Datainspektionen – som förra året gick igenom Danske Banks, Handelsbankens och Nordeas mobilappar – menade då att apparna inte säkerställde användarens identitet på ett bra sätt.
Metoden som användes med personnummer och pinkod ansågs osäker eftersom vem som helst som kommer över de uppgifterna kan få tillgång till användarens konto och den information som finns där.
– Via bankernas appar går det att se lån men också betalningar och andra transaktioner som genomförts på en kunds konton. Det gör det möjligt att kartlägga personens förehavanden i detalj, sa Adolf Slama, Datainspektionens IT-säkerhetsspecialist, i samband med granskningen.
Bankerna har nu haft möjlighet att visa hur de tänker åtgärda bristerna och Danske Bank har valt att använda en inloggningsmetod som bygger på hur snabbt och hårt användaren matar in sin pin-kod. Användarens beteende ska alltså ligga till grund för att säkerställa att det är rätt person som loggar in.
Men Datainspektionen anser inte att det räcker:
– Målet med så kallad stark autentisering är att man, i det här fallet banken, ska vara säker på att det verkligen är rätt person som loggar in. Men med den här metoden är osäkerheten fortfarande för stor, säger Adolf Slama.
Danske Bank måste därför komma med en ny säkerhetslösning.
Nordea och Handelsbanken har istället valt en lösning som kräver att bankkunden knyter bankens app till en specifik telefon. Tillsammans med pinkod anser Datainspektionen att metoden är tillräckligt säker.
Foto: Jessica Gow/TT
