Hvis kunder i Danske Bank-koncernen skifter deres passwords, giver de gamle kodeord stadig adgang til konto og betalinger på nettet. Sådan er virkeligheden for koncernens 1,2 millioner netbankkunder.
Dermed har kunderne hos Danske Bank ingen reel mulighed for at holde ubudne gæster væk fra adgang til deres konti hvis de opdaterer passwordet netop for at undgå misbrug af deres netbank.
Selvom kunden fornyer sit password giver det gamle password nemlig stadig adgang til lønkonto og overførsel af penge, hvis ikke alle tidligere versioner af den tilhørende nøglefil slettes.
Dermed har bankkunderne ingen mulighed for at stoppe eventuel svindel før misbruget bliver opdaget og bankerne lukker adgangen eller udsteder en helt ny nøglefil til kunden.
Gamle nøglefiler giver adgang
Årsagen til problemet er, at Danske Bank, BG Bank og potentielt en række andre firmaer i koncernen har valgt en certifikatbaseret løsning, hvor sikkerheden er knyttet til en nøglefil som sammen med et tilhørerne password giver fuld kontrol med kundens penge.
Bankens system holder nemlig ikke centralt øje med, om passwordet er nyt eller gammelt. Derfor vil en nøglefil og et password som indbyrdes passer sammen tillade adgang til pengeoverførsler og betalinger på nettet.
Det forklarer Carsten Jørgensen, som er sikkerhedsekspert hos Devoteam Consulting, der rådgiver danske virksomheder i spørgsmål om sikkerhed.
- De fleste brugere vil nok opfatte det sådan, at de er beskyttet mod adgang, hvis de skifter deres password. De fleste er ikke klar over, at hele sikkerheden er knyttet til, at passwordet og nøglefilen passer sammen, siger Carsten Jørgensen.
Kunder kender ikke til problemet
Han mener at der er et stort sikkerhedsproblem, fordi mange kunder ikke er klar over, at andre faktisk kan genbruge de gamle passwords og nøglefiler.
- Det er et meget stort problem for de kunder som ikke behandler deres nøglefil og password sikkert. For så vil man kunne få adgang til kundens konto og potentielt foretage overførsler, siger Carsten Jørgensen.
Ifølge Preben Andersen hos DK-Cert er spørgsmålet, om kunderne er klar over, at deres gamle passwords stadig giver adgang til deres konti.
- Det kunne man nok have sin tvivl om. Det er måske der man skal sætte ind med nogen oplysninger. Desværre er det ofte sådan, at det er brugernes adfærd som skal reguleres, siger Preben Andersen.
Ifølge Lov Om Visse Betalingsmidler er det Forbrugerombudsmanden som er ansvarlig for at føre tilsyn med sikkerheden hos netbankerne.
Her mener specialkonsulent Søren Iversen ikke, at muligheden for at logge på banken med gamle passwords klinger rigtigt i hans ører.
Vil gerne have en forklaring
- I så fald forelægger der vel en form for risiko for, at andre som har det gamle password, stadig kan benytte det. Og det lyder ikke så godt. Det er jeg betænkelig ved, siger Søren Iversen.
Når muligheden for at bruge gamle nøglefiler og passwords overhovedet eksisterer, skyldes det formentlig at der endnu ikke er konstateret konkrete tilfælde af misbrug.
Det vurderer Robin Sharp, docent ved Institut for Informatik og Matematisk Modellering på DTU og modtager af SUMO-prisen 2006 (Suggested Upper Merged Ontology.)
- Det er en udbredt holdning, at man aldrig investerer mere end man kan tjene ved at fjerne risici. Den almindelige tankegang er, at man ikke vil betale for mere sikkerhed end man kan hente ind igen, siger Robin Sharp.
Ifølge Robin Sharp ville det være nemt at forhindre et gammelt password i at virke, hvis man eksempelvis brugte en anden mekanisme eller brugte en udløbsdato.
Den overvejelse ville generelt løse mange problemer i sikkerhedsverdenen, fortæller han.
En anden årsag til at der ikke bliver gjort noget ved problemet skyldes ifølge Robin Sharp at det er besværligt for kunderne at skifte deres passwords ud, og at de derfor ikke meget for at gøre det.
Potentielt problem
Robin Sharp mener derfor, at muligheden for at bruge de gamle passwords er et potentielt problem. Men problemets omfang afhænger af, hvad banken har lovet kunden.
Hvis banken selv vil dække eventuelle tab, må den gøre op med sig selv, om omkostningerne ved at forbedre sikkerheden opvejes af de omkostninger, som er forbundet med at dække kundernes tab, fortæller han.
Ifølge Robin Sharp handler mange sikkerhedsrisici ikke så meget om investering, men er mere et spørgsmål om at få kunderne i tale og få dem overbevist om at opføre sig mere sikkert.
Eksempelvis er det mere usikkert at have nøglefiler på sin harddisk frem for en usb-stick, som kun bruges til at gå i banken med.
- Man skal uddanne kunderne til at opføre sig fornuftigt, siger Robin Sharp.
Ikke muligt at stoppe centralt
Ifølge Ivan Damgaard, professor ved Datalogisk Institut Daimi på Århus Universitet og grundlægger af sikkerhedsfirmaet Cryptomatic, har banken formentlig ikke de store chancer for at stoppe brugen af gamle passwords og tilhørende nøglefiler fra centralt hold.
Men han udelukker ikke, at det ville være muligt at lave en løsning, som lokalt beskytter mod problemet.
- Det er på en vis måde ganske naturligt. Hvis du genetablerer en situation, der er præcis, som da du ikke havde skiftet password endnu, så har resten af systemet faktisk ikke de store chancer for at opdage det, siger Ivan Damgaard.
Ifølge professoren giver dette en beskyttelse for kunden mod svindel udefra. Men det betyder også, at bankkunden får et vist ansvar for at opføre sig ordentligt.
- Passwords, som alle kan gætte eller rundsendte nøglefiler betyder, at man selv hænger på den, siger Ivan Damgaard.
Læs korncernsikkerhedschef Poul Otto Schousboes kommetar til historien senere på formiddagen