Jo men jag har en annan åsikt inkl vad då SOU'n om det här kommit fram till.A AndersS skrev:
Hela det här måste "konstrueras" om för ha en trovärdig väg framåt.
Bankid är ett "säkerhetshål" i nuvarande form.
https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2023/10/sou-202361/
Jag kan mycket väl tänka mig att staten kan ha en roll som "root of trust", dvs på något sätt garantera identiteterna mot en identitetslösning, även om tom den tanken haltar betänkligt eftersom många inte är svenska medborgare osv.Fairlane skrev:
Däremot att staten ska handha och lagra allt mer av medborgarnas elektroniska förehavanden känns mer än skrämmande, speciellt i den situationen vi befinner oss med sönderfallande rättsväsende och en polismyndighet som helt flagrant gett sig av i en allt mer politisk riktning med beställda åsikter och handlingar. Jag skulle nog dra mig för att frivilligt ta på mig en sådan elektronisk fotboja.
Fairlane
Medlem
· Stockholms Län
· 15 934 inlägg
Fairlane
Medlem
- Stockholms Län
- 15 934 inlägg
Är du tillbaks på det där med högsta tillitsnivå nu eller är det något annat du syftar på med länken?P paralun skrev:
BankID är inget säkerhetshål och det har inte heller utredningen kommit fram till. Tillitsnivå är en inte helt oväsentlig del, men skillnaden här är hårfin. De bedrägerier som sker beror inte på en för låg tillitsnivå.
Frågar man tant Agda och farbror Sven om de tror att banken kan avbryta suspekt aktivitet på deras bankkonton utan att de själva måste göra något så kommer de nog svara ja, förtroendet finns för banken.
Frågar man tant Agda och farbror Sven om de ska använda BankID om någon ringer och och påstår sig vara från banken så lär de svara nej också.
Problemet blir när de blir stressade och inte hinner tänka, då lyssnar de på den snälla personen som ringer. De som ringer och lurar folk är väldigt skickliga och lurar många som tror att de aldrig skulle bli lurade. Det har inget att göra med BankID vs statlig e-legitimation.
Men du blandar samman begreppen i inläggen så det är svårt att förstå vad du avser, och bara länkar till sidor som inte alls bekräftar det du påstår, åtminstone för oss som har arbetat inom området.P paralun skrev:
Jo med en enkel liknelse så bygger man sitt hus på stabil grund, det här huset är på väg ner i ett sjunkhål. I det här fallet ska det vara en e-legitimation som har högsta tillitsnivå. Jag kan inte se något annat precis som SOU kom fram till. Varför ska man sedan kunna läsa en medicinsk journal eller deklaration utan tillträde med högsta tillitsnivå?
"Säkerhetshålet" i bankid är felaktig användning samt att det inte har högsta tillitsnivå.
Felaktig användning kan man säkert lösa genom en tydligare information samt att bankerna jagar rätt på målvakterna.
Sen rent tekniskt så borde man ju kunna ändra att det inte behövs ett personligt besök om man gör som Swedbank numera gör att man vid ansökan måste använda endera pass eller nationellt id-kort.
Det kommer mycket mera annars om man inte tar ett omtag.
Men då får du ju samma nivå som BankID har idag, klassas på samma nivå. Det har skrivits många gånger att det som gör att BankID får nivå 3 är att du kan hämta det med en teknisk lösning via godkänd ID-handling.P paralun skrev:
Nej det stoppar inte det som just nu pågår men ger en trovärdig grund för framtiden.AndersPS skrev:
Bankerna och "follow the money" kan sannolikt ge ett lyckat resultat.
"Uppfinningsrikedomen" är ju sedan mycket stor och att ha något som inte klarar högsta tillitsnivå är nog mycket dumt inför framtiden.
Sen spelar det för mig ingen roll om det är statligt eller privat men pass och nationella idkort utfärdas ju av staten-polisen och därav så bör staten då även ta en e-legitimation. Efter det kan man då id-växla till tex Bankid eller Freja eller vad man nu trivs med. Sen kan man nog göra det mycket tydligare via en ny e-legitimation för alla.
Eller räcker Swedbanks nya krav för Bankid på pass eller nationellt id-kort??
https://www.swedbank.se/privat/digitala-tjanster/ny-mobil.html
https://www.swedbank.se/privat/digi...fa-mobilt-bankid-med-digital-id-kontroll.html
Nu vet jag inte var man hittar standarden/kravet om ett personligt besök?
På vilket sätt gör en statlig legitimation att folk slutar att tro på andras lögner i samma utsträckning som när de nu har bank-id?P paralun skrev:
Göra vad tydligare och hur då?P paralun skrev:
Räcker för vad då?P paralun skrev:
På vilket sätt blir det bättre att själv fota och blippa sitt pass än att hämta sitt första Bank-id på kontoret och visa upp passet?
Du har ju själv länkat hit tidigare när du hänvisade till att personligt besök var viktigt😃P paralun skrev:
Nu vet jag att du inte är seriös utan bara tycker det är kul att argumentera, kanske inte troll men en antydan till liten svans🤣 Ha de bra med din tillit.
https://www.digg.se/digitala-tjanster/e-legitimering/tillitsnivaer-for-e-legitimering
Fairlane
Medlem
· Stockholms Län
· 15 934 inlägg
Fairlane
Medlem
- Stockholms Län
- 15 934 inlägg
Det låter som att du tror att det är någon drastisk skillnad mellan högsta och nästhögsta tillitsnivån, det är det inte. Givetvis bygger man huset på en stabil grund och BankID är en mycket, mycket stabil grund, men som alltid går det att göra lite, lite mer, men det är verkligen inte vettigt i alla lägen.P paralun skrev:
En liknelse, du ska bygga ett hus och vill få en stabil grund. Du får en mycket, mycket stabil grund för 500', men det går att få grunden 0,1% stabilare för en kostnad av 10 miljoner. Slår du till på 10 miljoner för en vanlig villa, eller duger det bra med grunden för 500'?
Att du talar om sjunkhål visar rätt tydligt att du inte har någon aning om proportionerna vi talar.
Och säkerhetshålet i en statlig e-legitimation kommer vara precis samma felaktiga användning.P paralun skrev:
Givetvis kommer man inte kunna lösa det. Man kan kanske få det lite bättre, men jag är fullkomligt övertygad om att inte kommer bero ett dugg på tillitsnivån. Den största förbättringen ser jag snarare i att man låter vissa överföringar till mycket mer tid, inställbart för kunden såklart, och en lätta på den restriktionen kommer också ta tid. Jaga målvakter är inte fel i sig, men det kommer nya hela tiden och det är bättre att stoppa brottet innan det sker än att utreda det i efterhand.P paralun skrev:
Ja, så kommer det ju bli, men då uppnår du ju inte högsta tillitsnivån, så det är ju ett sjunkhål. 🙄P paralun skrev:
Klart man alltid måste utveckla alla lösningar, ingen säger något annat.P paralun skrev:
Det är märkligt att ingen som arbetar med IT-säkerhet ser BankID som ett sjunkhål, ingen ser att säkerheten kommer stärkas direkt av att man erhåller högsta säkerhetsnivån, ingen tror att de som idag hanterar sitt BankID fel kommer hantera en e-legitimation bättre, men ändå så verkar du tvärsäkert framhärda att så är fallet. Det påminner inte så lite om diskussionen med att salta vägarna i Skåne när det snöar och blåser. Staten kan fixa allt genom mängder med plogbilar och mängder med salt. Att alla andra har en annan åsikt får dig inte att fundera över om du kanske trots allt inte kan allt?!
Du är garanterat mycket duktigare än jag på något annat område och och märker jag att jag talar med någon som kan ämnet så framhärdar inte jag en annan åsikt. Talar jag med 10 personer som kan området skulle jag verkligen inte drömma om att framhärda en annan åsikt om ett ämne som jag själv inte behärskade.
Nu krumbuktar du dig bara.... jag kan tekniskt inte se något problem med Swedbanks lösning men "personligt besök" finns säkert i någon standard för högsta tillitsnivå som jag inte orkar leta efter eftersom ämnet börjar bli uttjatat men jag kommer inte att ändra mig en millimeter från det här med högsta tillitsnivå, vi måste dit, 100% säker!A AndersS skrev:
Hur ska du ha det, är det okej med Swedbanks lösning (nivå 3) eller ska det vara personligt besök (nivå 4)?P paralun skrev:
Vad snäll Anders var då som länkade till dokumentet så att du slapp leta. Läser du inte inläggen du svarar på?
Det räcker inte med personligt besök för nivå 4 enligt den svenska riktlinjen, e-legitimationen måste även lagras i en "personlig säkerhetsmodul" vilket i princip utesluter en mobiltelefonbaserad lösning.BirgitS skrev: