Dette indlæg er alene udtryk for skribentens egen holdning.

41 mio her og 41 mio der...

6. august 2008 kl. 11:3721
Artiklen er ældre end 30 dage

En flok kriminelle er taget med 41 mio kreditkort.

Kreditkort sikkerheden er som al anden computer sikkerhed stokastisk.

Sandsynligheden for at gætte en pinkode er omkring 1:9000, man udsteder ikke pinkoder som '0000' så tallet er lidt mindre end 1:10000.

Med 41 mio kreditkort og et brute force angreb vil de kriminelle kunne forvente at finde 4500 korrekte pinkoder, hvis de kun forsøger hvert kort en gang, dobbelt så mange hvis de prøver to gange på hvert kort.

Artiklen fortsætter efter annoncen

Og dette helt uden at tænde nogen alarmer hos bankerne, der først reagerer ved den tredje forkerte pinkode.

Selvom det er store tal, så er vi meget langt fra bankernes påstand om at "den eneste måde forbrydere kan få fat i pinkoder, er hvis folk sløser med dem".

At lave sikkerhed med holdningen "den går nok" er ikke godt nok mere, og da sikkerheds sandsynlighederne for kreditkort var aldrig baseret på at forbrydere kunne få fat på 41 mio kort, så skal vi tilbage til trin 1 med hensyn til designet.

Når forbrydere kan få adgang til 41 mio kort, skyldes det naturligvis butikskæder der gemmer alle mulige data for at lave data-mining.

Artiklen fortsætter efter annoncen

Faktisk er kreditkort blevet det nye index i markedsføring: Man kender folks kreditværdighed og kan korrelere deres indkøb på kryds og tværs, helt uden begrænsninger, for der er ikke en egentlig identitet tilknyttet, kun et kortnummer.

Og når det kommer til stykket, så interesserer butikskæder sig ikke for hvem folk er, men blot for hvor meget man kan få dem til at købe.

Bankerne er naturligvis medskyldige, for de tjener penge på brug af kreditkort, særligt hvis folk er dumme nok til at overtrække dem, så jo mere folk fristes, jo bedre for bankerne.

Taget i betragtning at vi om forbrugere absolut ingen inflydelse har på design af sikkerhedsfunktionerne i kreditkort, det så vi da de trods bred folkelig modstand fjernede billedet, så kan jeg ikke se rimeligheden i, at forbrugeren har et erstatningsansvar ved misbrug.

Bankerne investerer ikke i kreditkortsikkerhed hvis det ikke kan betale sig, så læg hele ansvaret for misbrug på deres regning, så kan de vurdere om de vil leve med et givent niveau af svindel, eller om de vil forbedre sikkerheden.

phk

21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
6. august 2008 kl. 13:31

Nu er pinkoden heldigvis ikke det eneste sikkerhedselement, der indgår i betalingskortløsninger. Som phk skriver laves der datamining på forbrugsmønstrene - og det gør man altså også i kortselskaberne for at sikre os forbrugere. Er man rigtig go' kan man på baggrund af forbrugsmønstret spærre kortet efter blot én hævning (også selvom den rigtige pinkode eller måned/år/bagsidekode bliver brugt). Som forbruger kan man iøvrigt gøre indsigelse mod en hævning, hvis det ikke er ens egen - og i langt de fleste tilfælde dækker banken eller kortselskabet tabet, så forbrugeren ikke mister pengene.

3
6. august 2008 kl. 13:57

"I langt de fleste tilfælde" og selvrisiko på 1200 kr er ikke acceptabelt når brugeren ikke har nogen indflydelse på sikkerhedsniveauet.

Poul-Henning

2
6. august 2008 kl. 13:46

Kunderne tvinges i princippet ikke til at bruge kreditkort, så man siger sig vel enig i vilkårene (inkl erstatningsansvar) for brug, dersom man bestiller og bruger kreditkort.

Nu er det længe siden jeg sidst har hørt om beløbsstørrelser, men er selvrisikoen ikke kun omkring 1.200,- kr?