Hur säkra är svenska banker? (Swedish)

Säkerheten varierar stort bland svenska banker. Bankens storlek hänger inte ihop med hur väl dom hanterar säkerheten. Ingen av de fyra storbankerna kom med på topplistan. Några små banker finns med i toppen, några riktigt stora finns i botten.

För att testa bankernas säkerhet gav jag varje bank två olika betyg:

  1. Kryptering: Krypteras trafiken mellan dig och banken ordentligt?
    Utan kryptering kan andra se de uppgifter som du skickar till banken, personnummer, lösenord, och koder. Dessa relativt tekniska tester görs med hjälp av SSL Labs. Betygsskalan kommer direkt från SSL Labs och går från A-F, där A är bäst. Notera att jag testar inloggningssidan, inte startsidan.
  2. Visuellt: Ser allt ok ut i webbläsaren?
    Det finns gott om guider som lär ut webbsäkerhet till ovana användare. Här tittar jag på om banksajterna är konfigurerade så att allt ser OK ut för en vanlig användare. Har sajten grönt hänglås? Jag har använt samma betygsskala: A-F, där A är bäst.

Bankerna kommer från Finansinspektionens lista över bankaktiebolag och medlemsbanker. De lokala sparbankerna har inte tagits med, och inte heller de som främst riktar sig till företag. Testet gjordes 2015-02-28. Rådata för testet finns här, inklusive länkarna till SSL Labs där du kan se testresultatet själv.

Uppdaterat:

Eftersom denna artikel fått väldigt bra spridning har flera av bankerna hört av sig. Ofta med konkreta förbättringar de har genomfört på grund av min artikel. Här hittar du en tidslinje över hur artikeln har ändrats över tid.

  • 2015-03-02: Danske Bank tillagd. Dom får tyvärr bara ett C.
  • 2015-03-02: Kontrollerade stöd för DNSSEC: Landshypotek, Marginalen, Danske Bank, och Länsförsäkringar är de enda som stödjer det.
  • 2015-03-03: Rättade felaktig klassificering av SBAB. Jag hade testat startsidans certifikat, inte inloggningssidans.
  • 2015-03-04: SBAB Bank har förbättrat sitt certifikat på startsidan.
  • 2015-03-04: Länsförsäkringar har uppdaterat sitt certifik och får nu ett B.
  • 2015-03-05: Ekobanken har uppdaterat sitt certifikat och får nu ett A.
  • 2015-03-05: Forex bank har uppdaterat sitt certifikat och får nu ett A.
  • 2015-03-05: Santander Consumer har släppt en ny internetbank och hamnar nu på B.
  • 2015-03-06: MedMera Bank har uppdaterat sitt certifikat och får nu ett B.
  • 2015-03-07: Carnegie Bank har uppdaterat sitt certifikat och får nu ett A
  • 2015-03-08: SBAB Bank har gjort ytterligare uppdateringar och blir första bank med A/A. Full pott!
  • 2015-03-12: JAK Medlemsbank har uppdaterat sitt certifikat och får nu ett B.
  • 2015-03-12: Länsförsäkringar har uppdaterat sitt certifikat och får nu ett A-.
  • 2015-03-18: Swedbank kör nu HTTPS på sin startsida.
  • 2015-04-11: Resurs Bank har uppdaterat certifikatet på sin startsida, och kräver nu även https där. Inloggningscertifikatet kommer att uppdateras också, men är inte klart ännu.
  • 2015-04-24: Skandiabanken kör nu HTTPS på sin startsida.
  • 2015-10-28: Resurs Bank har flyttat sin inloggningssida till egen domän och certifikat.

Bankerna med bäst säkerhet (A):

Fantastiska resultat för alla dessa fyra banker. Krypteringen uppfyller best practices och du kan sova gott med vissheten att din bank är bland Sveriges bästa.

Kryptering Visuellt
Betyg Not Betyg Not
SBAB A 1 A
Skandiabanken A 1 A
Resurs Bank A 1 A
Landshypotek A 2 B 4
Carnegie Investment Bank A B 4
Ekobanken A B 4
Forex Bank A B 4
Länsförsäkringar Bank A- 3 A
Marginalen Bank A- 3 A
Nordnet A- 3 A

Noter:

  1. Grattis till SBAB Bank, Skandiabanken och Resurs Bank som får A i båda kategorier.
  2. En extra eloge till Landshypotek som får noll varningar från SSL Labs.
  3. Flera banker får A minus eftersom de saknar stöd för Forward Secrecy. Förenklat innebär det att krypteringsmetoden ändras över tid, så att någon som avlyssnat trafik till en sajt för länge sedan inte kan dekrypteras den om sajten hackas senare. Totalt har endast tre svenska banker har stöd för detta (Landshypotek, Skandiabanken och ICA Banken (se nedan)). Bra jobbat!
  4. Flera bankers startsidor saknar kryptering. Eftersom inloggningssidorna är krypterade är detta inte katastrof, bara olyckligt. Att ha kryptering på hela sin webbplats är en bra idé eftersom kunden vänjer sig vid att se det gröna hänglåset så länge dom har med banken att göra.

Bankerna som nästan kom med på topplistan (B):

Även här får bankerna bra betyg. Anledningen att dom missar topplistan är att samtliga banker i denna lista har problem med vilka krypteringsalgoritmer/protokoll dom stödjer. Det är enkelt egentligen: Om en krypteringsmetod är bevisat osäker (t.ex. RC4 eller SSL3) ska den plockas bort. Att ha den kvar innebär att kunderna luras att tro att deras uppkoppling mot banken är säker trots att den inte är det.

Kryptering Visuellt
Betyg Not Betyg Not
ICA Banken B 1 A
Avanza B A
MedMera Bank B A
Santander Consumer B A
JAK Medlemsbank B A
Swedbank B A
SEB B B 2
Volvofinans Bank B B 2
Ikanobanken B B 2
Nordea Bank AB B B 2
Handelsbanken B B 2

Noter:

  1. ICA Banken är nästan med i topplistan ovan. Dom krypterar sin startsida, dom stödjer Forward Secrecy, och är dessutom den enda bank som stödjer HTTP Strict Transfer Security. Tyvärr används krypteringsalgoritmen RC4, en algoritm som inte är säker alls. Har du en lite äldre webbläsare kan du alltså bli lurad att allt ser bra ut, trots att trafiken mellan dig och banken relativt enkelt kan avlyssnas. ICA Banken borde helt enkelt stänga av stöd för RC4, be sina användare att uppgradera sin webbläsare, och inta toppositionen i denna lista.
  2. Flera bankers startsidor saknar kryptering. Eftersom inloggningssidorna är krypterade är detta inte katastrof, bara olyckligt. Att ha kryptering på hela sin webbplats är en bra idé eftersom kunden vänjer sig vid att se det gröna hänglåset så länge dom har med banken att göra.

Bankerna som du borde vara orolig för (C):

Någonstans här är det dags att börja bli orolig. Dessa banker har gemensamt att dom inte hanterar sin kryptering på rätt sätt. Extra olyckligt är det ställt för OK-Q8 Bank som använder en färdig produkt från EDB och ändå får sämst betyg av C-bankerna.

Kryptering Visuellt
Betyg Not Betyg Not
Danske Bank B F 2
Erik Penser C 3 F 4, 5
OK-Q8 Bank C 3 F 1, 4, 6

Noter:

  1. OK-Q8 Bank lyckas vända något bra – det gröna hänglåset – till något mindre bra. Ett klick på det gröna hänglåset visar vem som garanterar säkerheten på webbplatsen. Bakom OK-Q8 Bank står EVRY AS, ett norskt bolag, som garant.Hur ska en kund veta att det är banken som står bakom det certifikatet, att dom har kommit till rätt sajt? Underkänt.
  2. Danske Bank har bara har satsat på en grått hänglås. Den gråa hänglåset betyder att uppkopplingen är krypterad, men inte vem som står bakom den (så kallad Extended Validation). För något så känsligt som banktjänster ska ett riktigt EV-certifikat användas.
  3. Flera banker verkar inte ha skyddat sig från ett säkerhetshål som döpts till POODLE. Google publicerade detaljer om hur man använder sig av hacket redan i oktober 2014. Att det fortfarande finns banker som inte skyddat sig är anmärkningsvärt.
  4. Flera bankers startsidor saknar kryptering. Eftersom inloggningssidorna är krypterade är detta inte katastrof, bara olyckligt. Att ha kryptering på hela sin webbplats är en bra idé eftersom kunden vänjer sig vid att se det gröna hänglåset så länge dom har med banken att göra.
  5. Erik Penser gör kapitalfel på sin inloggningssida, den ser inte ut att vara krypterad. Som kund ska man aldrig skriva in känsliga inloggningsuppgifter på en webbsida som saknar hänglås. Erik Penser gör visserligen rätt bakom kulisserna (inloggningssidan ÄR krypterad) men det visas inte upp för kunden alls. Gör om, gör rätt.
  6. OK-Q8 Bank och Danske Bank visar inte något som helst hänglås i webbläsaren. Anledningen är att inloggningssidan hämtar bilder över en helt okrypterad uppkoppling. Det gör att man väldigt lätt kan se att du loggar in på banken. Danske Bank döljer dessutom denna miss genom att visa inloggningssidan i en popupruta. Riktigt illa.

Bankerna du borde undvika (F):

Dags för bottennoteringarna. Det gemensamma för dessa banker är att dom har allvarliga problem med sin kryptering. Du kan därför inte kan lita på att trafiken till deras sajter är ordentligt krypterad.

Inga banker ligger på den här positionen längre. Bra jobbat av alla fem!

Slutligen

Det finns väldigt många andra kriterier att sätta betyg på, men jag nöjer mig med detta denna gång. Kanske finns det någon annan som vill fortsätta jämförelsen på sin egen blogg?

Vill du diskutera resultaten vidare finns jag på Twitter: @EmilStenstrom

43 responses to “Hur säkra är svenska banker? (Swedish)

  1. Hej!

    Jättekul och intressant jämförelse! Några kommentarer:

    > X bankers startsidor saknar kryptering. Eftersom inloggningssidorna är krypterade är detta inte katastrof, bara olyckligt. Att ha kryptering på hela sin webbplats är en bra idé eftersom kunden vänjer sig vid att se det gröna hänglåset så länge dom har med banken att göra.

    Det är tyvärr lite värre än så; Startsidorna är ingången till inloggningssidan för varje bank. Det innebär att om någon får kontroll över startsidan så kan de skicka besökare vidare till en fejkad inloggningssida. Det är därför extraviktigt att även förstasidorna kör HTTPS och HSTS.

    > Det finns väldigt många andra kriterier att sätta betyg på, men jag nöjer mig med detta denna gång.

    Ett generellt problem är att att få trycker på hänglåset i webbläsaren för att verkligen verifiera ägaren av certifikatet. Därför tycker jag också att det är viktigt att domännamn och URL till internetbank ska hållas enkel. “https://privat.ib.seb.se/wow/1000/1000/wow1020.aspx” skiljer sig väldigt lite från “https://privat.ib.sebi.se/wow/1000/1000/wow1020.aspx” och det hade inte förvånat mig om många missat typot. Hur vet jag att ingen har lyckats ta över SEB:s DNS-infrastruktur? Överlag så tycker jag också att komplexa URL:er inte inger ett större företroende – levererar SEB en WordPress-installation från “https://privat.ib.seb.se/wow/1000/1000/”? Svårt att veta.

    > Kanske finns det någon annan som vill fortsätta jämförelsen på sin egen blogg?

    Jag är för lat :), men en sak som hade varit intressant att titta på är också om någon använder sig av DNSSEC.

    /Jens

  2. @Jens: Jag håller nog med dig att jag varit lite försiktig med mina egna visuella kriterier. Det är just för att jag har valt dem själv. Jag ville stanna på det mest grundläggande. Tack för bra tillägg!

  3. Pingback: HACKERNYTT.se - dagliga nyheter för dig som bygger framtiden
  4. Fantastisk bloggpost, kanske den bästa svenska i år. Belyser verkligen ett vardagsproblem hos bankerna. Ruggigt skrämmande att några är så dåliga.

  5. Hej Emil!
    Tack för en intressant artikel angående bankernas säkerhet. Vi inledde i måndags arbetet med att åtgärda säkerhetsbristerna du belyser och räknar med att det ska vara genomfört de närmaste dagarna. Som Magnus belyser i sitt inlägg ovan påverkar bristerna inte inloggningsflödet.

    Med vänlig hälsning
    Magnus Nelding, IT-säkerhetschef SBAB

  6. @Magnus: Fantastiskt roligt att höra! Återkoppla gärna igen när det är live så flyttar jag upp er i listan. Har lagt till att ni jobbar på det under Uppdaterat-rubriken längst upp.

  7. @Magnus S: Har klassificerat upp SBAB från F -> B efter att ha justerat så att jag testar idp.sbab.se istället för secure.sbab.se. Ser fram emot fler förbättringar.

  8. Nu har vi gått live med en del av förbättringarna, fortsätter självklart arbetet.

    Mvh
    Magnus Nelding

  9. @Magnus N: Härligt! Ser att startsidan nu är A- enligt SSLLabs, tom med stöd för TLS_FALLBACK_SCSV. Eftersom inloggningssidans cert fortfarande är B ligger ni kvar på B i listan. Men vem bryr sig om en lista när kunderna får bättre cert på startsidan? :)

  10. Hej! Jag står i valet att byta bank och eftersom Länsförsäkringar står på listan kontaktade jag dom för att konfrontera med dessa uppgifter. Deras svar var: “Våra kunders säkerhet är av yttersta vikt och därför består våra system alltid av flera lager skyddsmekanismer (det betyder att säkerheten inte står och faller med endast ett av skydden). Undersökning pekade på förbättringsområden i ett av skydden som vi nu sett över. Detta kommer att förändra resultatet i den här undersökningen.”

  11. @Eva: Hej! Mycket riktigt har Länsförsäkringar idag gått live med förbättringar av sin sajt. Jag kommer att köra om testerna ikväll och uppdaterar förmodligen dem till ett B. Du behöver alltså inte vara oroliga för dem! :)

  12. Jag skrev också till LF Bank och fick det här generella svaret, som också förekommer tidigare i tråden:
    “Våra kunders säkerhet är av yttersta vikt och därför består våra system alltid av flera lager skyddsmekanismer (det betyder att säkerheten inte står och faller med endast ett av skydden). Undersökning pekade på förbättringsområden i ett av skydden som vi nu sett över. Detta kommer att förändra resultatet den här undersökningen.”

  13. Även jag skrev till LF Bank och fick samma svar.
    Det känns bra att de tar åt sig och uppdaterar sina certifikat.

  14. HSTS nämndes (HTTP Strict Transport Security). Det är en ytterst viktig teknik som stöds av de flesta webbläsare (utom Internet Explorer). HSTS är det enda skydd som i större usträckning skyddar mot MITM-attacker. Vill bankerna gå ännu längre kan de ansöka om att bli införda på webbläsarnas s.k. preload-lista: t.ex. https://hstspreload.appspot.com/

  15. Tycker nog lite är missvisande om säkerhet, tyvärr.

    1.) Ett Certifikat säger inget om att säkerheten på en webbsida, du litar bara på utgivaren av certifikatet och att din webbläsare i sin tur litar på dess root-cert. Tyvärr är det så, vi har sett flera exempel på när root-cert kommit på avvägar och när resellers tummar på sina regler, just Extended Validation kom ju till pga. att certutgivare/ÅF inte orkade ringa dig längre och vilken idiot som helst kan låtsas vara SEB.

    Det hade varit bra om webbläsaren kunde visa att DNSSec används och att man kan verifiera att FQDN är banken och att cert överensstämmer.

    2.) Det är väl ändå få banker som har inloggningssidor på första sidan? Jag har Swedbank och de har en egen sida för inloggning, vilket jag ser som en självklarhet.

    Tyvärr blir folk lurade av bedragare på stan som säljer piratprylar, det kan kännas, på samma sätt kan man bli lurad på nätet, en del av befolkningen kommer alltid att bli lurad oavsett vilken teknik som finns.

    2

  16. Jag tycker att du ska införa en säkerhetsklass A+, som innehåller de banker som kontinuerligt arbetar för att hålla säkerheten uppdaterad. Med andra ord de banker som hamnade i säkerhetsklass A i första försöket.

    Jag som bankkund kräver självklart hög säkerhet, och jag anser att det är bra att bankerna uppdaterar säkerheten när det påtalas för dem att den inte är tillräckligt bra. Men jag väljer hellre en bank som kontinuerligt håller koll på säkerheten, så att jag kan anta att säkerheten är bra även om 6 månader.

  17. @Johanh: Bra tillägg om MITM-attacker. Under mina tester har jag sett en bank som stödjer det, nämligen ICA Banken.

    @Rob: Tack, för tipset, men det verkar inte fungera för mig. Jag går till http://www.skandiabanken.se, och blir inte skickad till https. Jag är inte inloggad från början. Ser fram emot att dom fixar det!

    @direktorn: Jag håller inte med dig, certifikat säger något om säkerheten. Varför HTTPS för framsidan är viktigt kan du läsa mer om här: http://andreas.pelme.se/sakerheten-hos-svenska-internetbanker.html

    @Blågul: Har fått ett par frågor om det. Jag har valt att titta på säkerheten “just nu”, dvs det som vanliga kunder behöver bry sig om. För att få reda på vilken som var bra från början kan du titta på “Uppdaterat”-kolumen längst upp, och utgå från att alla som flyttats upp har varit icke-A tidigare.

  18. Det är inte bara kryptering som gör en webbsida osäker för kunder.

    Swedbanks inloggning läcker personnummer på deras kunder.

  19. Jag förstår inte riktigt det med Extended Validation. Om jag läser Wikipedia rätt ska det ju snarare innebära högre säkerhet än ett vanligt certifikat. Har jag missförstått något? :)

    Mycket bra post för övrigt; jag är besviken på bankerna att säkerheten var så dålig men är samtidigt imponerad av att de implementerar förbättringarna så snabbt!

  20. @Marcus: Kortfattat så innebär det att man inte bara validerar krypteringen, utan också garanterar att företaget som står bakom certifikatet är seriöst. Extended Validation gör att du kan klicka på hänglåset och få gå certifikatets garant. Det ska alltid vara samma företag som du förväntar dig, dvs t.ex. Skandiabanken om du är på deras sajt.

    Här finns en mer pedagogisk förklaring: https://www.digicert.com/extended-validation-ssl.htm

  21. Ahh nu förstår jag. Jag läste det som att Danske bank var sämre pga att de hade Extended validation. Nu förstår jag att du menade precis tvärtom. My bad. :)

  22. @Magnus: Jag är fortsatt imponerad! Det må vara en skala som är påhittad av mig, men jag är mycket nöjd med att få sätta er i topp med A i båda kategorierna.

    Enda riktiga utmanaren är ICA Banken som (om dom plockar bort RC4) kommer ta topplatsen eftersom dom förutom allt ni stödjer också har HSTS. Marginalen och Landshypotek är andra utmanare eftersom dom stödjer DNSSEC. Men ni leder! :)

  23. Tack för ett bra arbete, väldigt viktigt!
    Du skrev tidigare att du trodde att Coop var sårbara för Poodle, nu verkar de ha uppdaterat certifikatet enligt din uppdatering men du har inte skrivit nått om att det täppt till Poodle-sårbarheten?

  24. @Daniel: Längst upp under rubriken “Uppdaterat” står det: “2015-03-06: MedMera Bank har uppdaterat sitt certifikat och får nu ett B.”

  25. Tack för snabbt svar, jag såg din kommentar men förstod bara inte att det uppdaterade certifikatet innebar att man automatiskt var skyddad mot Poodle, trodde det var skillda saker.
    Jag tycker dock inte att Coops bank är särskilt säker, de har inloggning med enbart e-post och enkelt lösenord (jag testade att ändra mitt till ett av de absolut enklaste/vanligaste, vilket accepterades av Coop). Nu har du i och för sig inte vägt in detta i testet men man kan ju tycka att för att komma åt känsliga uppgifter som kortnummer osv så skulle det krävas säkrare inloggningsförfarande, t.ex. tvåstegsverifiering eller bank-id.

  26. Tack Emil för en bra rapport om bankernas dåliga säkerhet.
    Väldigt intressant läsning.
    Jag har funderat på att byta till Handelsbanken,
    men efter att ha sett deras resultat så får det vänta tills dom åtgärdat säkerhetsproblemen.

  27. Måhända Swedbanks haveri denna morgon (16/3)har att göra med en ambition att hamna högre på denna lista?!!!

Comments are closed.