Mikael_L
Nissens Nissens skrev:
En fråga: har du använt Bank-id på banken online?
Jag har kört med bankID ganska länge (dock var jag ändå rätt sent på bollen, så väldigt många har använt bankID bra mycket längre än mig).
Jag minns att för flera år sedan så kunde man initiera en bankID-identitetskontroll på typ valfri internetanslutet device, och sen starta själva bankID på ett annat device, för att godkänna där.

Detta borde ju kunna varit en angreppsvektor, och så har jag förstått det.

Men om det endast är QR-koder som är tillåtna idag, så borde den angreppsvektorn vara borta idag, qr-koden binder ju en till samma "plats" för både initieringen och identifieringen.

Men ärligt talat så har jag inte helt koll på allt som gäller bankID särskilt inte dess evolution, men idag verkar det aldrig bli något annat än qr-kod.
 
  • Gilla
JohanLun och 1 till
  • Laddar…
Mikael_L Mikael_L skrev:
Jag har kört med bankID ganska länge (dock var jag ändå rätt sent på bollen, så väldigt många har använt bankID bra mycket längre än mig).
Jag minns att för flera år sedan så kunde man initiera en bankID-identitetskontroll på typ valfri internetanslutet device, och sen starta själva bankID på ett annat device, för att godkänna där.

Detta borde ju kunna varit en angreppsvektor, och så har jag förstått det.

Men om det endast är QR-koder som är tillåtna idag, så borde den angreppsvektorn vara borta idag, qr-koden binder ju en till samma "plats" för både initieringen och identifieringen.

Men ärligt talat så har jag inte helt koll på allt som gäller bankID särskilt inte dess evolution, men idag verkar det aldrig bli något annat än qr-kod.
Det är precis orsaken till att man infört "Bank-ID säker start".
Än så länge kvarstår dock ett kryphål, då de inte hittat någon lösning för motsvarande funktion när man sitter i telefon eller liknande.
 
  • Gilla
Mikael_L
  • Laddar…
C
Mikael_L Mikael_L skrev:
Jag minns att för flera år sedan så kunde man initiera en bankID-identitetskontroll på typ valfri internetanslutet device, och sen starta själva bankID på ett annat device, för att godkänna där.
Möjligheten att använda BankID:t på en separat enhet var en "finess" som kom med mobilt BankID när aktiveringen flyttade upp i molnet. Innan det var enda alternativet "BankID på denna enhet" eller autostart som de kallar det.

En j-vligt korkad finess ur säkerhetssynvinkel, nu skall det vara QR-kod som gäller för start på separat enhet, men många tjänster saknar fortfarande QR-koden och tillåter fortfarande start på annan enhet med bara personnummer. Irriterande nog är det nu också en del sidor som bara har QR-kod, dvs. saknar autostart, vilket gör BankID på datorn oanvändbart.
 
BirgitS
Bananskalare Bananskalare skrev:
Siffror som kommer från Skyddad.se kan vi bortse ifrån. Jag brukar inte tycka att det ät seriösa källor.
Siffrorna för 2020, 2021, 2022 och jan-aug 2023 kommer från Nationellt bedrägericentrum, Nationella operativa avdelningen, Noa och Polisen. Är de tillräckligt seriösa för dig?

Men det viktiga med mitt inlägg var att bedragarna ofta förbereder sig och samlar information i stället för att chansa eftersom det lönar sig.
 
  • Gilla
tergo och 1 till
  • Laddar…
BirgitS BirgitS skrev:
Siffrorna för 2020, 2021, 2022 och jan-aug 2023 kommer från Nationellt bedrägericentrum, Nationella operativa avdelningen, Noa och Polisen. Är de tillräckligt seriösa för dig?

Men det viktiga med mitt inlägg var att bedragarna ofta förbereder sig och samlar information i stället för att chansa eftersom det lönar sig.
Du hänvisade hänvisade inte till dessa.

Men oavsett det handlar om att folk blir lurade
 
C cpalm skrev:
Möjligheten att använda BankID:t på en separat enhet var en "finess" som kom med mobilt BankID när aktiveringen flyttade upp i molnet. Innan det var enda alternativet "BankID på denna enhet" eller autostart som de kallar det.

En j-vligt korkad finess ur säkerhetssynvinkel, nu skall det vara QR-kod som gäller för start på separat enhet, men många tjänster saknar fortfarande QR-koden och tillåter fortfarande start på annan enhet med bara personnummer. Irriterande nog är det nu också en del sidor som bara har QR-kod, dvs. saknar autostart, vilket gör BankID på datorn oanvändbart.
Men den här riktigt korkade grejen, med inloggning på separat enhet har det funnits någon säkerhetsbrist? Mer än människan?
 
Bananskalare Bananskalare skrev:
Men den här riktigt korkade grejen, med inloggning på separat enhet har det funnits någon säkerhetsbrist? Mer än människan?
Inloggning på separat enhet är egentligen inte osäkrare på det sättet: Det är fortfarande MFA: Man behöver enheten + koden. Sen har det en del andra för- och nackdelar: Tex märker de flesta om man tappar mobilen: Vilket gör att man kan byta certifikatet. Om man loggar in fjärrmässigt så kan ju ngn annan på något sätt (teoretiskt) ha kommit åt ett certifikat och logga in utan att du vet det. Men då behöver dom också koden.

Å andra sidan: På samma enhet finns risken att man sparar ned koden på något sätt, eller att någon hackar så den sparas: Och då behöver man bara komma åt enheten så har man allting. Det finns olika risker.

De aktuella problemen ligger ju i att en människa instrueras att göra vissa saker, dvs man "hackar människan", då spelar det mindre roll om du loggar in på banken på dator eller via mobil. Då är det inte tekniska skydd i BankId som är problemet utan hur vi utför banktjänster och hur lätt vi kan manipuleras att göra detta åt bedragare.

Nu kommer bankerna skärpa säkerheten för att minska riskerna (även om dom aldrig blir noll)
https://www.swedishbankers.se/om-oss/press/pressmeddelanden/bankerna-staerker-kundskyddet-mot-bedraegerier-ytterligare/#:~:text=Bankerna ska till exempel kunna,kunna stoppa bedrägerier och penningmålvakter.

Problemet då är förstås att vissa vanliga kunder kan bli klämda och få en mindre smidig hantering av sin vardagsekonomi. Men samhället vill ju se krafttag, så då får vi acceptera detta...
 
  • Gilla
BirgitS
  • Laddar…
P
Bananskalare Bananskalare skrev:
Det kanske var grejjen?
Vilken grej?
 
P
klaskarlsson klaskarlsson skrev:
Att använda konto A eller B är inte problemet - det går inte komma åt mer pengar från dig bara för att du swishat en gång (förutom den psykologiska aspekten av att din tröskel troligen är lägre för att göra det igen)
"Hej igen! Det fungerade inte. Kan du svischa en gång till?"
 
  • Gilla
HenrikHuslöse och 1 till
  • Laddar…
P pmd skrev:
"Hej igen! Det fungerade inte. Kan du svischa en gång till?"
Precis det jag skrev :)
"förutom den psykologiska aspekten av att din tröskel troligen är lägre för att göra det igen"
 
  • Gilla
Dilato
  • Laddar…
Det är inget fel säkerhets mässigt med bank id (vad jag vet) Utan alla problem handlar om att man blivit lurade. Det går inte att göra det hur säkert som helst. Det måste fortfarande gå att använda. Men skulle kunna ha att man bara kan betala swisch till tel nr som finns i tfn boken. Vill man swisha någon annan måste man logga in och ändra. Då hinner man tänka till. Sen kan standard vara att man kan skicka totalt 1000:- per dag. Sedan måste man ändra. Beloppet du riskerar att förlora blir på sätt ganska lågt.
Om du måste börja ändra behörigheter tar det längre tid. chansen finns att man omedvetet börjar tänka.
Swish är nog det enklaste att minska att någon blir lurad.
Bank id krävs egentligen två steg på banken
Inloggning på banken och signera uttaget.
Egentligen skulle man kunna logga in em gång till för att kunna föra över pengar. Därefter signera. Det vore bra om man kunde se vem man för över till.
Tid kan ha sina fördelar, det gör att folk kanske börjar tänka

Det som gör det så svårt att hindra dessa lurendrejerier är att människan är inblandad.
systemet är säkert men det största säkerhetshålet är människan.

Det vore bra att lom ut mer olika sätt som man kan bli lurad på. Framförallt att det ska vara lätt att ta del av. Egentligen är det onödigt med en lista eftersom alla kan förekomma


Nu tänker jag vara riktigt brutal.
På något sätt kan jag tycka att man får skylla sig själv. Det är ingenting nytt det.här.
 
C
Bananskalare Bananskalare skrev:
Men den här riktigt korkade grejen, med inloggning på separat enhet har det funnits någon säkerhetsbrist? Mer än människan?
Det jag menade med korkat är att ett sådant system så uppenbart inbjuder till den typ av bedrägerier vi nu sett under en längre tid. Man måste antingen inte insett detta, eller gjort bedömningen att det är en acceptabel kompromiss. Märkligt tycker jag.

Sen är det ju också sårbarhetsaspekten när aktiveringen är beroende av en central molntjänst.
 
C cpalm skrev:
Det jag menade med korkat är att ett sådant system så uppenbart inbjuder till den typ av bedrägerier vi nu sett under en längre tid. Man måste antingen inte insett detta, eller gjort bedömningen att det är en acceptabel kompromiss. Märkligt tycker jag.

Sen är det ju också sårbarhetsaspekten när aktiveringen är beroende av en central molntjänst.
Jag tycker man borde skilja på vad sårbarheten beror på. Är det människan eller är det datorn.Rädd behöver mam bara bli för ett fel som en datahacker har hittat
 
C cpalm skrev:
men många tjänster saknar fortfarande QR-koden och tillåter fortfarande start på annan enhet med bara personnummer.
De som har det fungerar ju inte sedan den 1/5:e då Säker Start blev obligatorisk.
Pratade senast idag med en kollega på ett annat företag och jämförde våra övergångar till Säker Start.
De hade däremot råkat glömma bort ett av sina äldre system som strax ska gå end of life, det slutade mycket riktigt att fungera och de fick rätt mycket att göra... :)
 
  • Gilla
Dilato och 3 till
  • Laddar…
C cpalm skrev:
Sen är det ju också sårbarhetsaspekten när aktiveringen är beroende av en central molntjänst.
Å andra sidan är inte väldigt mycket i molnet? Är det inte ganska mycket vi är beroende av molnet? Kanske just när vi behöver säkerhet. Bank id har allting i molnet vi har bara en personlig fil. på det stora säkerheten ligger i att det krävs en hårdvara för att kunna kunna logga in. Din telefon är hårdvaran.tillsammans med den bank id fil som du har på telefonen. Jag har svårt att se att det skulle vara så mycket osäkrare för att man inte har bank id. Swish är det via bank id. Internetbanken om något är beroende på molnet. För att inte tala om många kassasystem som är direkt beroende på molnet för att fungera.
Back upen kan vara placerad i molnet
Perfekt placering som privatperson. Jag tycker att det borde vara liknande även när det gäller företag men där vet jag inte

Men molnen finns där uppe... Och de kommet att stanna.
 
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.