135 958 läst ·
3 524 svar
136k läst
3,5k svar
Bank-ID till allt möjligt - ogillar!
Visst är det så. Likväl vanligt förekommande. För att trassla till det så tror jag det i detta fall är så att PSD2-direktivet som ligger bakom detta inte kräver att transaktionen signeras, utan endast att kortinnehavaren är identifierad.Dowser4711 skrev:
Hur som helst, det var bara ett exempel på i realiteten förekommande flöden där du interagerar med en part men blir ombedd att identifiera dig mot en annan. Ett annat exempel på vårdslös användning är Skatteverket med sina signeringar där du blir ombedd att signera texten "Jag signerar uppgifterna som lämnats" eller liknande abstrakta intyganden.
Inte så lätt att "utbilda" användarna i ett säkert beteende när verkligheten ser ut som den gör.
Fairlane
Medlem
· Stockholms Län
· 17 919 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 919 inlägg
Jag ser inte något vettigt alternativ?mexitegel skrev:
Det gör det, men det är synnerligen beklagligt att bankerna tillåter användarna att utföra sina digitala bankärenden i en okontrollerad miljö där bedragare kan få personer att installera fjärrstyrningsprogramvaror. Tillåter bankerna random personer att installera kameror i banklokalerna också? Knappast....
Om miljön ska vara kontrollerad av banken så måste jag antingen ta mig till bankkontor varje gång jag vill göra ett bankärenden, eller så måste banken kontrollera mina enheter (dator, surfplatta, telefon etc), eller så får banken ge ut en egen enhet som de låser ner stenhårt, ser till att uppdatera etc. Inget av de alternativen lockar mig.
T.ex. en HSM som BankID på kort. Nu behöver det ju inte nödvändigtvis vara banken som ger ut enheten, men tyvärr finns det inte direkt några aktörer på marknaden som är intresserade av öppna lösningar, eftersom incitamentet att låsa kunden till sin egen lösning är stort.Fairlane skrev:
Fairlane
Medlem
· Stockholms Län
· 17 919 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 919 inlägg
På vilket sätt hjälper en HSM i detta fall?C cpalm skrev:
Om jag med min okontrollerade dator ber HSMen att signera en betalning så kvarstår ju problemet med fjärrprogramvara och framförallt alla rena bedrägerier där man lurar folk att signera saker de inte borde?
Håller med, det är personrelaterat och beroende av många flera faktorer, där BankID bara är en del att hantera sitt personliga behov i olika situationer. Inget som BankID tekniskt kan hantera. Om någon vill fördjupa sig så sök upp begreppet "god man" vad det innebär i olika former (inte att misstolka som förvaltare som är något annat)Nissens skrev:
Vad man skulle kunna införa är personliga valbara begränsningar. Tex dubbla signeringar med tid mellan för vissa saker. De behöver då införas automatiskt med ett aktivt beslut av personen att inte ha skyddet. Även möjlighet till att man kräver signering av ytterligare en person skulle kunna vara en variant.
Men allt sådant gör det ju också bökigare.
Min mor råkade ut för någon som utgav sig för att vara hennes barn. Hon SMSade med bedragaren en hel dag innan hon avslöjade att hon genomskådat bluffen. Då hade hon även fått ett kontonummer att föra över pengar till. Så hon kontaktade banken så att de skulle kunna ha koll på transaktioner till kontot.
Men allt sådant gör det ju också bökigare.
Min mor råkade ut för någon som utgav sig för att vara hennes barn. Hon SMSade med bedragaren en hel dag innan hon avslöjade att hon genomskådat bluffen. Då hade hon även fått ett kontonummer att föra över pengar till. Så hon kontaktade banken så att de skulle kunna ha koll på transaktioner till kontot.
Det måste så klart vara en HSM som inte tillåter "fjärrsignering" från datorn eller annan osäker enhet. För BankID på kort eller andra smarta kort en kortläsare med pin pad. T.ex. Gemalto BankID-dosorna som Handelsbanken och Nordea har använt.Fairlane skrev:
Fairlane
Medlem
· Stockholms Län
· 17 919 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 919 inlägg
Ok, då är jag med på vad du menar. Det skulle dock göra livet lite jobbigare eftersom man sållar bort mobilt BankID och bara kör BankID på kort (eller motsvarande). Ska jag göra ett ärende på stan så får jag plocka upp min laptop, ansluta kortläsare och sladd och lösa det. Jag tror inte folk vill det för att exempelvis använda Swish eller logga in på Försäkringskassan och ansöka om VAB.C cpalm skrev:
Medlem
· Stockholm
· 2 268 inlägg
BankID är lysande men används ibland av folk som borde veta bättre på sätt som ser ut som bedrägeri.
Exempel1: bankA ringer upp (utan att jag initierat kontakten först) och ber mig identifiera mig med bankID
Exempel2: bankB ber mig sätta upp ett kopplat bankkonto till bankA (mha tink). Under processen får jag en förfrågan i bankID-appen om att legitimera mig mot bankA.
Exempel1: bankA ringer upp (utan att jag initierat kontakten först) och ber mig identifiera mig med bankID
Exempel2: bankB ber mig sätta upp ett kopplat bankkonto till bankA (mha tink). Under processen får jag en förfrågan i bankID-appen om att legitimera mig mot bankA.
Jag har tejpat över referensnumret på mitt KK.MathiasS skrev:
Det kontrollnumret på ditt körkort är alldeles för tillgängligt för andra än du själv, inte ok under några omständigheter. Att vi inte har fler bedrägerier med detta runt ägarbyten för bilar är ett under. Alldeles för få förstår att detta refnr behöver hållas hemligt. Du förväntas visa upp och/eller lämna ifrån dig ditt körkort på för många ställen idag.
Brukar också ifrågasätta varför jag ska lämna över körkortet till någon, de får kolla på det då jag är med.
Ja, så är det ju. Svårt att äta kakan och ha den kvar, även om det gjorts olika försök till mobila lösningar.Fairlane skrev:
Antingen genom en extern enhet som paras ihop med mobilen eller säkra funktioner i själva mobilen.
mexitegel skrev:
Det gör det, men det är synnerligen beklagligt att bankerna tillåter användarna att utföra sina digitala bankärenden i en okontrollerad miljö där bedragare kan få personer att installera fjärrstyrningsprogramvaror. Tillåter bankerna random personer att installera kameror i banklokalerna också? Knappast....
PSD2 ska inte ha något med 3DS, så jag har svårt att se att det ska påverka.C cpalm skrev:Visst är det så. Likväl vanligt förekommande. För att trassla till det så tror jag det i detta fall är så att PSD2-direktivet som ligger bakom detta inte kräver att transaktionen signeras, utan endast att kortinnehavaren är identifierad.
Hur som helst, det var bara ett exempel på i realiteten förekommande flöden där du interagerar med en part men blir ombedd att identifiera dig mot en annan. Ett annat exempel på vårdslös användning är Skatteverket med sina signeringar där du blir ombedd att signera texten "Jag signerar uppgifterna som lämnats" eller liknande abstrakta intyganden.
Inte så lätt att "utbilda" användarna i ett säkert beteende när verkligheten ser ut som den gör.
PSD2 är givetvis inblandat om man väljer att göra en direktbetalning från konto, men då är ju 3DS inte med i leken.
"Tejpa på kort..." Och då är vi inne på Mobil plånbok som är ett komplement så man slipper hantera kort, oftast bara "blippa" mobilen då jag identifierat mig i appen och där jag använder fingeravtryck. Så med BankID och även dess ID-kort, Swish, Mobil plånbok hanterar jag det mesta idag. För registrering av medlemskap vid köp i affär har jag QR-kod från körkort på bild i mobilen, den ger mitt personnummer.
Men så är man lat pensionär.😉
Men så är man lat pensionär.😉