2.2.07

Netbankkunder: Sikkerhed afgør mere

Den svenske it-avis Computersweden står bag en undersøgelse, som nok også bør få danske banker til at spidse ører. Den handler om sikkerhed i netbanker og er foretaget i kølvandet på de forskellige typer indbrud, som Nordea i Sverige og Skandiabanken har været udsat for.

48 procent af de adspurgte siger, at sikkerheden er blevet vigtigere for deres valg af netbank. Sikkerhed er altså - heldigvis og omsider - blevet en konkurrenceparameter, og så sker der jo virkelig ting og sager.

Hvad jeg også hæfter mig ved er, at hele 75 procent af netbankkunderne vil acceptere en mere kompliceret indlogning, hvis det giver større sikkerhed. Jeg er ellers fra bankside gang på gang blevet fortalt, at kunderne går meget højt op i, at det ikke bliver for bøvlet. Men når den ubehaglige virkelighed banker på, ændrer holdningen sig tilsynelandende. Computerswedens artikel er her.

Nu er den danske netbanksikkerhed i sin konstruktion generelt set en smule højere end den svenske. Majoriteten af danske banker kræver at der skal være en lille stump særlig kode på kundernes pc, for at de får adgang, så det er altså ikke blot brugernavn og pinkode.

Selv den danske sikkerhed kan omgås, har vi jo set. Adskillige gange - og i forskellige netbanker. Bankerne fortæller nødig om det, men jeg ved, at hos Danske Bank nærmer tallet sig faktisk 50 indbrud i netbanken. Alle kunder har fået fuld kompensation for tabet.

Heldigvis har også jeg erfaret, at netop Danske Bank, som nok er den mest fremsynede på it-området, er langt fremme i udviklingen af en mere fremtidssikker løsning. Måske er det samme tilfældet andre steder, men hvis ikke, kan man måske håbe på en "adoptering" af den kommende løsning fra Danske Bank.

Jeg vil tro, at bankløsningen også kommer til at overgå den offentlige digitale signatur i sikkerhed, men måske er TDC (der står for den digitale signatur) også langt med en ny generation. Under alle omstændigheder ville jeg personligt foretrække, at jeg kunne nøjes med én digital signatur - den fra min bank. Uanset om jeg skulle i "banken" eller på "kommunen".

Jeg har tidligere skrevet en del om netbankers sikkerhed, blandt andet her.

5 kommentarer:

Anonym sagde ...

Jeg kender kun til en dansk netbank som har et ordentligt system til login og autentificering af ordrer, og det er jyskenetbank.dk.

Du nævner at danske bankers systemer er bedre end svenske, fordi de ofte kræver at man har en stump data på sin PC - men gæt engang - hvis jeg (Onde Hacker) har kontrol over din PC f.eks. vha. en trojans hest, så styrer jeg også hvad der sker med den nøglefil du har liggende og kan samtidig aflure dit password. Så kender jeg de to hemmeligheder der skal til at overtage din bankforbindelse.

Det er ikke sikkert - og det er slet ikke brugervenligt. Når min PC går itu og f.eks. får ny harddisk, så er min nøglefil væk - og jeg skal skrive brev til banken og vente flere dage uden at kunne bruge systemet.
Hvis jeg vil bruge netbank på arbejdet skal jeg kopiere nøglefilen over på en diskette eller USB dims, og så håbe på at jeg må sætte den slags til arbejdets PC.

Det er fa'me en ommer - men det er den løsning de fleste banker vælger.

Eksemplet med Jyske Bank, går på at man har et password og en lille lap lamineret papir, på størrelse med et dankort hvorpå der er 80 stk. nøgler. Hver nøgle kan kun bruges en gang.

Ved login og ved afgivelse af ordrer bliver man bedt om at indtaste en nøgle med et bestemt nummer, som selvf. er forskelligt hver gang. Når man har brugt 60 nøgler ud af de 80, sender de automatisk et nyt kort til dig og du bestemmer selv hvornår du skifter til det nye.

Dette system kræver altså at *du ved noget* og *du har noget* - to ud af tre faktorer for autenticitet (den sidste er at *du er noget*, f.eks. målt biometrisk).

Systemet kræver ingenting på den PC du bruger, og jeg har f.eks. brugt det på rejser i udlandet, hos bekendte, på arbejdet, på netcafe m.m. Hver gang jeg har indtastet en nøgle, vil den kunne være afluret - men den kunne kun bruges den ene gang og derfor er det ligegyldigt.

Simpelt, sikkert og brugervenligt.

Hvis de så bare ikke var så dyre med deres bankforretninger... :-)

Mvh
Kenneth

Anonym sagde ...

Nordea se bruger nöglekort.
29/1 var jeg udsat for et forsög på, at overföre euro til en Belgisk bank fra min konto. Forsöget blev heldigvis stoppet af Nordea.
Simpelt, brugervenligt, men ikke helt sikkert.
mvh Kristian

Dorte Toft sagde ...

Vedr. engangskoder. Jeg har hentet en af mine tidligere tekster fra et kommentarfelt frem:

"Engangskoder på et stykke papir er ikke svaret på problemerne. Det er adskillige gange lykkedes for de såkaldte phishere at få lokket folk til at oplyse, hvad næste engangskode er. Det var - så vidt jeg husker - hvad der skete ved de store angreb på Nordea netbank-kunder i Sverige.

Engangskoder produceret af en lille dims - koder, der kun holder et given periode, såsom 45 sekunder eller 60 sekunder - er en langt bedre løsning. Men der er tegn på, at kriminelles forholdsregler går på at vente med at tage kontrollen indtil netbankkunden har afleveret alle sikkerhedskoder, inklusive engangskoden." Citat slut.

Så, hvis og hvis og hvis....Det er et konstant kapløb med de kriminelle, og man kan håbe på at den næste generation af løsninger holder en stund. Lige som den nuværende faktisk har gjort. Og så bliver bankerne heldigvis også hele tiden bedre til at spore tegn på, at der er bedrageri i gang, så de kan reagere, inden skaden er sket. Såsom det tilsyneladende er sket med Kristians Euro. Men vi må nok vænne os til lidt flere kontrolopkald fra banken.
Dorte

Anonym sagde ...

>>Det er adskillige gange lykkedes for de såkaldte phishere at få lokket folk til at oplyse, hvad næste engangskode er.<<

I Jyske Banks system ved man ikke hvad den næste nøgle er. Brugeren bliver spurgt om en tilfældigt udvalgt nøgle på kortet.

Phisheren skal altså, udover at kende din adgangskode, have dig til at oplyse mindst 2 kort-nøgler (en til login, en pr. transaktion). Og du skal give ham nøglerne i det øjeblik han gennemfører sin ugerning, idet han ellers ikke ved hvilken af de 80 nøgler der vil blive spurgt til.

Jeg ved ikke om det omtalte Nordeas system har været magen til, men i så fald har det været nogle ret dygtige hackere... -eller nogle gigantisk tumper de har valgt som ofre. :-)

I forhold til de der dimser som genererer en nøgle når man trykker på dem, så falder omkostningerne nok ud til fordel for papirlappen. Sidst jeg kiggede kostede nøgle-generatorer ret mange penge - lad os bare gætte på 500 kr. Et papirkort koster maks et par kroner og det samme for at sende det ud, dvs. maks 10 kr.

Desuden fylder det intet - jeg har altid mit med mig i en lille metal-kreditkort-holder i lommen.
Det ville jeg ikke have med en 1-2 mm tyk nøglegenerator.

Mvh
Kenneth

Anonym sagde ...

Lad os nu få lidt fornuft i denne diskussion. Det drejer sig jo i langt højere grad om, hvad folk tror end hvad virkeligheden er.

Man har i årevis vidst at datasikkerheden omkring Netbanker er elendig - banken kan i sgaens natur ikke vide om det er dig eller en anden, der via din fjernstyrede pc, har adgang til dine kontooplysninger. Men motivet til at bruge ressourcer herpå er begrænset til dem, der analyserer om du er værd at angribe kriminelt eller "kommercielt".

Men den økonomiske risiko var til at overse, fordi det i praksis er næsten umuligt uopdaget at føre penge ud af selve netbanksystemet.

En bevidst destruktiv adfærd ville kunne undergrave tilliden til banksystemet ved at skubbe en masse falske overførsler og aktiesalg ind i systermene, men det har vi ikke set endnu i noget væsentligt omfang.

Så længe bankerne holder sig til de direkte bankservices og undergår at genbruge nøgler på tværs, så er der rimelig grund til at tro at sikkerheden er acceptabel.


Men det gælder kun så længe netbankerne holder sig langt væk fra at koble kunderne med hinanden via banken. Så snart det sker, eksploderer problemerne.

Det sker f.eks. når man bruger dit kreditkort til at betale for en online handel, hvor varen ender hos en anden - det er specielt nemt med rent digitale varer som der bliver stadigt flere af - f.eks. Second Life for nu at tage et eksempel.

Men sikkerheden ryger også hvis man begynder at genbruge banklogin andre steder. Det er f.eks. ret påfaldende så store tekniske ligheder der er mellem Net-Id og et man-in-the-middle attack.

Det er kun et spørgsmål om tid inden de kriminelle finder ud af at udnytte det.ivygvo