Oprövad teknik i bankapp ger inte tillräcklig säkerhet

I september 2012 riktade Integritetsskyddsmyndigheten kritik mot tre bankers mobilappar. Kritiken rörde framför allt hur bankerna säkerställde användarens identitet. Integritetsskyddsmyndigheten ansåg att metoden som användes (personnummer och pinkod) inte gav tillräcklig säkerhet.

- Via bankernas appar går det att se lån men också betalningar och andra transaktioner som genomförts på en kunds konton. Det gör det möjligt att kartlägga personens förehavanden i detalj, sade myndighetens IT-säkerhetsspecialist Adolf Slama i samband med den granskningen.

Bankerna har nu haft möjlighet att redovisa hur de avser att åtgärda bristerna och införa så kallad stark autentisering av användarna, vilket ger högre säkerhet.

En av de granskade bankerna har valt en inloggningsmetod som bygger på hur snabbt och hårt användaren matar in sin pin-kod vid inloggningen. Användarens beteende ska alltså ligga till grund för att säkerställa att det är rätt person som loggar in.

- Målet med så kallad stark autentisering är att man, i det här fallet banken, ska vara säker på att det verkligen är rätt person som loggar in. Men med den här metoden är osäkerheten fortfarande för stor, säger Adolf Slama.

Integritetsskyddsmyndigheten förelägger därför banken att ta fram en ny säkerhetslösning som bygger på någon beprövad metod som exempelvis engångslösenord.

De två andra bankerna har valt en lösning som kräver att bankkunden knyter bankens app till en specifik smartphone. Det, i kombination med en pinkod, medför en avsevärt högre säkerhet vilket gör att Integritetsskyddsmyndigheten godkänner dessa bankers planerade åtgärder.

Läs Integritetsskyddsmyndighetens beslut mot Danske Bank (pdf-format)

Läs Integritetsskyddsmyndighetens beslut mot Handelsbanken (pdf-format)

Läs Integritetsskyddsmyndighetens beslut mot Nordea (pdf-format)

För mer information kontakta
Adolf Slama, IT-säkerhetsspecialist, tfn 08-657 61 12
Per Lövgren, pressekreterare, tfn 070-736 10 80