Senaste poster
Populära
Google Scholar
« Policy-making Swedish style | Main | Om eko-mat i The Economist »
måndag
dec182006

Vad pysslar Skandiabanken med?

För inte länge sedan hette det att Skandiabankens säkerhetssystem var tillfredsställande. Nu verkar de snarast ha fått panik fullständigt - deras nya rutiner gör banken fasanfullt bokig att använda, eftersom en ny kod från ett särskilt a4-papper måste användas varje gång den loggar ur - vilket sker automatiskt efter 15 minuter.

 

Deras svar från kundservice@skandiabanken.se när jag påpekade problemen är inte heller helt övertygande: 

 

Hej Andreas!

 

Tack för ditt meddelande.

 

SkandiaBanken genomför en förändring i inloggningsförfarandet i syfte att ytterligare höja säkerhetsnivåerna för SkandiaBankens och Skandias internettjänster. SkandiaBanken har därför skickat ut ett ark med 50 engångskoder som används vid inloggning i kombination personnummer och PIN-kod.

 

Förändringar i säkerhetslösningar måste utvecklas ständigt så ingen säkerhetslösning i banksammanhang är permanent. Vissa ändringar kan du som kund själv notera och andra sker bakom gränssnitt som våra kunder möter.

  

Befinner du dig på resande fot eller behöver komma åt ditt engagemang utan tillgång till dina engångskoder har du alltid möjlighet att ladda ner ett engångscertifikat och därigenom få en engångskod via SMS. Då kan du som vanligt göra dina bankärenden utan ditt papper med koder. Du har även möjlighet att ha tre papper med engångskoder aktiva parallellt, vilket medför att du till exempel kan ha ett papper på jobbet och ett hemma och slippa ta med dig pappret emellan.

 

Jag tar emot dina synpunkter och för dem vidare till berörd avdelning.

En modern Internetbank som tillåter att man har tre a4-papper "aktiva parallellt", tänk vad tekniken går framåt.
 

PrintView Printer Friendly Version

EmailEmail Article to Friend

Reader Comments (14)

Aktiva papper är spännande. Undrar vilken teknik Skandiabanken använder. Jag har bara sett prototyper hittills.
18 dec | Unregistered CommenterJohan Folin
Skandiabankens internetbank är ju helt hopplös. Bytte till Länsförsäkringar för något år sedan enbart eftersom de förstått huvudgrejen: enkelt.
19 dec | Unregistered CommenterMikael
Är det inte lite förhastat att kritisera banken för att lösningen är krånglig? Säkerheten går rimligen först - sedan gäller det att hitta den enklaste lösningen som håller godtagbar säkerhetsnivå.

System med enbart nedladdade certifikat skulle jag inte lita på. Det kräver att man kan vara 100 % säker på att ingen kan ta sig in i ens egen dator eller lura systemet att förse en med ett illegitimt certifikat. System med engångskoder är ett snäpp bättre, men vältar över ett grundläggande säkerhetsproblem på kunden: att säkerställa att jag, och bara jag, har tillgång till koderna som står skrivna i klartext på ett vanligt papper(!). Pinkodsskyddade dosor, som SEB använder (tre felaktiga försök och dosan är låst för gott) är den klart bästa lösningen så vitt jag kan se. Dosan är liten, snabb och smidig att använda, låst för obehöriga som skulle få tag på den, och ingen hacker i världen kan knäcka sig in i en dosa som inte har någon koppling mot datorn.
19 dec | Unregistered CommenterJohn Bubber
förhastat? möjligen, men då är jag inte den enda - kolla diskussionstråden under denna di-artikel:
http://di.se/Nyheter/?page=%2fAvdelningar%2fArtikel.aspx%3fO%3dIndex%26ArticleId%3d2006%5c12%5c18%5c214801

Däremot har du rätt såtillvida att det nu inte verkar finns någon enda Internetbank som enbart förlitar sig på koder och certifikat - alla kompletterar med dosor/skrapkort/sms, eller använder en mjukvarulösning knuten till endast en dator. (jag hoppas jag har fel om detta...)

Därmed förstörde även skandiabanken sin nisch som en enkel bank för de med låg riskaversion och/eller hög allmän tillit.

Jag misstänker skarpt att det är med bankdosorna som med de skärpta säkerhetskontrollerna vid alla flygplatser: Jämförs kostnaden med den förväntade vinsten i form av minskade brott, måste folk vara extremt riskaverta för att beteendet ska kunna kallas rationellt.

(Se där, ett uppsatstips för den som vill pröva sina vingar på förväntadnyttoteori och cost-benefitanalys)
20 dec | Registered Commenterbergh
Problemet med Skandiabanken, i alla fall när jag var kund där, var ju att man också var tvungen att ha laddat ner nåt jäkla certifikat till datorn. Detta gjorde det väldigt krångligt när man vara ute på resande fot.

I min nuvarande bank, som har ungefär samma profil som Skandiabanken, räcker det med en vanlig pin-kod och dosan. Även om dosan gör det något krångligare är den så liten att den kan ligga i en innerficka utan att störa. Det funkar perfekt när man ofta är på resande fot (dessutom behöver man bara byta kod och dosa vart 3:e år eller något sådant, istället för Skandiabankens ständiga hasslande).
20 dec | Unregistered CommenterMikael
Ett tips: Är man beredd att ladda ner ett nytt certifikat varje gång man loggar in på SkB behöver man inte bry sig om de nya koderna.

Inte helt perfekt. Men det är iaf smidigare att ta emot engångskoden via sms istället för att släpa runt på ett trasigt A4-papper.
20 dec | Unregistered CommenterPer
En protestlista mot Skandiabankens engångskoder finns här:
http://bme.blogg.se
Bergh: Du har säkerligen rätt i att det skulle vara rationellt för en riskneutral person att strunta i krångliga säkerhetslösningar, men jag tycker att det har lite av ett pappersargument över sig. Om det ska vara meningsfullt att räkna på förväntad nytta bör man väl spela så pass många spel att väntevärdet kan realiseras? Sannolikhet har ingen mening i det enskilda fallet. Den genomsnittlige försäkringstagaren gör t.ex. förlust på sin hemförsäkring, men för de flesta vore det oklokt att säga upp försäkringen eftersom man inte kan klara smällen /om/ det värsta händer. I ett oändligt långt liv gör det inte så mycket om man blir berövad alla sina besparingar emellanåt, men i ens enda högst ändliga liv är det värre. Sedan är det svårt att överblicka konsekvenserna av få sitt internetkonto knäckt. Vad kan man egentligen göra där - tömma kontot, eller mer? Och vilka möjligheter har offret att hållas skadeslös i slutänden?

Jag tycker att ni borde kräva att Skandiabanken inför dosor istället för att klaga över att de överger ett osäkert system.
20 dec | Unregistered CommenterJohn Bubber
Jag tror man kan tillåta ganska betydande riskaversion innan det blir motiverat att ha tre aktiva a4-papper med engångskoder.

Jag vill heller inte ha en jämrans dosa. Vad sägs om en usb-pryl som känner av mitt fingeravtryck?

helt nöjda verkar de inte vara, de ställer iunte ens upp på bild

http://www.e24.se/dynamiskt/finans/did_14296621.asp
20 dec | Unregistered Commenterbergh
Vid närmare eftertanke framstår risken för banken med en klen säkerhetslösning som större än den är för den enskilda kunden. Bankens säkerhetsrenommé lider samma skada vid en framgångsrik hackerattack även om kunden frivilligt valt bort livrem och hängslen i form av engångskoder - Sverker struntar i småsaker som kundens eget ansvar när han kör sin anklagelseakt i Plus. Därför kan det nog ligga i bankens intresse att tvinga kunderna att, så att säga, överkonsumera säkerhetslösningar i förhållande till risken för den enskilda kunden. (Uppslag till en festlig intressekonflikt.)

Men jag tycker ändå att ni borde tvingas att använda dosor. Ja' ba' tycker det. Asså, ba'.
21 dec | Unregistered CommenterJohn Bubber
Hur säkra är koderna? Står att du ska använda dem i turordning. Jag började bakifrån. Gick alldeles utmärkt. Funderar att testa med nån av syrrans engångskoder i morgon.
Jag kör både Nordea och Skandiabanken, och fram till pappersarket med koder vann Skandiabanken priset som minst dålig av de båda. Nordea har sedan länge ett liknande system med engångskoder, men de kommer i alla fall på ett plastkort med trisslottsskrap över koderna, som är lätt att stoppa bland de andra korten i plånkan.
2 jan | Unregistered CommenterJohan
Det blir inte heller bättre av att det inte är (eller åtminstone var - jag har inte sett om de tagit vara på min feedback) supertydligt att man måste spara engångscertifikat som "Tillfällig PC" (trots att det är på den egna laptopen) för att slippa hamna i en oändlig loop av till mobilen nedladdade engångskoder.
8 jan | Unregistered CommenterKristofer
skandiabanken.blog.com
Där kan även du berätta hur du vill att de ska göra - de måste lyssna till slut...

/DerasKund
31 jan | Unregistered CommenterDerasKund

PostPost a New Comment

Enter your information below to add a new comment.

My response is on my own website »
Author Email (optional):
Author URL (optional):
Post:
 
All HTML will be escaped. Hyperlinks will be created for URLs automatically.