnet antyder så havde man indført en SSO (Single Sign-On) løsning hvor man logger ind centralt og derfra kan tilgå det hele, både netbank, borger.dk, sundhed.dk, skat.dk og så videre uden yderligere login. Luk browseren eller vær inaktiv i XX minutter og man er logget ud.

  • 2
  • 5
Palle Due Larsen
  • 7
  • 0
Henrik Biering Blogger

... hvis man absolut vil reducere NemID fra 1 faktor login til 0-faktor login.

Sagen er (også efter den Europæiske Bankunions opfattelse) at et password kan kun betegnes som en sikkerhedsfaktor, hvis det er noget KUN du og ÉN specifik modpart kender. Ikke noget man ukritisk indtaster på enhver webside, der skilter med den samme login-proces uden at man kan overskue hvad der sker bag facaden. Så kan det sikkerhedsteknisk udelukkende opfattes som et appendiks til brugerID'et.

Det ville både være mere brugervenligt samt give brugerne en mere reel opfattelse af sikkerheden i løsningen, hvis man helt fjernede NemID "password"et.

Folk, der ikke har noget at skjule kan så fortsætte med at benytte CPR-nummer som brugerID. Det er jo både praktisk og besparende i alle de tilfælde, hvor man giver sit CPR-nummer til en virksomhed, at den så direkte kan hente oplysningerne i stedet for at skulle gå gennem bankens administration.

Folk, der blot ønsker at obfuskere 0-faktor adgangen til deres konti kan istedet vælge et "kryptisk" brugernavn, f.eks. en konkatenering af deres nuværende brugernavn og password.

I begge tilfælde spares et overflødigt indtastningsfelt.

Og folk, der gerne vil have egentlig 1 eller 2 faktor login med papkort, HW-token og/eller SMS bør så frit kunne tilvælge det.

  • 3
  • 8
Thomas Jensen

Ja, det må man selvfølgelig ikke, men rigtig mange jeg kender gør det alligevel - af bekvemmelighedsårsager.

Mange? Jeg tror ikke på det findes over 200 i hele Danmark der gør det.

Jeg medgiver at papkortet er bøvlet, men en nøgleviser løser ikke problemet. Jeg er også enig i at et centralt SSO kunne være en løsning. Hvis det skal føles nemt, så skal man ned på maksimalt at skulle indtaste et password. Helst skal man ned på at kunne godkende et login med et klik eller to.

  • 1
  • 0
Jes Struck

Jeg reklamere ellers ikke normalt for banker, men lige i dette tilfælde, har Jyske Bank faktisk introduceret to-faktor systemet for alle transaktioner og logins på deres side. Det synes jeg nu er meget god praksis. så pyt med at mit nøgle kort bliver brugt lidt hurtigere

  • 1
  • 3
Pierre Debié

...har osse siden deres start sidste sommer, haft den samme løsning som Sydbank nu har brugt i en uges tid...

Tilbage står så bøvlet med e-boks som stadig kræver NemId, med mindre det tilgås mobilt.

  • 1
  • 0
Vagn Rydeng

som allerede de gamle romere sagde!

At bruge sit CPR-nr som identifikation er torskedumt, det ligger jo i de flestes tegnebøger sammen med nøglekortet!

At have nøglekortet liggende sammen med sygesikringsbeviset er torskedumt.....

Sikkerheden ved at have sin egen identifikation i hovedet (ikke CPR) og nøglekortet på sin mobil (uden dropbox el lign) er langt højere, og selv med dropbox er det vanskeligere for kriminelle end at have det hele i hånden, når de har nappet tegnebogen.

At man fornuftigvis skelner mellem sikkerhedsniveauet for at kigge og for at lave transaktioner er sund fornuft, der er to "koder" for kigning, men tre for at flytte penge!
Sådan var det da også i årevis i mine netbanker, og er det heldigvis igen, efter jeg (og sikkert andre) havde brokket mig over at skulle bruge nøglekort for at se hvad der står på kontoen, hvad der bliver trukket fremover mv.

  • 1
  • 1
Henrik Biering Blogger

Ja, men kun af personer, som også kender adgangskoden, og hvor skulle udenforstående få den fra?

  • Fra et vilkårligt andet site med officiel NemID, som er blevet hacket
  • Fra et vilkårligt andet site med falsk NemID (som du ikke kan skelne fra et site med officielt NemID)

Medmindre du altså konsekvent modstår fristelsen til at benytte NemID andre steder end til bank og Nemlog-in.

  • 1
  • 3
Pilu Kasper Bech

"NemID kender ikke forskel på store og små bogstaver i password-feltet, og brugernavnet er ofte et CPR-nummer. Alligevel mener flere banker, at det er sikkert nok at logge ind i netbanken uden nøglekort."

Nej for en person er brugernavnet altid dit CPR du kan ikke lukke dit CPR-nummer og det samme gælder vist nok virksomheder CVR selv om du har et bruger navn så er det altid også dit CPR. De fleste banker jeg kender der tillader login kun med NemID bruger navn og 'pinkode' bruger pinkode fordi NemIDs password er så lidt sikkeret pga. små og store bogstaver.

  • 0
  • 5
Daniel Rasmussen

Det er yderst kritisabelt at man som udgangspunkt kan logge ind med to forskellige brugernavne, såfremt man har oprettet brugernavn.
Hvorfor spærrer man ikke automatisk for CPR nummer login når/hvis man opretter et brugernavn?

Dernæst er det endvidere endnu mere kritisabelt at systemet er designet til at være case insensitive.
Det kan vel være på grund af at man ikke ønsker at modtage en masse support henvendelser pga. Caps Lock, men det er simpelthen til grin.
Istedet kunne man jo bare tjekke for om capslock var slået til og vise en fin guide i hvordan man slår denne fra.

  • 3
  • 1
Henrik Madsen

Vi er vel enige om at uanset hvilken bank og hvilken løsning og uanset om de så har login til konto-kig uden brug af NemID så skal man alligevel have NemID for at oprette adgangen eller lign.

Altså....Ingen banker lader kunder uden NemID få konto-kig muligheder ?

Spørger fordi jeg ikke har NemID og godt kunne tænke mig at have mulighed for at checke saldo på mine 2 konti.

Behøver ikke alt det andet, alle regninger bliver betalt over PBS og penge overføres mellem konti via MobilePay og køber man noget over DBA så kan man som regel også betale med mobilepay som er meget nemmere end bankoverførsel, ikke mindst fordi modtageren kan se pengene med det samme.

  • 0
  • 0
Ole Dahl

kunne lige så godt sige folk har for svært ved taste beløb ind så vi lader folk automatisk hæve en tudse ad gangen.
if it aint broken dont fix it så simpelt er det,

vil i virkeligt lave noget som er nemt så tilknyt en rfid fingerring til alle konti og udlever en ring som skal benyttes ved alle transaktioner så slipper vi for forbrydere stjæler kortet og misbruger det da de mangler ringen for få adgang, og bevar så nem id koden som en ekstra sikkerhed er jo tydeligt det gamle system ikke har fungeret når stakkels ofre har fået afluret deres pin kode og fået lænset deres konto for 15k men bankerne er åbenbart ligeglade da de lader det fortsætte, de sætter bare deres gebyrer op og tørrer al tabet af på kunderne. jeg vil garantere at det nye systen ikke vil stoppe forbryderne i deres ugerninger, og er vel ligesom det der er humlen ikke om det er lidt besværligt at brugeer ikke det vigtige det vigtige er om det er sikkert, der vil altid kun være en til betale tabet og det er dig og mig, grotesk at alle dem der er ansvarlige for sikkerheden er så uansvarlige.

vil man lave system hvor man kan tjekke sine konti uden for meget fikumdik kan man lave system hvor man tilmelder en transaktions status der tikker ind pr email,hver gang der er sket en transaktion som man skulle bekræfte før hver transaktion blev gennemført så ville intet blive udført uden man havde givet sit besyv med. sådan var det før fagre nye elektroniske tidsalder i dag kan folk lænse ens konto og banken kan pålægge gebyrer for overtræk. det er jo total umyndiggørelse. det er ok hvis det er lidt besværligt så længe vi selv bestemmer over vores egne penge det er vel det mindste vi kan forlange.

mest groteske er det er højt uddannede mennesker der laver disse systemer, så jeg burde slet ikke forklarer det for dem det burde de jo selv bedst vide.

  • 0
  • 8
Jesper Østergaard

Du har helt ret - det er præcis derfor man har valgt at sløjfe case sensitive passwords. Det har de meldt officielt ud for år tilbage.
Det er også helt på linie med mange af kommentarerne i denne tråd - det skal være let og uden bøvl. Der er ikke mange der overvejer sikkerhed som en parameter - endsige konsekvenserne ved misbrug.
Som privat er man trods alt dækket nogenlunde ind, men som virksomhed er der ingen dækning. Det skal man tegne separat forsikring for at få.
MEN MEN - jeg tegner altså ikke forsikring med henblik på, at den skal anvendes..

  • 2
  • 0
Brian Hansen
  • 0
  • 0
Sune Marcher

At have nøglekortet liggende sammen med sygesikringsbeviset er torskedumt.....


Hvis folk bøffer min kortholder, og derved får mit CPR-nummer og min nemid-papskive, mangler de mit password. OK, det kræver fysisk tilstedeværelse for at de får fat i det, og så kan de naturligvis rubber-hose passwordet ud af mig...

Sikkerheden ved at have sin egen identifikation i hovedet (ikke CPR) og nøglekortet på sin mobil (uden dropbox el lign) er langt højere, og selv med dropbox er det vanskeligere for kriminelle end at have det hele i hånden, når de har nappet tegnebogen.


Really?

Hvis vi tager udgangspunkt i fysisk at tilrane sig telefonen, er sikkerheden pretty much den samme som mit scenarie ovenfor. Men hvis vi nu forestiller os scenariet hvor malware overtager telefonen, har du effektivt placeret alle sikkerhedsfaktorerne i én kurv - og du kan angribes remotely. #gameover.

Papkortet er en af de få ting ved NemID der er godt - og så besværligt er det altså ikke, med mindre man pga. virksomhed eller whatever har behov for mere end ét.

  • 2
  • 0
Henrik Biering Blogger

Hvorfor denne undtagelse? Banker og NemLogin kan i lige så høj grad som andre NemID-steder blive hacket eller plagieret i forbindelse med phishing.

Hvis du konsekvent kun benytter NemID ét sted, er sikkerheden ift kontokik den samme som ved brug af traditionelt brugernavn og password. Og her må man gå ud fra (selvom det desværre ikke altid gælder i praksis) at banker og større offentlige myndigheder har mere styr på sikkerheden end f.eks. sider som "Lises slikbutik" og "Opret din egen afstemning".

Men hvis du benytter NemID (samme brugernavn og adgangskode) på 100 forskellige små og store private og offentlige sider, er det dels sitet med den laveste sikkerhed, der reelt sætter barren for sikkerheden for samtlige sider. Og dels har du ingen reel chance for at opdage hvis side #101 blot har plagieret NemID login for selv at kunne logge ind på en anden af dine 100 NemID sider.

Jeg siger ikke at nogen ikke ville opføre sig lige så torskedumt (samme brugernavn og adgangskode på alle sider inkl. banken og det offentlige) uden NemID. Forskellen er blot at med NemID er man TVUNGET til at opføre sig torskedumt.

PS: Så skal jeg lige undskylde at jeg skrev om login på Nemlog-in. Det kan man jo desværre ikke gøre direkte - men kun gennem en tjenesteudbyder, man ofte ingen chance har for at vurdere kredibiliteten af. Så lad os hold os til bank-eksemplet.

  • 1
  • 0
Peter Stricker

Ole, jeg er en af dem, der gav dit indlæg en thumbs down. Min tilknytning til Sydbank er som kunde, så du har på sin vis ret i, at jeg har med systemet at gøre.

Din tegnsætning og manglende brug af store bogstaver i starten af sætningerne gør simpelthen dit indlæg usædvanlig svært at læse. Og da der ikke er tilstrækkelig mange stavefejl til at antyde en kraftig ordblindhed, tilskriver jeg det ren og skær dovenskab, at du formulerer dig så ringe.

Det er simpelthen spild af andres tid, at du ikke gør mere ud af din tegnsætning.

Stram op!

  • 5
  • 0
Henrik Christensen

Det plejer at være god latin i den sammenhæng at tale om noget man har, og noget man ved, og at begge disse er relevante for at få adgang. Hvis den ene ting kompromitteres, skal den skiftes straks...

Nøglekortet er noget jeg har, mit password noget jeg ved. Mit brugernavn er alt for nemt at gætte hos de fleste, cpr eller ej...

Min ene banks mobilapp skal registreres via netbank og nøglekort med en bekræftelseskodekode på telefonen, hvorefter den fungerer som en ting jeg har, til erstatning for nøglekortet. Det er dejlig nemt, ikke noget papkort til den, men en bekræftelseskode via sms for overførsler, og dermed en genbekræftelse af det er noget jeg har. Man kan ikke restore icloud backup til telefonen og få det til at virke, man skal bruge en bekræftelseskode via netbank. Forekommer mig ret godt sikret.

Min anden bank fordrer oprettelse af en 6-cifret pin via netbank, hvorefter mit cpr og den kode giver adgang til at se mine finanser. Det ser ud til de tjekker på IP adressens oprindelsesland, for med en udenlandsk (eks vpn) melder den fejl på adgangen. Det er i min optik temmelig tyndbenet sikkerhed. Til gengæld skal jeg så have papkortet frem ved hver transaktion, bøvlet.

Så jeg må tilstå, at jeg overvejer at skifte den ene bank ud til en anden.

  • 0
  • 0
Helle Eriksen

Jeg kan i den forbindelse kun anbefale i det mindste at tilføje et bogstav før efter eller et passende sted i cpr nummeret hvis man bruger dette som bruger id. Det tager et øjeblik hos nemid.nu at lave og forbedrer sikkerheden betydeligt uden at gøre det vanskeligt at huske.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Bankdata, som leverer netbank til blandt andet Sydbank, har ændret i løsningen, så det ikke længere er nødvendigt at indtaste den sekscifrede engangskode fra NemID-nøglekortet, når kunderne logger ind. Kortet skal nu i stedet bruges ved eksempelvis første transaktion. Sydbank begrunder ændringen med
et ønske om at lette login for de mange kunder, der blot er interesserede i at se kontooversigten. Det er frivilligt, om bankerne vil anvende den nye løsning med login uden nøglekort, det har langt hovedparten af de 12 pengeinstitutter, som står bag Bankdata, dog valgt, oplyser Bankdata til Version2. Selvom der dermed ikke længere er 2-faktor-autentifikation forbundet med login-løsningen, al...