Internetbankerna har över lag blivit säkrare de senaste åren. Men fortfarande finns blottor – framför allt hos Skandiabanken som fortfarande har engångskoder som inloggningsalternativ.
– Dem ska man helt klart se upp med. Det är inte ansvarsfullt, säger Marcus Murray, IT-säkerhetsexpert på Truesec.
Det var engångskoderna som gjorde att hundratals Nordeakunder i mars 2007 fick sina konton kapade. Sedan dess har såväl Nordea som Handelsbanken avvecklat systemet och Skandiabanken är i dag den enda svenska storbank som har kvar engångskoderna.
Anders Nygren, ansvarig för produktägarsäkerhet på Skandiabanken, försvarar valet med att man anser att det är mycket viktigt med användarvänlighet.
– Vi tycker att det är betydelsefullt att kunden inte behöver ha med sig extra hårdvara som en dosa, säger han.
Engångskoderna kan kunderna få på sms till mobilen eller på speciella kort som skickas hem i brevlådan. Tanken är dock att systemet enbart ska vara ett komplement om kunden till exempel sitter på ett internetkafé.
– Huvudalternativet som vi använder oss av är Bank-id. Men det begränsar ju mobiliteten eftersom det är kopplat till din egen dator, säger Anders Nygren.
I standardvarianten är Bank-id ett så kallat mjukt certifikat, ett program som laddas ner till din dator och används tillsammans med en pinkod. När Swedbank och Skandiabanken nu planerar att erbjuda möjligheten att betala räkningar i mobilen utan säkerhetsdosa är det Bank-id man kommer att använda sig av.
Men enligt Marcus Murray är ett mjukt certifikat inte heller en optimal säkerhetslösning.
– Ett sådant system kräver att du är helt säker på att det inte finns skadlig kod på din dator, annars kan en angripare enkelt kapa ditt konto, säger han.
För bankerna har inloggningssystemen alltid varit en balansgång mellan säkerhet och användarvänlighet. När internetbanken introducerades i Sverige i slutet av 1990-talet fanns en stark vilja att göra inloggningen enkel för att inte skrämma bort kunderna.
– Då underskattade man riskerna. Det fanns en naivitet som inte finns i dag, säger Marcus Murray.
Nordea har exempelvis helt lagt om kurs efter haveriet 2007. Tillsammans med Handelsbanken har man numera ett av de säkraste systemen med säkerhetskort och dosa med kortläsare.
– Vi räknar med att behålla det som huvudalternativ de närmaste åren. Samtidigt är vi beredda att införa andra system om hotbilden ändras, säger Mats Carlson, ansvarig för digitala mötesplatser på Handelsbanken.
Hur kommer man att logga in på internetbanken om fem tio år tror du?
– Det är svårt att spekulera i. En spansk bank blev nyligen först i världen med att införa iris-igenkänning som skannar av ögat. Men för oss tror jag att det ligger långt borta. Däremot kan man tänka sig lösningar med mobiltelefoni och sms, säger Mats Carlson.