Bank-ID till allt möjligt - ogillar!

[Daniel 109]

Jag skulle ändå påstå att det är svårare att bygga en fusk-BankID-app än att fejka plastlapps-ID, något som var mycket vanligt i min ungdom och mer än lätt.

Sen är vi alltid tillbaks till frågan om vilken typ av transaktion man gör och önskad säkerhetsnivå, med elektroniska ID kan man gå mycket högre när man så önskar.

Ja, men det är lättare att ladda ner än app än att feja en plastlapp. Jobbet har ju redan någon kunnig gjort.

 

[MathiasS]

Självklart, men de måste ha stöd för det i kassasystemet också.

Givetvis. Eller så fortsätter man att gnälla över "falskleg" vilket knappast är ett nytt fenomen. Skillnaden är att nu kan man göra något åt det.

 

[Dowser4711]

Dels kan du iakta processen, dvs när de autentiserar sig, dels kan du röra över bilden (testa själv) för att det inte ska vara en manipulerad statisk bild, till sist kan du scanna QR-koden och då får du upp individens ID.

Att knäcka de krypto och manipulera databasen ser jag som svårt, till och med mycket svårt.

Det är *enbart* om de scannar koden, med en tjänst som validerar de två hex-strängarna i QR-koden med BankID's egna /verify API som du kan avgöra om det är en äkta handling eller ej.
(Dvs, det krävs att både telefonen och kassasystemet är uppkopplade mot Finansiell ID-teknik samtidigt för att valideringen ska ske, det har tämligen lite med krypto att göra, även om det givetvis är inblandat)

Visuellt identiskt, inklusive möjlighet att peka och flytta runt bildförvrängningen går utmärkt att göra i en web-app.

 

[Dowser4711]

Du måste kontrollera QR-koden från BankID mot nätet, annars är det mindre säkert än ett fysiskt leg då detta är ännu lättare att manipulera.

Det är det enda sättet att validera QR-koden med. Den har inget med den statiska QR-koden på ditt körkort (som förvisso är en datamatrix-kod, inte QR)
QR-koden på ditt körkort och ditt ICA-kort etc. som du kan ta en bild av och använda vid validering är själva ID-strängen. Ditt körkorts-nummer, personnummer om jag minns rätt i ICA-fallet etc.

BankID's QR-kod är två hex-strängar som tillsammans skickas in till https://appapi2.bankid.com/rp/v1/verify
I formatet
{
"qrCode": "`BANKIDF.74226FAAE3E64E70BB03F8E8E18D0439.8.79C416AA74278A70FAC25855F728A3206789B87B6FF6EB00688DB9622EFD2D33`\n"
}

Tillbaka får du då ett svar från BankID/Finansiell ID-teknik med svar (om den är korrekt) om namn, personnummer och foto.

Koden i sig är enbart för att validera att du har användarens app framför dig i samband med att du skickar in uppgifterna till API'et. (Och att appen fortfarande är öppen under hela autensierings-processen)


Dvs, det finns ingen möjlighet att validera en BankID legitimation "offline", med eller utan någon databas.

 

[pacman42]

Det är det enda sättet att validera QR-koden med. Den har inget med den statiska QR-koden på ditt körkort (som förvisso är en datamatrix-kod, inte QR)
QR-koden på ditt körkort och ditt ICA-kort etc. som du kan ta en bild av och använda vid validering är själva ID-strängen. Ditt körkorts-nummer, personnummer om jag minns rätt i ICA-fallet etc.

BankID's QR-kod är två hex-strängar som tillsammans skickas in till [länk]
I formatet
{
"qrCode": "`BANKIDF.74226FAAE3E64E70BB03F8E8E18D0439.8.79C416AA74278A70FAC25855F728A3206789B87B6FF6EB00688DB9622EFD2D33`\n"
}

Tillbaka får du då ett svar från BankID/Finansiell ID-teknik med svar (om den är korrekt) om namn, personnummer och foto.

Koden i sig är enbart för att validera att du har användarens app framför dig i samband med att du skickar in uppgifterna till API'et. (Och att appen fortfarande är öppen under hela autensierings-processen)


Dvs, det finns ingen möjlighet att validera en BankID legitimation "offline", med eller utan någon databas.

Exakt vad jag försökte säga, även om du lade in många fler detaljer...

 

[AndersS]

Och allt utgår från syftet, är det att vara säker på rätt person eller bara enkel koppling till annan aktivitet.
Allt förändras över tid och litar man inte eller ogillar man funktionen får man avstå med ev. konsekvens.😉

 

[djac]

Ja, men det är lättare att ladda ner än app än att feja en plastlapp. Jobbet har ju redan någon kunnig gjort.

Finns den appen, vad heter den?

 

[pacman42]

Här kan du köpa ett falskleg med BankID:
- https://www.reddit.com/r/fakefrejaid/comments/1cmhdna/s
Du trodde väl inte att appen skulle vara gratis?

 

[tveksamt]

Men ska det vara så att unga i sina första jobb ska kunna allt så får någ skolan och föräldraansvaret uppgraderas markant..

Det är kanske inte skolan eller föräldrarna som ska lära unga på sitt första jobb hur man kontrollerar en legitimation, eller vad menar du?

 

[Anonymiserad 405730]

Det är kanske inte skolan eller föräldrarna som ska lära unga på sitt första jobb hur man kontrollerar en legitimation, eller vad menar du?

Jo det grundar sig att lära sig att hantera flera saker under stress samt hantering av ansvar och moral som inte är på topp bland den yngre generationen..
Men du kanske har en annan syn av dagens ungdomar som visar tvärtom?

 

[tveksamt]

Det finns drösvis med ungdomar som inte kan hålla koncentrationen tillräckligt länge för att gå över ett övergångsställe på ett bra sätt. Enig i det.
Men det finns också ungdomar som är alldeles utmärkt utrustade för att lära sig utföra arbetsuppgifter i exempelvis en butik på ett bra sätt.
Det är väl det anställningsprocessen går ut på, att hitta rätt kandidater för jobbet. Det skiljer sig väl inte åt oavsett om vi pratar en sommarjobbande tonåring eller en fullvuxen till en mer senior tjänst?

 

[Stefan1972]

Fast gör man inte en höna av en fjäder just i detta Marcus skriver om? Det kan rimligen inte handla om annat än en fejksida där man tittar på en statisk bild och nöjer sig med det....Att det bara ser ut som bankid och sidan med e-leg. Inte att den har qr kod som ändras hela tiden och det. Det kan rimligen bara fungera där ingen bryr sig......

 

[Dowser4711]

Fast gör man inte en höna av en fjäder just i detta Marcus skriver om? Det kan rimligen inte handla om annat än en fejksida där man tittar på en statisk bild och nöjer sig med det....Att det bara ser ut som bankid och sidan med e-leg. Inte att den har qr kod som ändras hela tiden och det. Det kan rimligen bara fungera där ingen bryr sig......

Att bygga en websida med en uppdaterande QR-kod och animerad bakgrund som ser ut och känns precis som originalet är väldigt enkelt. Så, så länge man inte har rätt utrustning för att validera QR-koden så spelar det ingen roll hur mycket man bryr sig.

 

[AndersPS]

Nu ogillar matbutiker BankID för att falska BankID används av minderåriga för legitimation.

[länk]

Och återigen ser vi hur den digitala inkompetensen fullkomligt blommar.

Nej, det är extremt lätt att särskilja ett falskt BankID eller frejaid från ett äkta. Att påstå något annat är som att påstå att en fotostatkopia (det ni!) av en id handling är omöjlig att särskilja för att den ser ju likadan ut som den äkta handlingen.

 

[AndersPS]

Hur svårt tror du det är att få en app att se ut som en annan app?

Inte svårt alls. Det är därför det finns inbyggda sätt att verifiera identiteten.