Mandag omtalte digi.no et simulert angrep mot Skandiabanken, iscenesatt av hovedfagstudent Thomas Tjøstheim ved Universitetet i Bergen (UIB).
Les også:
- [28.11.2007] Professor hacket nettbankene
- [26.11.2004] Norsk WLAN-nett står åpne
- [07.09.2004] Skandiabanken avviser påstått sikkerhetshull
Skandiabanken har i ettertid endret sine påloggingsrutiner etter samtale med Selma-senteret ved Institutt for Informatikk ved UIB.
IT-direktør Ole Tom Pettersen i Skandiabanken avviste at dette var noe å bry seg om.
- Alt er mulig i teorien, men rent praktisk tviler jeg på at et angrep er mulig. Vi har en sikkerhetsløsning som er mer enn god nok, sa han til digi.no mandag.
Skandiabanken bruker bare fire sifre i sine PIN-koder, slik at antall mulige PIN-koder er begrenset til 10.000 (0000 til 9999). Forskere ved Selma-senteret ved UIB mener det bør benyttes PIN-koder med flere sifre. Da vil sannsynligheten for å kunne finne gyldige par av personnummer og PIN-kode reduseres kraftig.
– Det er fortsatt store sikkerhetshull i Skandiabanken og fullt mulig å komme inn i 2004, sier professor Kjell Jørgen Hole ved UIB til digi.no.
Administrerende direktør Henrik Vad i Skandiabanken Danmark understreker overfor det danske nettmagasinet Jobworld.dk at de har valgt en annen løsning. . Vad sier rett ut at «herhjemme er der dog ikke samme risiko for at hackere baner sig vej ind i Skandiabanken».
Dette er Vads forklaring:
– Vi kører to forskellige sikkerhedsløsninger i Danmark og Norge. Ingen løsning er 100 procent sikker, men vores løsning i Danmark er den samme, som alle de øvrige banker (i Danmark) anvender med en otte-cifret pinkode, et brugernummer og et certifikat. Og vi har ikke oplevet, at nogen er trængt igennem endnu, sier han til Jobworld.dk.
På spørsmål fra digi.no ville ikke sjefen for Skandiabanken Norge svare på hvorvidt den norske banken var blitt utsatt for inntrengninger.
Vad understreker at Skandiabanken i Norge har fått bedre sikkerhet etter at den norske studenten simulerte et angrep.
Sikkerhetskonsulent Rune Marius Rokke ved PDI sier til digi.no at fast PIN-kode ikke er sikkert nok, uansett hvor mange sifre den består av.
– Åtte sifre i forhold til fire er utvilsomt sikrere og gjør det vanskeligere å hacke, men det kan aldri være sikkert nok. Så lenge PC-er er sårbare og det er mulig å legge ting inn på PC-en, kan i prinsippet en PIN-kode skaffes, sier han.
Rokke framholder smartkortløsning med digital signatur eller passordkalkulator som de eneste brukbare alternativene.