D
Unikt namn Unikt namn skrev:
Samtidigt går det knappt att köpa en pryl via internet utan att ange personnr tack vare klarna.
Jag använder aldrig Klarna så vet inte.

Detta är ett exempel med Freja, här om jag ska logga in på skatteverket, ganska tydligt.

Bild av Freja eID inloggning till Skatteverket med uppgifter att dela som namn, e-postadress och personnummer.
Inloggade ser högupplösta bilder
Skapa konto
Gratis och tar endast 30 sekunder
 
C
D djac skrev:
Detta är ett exempel med Freja, här om jag ska logga in på skatteverket, ganska tydligt.
Hmm... Är du tvungen att lämna ut din e-postadress med Freja? 🤬
 
Fairlane
Alfredo Alfredo skrev:
Det är din åsikt.
Sannolikheten att generera en likadan 2048-bitars nyckel är 1 på 2 upphöjt med 2048, så ja, det är min åsikt att det är försumbart.
Det kan såklart finnas svaga nycklar (det gör det) och saker kan förändras, men även om man lyckas halvera styrkan är det enligt min åsikt försumbart.
Alfredo Alfredo skrev:
Vad har matematiken, när allt fungerar som tänkt, att göra med en situation då systemet är manipulerat?
Du är den enda som har tillgång till den privata nyckeln. Hur tänker du dig att det ska manipuleras så det ser ut som att du utfört en signering som du inte utfört?
 
  • Gilla
pmd och 2 till
  • Laddar…
Fairlane
Unikt namn Unikt namn skrev:
Samtidigt går det knappt att köpa en pryl via internet utan att ange personnr tack vare klarna.
Jag är ingen fantast av Klarna så jag väljer oftast att betala med kreditkort och då behöver jag inte ange något personnummer.
 
  • Gilla
Krille4 och 1 till
  • Laddar…
Fairlane Fairlane skrev:
Sannolikheten att generera en likadan 2048-bitars nyckel är 1 på 2 upphöjt med 2048, så ja, det är min åsikt att det är försumbart.
Men förstår du inte att jag belyser ett juridiskt problem som jag finner oroande och inte tekniken kring BankID?

Fairlane Fairlane skrev:
Hur tänker du dig att det ska manipuleras så det ser ut som att du utfört en signering som du inte utfört?
Exempelvis kan naturligtvis den som har tillgång till systemet låta systemet gör vad som helst. Eller den som kan kontrollera en "telefon" kan naturligtvis få telefonen att "utföra" samma saker som telefonens ägare skulle kunna utföra med telefonen.

Men återigen, jag diskuterar inte eventuella brister i tekniken kring detta. Jag diskuterar den juridiska situation som en person hamnar i när någon lyckas manipulera systemet.
 
  • Gilla
pmd
  • Laddar…
C
Fairlane Fairlane skrev:
Sannolikheten att generera en likadan 2048-bitars nyckel är 1 på 2 upphöjt med 2048, så ja, det är min åsikt att det är försumbart.
Snarare 2 upphöjt till ca. 112 - nyckeln är inte helt slumpmässig. Fortfarande rätt svårt dock...
Om inte enheten blir hackad och någon får ut din privata nyckel därifrån.
Fairlane Fairlane skrev:
Hur tänker du dig att det ska manipuleras så det ser ut som att du utfört en signering som du inte utfört?
Det mest sannolika är att du genom någon cross-site-mekanism eller "social engineering" luras att identifiera dig mot en annan sajt än den du besöker, där det sedan görs "osynliga" transaktioner som inte kräver signering. Dvs. du har gjort en identifiering, potentiellt till och med en signering, men inte för det syftet du tror.
 
Fairlane
Alfredo Alfredo skrev:
Men förstår du inte att jag belyser ett juridiskt problem som jag finner oroande och inte tekniken kring BankID?
Det juridiska problemet har du väl alltid, oavsett teknik?
Det finns alltid en risk att du blir dömd för något du inte gjort, men just i detta fall är risken nog väldigt mycket mindre än i många andra fall.

Har du en känsla, en oro, så är det såklart helt legitimt, men ofta är det då bra att förstå tekniken och riskerna, så minskar kanske oron.
Alfredo Alfredo skrev:
Exempelvis kan naturligtvis den som har tillgång till systemet låta systemet gör vad som helst.
Nej, det går inte. BankID använder sig av asymmetrisk kryptografi, där du är den enda som sitter på den privata, hemliga, nyckeln.
Det finns system som bygger på symmetrisk kryptografi, där du och mottagaren av meddelande (i detta fall banken) har samma nyckel (delat hemlighet). Där är det möjligt för någon med tillgång till denna nyckel att använda den, utan att man vet vem.
Alfredo Alfredo skrev:
Eller den som kan kontrollera en "telefon" kan naturligtvis få telefonen att "utföra" samma saker som telefonens ägare skulle kunna utföra med telefonen.
Ja, blir din telefon hackad, eller du lämnar den till någon och ger dem din PIN-kod så blir det ett problem, men det är också ditt ansvar att hålla reda på. Detta om vi talar mobilt Bankid. BankID på kort är ju något annat.

På samma sätt blir det ett problem om någon kommer över ditt kreditkort och tillhörande PIN-kod.
Alfredo Alfredo skrev:
Men återigen, jag diskuterar inte eventuella brister i tekniken kring detta. Jag diskuterar den juridiska situation som en person hamnar i när någon lyckas manipulera systemet.
Ja, och jag försöker förklara att det inte är möjligt att sitta på serversidan och göra något. Utvecklar du klientsidan så skulle det finnas andra möjligheter, men det förutsätter att du lyckas manipulera koden, utan att någon upptäcker det, någonsin. Det är väldigt höga säkerhetskrav kring detta, men det är såklart inte omöjligt att tillräckligt många samverkar. Dock är bevisläget mot dessa också väldigt bra isåfall.
 
  • Gilla
Krille4
  • Laddar…
Fairlane
C cpalm skrev:
Snarare 2 upphöjt till ca. 112 - nyckeln är inte helt slumpmässig. Fortfarande rätt svårt dock...
Om inte enheten blir hackad och någon får ut din privata nyckel därifrån.
Ja, en hackad enhet är en risk, men det är också användarens ansvar att inte ge tillgång till sin enhet.
Det är ju inget unikt med BankID, detsamma gäller ett kreditkort.
C cpalm skrev:
Det mest sannolika är att du genom någon cross-site-mekanism eller "social engineering" luras att identifiera dig mot en annan sajt än den du besöker, där det sedan görs "osynliga" transaktioner som inte kräver signering. Dvs. du har gjort en identifiering, potentiellt till och med en signering, men inte för det syftet du tror.
Transaktioner utan signering? Då talar vi inte bankärenden iallafall.
När man autentiserar sig står det vad man autentiserar sig emot. När man signerar något får man information om vad man signerar. Om man inte läser det så är det inte stor skillnad mot att skriva på papper utan att läsa vad man skriver på.
 
C
Fairlane Fairlane skrev:
Ja, en hackad enhet är en risk, men det är också användarens ansvar att inte ge tillgång till sin enhet.
Det är ju inget unikt med BankID, detsamma gäller ett kreditkort.
Nja, jag påstår att den privata nyckeln är avsevärt bättre skyddad på ett kredikort jämfört med en smartfone.
Fairlane Fairlane skrev:
Transaktioner utan signering? Då talar vi inte bankärenden iallafall.
Trådens ämne är ju "Bank-ID till allt möjligt", men bankerna är väl generellt bra på att kräva signering av viljeyttringar, jo. Men lägger man upp kontextet rätt, vilket är bedragarens specialitet, går det att lura även en ganska intelligent person att både identifiera sig och signera saker. Samma upplägg funkar så klart även i den fysiska världen, men det blir lite mer lättillgängligt när man inte ens behöver sitta i samma land som offret.
 
Fairlane Fairlane skrev:
Det juridiska problemet har du väl alltid, oavsett teknik?
Jag har försökt förklara varför jag ser detta annorlunda än exempelvis en traditionell förfalskning av en underskrift.

Fairlane Fairlane skrev:
BankID använder sig av asymmetrisk kryptografi, där du är den enda som sitter på den privata, hemliga, nyckeln
BankID använder sig av den teknik som någon väljer att den ska använda sig av. Den som kan kontrollera detta kan naturligtvis hitta på vad som helst... Du fokuserar hela tiden på när tekniken fungerar som det är tänkt. Det är inte dessa situationer jag syftar på.

Fairlane Fairlane skrev:
men det är också ditt ansvar att hålla reda på.
Och hur menar du att "gemen man" ska ta sitt ansvar så att telefonen inte blir hackad?

Fairlane Fairlane skrev:
På samma sätt blir det ett problem om någon kommer över ditt kreditkort och tillhörande PIN-kod.
Att det finns likartade problem förminskar inte det aktuella problemet.

Fairlane Fairlane skrev:
Ja, och jag försöker förklara att det inte är möjligt att sitta på serversidan och göra något.
OK. Ja är tekniken garanterat fullkomligt ofelbar så oroar jag mig naturligtvis helt i onödan. Så skönt... 😉

Fairlane Fairlane skrev:
Det är väldigt höga säkerhetskrav kring detta, men det är såklart inte omöjligt att tillräckligt många samverkar.
Fast det verkar som du ändå tycker att det inte är omöjligt... Min oro kanske ändå är befogad? 🤔
 
Fairlane
C cpalm skrev:
Nja, jag påstår att den privata nyckeln är avsevärt bättre skyddad på ett kredikort jämfört med en smartfone.
Numera är kreditkorten nog klart bättre, förr var det billigast tänkbara chip som inte var särskilt bra.
Men det jag mer tänkte var att man inte får lämna ifrån sig sitt kreditkort hur som helst.
C cpalm skrev:
Trådens ämne är ju "Bank-ID till allt möjligt", men bankerna är väl generellt bra på att kräva signering av viljeyttringar, jo. Men lägger man upp kontextet rätt, vilket är bedragarens specialitet, går det att lura även en ganska intelligent person att både identifiera sig och signera saker. Samma upplägg funkar så klart även i den fysiska världen, men det blir lite mer lättillgängligt när man inte ens behöver sitta i samma land som offret.
Absolut är det så att man kan luras, men det är isåfall inte direkt en fråga om BankID som sådant.
 
Fairlane
Alfredo Alfredo skrev:
Jag har försökt förklara varför jag ser detta annorlunda än exempelvis en traditionell förfalskning av en underskrift.
Ja, och jag håller väl inte med.
Alfredo Alfredo skrev:
BankID använder sig av den teknik som någon väljer att den ska använda sig av. Den som kan kontrollera detta kan naturligtvis hitta på vad som helst... Du fokuserar hela tiden på när tekniken fungerar som det är tänkt. Det är inte dessa situationer jag syftar på.
Fast att ändra teknik i BankID utan att det avslöjas låter sig inte göras så lätt, det kräver en enorm konspiration, av många personer.
Alfredo Alfredo skrev:
Och hur menar du att "gemen man" ska ta sitt ansvar så att telefonen inte blir hackad?
Nu låter det som att du fokuserar på tekniken helt plötsligt... 😉
Man får försöka hålla sig till några enkla steg. Lämna inte ifrån dig telefonen, koppla inte upp dig mot okända WIFI-nät, installera inte appar som inte ligger på Appstore/Playstore, se till att uppdatera telefonen etc.
Alfredo Alfredo skrev:
Att det finns likartade problem förminskar inte det aktuella problemet.
Nej det är riktigt, men livet består av en massa risker. Man ska inte ignorera alla, men inte heller hantera alla.
Alfredo Alfredo skrev:
OK. Ja är tekniken garanterat fullkomligt ofelbar så oroar jag mig naturligtvis helt i onödan. Så skönt... 😉
Nej, men riskerna är enormt små, så man kanske inte ska fokusera på dessa.
Det står dig dock fritt att avstå allt, inte mig emot.
Jag når inte fram till dig om hur liten risken är, men kanske någon annan orolig blir lite lugnad.
Alfredo Alfredo skrev:
Fast det verkar som du ändå tycker att det inte är omöjligt... Min oro kanske ändå är befogad? 🤔
Absolut. Det är lika bra att vara orolig för det. Du kan vara orolig för att någon på din bank tömmer ditt konto och att banken sen får i konkurs också.
 
  • Gilla
Krille4
  • Laddar…
D
C cpalm skrev:
Hmm... Är du tvungen att lämna ut din e-postadress med Freja? 🤬
Nej, det är unikt för varje transaktion vad som delas, men det man kan se som bra är transparensen
 
Fairlane Fairlane skrev:
Ja, och jag håller väl inte med.
Helt OK.

Fairlane Fairlane skrev:
Fast att ändra teknik i BankID utan att det avslöjas låter sig inte göras så lätt, det kräver en enorm konspiration, av många personer.
Jag har aldrig värderat om det är lätt eller svårt. Jag har tagit upp rättslösheten om det sker. Sen tror jag du överskattar hur många som behöver vara inblandade men det är egentligen inte relevant för frågan.

Fairlane Fairlane skrev:
koppla inte upp dig mot okända WIFI-nät,
Nu beror det väl på vad man menar med "okända" men jag tror de flesta regelbundet kopplar upp sig på WIFI-nät som är helt bortom deras kontroll. På arbetsplatser, på flygplatser, i flygplan och på en massa andra ställen.

Fairlane Fairlane skrev:
Jag når inte fram till dig om hur liten risken är, men kanske någon annan orolig blir lite lugnad.
Nej det gör du inte eftersom det inte alls är det jag tog upp som ett problem. 😉

Fairlane Fairlane skrev:
Du kan vara orolig för att någon på din bank tömmer ditt konto och att banken sen går i konkurs också.
Dålig liknelse då man då som normal bankkund är skyddad av insättningsgarantin.
 
Unikt namn
Fairlane Fairlane skrev:
Jag är ingen fantast av Klarna så jag väljer oftast att betala med kreditkort och då behöver jag inte ange något personnummer.
Jag har tänkt att de slår upp allt bakvägen mha cookies,cross site tracking och adressregistret från tex skv.

Experiment:
Jag påbörjar ett köp på exempelvis webhallen i incognitoläge. Klickar mig vidare mha en fejkadress och väljer betala med visa (klarnaknappen).
Det första som händer är att jag blir promptad att logga in med bank id i klarnarutan(som sker mha personnr), för att få gå vidare och välja avbetalning eller Visa.

Andra betalmöjligheter fanns dock. 3-4 alternativ med Revolut(smslån), swish (personnr) eller american express.

Så typ oavsett hur jag betalar(möjligt att det går via amex) är det nån som bokför detta köp under mitt personnr.

Men det är ju för min säkerhet det sker.... 🙄
 
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.