Som bankkund har man fått lära sig att hålla utkik efter gröna hänglås. Då är sidan säker och du kan i lugn och ro logga in och göra dina bankärenden. Men säkerheten är kanske inte alltid vad den bör vara på flera av landets banker. Det stod klart efter att Emil Stenström testat 24 bankers inloggnings- och startsidor.

– Det var när vi höll på att säkra vår egen sajt som vi tänkte: ”låt oss se hur proffsen gör”. Jag hade förväntat mig att bankerna var bättre än så här, säger han själv om resultatet.

Emil Stenström
Emil Stenström är förvånad över resultatet.
Genom att köra adressen genom SSL Labs servertestare gick det snabbt att se vilka brister bankerna har. Det handlade om allt från att de accepterar gamla algoritmer, som RC4, till att de inte stödjer Forward secrecy eller inte krypterar sin startsida.

– Det här med att startsidan inte är krypterad kan betyda att obehöriga kan byta ut inloggningssidan. Då spelar det ingen roll att den är krypterad, säger Emil Stenström.

Läs mer: Tre år efter praktfiaskot - nu satsar Nordea på nytt gigantiskt projekt

Ingen av de fyra storbankerna, SEB, Nordea, Swedbank eller Handelsbanken, ligger på topplistan. De får ett B av SLL labs, i en betygsskala där A är bäst och F är sämst. Längst ner hamnar Medmera Bank, Coop:s kundbank som enligt Emil Stenström har allvarliga problem med sin kryptering. Bland annat ska de inte ha skyddat sig från säkerhetshålet Poodle och de stödjer den gamla algoritmen RC4 som inte anses vara säker alls.

”Om en krypteringsmedtod är bevisat osäker ska den plockas bort. Att ha den kvar innebär att kunden luras att tro att deras uppkoppling mot banken är säker, trots att den inte är det” – skriver Emil på sin blogg.

– Det är ju så att det finns en massa olika krypteringsalgoritmer. Är man inte en van användare kanske man har en gammal browser. Det är lätt för bankerna att säga att deras sidor inte stödjer RC4 och då måste kunden uppdatera webbläsaren för att kunna logga in, säger han.

När Emil Stenström inte avslöjar säkerhetsbrister är han utvecklare och webbstrateg. Testet har han delat upp i två delar, ett där bankerna får betyg efter krypteringen och en där de får betyg för hur sida ser ut i webbläsare. Om den till exempel har ett grönt hänglås eller om startsidan är krypterad.

För kunderna betyder detta att man helt enkelt inte alltid är så säker som man kanske tror när man loggar in på sin bank. Informationen man skickar kan avlyssnas och fångas upp av obehöriga. Vill det sig riktigt illa kanske man blir av med sina besparingar.
Magnus Nelding -kommentar

En av de som reagerat är SBAB:s it-säkerhetschef. 
Blogginlägget har bara legat uppe ett par dagar, men flera banker har redan reagerat.

– Min förhoppning var att bankerna skulle fixa sina certfikat och det har några av dem gjort. Fyra av de som fick sämst betyg har fixat det sedan i går. Vilket är jättekul, säger han.

Du kan själv kolla säkerheten på din bank här


CITE Conference till Stockholm 21-22 april! 

Här samlas alla typer av IT-beslutsfattare för att prata om digitaliseringen som driver framtidens affärer.

Fokus ligger på mobilitet, säkerhet, molnet och big data.

http://cite.event.idg.se