Mener bankene ikke er sikre nok
Sikkerhetsselskapet RSA mener tofaktors autentisering er ikke lenger er sikkert nok for norske nettbanker.
Det siste året har antall angrep mot norske nettbanker økt betraktelig. Det viser Finanstilsynets Risiko- og sårbarhetsanalyse for 2011.
LES OGSÅ:
Kaja Narum, Norden-sjef i sikkerhetsselskapet RSA, mener nå at bankenes tofaktors autentisering og kryptering ikke lenger holder.
- Alene er ikke det lenger nok for å skape sikre nettbanker, sier Narum.
Hun mener bankene må gå videre fra tofaktors-autentiseringen, som innebærer at man må oppgi for eksempel en engangskode i tillegg til brukernavn og passord.
Narums løsningsforslag er risikobasert autentisering. Det innebærer at banken kan utfordre brukerne med ekstra autentiseringskrav hvis de endrer sitt vanlige bruksmønster.
Reagerer på det uventede
- Når man betaler regninger, skjer dette typisk fra samme maskin, og til samme tid hver måned. Typisk er man heller ikke lenge inne i nettbanken, utdyper Narum.
Ved uventede handlinger, bruk av ukjent enhet eller pålogging fra en ny lokasjon vil systemet legge til en ekstra sikkerhetsdialog, som også helst går utenfor selve nettbanksesjonen.
Eksempelvis vil en bruker da få telefonoppringing, sms eller epost fra banken med beskjed om hva som skjer, og med forespørsel om å bekrefte aktiviteten.
I Norge er det foreløpig ingen banker som har tatt i bruk risikobasert autentisering.
- Ikke sterkt behov
Professor Kjell Jørgen Hole ved Universitetet i Bergen er ekspert på banksikkerhet, og er både enig og uenig med Narum når det gjelder behov for økt sikkerhet i norske nettbanker.
- To-faktor autentisering fungerer bra i dagens situasjon, og det er veldig tydelig at bankene er obs på problematikken og følger med i trusselbildet, sier Hole.
Han viser til ROS-rapporten for 2011 fra Finanstilsynet, og sier problematikken rundt skadevare og nettbank er forholdsvis liten i Norge.
- Bankene samarbeider tett på dette området, de følger med og er klare til å oppskalere. Foreløpig har de sitt på det tørre, for det er lite penger som forsvinner på grunn av skadevare, sier Hole.
Det kan derfor hevdes at to-faktor autentisering er bra nok så lenge man er klar til å sette inn ekstra tiltak når det kommer mer avanserte angrep, ifølge Hole.
I tillegg viser han til at autentisering av brukere på langt nær utgjør hele forsvaret mot misbruk i norske nettbanker.
- Banker og kredittkortselskaper har en rekke mekanismer for å oppdage og stoppe misbruk. Dette har jeg selv erfart flere ganger når jeg prøver å benytte kredittkortet mitt i land hvor jeg typisk ikke oppholder meg, sier Hole.
