Mens bredbånd på mobilen boomer, halter sikkerheden på en af de vigtigste mobile tjenester bagefter.
Når Danske Bank-kunder logger på Danske Mobilbank med den ene af selskabets to løsninger, er det nemlig blot kundernes cpr-nummer, der sammen med en engangskode forhindrer fremmede adgang til kundernes konti.
Dermed er det muligt at tilgå konti, betale regninger og overflytte beløb til enhver anden konti uden brug af et egentligt password.
Danske Bank opfordrer på hjemmesiden interesserede kunder til at bestille og udskrive 20 engangskoder ad gangen. Adgangen til netbank fra mobiltelefonen sker herefter ved at taste cpr-nummer og en engangskode ind i en login-menu.
Dermed går Danske Bank med sikkerhedsløsningen direkte imod grundlæggende principper for it-sikkerhed.
Det mener Ulf Munkedal, som er direktør hos it-sikkerhedsfirmaet Fortconsult.
Han ved nemlig, at den finansielle sektor og Danske Bank generelt har et højt sikkerhedsniveau, fortæller han.
Kan sætte udvikling tilbage
Men den dårlige sikkerhed hos Danske Bank kan få indflydelse på langt mere end de ramte kunders rådighedsbeløb, frygter direktøren.
Med den uheldige sikkerhed på Danske Mobilbank risikerer Danske Bank nemlig at gøre befolkningen tilbageholdende overfor brugen af mobile bankløsninger, en teknologi som mange danskere ifølge sikkerhedseksperten har efterspurgt længe.
Udviklingen af de mobile netbankløsninger risikerer nemlig at blive sat tilbage, hvis folk ikke føler sig trygge nok ved at bruge dem eller finder ud af, at de ikke er så sikre, som kunderne har brug for, fortæller Ulf Munkedal.
"Når du gør noget nyt, skal du gøre det godt for at få folk med. Her synes jeg det bliver gjort uheldigt, siger Ulf Munkedal.
"Det mangler et element, som er hjørnestenen i it-sikkerhed: At man har noget i hånden og noget i hovedet," siger Ulf Munkedal.
Alarmklokkerne ringer
Kernen i sikkerhedsproblemet er altså fraværet af et password, som kun kunden formodes at kende. Og det betyder i praksis, at banken har fjernet et lag i det sikkerhedssystem, der beskytter kunderne mod misbrug og tyveri fra netbanken.
Samtidig opfordrer Danske Bank kunderne til at printe engangskoderne ud på papir. Papiret kommer på den måde til at udgøre et dokument, som kunder formentlig vil opfatte som vigtigt. Og et naturligt sted at opbevare koderne er derfor i tegnebogen, fortæller Ulf Munkedal.
"Og hvad har man også i tegnebogen? Der har man sit sygesikringsbevis, og det står cpr-nummeret på," siger Ulf Munkedal.
Selv om alle alarmklokker bør ringe, mener Ulf Munkedal, at der er tale om et realistisk scenarie, der udgør en trussel.
"Hvis hele sikkerheden ligger i tegnebogen, så har jeg i al fald ikke lyst til at have for mange penge," siger Ulf Munkedal.
Hvorfor det?
Sikkerhedseksperten er efter eget udsagn ét stort spørgsmålstegn over sikkerhedsniveauet hos Danske mobilbank.
"Jeg er uforstående overfor, at det ikke er blevet gjort bedre, når det nu kan gøres bedre," siger Ulf Munkedal.
Hos Danske Bank fortæller it-direktør Peter Schleidt, at der ikke er ret mange af bankens kunder, som benytter tilbuddet om netbank på mobilen.
Og de som gør, benytter langt overvejende det såkaldte ActiveCard, som er en elektronisk kodegenerator, tilknyttet et password. Grunden til de få brugere er, at Danske bank ikke har markedsført løsningen.
Men han medgiver Ulf Munkedal, at løsningen med at printe 20 engangskoder ud, ikke er ret smart.
Det skyldes, at engangskoderne skal opbevares sikkert, og det betyder ifølge it-chefens et andet sted end på sig selv.
Da det samtidig for de fleste personer er umuligt at memorere 20 engangskoder, er det i praksis kun sikkert at bruge den mobile netbankløsning hjemmefra.
Ingen tilfælde af misbrug
Selv om det teoretisk er en mulighed, at en lommetyv stjæler både cpr-nummer og de udprintede engangskoder, betyder det ikke nødvendigvis, at ofret risikerer indbrud på netbanken.
"Hvis de vel at mærke ved, at man kan bruge cpr-nummer og engangskode til at komme på," siger Peter Trier Schleidt.
Samtidig understreger han, at man ikke umiddelbart kan se, hvad koderne skal bruges til. Der står nemlig kun de 20 numre på papiret. Derfor mener it-chefen at sandsynligheden for misbrug er ret lille.
"Det er i al fald aldrig sket," siger Peter Trier Schleidt.
Desuden har Danske Bank ifølge it-chefen sat en maksimal grænse for, hvor store beløb man kan føre væk fra kontoen. Og de er meget små. Skulle det uheldige ske, understreger Peter Trier Schleidt, at det er Danske Bank, som tager risikoen.
Midlertidig løsning
Når danske Bank ikke har markedsført Danske Mobilbank, skyldes det, at man oprindelig lancerede muligheden for at tage temperaturen på efterspørgslen, da 3g-telefoni blev udrullet.
"Vi har fået godt input til, hvad en mobilbank skal kunne fremadrettet," siger Peter Trier Schleidt.
Peter Trier Schleidt giver Ulf Munkedal ret i, at banken kan lave sikkerheden meget bedre til den mobile netbank.
"Den her løsning er kun tænkt som en midlertidig løsning. Han har helt ret. Vi kan gøre det meget bedre," siger Peter Trier Schleidt.
Allerede til efteråret skifter banken nemlig hele sikkerhedsapparatet ud på netbanken. Og det smitter også af på mobilsiden, som bliver en ligeværdig platform sammen med netbank fra computeren.
Ny løsning på vej
Her vil sikkerheden på alle platforme blive væsentligt forstærket ved hjælp af digital signatur, ligesom kunderne vil kunne tilgå de samme ydelser fra både computeren og mobiltelefonen, forklarer it-chefen. Den nye løsning forventes klar i slutningen af året.
Peter Trier Schleidt mener ikke, at Ulf Munkedal behøver at frygte, at udviklingen af mobile netbank løsninger sættes tilbage på grund af et lavere sikkerhedsniveau ved Danske Mobilbank.
Tværtimod har den hidtidige løsning givet et rigtigt godt billede af, hvad kunderne efterspørger, mener it-chefen.
"Det, tror jeg, faktisk vil få mobilbank til at vokse hurtigere som en ny kanal," siger Peter Trier Schleidt.
