C
Dowser4711 Dowser4711 skrev:
Om du genomför en 3D-secure transaktion med hjälp av en identifiering enbart så gör de fel och du bör anmäla dem till Finansiell ID-teknik som står bakom BankID.
Visst är det så. Likväl vanligt förekommande. För att trassla till det så tror jag det i detta fall är så att PSD2-direktivet som ligger bakom detta inte kräver att transaktionen signeras, utan endast att kortinnehavaren är identifierad.

Hur som helst, det var bara ett exempel på i realiteten förekommande flöden där du interagerar med en part men blir ombedd att identifiera dig mot en annan. Ett annat exempel på vårdslös användning är Skatteverket med sina signeringar där du blir ombedd att signera texten "Jag signerar uppgifterna som lämnats" eller liknande abstrakta intyganden.

Inte så lätt att "utbilda" användarna i ett säkert beteende när verkligheten ser ut som den gör.
 
  • Gilla
Lilllen
  • Laddar…
Fairlane
mexitegel mexitegel skrev:
Det gör det, men det är synnerligen beklagligt att bankerna tillåter användarna att utföra sina digitala bankärenden i en okontrollerad miljö där bedragare kan få personer att installera fjärrstyrningsprogramvaror. Tillåter bankerna random personer att installera kameror i banklokalerna också? Knappast....
Jag ser inte något vettigt alternativ?
Om miljön ska vara kontrollerad av banken så måste jag antingen ta mig till bankkontor varje gång jag vill göra ett bankärenden, eller så måste banken kontrollera mina enheter (dator, surfplatta, telefon etc), eller så får banken ge ut en egen enhet som de låser ner stenhårt, ser till att uppdatera etc. Inget av de alternativen lockar mig.
 
  • Gilla
Sernando och 4 till
  • Laddar…
C
Fairlane Fairlane skrev:
eller så får banken ge ut en egen enhet som de låser ner stenhårt
T.ex. en HSM som BankID på kort. Nu behöver det ju inte nödvändigtvis vara banken som ger ut enheten, men tyvärr finns det inte direkt några aktörer på marknaden som är intresserade av öppna lösningar, eftersom incitamentet att låsa kunden till sin egen lösning är stort.
 
  • Haha
Sernando
  • Laddar…
Fairlane
C cpalm skrev:
T.ex. en HSM som BankID på kort. Nu behöver det ju inte nödvändigtvis vara banken som ger ut enheten, men tyvärr finns det inte direkt några aktörer på marknaden som är intresserade av öppna lösningar, eftersom incitamentet att låsa kunden till sin egen lösning är stort.
På vilket sätt hjälper en HSM i detta fall?
Om jag med min okontrollerade dator ber HSMen att signera en betalning så kvarstår ju problemet med fjärrprogramvara och framförallt alla rena bedrägerier där man lurar folk att signera saker de inte borde?
 
  • Gilla
Sernando och 2 till
  • Laddar…
Nissens Nissens skrev:
Hur gammal skall man vara menar du? Jag känner tre pers i 85 årsåldern som inte har några problem att hantera det.
Håller med, det är personrelaterat och beroende av många flera faktorer, där BankID bara är en del att hantera sitt personliga behov i olika situationer. Inget som BankID tekniskt kan hantera. Om någon vill fördjupa sig så sök upp begreppet "god man" vad det innebär i olika former (inte att misstolka som förvaltare som är något annat)
 
Vad man skulle kunna införa är personliga valbara begränsningar. Tex dubbla signeringar med tid mellan för vissa saker. De behöver då införas automatiskt med ett aktivt beslut av personen att inte ha skyddet. Även möjlighet till att man kräver signering av ytterligare en person skulle kunna vara en variant.
Men allt sådant gör det ju också bökigare.

Min mor råkade ut för någon som utgav sig för att vara hennes barn. Hon SMSade med bedragaren en hel dag innan hon avslöjade att hon genomskådat bluffen. Då hade hon även fått ett kontonummer att föra över pengar till. Så hon kontaktade banken så att de skulle kunna ha koll på transaktioner till kontot.
 
  • Gilla
Lilllen och 9 till
  • Laddar…
C
Fairlane Fairlane skrev:
På vilket sätt hjälper en HSM i detta fall?
Det måste så klart vara en HSM som inte tillåter "fjärrsignering" från datorn eller annan osäker enhet. För BankID på kort eller andra smarta kort en kortläsare med pin pad. T.ex. Gemalto BankID-dosorna som Handelsbanken och Nordea har använt.
 
  • Haha
Sernando
  • Laddar…
Fairlane
C cpalm skrev:
Det måste så klart vara en HSM som inte tillåter "fjärrsignering" från datorn eller annan osäker enhet. För BankID på kort eller andra smarta kort en kortläsare med pin pad. T.ex. Gemalto BankID-dosorna som Handelsbanken och Nordea har använt.
Ok, då är jag med på vad du menar. Det skulle dock göra livet lite jobbigare eftersom man sållar bort mobilt BankID och bara kör BankID på kort (eller motsvarande). Ska jag göra ett ärende på stan så får jag plocka upp min laptop, ansluta kortläsare och sladd och lösa det. Jag tror inte folk vill det för att exempelvis använda Swish eller logga in på Försäkringskassan och ansöka om VAB.
 
  • Gilla
Sernando och 3 till
  • Laddar…
BankID är lysande men används ibland av folk som borde veta bättre på sätt som ser ut som bedrägeri.

Exempel1: bankA ringer upp (utan att jag initierat kontakten först) och ber mig identifiera mig med bankID

Exempel2: bankB ber mig sätta upp ett kopplat bankkonto till bankA (mha tink). Under processen får jag en förfrågan i bankID-appen om att legitimera mig mot bankA.
 
  • Gilla
Sernando
  • Laddar…
Mikael_L
MathiasS MathiasS skrev:
Det kontrollnumret på ditt körkort är alldeles för tillgängligt för andra än du själv, inte ok under några omständigheter. Att vi inte har fler bedrägerier med detta runt ägarbyten för bilar är ett under. Alldeles för få förstår att detta refnr behöver hållas hemligt. Du förväntas visa upp och/eller lämna ifrån dig ditt körkort på för många ställen idag.
Jag har tejpat över referensnumret på mitt KK.
Brukar också ifrågasätta varför jag ska lämna över körkortet till någon, de får kolla på det då jag är med.
 
  • Haha
Sernando
  • Laddar…
C
Fairlane Fairlane skrev:
Det skulle dock göra livet lite jobbigare eftersom man sållar bort mobilt BankID och bara kör BankID på kort (eller motsvarande).
Ja, så är det ju. Svårt att äta kakan och ha den kvar, även om det gjorts olika försök till mobila lösningar.
Antingen genom en extern enhet som paras ihop med mobilen eller säkra funktioner i själva mobilen.
 
mexitegel mexitegel skrev:
Det gör det, men det är synnerligen beklagligt att bankerna tillåter användarna att utföra sina digitala bankärenden i en okontrollerad miljö där bedragare kan få personer att installera fjärrstyrningsprogramvaror. Tillåter bankerna random personer att installera kameror i banklokalerna också? Knappast....
C cpalm skrev:
Visst är det så. Likväl vanligt förekommande. För att trassla till det så tror jag det i detta fall är så att PSD2-direktivet som ligger bakom detta inte kräver att transaktionen signeras, utan endast att kortinnehavaren är identifierad.

Hur som helst, det var bara ett exempel på i realiteten förekommande flöden där du interagerar med en part men blir ombedd att identifiera dig mot en annan. Ett annat exempel på vårdslös användning är Skatteverket med sina signeringar där du blir ombedd att signera texten "Jag signerar uppgifterna som lämnats" eller liknande abstrakta intyganden.

Inte så lätt att "utbilda" användarna i ett säkert beteende när verkligheten ser ut som den gör.
PSD2 ska inte ha något med 3DS, så jag har svårt att se att det ska påverka.
PSD2 är givetvis inblandat om man väljer att göra en direktbetalning från konto, men då är ju 3DS inte med i leken.
 
"Tejpa på kort..." Och då är vi inne på Mobil plånbok som är ett komplement så man slipper hantera kort, oftast bara "blippa" mobilen då jag identifierat mig i appen och där jag använder fingeravtryck. Så med BankID och även dess ID-kort, Swish, Mobil plånbok hanterar jag det mesta idag. För registrering av medlemskap vid köp i affär har jag QR-kod från körkort på bild i mobilen, den ger mitt personnummer.
Men så är man lat pensionär.😉
 
  • Gilla
Dilato
  • Laddar…
A AndersS skrev:
Och då är vi inne på Mobil plånbok
Vilken app använder du?
 
Mikael_L Mikael_L skrev:
Jag har tejpat över referensnumret på mitt KK.
Brukar också ifrågasätta varför jag ska lämna över körkortet till någon, de får kolla på det då jag är med.
ja det är helt rätt och ändå stöter man titt som tätt på vardagssituationer där man förväntas lämna bort sitt körkort.
 
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.