Kodeords-kaos gør danske netbanker usikre

På mere end en million danske netbank-kontoer kan man logge sig ind med et gammelt password, selv om man har fået nyt password. Det gælder blandt andet hos Danske Bank-koncernen. Sikkerhedsfolk finder modellen problematisk.

Hvis kunder i Danske Bank-koncernen skifter deres passwords, giver de gamle kodeord stadig adgang til konto og betalinger på nettet. Sådan er virkeligheden for koncernens 1,2 millioner netbankkunder.

Dermed har kunderne hos Danske Bank ingen reel mulighed for at holde ubudne gæster væk fra adgang til deres konti hvis de opdaterer passwordet netop for at undgå misbrug af deres netbank.

Selvom kunden fornyer sit password giver det gamle password nemlig stadig adgang til lønkonto og overførsel af penge, hvis ikke alle tidligere versioner af den tilhørende nøglefil slettes.

Dermed har bankkunderne ingen mulighed for at stoppe eventuel svindel før misbruget bliver opdaget og bankerne lukker adgangen eller udsteder en helt ny nøglefil til kunden.

Gamle nøglefiler giver adgang

Årsagen til problemet er, at Danske Bank, BG Bank og potentielt en række andre firmaer i koncernen har valgt en certifikatbaseret løsning, hvor sikkerheden er knyttet til en nøglefil som sammen med et tilhørerne password giver fuld kontrol med kundens penge.

Bankens system holder nemlig ikke centralt øje med, om passwordet er nyt eller gammelt. Derfor vil en nøglefil og et password som indbyrdes passer sammen tillade adgang til pengeoverførsler og betalinger på nettet.

Det forklarer Carsten Jørgensen, som er sikkerhedsekspert hos Devoteam Consulting, der rådgiver danske virksomheder i spørgsmål om sikkerhed.

- De fleste brugere vil nok opfatte det sådan, at de er beskyttet mod adgang, hvis de skifter deres password. De fleste er ikke klar over, at hele sikkerheden er knyttet til, at passwordet og nøglefilen passer sammen, siger Carsten Jørgensen.

Kunder kender ikke til problemet

Han mener at der er et stort sikkerhedsproblem, fordi mange kunder ikke er klar over, at andre faktisk kan genbruge de gamle passwords og nøglefiler.

- Det er et meget stort problem for de kunder som ikke behandler deres nøglefil og password sikkert. For så vil man kunne få adgang til kundens konto og potentielt foretage overførsler, siger Carsten Jørgensen.

Ifølge Preben Andersen hos DK-Cert er spørgsmålet, om kunderne er klar over, at deres gamle passwords stadig giver adgang til deres konti.

- Det kunne man nok have sin tvivl om. Det er måske der man skal sætte ind med nogen oplysninger. Desværre er det ofte sådan, at det er brugernes adfærd som skal reguleres, siger Preben Andersen.

Ifølge Lov Om Visse Betalingsmidler er det Forbrugerombudsmanden som er ansvarlig for at føre tilsyn med sikkerheden hos netbankerne.

Her mener specialkonsulent Søren Iversen ikke, at muligheden for at logge på banken med gamle passwords klinger rigtigt i hans ører.

Vil gerne have en forklaring

- I så fald forelægger der vel en form for risiko for, at andre som har det gamle password, stadig kan benytte det. Og det lyder ikke så godt. Det er jeg betænkelig ved, siger Søren Iversen.

Når muligheden for at bruge gamle nøglefiler og passwords overhovedet eksisterer, skyldes det formentlig at der endnu ikke er konstateret konkrete tilfælde af misbrug.

Det vurderer Robin Sharp, docent ved Institut for Informatik og Matematisk Modellering på DTU og modtager af SUMO-prisen 2006 (Suggested Upper Merged Ontology.)

- Det er en udbredt holdning, at man aldrig investerer mere end man kan tjene ved at fjerne risici. Den almindelige tankegang er, at man ikke vil betale for mere sikkerhed end man kan hente ind igen, siger Robin Sharp.

Ifølge Robin Sharp ville det være nemt at forhindre et gammelt password i at virke, hvis man eksempelvis brugte en anden mekanisme eller brugte en udløbsdato.

Den overvejelse ville generelt løse mange problemer i sikkerhedsverdenen, fortæller han.

En anden årsag til at der ikke bliver gjort noget ved problemet skyldes ifølge Robin Sharp at det er besværligt for kunderne at skifte deres passwords ud, og at de derfor ikke meget for at gøre det.

Potentielt problem

Robin Sharp mener derfor, at muligheden for at bruge de gamle passwords er et potentielt problem. Men problemets omfang afhænger af, hvad banken har lovet kunden.

Hvis banken selv vil dække eventuelle tab, må den gøre op med sig selv, om omkostningerne ved at forbedre sikkerheden opvejes af de omkostninger, som er forbundet med at dække kundernes tab, fortæller han.

Ifølge Robin Sharp handler mange sikkerhedsrisici ikke så meget om investering, men er mere et spørgsmål om at få kunderne i tale og få dem overbevist om at opføre sig mere sikkert.

Eksempelvis er det mere usikkert at have nøglefiler på sin harddisk frem for en usb-stick, som kun bruges til at gå i banken med.

- Man skal uddanne kunderne til at opføre sig fornuftigt, siger Robin Sharp.

Ikke muligt at stoppe centralt

Ifølge Ivan Damgaard, professor ved Datalogisk Institut Daimi på Århus Universitet og grundlægger af sikkerhedsfirmaet Cryptomatic, har banken formentlig ikke de store chancer for at stoppe brugen af gamle passwords og tilhørende nøglefiler fra centralt hold.

Men han udelukker ikke, at det ville være muligt at lave en løsning, som lokalt beskytter mod problemet.

- Det er på en vis måde ganske naturligt. Hvis du genetablerer en situation, der er præcis, som da du ikke havde skiftet password endnu, så har resten af systemet faktisk ikke de store chancer for at opdage det, siger Ivan Damgaard.

Ifølge professoren giver dette en beskyttelse for kunden mod svindel udefra. Men det betyder også, at bankkunden får et vist ansvar for at opføre sig ordentligt.

- Passwords, som alle kan gætte eller rundsendte nøglefiler betyder, at man selv hænger på den, siger Ivan Damgaard.

Læs korncernsikkerhedschef Poul Otto Schousboes kommetar til historien senere på formiddagen

Annonceindlæg fra Barco

Sådan er teknologi og design med til at skabe vellykkede hybridmøder

Måden vi mødes på har ændret sig. Så hvorfor ser vores mødelokaler stadig ens ud?

Navnenyt fra it-Danmark

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

Nihad Hodzic

Trafikstyrelsen

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse