135 961 läst ·
3 524 svar
136k läst
3,5k svar
Bank-ID till allt möjligt - ogillar!
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Sannolikheten att generera en likadan 2048-bitars nyckel är 1 på 2 upphöjt med 2048, så ja, det är min åsikt att det är försumbart.Alfredo skrev:
Det kan såklart finnas svaga nycklar (det gör det) och saker kan förändras, men även om man lyckas halvera styrkan är det enligt min åsikt försumbart.
Du är den enda som har tillgång till den privata nyckeln. Hur tänker du dig att det ska manipuleras så det ser ut som att du utfört en signering som du inte utfört?Alfredo skrev:
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Men förstår du inte att jag belyser ett juridiskt problem som jag finner oroande och inte tekniken kring BankID?Fairlane skrev:
Exempelvis kan naturligtvis den som har tillgång till systemet låta systemet gör vad som helst. Eller den som kan kontrollera en "telefon" kan naturligtvis få telefonen att "utföra" samma saker som telefonens ägare skulle kunna utföra med telefonen.Fairlane skrev:
Men återigen, jag diskuterar inte eventuella brister i tekniken kring detta. Jag diskuterar den juridiska situation som en person hamnar i när någon lyckas manipulera systemet.
Snarare 2 upphöjt till ca. 112 - nyckeln är inte helt slumpmässig. Fortfarande rätt svårt dock...Fairlane skrev:
Om inte enheten blir hackad och någon får ut din privata nyckel därifrån.
Det mest sannolika är att du genom någon cross-site-mekanism eller "social engineering" luras att identifiera dig mot en annan sajt än den du besöker, där det sedan görs "osynliga" transaktioner som inte kräver signering. Dvs. du har gjort en identifiering, potentiellt till och med en signering, men inte för det syftet du tror.Fairlane skrev:
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Det juridiska problemet har du väl alltid, oavsett teknik?Alfredo skrev:
Det finns alltid en risk att du blir dömd för något du inte gjort, men just i detta fall är risken nog väldigt mycket mindre än i många andra fall.
Har du en känsla, en oro, så är det såklart helt legitimt, men ofta är det då bra att förstå tekniken och riskerna, så minskar kanske oron.
Nej, det går inte. BankID använder sig av asymmetrisk kryptografi, där du är den enda som sitter på den privata, hemliga, nyckeln.Alfredo skrev:
Det finns system som bygger på symmetrisk kryptografi, där du och mottagaren av meddelande (i detta fall banken) har samma nyckel (delat hemlighet). Där är det möjligt för någon med tillgång till denna nyckel att använda den, utan att man vet vem.
Ja, blir din telefon hackad, eller du lämnar den till någon och ger dem din PIN-kod så blir det ett problem, men det är också ditt ansvar att hålla reda på. Detta om vi talar mobilt Bankid. BankID på kort är ju något annat.Alfredo skrev:
På samma sätt blir det ett problem om någon kommer över ditt kreditkort och tillhörande PIN-kod.
Ja, och jag försöker förklara att det inte är möjligt att sitta på serversidan och göra något. Utvecklar du klientsidan så skulle det finnas andra möjligheter, men det förutsätter att du lyckas manipulera koden, utan att någon upptäcker det, någonsin. Det är väldigt höga säkerhetskrav kring detta, men det är såklart inte omöjligt att tillräckligt många samverkar. Dock är bevisläget mot dessa också väldigt bra isåfall.Alfredo skrev:
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Ja, en hackad enhet är en risk, men det är också användarens ansvar att inte ge tillgång till sin enhet.C cpalm skrev:
Det är ju inget unikt med BankID, detsamma gäller ett kreditkort.
Transaktioner utan signering? Då talar vi inte bankärenden iallafall.C cpalm skrev:Det mest sannolika är att du genom någon cross-site-mekanism eller "social engineering" luras att identifiera dig mot en annan sajt än den du besöker, där det sedan görs "osynliga" transaktioner som inte kräver signering. Dvs. du har gjort en identifiering, potentiellt till och med en signering, men inte för det syftet du tror.
När man autentiserar sig står det vad man autentiserar sig emot. När man signerar något får man information om vad man signerar. Om man inte läser det så är det inte stor skillnad mot att skriva på papper utan att läsa vad man skriver på.
Nja, jag påstår att den privata nyckeln är avsevärt bättre skyddad på ett kredikort jämfört med en smartfone.Fairlane skrev:
Trådens ämne är ju "Bank-ID till allt möjligt", men bankerna är väl generellt bra på att kräva signering av viljeyttringar, jo. Men lägger man upp kontextet rätt, vilket är bedragarens specialitet, går det att lura även en ganska intelligent person att både identifiera sig och signera saker. Samma upplägg funkar så klart även i den fysiska världen, men det blir lite mer lättillgängligt när man inte ens behöver sitta i samma land som offret.Fairlane skrev:
Jag har försökt förklara varför jag ser detta annorlunda än exempelvis en traditionell förfalskning av en underskrift.Fairlane skrev:
BankID använder sig av den teknik som någon väljer att den ska använda sig av. Den som kan kontrollera detta kan naturligtvis hitta på vad som helst... Du fokuserar hela tiden på när tekniken fungerar som det är tänkt. Det är inte dessa situationer jag syftar på.Fairlane skrev:
Och hur menar du att "gemen man" ska ta sitt ansvar så att telefonen inte blir hackad?Fairlane skrev:
Att det finns likartade problem förminskar inte det aktuella problemet.Fairlane skrev:
OK. Ja är tekniken garanterat fullkomligt ofelbar så oroar jag mig naturligtvis helt i onödan. Så skönt... 😉Fairlane skrev:
Fast det verkar som du ändå tycker att det inte är omöjligt... Min oro kanske ändå är befogad? 🤔Fairlane skrev:
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Numera är kreditkorten nog klart bättre, förr var det billigast tänkbara chip som inte var särskilt bra.C cpalm skrev:
Men det jag mer tänkte var att man inte får lämna ifrån sig sitt kreditkort hur som helst.
Absolut är det så att man kan luras, men det är isåfall inte direkt en fråga om BankID som sådant.C cpalm skrev:Trådens ämne är ju "Bank-ID till allt möjligt", men bankerna är väl generellt bra på att kräva signering av viljeyttringar, jo. Men lägger man upp kontextet rätt, vilket är bedragarens specialitet, går det att lura även en ganska intelligent person att både identifiera sig och signera saker. Samma upplägg funkar så klart även i den fysiska världen, men det blir lite mer lättillgängligt när man inte ens behöver sitta i samma land som offret.
Fairlane
Medlem
· Stockholms Län
· 17 921 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 921 inlägg
Ja, och jag håller väl inte med.Alfredo skrev:
Fast att ändra teknik i BankID utan att det avslöjas låter sig inte göras så lätt, det kräver en enorm konspiration, av många personer.Alfredo skrev:
Nu låter det som att du fokuserar på tekniken helt plötsligt... 😉Alfredo skrev:
Man får försöka hålla sig till några enkla steg. Lämna inte ifrån dig telefonen, koppla inte upp dig mot okända WIFI-nät, installera inte appar som inte ligger på Appstore/Playstore, se till att uppdatera telefonen etc.
Nej det är riktigt, men livet består av en massa risker. Man ska inte ignorera alla, men inte heller hantera alla.Alfredo skrev:
Nej, men riskerna är enormt små, så man kanske inte ska fokusera på dessa.Alfredo skrev:
Det står dig dock fritt att avstå allt, inte mig emot.
Jag når inte fram till dig om hur liten risken är, men kanske någon annan orolig blir lite lugnad.
Absolut. Det är lika bra att vara orolig för det. Du kan vara orolig för att någon på din bank tömmer ditt konto och att banken sen får i konkurs också.Alfredo skrev:
Helt OK.Fairlane skrev:
Jag har aldrig värderat om det är lätt eller svårt. Jag har tagit upp rättslösheten om det sker. Sen tror jag du överskattar hur många som behöver vara inblandade men det är egentligen inte relevant för frågan.Fairlane skrev:
Nu beror det väl på vad man menar med "okända" men jag tror de flesta regelbundet kopplar upp sig på WIFI-nät som är helt bortom deras kontroll. På arbetsplatser, på flygplatser, i flygplan och på en massa andra ställen.Fairlane skrev:
Nej det gör du inte eftersom det inte alls är det jag tog upp som ett problem. 😉Fairlane skrev:
Dålig liknelse då man då som normal bankkund är skyddad av insättningsgarantin.Fairlane skrev:
Jag har tänkt att de slår upp allt bakvägen mha cookies,cross site tracking och adressregistret från tex skv.Fairlane skrev:
Experiment:
Jag påbörjar ett köp på exempelvis webhallen i incognitoläge. Klickar mig vidare mha en fejkadress och väljer betala med visa (klarnaknappen).
Det första som händer är att jag blir promptad att logga in med bank id i klarnarutan(som sker mha personnr), för att få gå vidare och välja avbetalning eller Visa.
Andra betalmöjligheter fanns dock. 3-4 alternativ med Revolut(smslån), swish (personnr) eller american express.
Så typ oavsett hur jag betalar(möjligt att det går via amex) är det nån som bokför detta köp under mitt personnr.
Men det är ju för min säkerhet det sker.... 🙄
