– Vi kaller det security by obscurity. Bankene kan gjøre dette fordi folk flest ikke forstår hva som må til for å gjøre et system sikkert, sier Kjell Jørgen Hole ved institutt for informatikk til Dagens Næringsliv.
Hole mener landets 1,7 millioner nettbankkunder ikke har noen grunn til å stole på at uvedkommende ikke klarer å bryte seg inn i deres nettbank. Årsaken er bankenes valg av koder for pålogging.
En datakyndig person kan enkelt generere en mengde fødsels- eller kontonumre som kobles med tilfeldig valgte pin-koder. Storparten av koblingene fører ikke frem, men fordi angriperen lett kan prøve et stort antall kombinasjoner vil det ifølge avisen alltid være mulig å finne frem til gyldige par.
Enkelt
Thomas Tjøstheim simulerte et angrep på Skandiabanken i forbindelse med hovedfagsoppgaven. Ved å prøve tilfeldig valgte pinkoder viste Tjøstheim ifølge DN at det var enkelt å skaffe seg sertifikatet som i tillegg til fødselsnummer og kode kreves for å få adgang til den enkeltes bankkonto i Skandiabanken.
Bankens sikkerhetsmur hadde så mange huller at institutt for informatikk ikke ønsket å publisere Tjøstheims hovedfagsoppgave. Skandiabanken har i ettertid endret påloggingsrutinene noe, men heller ikke det er bra nok, ifølge Hole.
