Det er relativt enkelt at overtage en uforsigtig internetbrugers identitet ved at stjæle personens digitale signatur.
Den kan nemlig stjæles - uanset om den kommer fra banken eller TDC, fordi den ikke er mere sikker end netbankens. Men i modsætning til netbanken er der ved signaturen ingen kontonumre, som kan spores.
I sidste uge kom den første sag om tyveri fra en netbank frem i offentligheden. En 20-årig mand blev sigtet for at have brudt ind på en Nordea-kundes pc og kopieret nøglefilen og afluret adgangskoden til netbanken.
Det kunne ske, fordi kunden var blevet lokket til at installere et spionprogram, som indeholdt en trojansk hest ? en bagdør til systemet.
Bankernes bud på en digital signatur, Net-ID, bygger på netbankernes identifikationssystemer. Når en hacker kan stjæle filer og koder til netbanken, kan hackeren på samme måde stjæle bankkundens digitale signatur.
- Det kan i princippet ske for et vilkårligt adgangssystem, som fungerer på denne måde. Derfor kan det også ske for Net-ID, siger Johnny Bennedsen, direktør i PBS, som leverer Net-ID-løsningen til bankerne.
Teknisk adskiller de to systemer sig ikke. I begge tilfælde kræver det kun to ting for en hacker for at overtage enten banken eller signaturen.
- Net-ID baserer sig på en fil på harddisken og en adgangskode. Begge dele kan kompromitteres ved hjælp af en trojansk hest, siger Peter Vestergaard, teknisk chef i sikkerhedsfirmaet Protego.
Svenskerne bruger engangskoder
I Sverige er det langt mere udbredt blandt bankerne at anvende et system med engangskoder. Det kan for eksempel være i form af en elektronisk nøglering, som hele tiden viser skiftende adgangskoder i et lille display. Når kunden logger på banken, indtaster han den kode, der står i displayet.
Dermed kan hackeren ikke bruge adgangskoden til noget, da det vil være en ny kode, der skal bruges næste gang, fordi nøgleringen er synkroniseret med bankens system.
I denne type løsninger kræver det altså tre ting at få adgang til banken, nemlig et stykke software, en fysisk genstand i form af nøgleringen, og samtidig skal brugeren typisk huske en pinkode.
Hos PBS oplyser Johnny Bennedsen, at det er op til bankerne, om de vil ændre deres sikkerhedsniveau.
- Vi følger naturligvis udviklingen, men vi har ikke taget nogen beslutning. Som Nordea også har påpeget, så er der ingen grund til at være bekymret for sikkerheden ved netbankerne. Det samme gælder for Net-ID, siger Johnny Bennedsen.
PBS opfordrer ligesom bankerne kunderne til at beskytte deres pc'er mod hackere.
- Det er meget lidt sandsynligt, at der sker noget, hvis man bare har almindelig sund fornuft. Det vil sige opdaterer sin software og har et antivirusprogram og en firewall, siger Peter Vestergaard.
Offentlig signatur kan også stjæles
TDC leverer den digitale signatur, som det offentlige har lagt sig fast på. Denne signatur kan allerede anvendes til flere offentlige selvbetjeningstjenester og kommer til at konkurrere med bankernes signaturløsning.
- Sikkerhedsniveauet er det samme for begge systemer. De bygger begge på noget software på harddisken og på en adgangskode, siger sikkerhedschef Per B. Hansen fra TDC.
Han understreger, at det udslagsgivende er, at en hacker kan aflure adgangskoden.
- Herhjemme er vi ikke så meget inde på at bruge engangskoder, som de for eksempel er det i Norge og Sverige, siger Per B. Hansen.
Vil tilbyde mere sikkerhed
TDC arbejder dog på at udvide sikkerheden omkring den digitale signatur ved at tilbyde privatkunderne en løsning, som kræver en USB-krypto-token eller et chipkort for at kunne logge på systemet. På den måde kræver det en fysisk genstand at bruge signaturen.
- Vi tilbyder det allerede til erhvervslivet. Efter sommerferien vil vi også tilbyde det til private gennem vores telebutikker, siger Per B. Hansen.
Derudover vil TDC også videreudvikle signatursoftwaren, så den fremover bliver bundet til den enkelte pc. På den måde bliver det vanskeligere at kopiere den softwarenøgle, som udgør den ene halvdel af signaturen.
- Det er vanskeligt for ikke at sige næsten umuligt at sikre sig mod de mest målrettede angreb. Der vil altid være en risiko, men der står jo ikke forbrydere på hvert gadehjørne, og det gør der heller ikke på internettet, siger Per B. Hansen.