Kodeords-kaos gør danske netbanker usikre

På mere end en million danske netbank-kontoer kan man logge sig ind med et gammelt password, selv om man har fået nyt password. Det gælder blandt andet hos Danske Bank-koncernen. Sikkerhedsfolk finder modellen problematisk.

Hvis kunder i Danske Bank-koncernen skifter deres passwords, giver de gamle kodeord stadig adgang til konto og betalinger på nettet. Sådan er virkeligheden for koncernens 1,2 millioner netbankkunder.

Dermed har kunderne hos Danske Bank ingen reel mulighed for at holde ubudne gæster væk fra adgang til deres konti hvis de opdaterer passwordet netop for at undgå misbrug af deres netbank.

Selvom kunden fornyer sit password giver det gamle password nemlig stadig adgang til lønkonto og overførsel af penge, hvis ikke alle tidligere versioner af den tilhørende nøglefil slettes.

Dermed har bankkunderne ingen mulighed for at stoppe eventuel svindel før misbruget bliver opdaget og bankerne lukker adgangen eller udsteder en helt ny nøglefil til kunden.

Gamle nøglefiler giver adgang

Årsagen til problemet er, at Danske Bank, BG Bank og potentielt en række andre firmaer i koncernen har valgt en certifikatbaseret løsning, hvor sikkerheden er knyttet til en nøglefil som sammen med et tilhørerne password giver fuld kontrol med kundens penge.

Bankens system holder nemlig ikke centralt øje med, om passwordet er nyt eller gammelt. Derfor vil en nøglefil og et password som indbyrdes passer sammen tillade adgang til pengeoverførsler og betalinger på nettet.

Det forklarer Carsten Jørgensen, som er sikkerhedsekspert hos Devoteam Consulting, der rådgiver danske virksomheder i spørgsmål om sikkerhed.

- De fleste brugere vil nok opfatte det sådan, at de er beskyttet mod adgang, hvis de skifter deres password. De fleste er ikke klar over, at hele sikkerheden er knyttet til, at passwordet og nøglefilen passer sammen, siger Carsten Jørgensen.

Kunder kender ikke til problemet

Han mener at der er et stort sikkerhedsproblem, fordi mange kunder ikke er klar over, at andre faktisk kan genbruge de gamle passwords og nøglefiler.

- Det er et meget stort problem for de kunder som ikke behandler deres nøglefil og password sikkert. For så vil man kunne få adgang til kundens konto og potentielt foretage overførsler, siger Carsten Jørgensen.

Ifølge Preben Andersen hos DK-Cert er spørgsmålet, om kunderne er klar over, at deres gamle passwords stadig giver adgang til deres konti.

- Det kunne man nok have sin tvivl om. Det er måske der man skal sætte ind med nogen oplysninger. Desværre er det ofte sådan, at det er brugernes adfærd som skal reguleres, siger Preben Andersen.

Ifølge Lov Om Visse Betalingsmidler er det Forbrugerombudsmanden som er ansvarlig for at føre tilsyn med sikkerheden hos netbankerne.

Her mener specialkonsulent Søren Iversen ikke, at muligheden for at logge på banken med gamle passwords klinger rigtigt i hans ører.

Vil gerne have en forklaring

- I så fald forelægger der vel en form for risiko for, at andre som har det gamle password, stadig kan benytte det. Og det lyder ikke så godt. Det er jeg betænkelig ved, siger Søren Iversen.

Når muligheden for at bruge gamle nøglefiler og passwords overhovedet eksisterer, skyldes det formentlig at der endnu ikke er konstateret konkrete tilfælde af misbrug.

Det vurderer Robin Sharp, docent ved Institut for Informatik og Matematisk Modellering på DTU og modtager af SUMO-prisen 2006 (Suggested Upper Merged Ontology.)

- Det er en udbredt holdning, at man aldrig investerer mere end man kan tjene ved at fjerne risici. Den almindelige tankegang er, at man ikke vil betale for mere sikkerhed end man kan hente ind igen, siger Robin Sharp.

Ifølge Robin Sharp ville det være nemt at forhindre et gammelt password i at virke, hvis man eksempelvis brugte en anden mekanisme eller brugte en udløbsdato.

Den overvejelse ville generelt løse mange problemer i sikkerhedsverdenen, fortæller han.

En anden årsag til at der ikke bliver gjort noget ved problemet skyldes ifølge Robin Sharp at det er besværligt for kunderne at skifte deres passwords ud, og at de derfor ikke meget for at gøre det.

Potentielt problem

Robin Sharp mener derfor, at muligheden for at bruge de gamle passwords er et potentielt problem. Men problemets omfang afhænger af, hvad banken har lovet kunden.

Hvis banken selv vil dække eventuelle tab, må den gøre op med sig selv, om omkostningerne ved at forbedre sikkerheden opvejes af de omkostninger, som er forbundet med at dække kundernes tab, fortæller han.

Ifølge Robin Sharp handler mange sikkerhedsrisici ikke så meget om investering, men er mere et spørgsmål om at få kunderne i tale og få dem overbevist om at opføre sig mere sikkert.

Eksempelvis er det mere usikkert at have nøglefiler på sin harddisk frem for en usb-stick, som kun bruges til at gå i banken med.

- Man skal uddanne kunderne til at opføre sig fornuftigt, siger Robin Sharp.

Ikke muligt at stoppe centralt

Ifølge Ivan Damgaard, professor ved Datalogisk Institut Daimi på Århus Universitet og grundlægger af sikkerhedsfirmaet Cryptomatic, har banken formentlig ikke de store chancer for at stoppe brugen af gamle passwords og tilhørende nøglefiler fra centralt hold.

Men han udelukker ikke, at det ville være muligt at lave en løsning, som lokalt beskytter mod problemet.

- Det er på en vis måde ganske naturligt. Hvis du genetablerer en situation, der er præcis, som da du ikke havde skiftet password endnu, så har resten af systemet faktisk ikke de store chancer for at opdage det, siger Ivan Damgaard.

Ifølge professoren giver dette en beskyttelse for kunden mod svindel udefra. Men det betyder også, at bankkunden får et vist ansvar for at opføre sig ordentligt.

- Passwords, som alle kan gætte eller rundsendte nøglefiler betyder, at man selv hænger på den, siger Ivan Damgaard.

Læs korncernsikkerhedschef Poul Otto Schousboes kommetar til historien senere på formiddagen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere