Nyheder
15 februar 2017

'giraf1' uden nøglekort er godt nok til netbanken

Der er stor sikkerhedsmæssig forskel på adgangskravet ved login til eksempelvis Borger.dk og så til en række danske pengeinstitutter.
Jakob Møllerhøj Onsdag, 15. februar 2017 - 5:09

Der er stor sikkerhedsmæssig forskel på adgangskravet ved login til eksempelvis Borger.dk og så til en række danske pengeinstitutter.

Mens nøglekortet er obligatorisk ved login med NemID til offentlige tjenester, så er det muligt at logge på flere danske netbanker og dér få adgang til kontooverblik, rådgiver-korrespondance og andet alene ved at indtaste et brugernavn - ofte cpr-nummeret - og et kodeord.

Og da det sker, at kodeord, som af mange genbruges i forskellige sammenhænge, og cpr-numre optræder i datalæk, kan kriminelle i princippet få kendskab til netbank-login'et.

En engangskode fra nøglekortet ville i sådanne tilfælde være en væsentlig barriere for digitale indbrudstyve, men det forudsætter altså, at nøglekortet anvendes ved login.

Mange netbankløsninger baserer sig imidlertid på teknologi fra selskabet Bankdata, hvor det i udgangspunktet er muligt at logge i netbanken uden nøglekort, og hvor det er kravene for NemID-kodeord, der gælder. Og baseret på de krav er det muligt for brugere at vælge relativt svage kodeord som eksempelvis ‘giraf1’.

NemID-kodeordene behøver nemlig ikke være længere end seks tegn, og derudover skal de som eneste krav indeholde et tal. Så 'giraf1', vil være et acceptabelt kodeord i denne sammenhæng. Der skeles i øvrigt ikke til store eller små bogstaver, ligesom æ, ø og å ikke er blandt de tilladte tegn i et NemID-kodeord.

I stedet for et kodeord er det i øvrigt muligt at vælge en firecifret pinkode.

Brugere bliver i udgangspunktet heller aldrig bedt om at skifte deres NemID-kodeord. Så hvis 'giraf1' blev anvendt til en NemID-konto for tre år siden, så er det i udgangspunktet, medmindre brugeren aktivt har skiftet det, stadig det gyldige kodeord til den pågældende konto. Også uanset om kombinationen af brugernavn og kodeord måtte være lækket i andre sammenhænge.

Nøglekort et must

Netop for at beskytte borgerne har den offentlige sektor besluttet, at brug af nøglekort er et must i forbindelse med login til eksempelvis borger.dk, TastSelv hos Skat eller sundhed.dk, oplyser teamleder i Digitaliseringsstyrelsen Kenneth Mose Kruuse.

»I den offentlige sektor stiller vi jo altid krav om, at du skal bruge nøglekortet i enhver sammenhæng,« siger han.

Kenneth Mose Kruuse understreger i den forbindelse, at han udelukkende udtaler sig på baggrund af de krav, der er til beskyttelse af personfølsomme data i offentlige systemer, og den risikovurdering, som ligger til grund for de offentlige krav til sikkerhedsniveauet ved login.

»Vi kan ikke på nogen måde acceptere eller leve med en situation, hvor private oplysninger på en eller anden måde bliver kompromitteret.«

Så når Digitaliseringsstyrelsen i forhold til offentlige data vurderer, at et kodeord som ‘giraf1’, som brugere aldrig skal skifte, er godt nok i forhold til de nuværende kodeordskrav, så hænger det altså sammen med, at nøglekortet indgår som en obligatorisk del af sikkerheden.

Indgik nøglekortet ikke som en del af login-proceduren i interaktionen med de offentlige systemer, så ville kravene til kodeord se anderledes ud.

»Så ville vi vurdere på et andet trusselsbillede, som ville afføde nogle helt andre krav,« siger Kenneth Mose Kruuse og tilføjer:

»Det er jo en samlet sikkerhedsbetragtning, vi laver. De trusler, vi kender, og det sikkerhedsniveau for offentlige data, vi har valgt at lægge os på, det baserer sig naturligvis også på, at vi har nøglekortet. Det er klart.«

Bankdata: Vi kan ikke gøre noget

I Bankdata mener man, at løsningen, hvor det ikke er nødvendigt at finde nøglekortet frem ved login, er sikker nok.

»Vi bruger jo NemID, som standard, og så har vi så bare ikke nøglekort ved logon. Vi har som en mulighed, at man individuelt kan tilvælge, at man vil have nøglekortet med,« siger Allan Vadskjær Severinsen, underdirektør i Bankdata for området Digitale Brugere.

Visse handlinger kræver som standard i Bankdatas løsning godkendelse via nøglekort, eksempelvis hvis brugeren forsøger at overføre penge til en andens bankkonto. Uden nøglekort er det dog stadig muligt eksempelvis at få et konto-overblik og se korrespondancen med en bankrådgiver.

Synes du, kravene til kodeord er gode nok i forhold til, at de giver adgang til folks bankoplysninger?

»Det kan man jo diskutere. Vi har jo valgt at lægge os op ad NemID,« siger han og fortsætter:

»Hvis man ikke synes, det er godt nok, så har man jo mulighed for at koble papkortet til. Og desuden får man jo kun adgang til at vise kontooplysninger. Hvis man laver transaktioner, så skal man jo bruge kodekortet.«

Men bankoplysninger kan vel i sig selv også være følsomme oplysninger?

»Det er jeg enig i. Men vi har valgt at følge sektoren, vi kan ikke rigtigt gøre noget der.«

Hvad den generelle banksektor angår, så skal kunderne hos flere andre netbankløsninger i udgangspunktet have nøglekortet frem i forbindelse med login.

I kunne vel gøre det, at I stillede krav om brug af nøglekort som standard, når man loggede ind?

»Det kunne man jo gøre. Og det er jo et valg, bankerne kan tage. De har så valgt, at de hellere vil have, det skulle være let at logge på.«

En af de store pengeinstitutter, som indgår i Bankdatas ejerkreds, er Sydbank. Version2 har spurgt bankens pressekontakt, hvorfor sikkerheden anses som værende god nok uden brug af nøglekort ved login. Pressekontakten henviste dog til Bankdata.

Hvad tænker du? Er eksempelvis Bankdatas model med login uden nøglekort praktisk og brugervenlig, eller bør der som standard involveres et nøglekort bare for at tilgå i bankdata?

FacebookTwitterLinkedinMailPrint

Også interessant