- Koncern it-chef i Danske Bank, Poul Otto Schousboe, hvorfor kan kunderne logge på netbank med deres gamle passwords?
- Kodeordet bliver brugt til at beskytte nøglefilen med. Derfor er det en decentral komponent. Hver enkelt fil har sådan set sit eget liv. Som vi skriver på vores logonside til netbanken, skal man skifte sin personlige kode på alle de pc’er, man bruger.
- Hvad skal man gøre i de tilfælde, hvor gamle nøglefiler og passwords alligevel er tilgængelige?
- Hvis man har mistanke om, at andre har fået kendskab til ens nøglefil eller kodeord, så skal jo bestille en ny engangspinkode. Så får man lavet nogle ny nøglefiler, som vil gøre alle eksisterende nøglefiler der måtte eksistere uanvendelige.
- Er det kundens eget ansvar at holde styr på sikkerheden?
- Vi beskriver, hvorledes man skal bære sig ad. Vi kan ikke løbe rundt at gøre det for kunden. Vi har givet en mulighed for mobilitet. Kunden kan vælge at have forskellige kodeord på to maskiner.
- Er det muligt for jer at spærre adgangen, så kun de nyeste password virker?
- Nej, ikke i den designløsning, der er lavet. Det gælder om, at kunden skal have kendskab til, at andre har fået den [koden, red.], og så bestille en ny engangskode. Vi kender ikke kodeordene af bevisførelsesmæssige grunde.
- Hvordan kan kunderne vide sig sikre mod misbrug af deres konti når de gamle passwords giver adgang?
- De skal have stjålet noget fra dig, for at kunne gøre det. Ellers skal du have distribueret din nøglefil til steder, hvor du ikke har fuld kontrol over den.
- Hvem dækker eventuelle tab på min konto, hvis mit gamle password bliver misbrugt?
- Blandt andet er banken erstatningspligtig. Derudover er der en selvrisiko på to niveauer, men den forventer vi ikke at opkræve.
- Hvordan skal kunderne bevise, at nogen har brugt et gammelt password til at flytte et stort beløb?
- I de tilfælde tror vi som udgangspunkt på kunden.
- Hvordan har I oplyst kunderne om, at de gamle kodeord faktisk giver adgang til kontoen på lige fod med de nye?
- Det er jo ikke sådan, at vi har sagt, at de gamle kodeord giver adgang. Vi har valgt at fortælle, hvad man skal gøre for at undgå, at det sker, frem for at fortælle, hvad der kan ske, hvis man ikke gør det.
- Tror du, at I skal overveje at fortælle kunderne, at det faktisk er meget vigtigt at få slettet de gamle nøglefiler og passwords?
- Der er ikke noget nyt i, at man skal beskytte sit kodeord. Både det nye og det gamle.
Hvis man ikke har styr over sine nøglefiler, anbefaler vi, at man bestiller en ny engangskode, som i realiteten betyder, at alle eksisterende nøglefiler annulleres.
- I en lang række andre banker bruger man systemer som ligner jeres. Men her kan man ikke logge på med gamle passwords. Hvorfor har i valgt at man skal kunne det hos jer?
- Det er et ønske om at kunne fastholde mobilitet på flere pc’er.
- Har det også noget at gøre med, at der ikke er ret mange af os kunder, som synes, at det er specielt sjovt at skifte password. At det kan være et stort irritationsmoment for mange, hvis man blev tvunget til at skifte password ofte?
- -Det er blandt de overvejelser, som har indgået i den måde, som vi har valgt at lave vores design.
- Burde I ikke nulstille alle kunders nøglefiler en gang imellem?
- Det har vi ikke generelt overvejet at gøre.
- Er denne her situation en fejl eller er det et valg, I har foretaget?
- Vi har valgt at gøre det på den måde, fordi man kan være mobil og have et kodeord på hver enkelt pc. Derfor anser jeg det ikke for at være en fejl.
- Vil I sikre, at kunderne fremover bliver bedre klar over, at de gamle passwords faktisk udgør en sikkerhedsrisiko?
- Dine spørgsmål kan da godt få os til at overveje, om der er et informationsmæssigt behov på det her område. Det vil jeg ikke afvise. Det er af stor interesse for os, at der er tillid til vores netbank løsning.
- Hvor mange gange har I oplevet, at nogen har logget ind med gamle passwords og nøgler?
- Det har jeg ikke noget tal for.
