135 967 läst ·
3 524 svar
136k läst
3,5k svar
Bank-ID till allt möjligt - ogillar!
Jag har kört med bankID ganska länge (dock var jag ändå rätt sent på bollen, så väldigt många har använt bankID bra mycket längre än mig).Nissens skrev:
Jag minns att för flera år sedan så kunde man initiera en bankID-identitetskontroll på typ valfri internetanslutet device, och sen starta själva bankID på ett annat device, för att godkänna där.
Detta borde ju kunna varit en angreppsvektor, och så har jag förstått det.
Men om det endast är QR-koder som är tillåtna idag, så borde den angreppsvektorn vara borta idag, qr-koden binder ju en till samma "plats" för både initieringen och identifieringen.
Men ärligt talat så har jag inte helt koll på allt som gäller bankID särskilt inte dess evolution, men idag verkar det aldrig bli något annat än qr-kod.
Det är precis orsaken till att man infört "Bank-ID säker start".Mikael_L skrev:
Jag har kört med bankID ganska länge (dock var jag ändå rätt sent på bollen, så väldigt många har använt bankID bra mycket längre än mig).
Jag minns att för flera år sedan så kunde man initiera en bankID-identitetskontroll på typ valfri internetanslutet device, och sen starta själva bankID på ett annat device, för att godkänna där.
Detta borde ju kunna varit en angreppsvektor, och så har jag förstått det.
Men om det endast är QR-koder som är tillåtna idag, så borde den angreppsvektorn vara borta idag, qr-koden binder ju en till samma "plats" för både initieringen och identifieringen.
Men ärligt talat så har jag inte helt koll på allt som gäller bankID särskilt inte dess evolution, men idag verkar det aldrig bli något annat än qr-kod.
Än så länge kvarstår dock ett kryphål, då de inte hittat någon lösning för motsvarande funktion när man sitter i telefon eller liknande.
Möjligheten att använda BankID:t på en separat enhet var en "finess" som kom med mobilt BankID när aktiveringen flyttade upp i molnet. Innan det var enda alternativet "BankID på denna enhet" eller autostart som de kallar det.Mikael_L skrev:
En j-vligt korkad finess ur säkerhetssynvinkel, nu skall det vara QR-kod som gäller för start på separat enhet, men många tjänster saknar fortfarande QR-koden och tillåter fortfarande start på annan enhet med bara personnummer. Irriterande nog är det nu också en del sidor som bara har QR-kod, dvs. saknar autostart, vilket gör BankID på datorn oanvändbart.
BirgitS
Medlem
· Stockholms län
· 48 243 inlägg
BirgitS
Medlem
- Stockholms län
- 48 243 inlägg
Siffrorna för 2020, 2021, 2022 och jan-aug 2023 kommer från Nationellt bedrägericentrum, Nationella operativa avdelningen, Noa och Polisen. Är de tillräckligt seriösa för dig?Bananskalare skrev:
Men det viktiga med mitt inlägg var att bedragarna ofta förbereder sig och samlar information i stället för att chansa eftersom det lönar sig.
Allvetare
· Tullinge
· 6 040 inlägg
Du hänvisade hänvisade inte till dessa.BirgitS skrev:
Siffrorna för 2020, 2021, 2022 och jan-aug 2023 kommer från Nationellt bedrägericentrum, Nationella operativa avdelningen, Noa och Polisen. Är de tillräckligt seriösa för dig?
Men det viktiga med mitt inlägg var att bedragarna ofta förbereder sig och samlar information i stället för att chansa eftersom det lönar sig.
Men oavsett det handlar om att folk blir lurade
Allvetare
· Tullinge
· 6 040 inlägg
Men den här riktigt korkade grejen, med inloggning på separat enhet har det funnits någon säkerhetsbrist? Mer än människan?C cpalm skrev:Möjligheten att använda BankID:t på en separat enhet var en "finess" som kom med mobilt BankID när aktiveringen flyttade upp i molnet. Innan det var enda alternativet "BankID på denna enhet" eller autostart som de kallar det.
En j-vligt korkad finess ur säkerhetssynvinkel, nu skall det vara QR-kod som gäller för start på separat enhet, men många tjänster saknar fortfarande QR-koden och tillåter fortfarande start på annan enhet med bara personnummer. Irriterande nog är det nu också en del sidor som bara har QR-kod, dvs. saknar autostart, vilket gör BankID på datorn oanvändbart.
Självbyggare
· Stockholm
· 8 594 inlägg
Inloggning på separat enhet är egentligen inte osäkrare på det sättet: Det är fortfarande MFA: Man behöver enheten + koden. Sen har det en del andra för- och nackdelar: Tex märker de flesta om man tappar mobilen: Vilket gör att man kan byta certifikatet. Om man loggar in fjärrmässigt så kan ju ngn annan på något sätt (teoretiskt) ha kommit åt ett certifikat och logga in utan att du vet det. Men då behöver dom också koden.Bananskalare skrev:
Å andra sidan: På samma enhet finns risken att man sparar ned koden på något sätt, eller att någon hackar så den sparas: Och då behöver man bara komma åt enheten så har man allting. Det finns olika risker.
De aktuella problemen ligger ju i att en människa instrueras att göra vissa saker, dvs man "hackar människan", då spelar det mindre roll om du loggar in på banken på dator eller via mobil. Då är det inte tekniska skydd i BankId som är problemet utan hur vi utför banktjänster och hur lätt vi kan manipuleras att göra detta åt bedragare.
Nu kommer bankerna skärpa säkerheten för att minska riskerna (även om dom aldrig blir noll)
https://www.swedishbankers.se/om-oss/press/pressmeddelanden/bankerna-staerker-kundskyddet-mot-bedraegerier-ytterligare/#:~:text=Bankerna ska till exempel kunna,kunna stoppa bedrägerier och penningmålvakter.
Problemet då är förstås att vissa vanliga kunder kan bli klämda och få en mindre smidig hantering av sin vardagsekonomi. Men samhället vill ju se krafttag, så då får vi acceptera detta...
Självbyggare
· Stockholm
· 8 594 inlägg
Allvetare
· Tullinge
· 6 040 inlägg
Det är inget fel säkerhets mässigt med bank id (vad jag vet) Utan alla problem handlar om att man blivit lurade. Det går inte att göra det hur säkert som helst. Det måste fortfarande gå att använda. Men skulle kunna ha att man bara kan betala swisch till tel nr som finns i tfn boken. Vill man swisha någon annan måste man logga in och ändra. Då hinner man tänka till. Sen kan standard vara att man kan skicka totalt 1000:- per dag. Sedan måste man ändra. Beloppet du riskerar att förlora blir på sätt ganska lågt.
Om du måste börja ändra behörigheter tar det längre tid. chansen finns att man omedvetet börjar tänka.
Swish är nog det enklaste att minska att någon blir lurad.
Bank id krävs egentligen två steg på banken
Inloggning på banken och signera uttaget.
Egentligen skulle man kunna logga in em gång till för att kunna föra över pengar. Därefter signera. Det vore bra om man kunde se vem man för över till.
Tid kan ha sina fördelar, det gör att folk kanske börjar tänka
Det som gör det så svårt att hindra dessa lurendrejerier är att människan är inblandad.
systemet är säkert men det största säkerhetshålet är människan.
Det vore bra att lom ut mer olika sätt som man kan bli lurad på. Framförallt att det ska vara lätt att ta del av. Egentligen är det onödigt med en lista eftersom alla kan förekomma
Nu tänker jag vara riktigt brutal.
På något sätt kan jag tycka att man får skylla sig själv. Det är ingenting nytt det.här.
Om du måste börja ändra behörigheter tar det längre tid. chansen finns att man omedvetet börjar tänka.
Swish är nog det enklaste att minska att någon blir lurad.
Bank id krävs egentligen två steg på banken
Inloggning på banken och signera uttaget.
Egentligen skulle man kunna logga in em gång till för att kunna föra över pengar. Därefter signera. Det vore bra om man kunde se vem man för över till.
Tid kan ha sina fördelar, det gör att folk kanske börjar tänka
Det som gör det så svårt att hindra dessa lurendrejerier är att människan är inblandad.
systemet är säkert men det största säkerhetshålet är människan.
Det vore bra att lom ut mer olika sätt som man kan bli lurad på. Framförallt att det ska vara lätt att ta del av. Egentligen är det onödigt med en lista eftersom alla kan förekomma
Nu tänker jag vara riktigt brutal.
På något sätt kan jag tycka att man får skylla sig själv. Det är ingenting nytt det.här.
Det jag menade med korkat är att ett sådant system så uppenbart inbjuder till den typ av bedrägerier vi nu sett under en längre tid. Man måste antingen inte insett detta, eller gjort bedömningen att det är en acceptabel kompromiss. Märkligt tycker jag.Bananskalare skrev:
Sen är det ju också sårbarhetsaspekten när aktiveringen är beroende av en central molntjänst.
Allvetare
· Tullinge
· 6 040 inlägg
Jag tycker man borde skilja på vad sårbarheten beror på. Är det människan eller är det datorn.Rädd behöver mam bara bli för ett fel som en datahacker har hittatC cpalm skrev:Det jag menade med korkat är att ett sådant system så uppenbart inbjuder till den typ av bedrägerier vi nu sett under en längre tid. Man måste antingen inte insett detta, eller gjort bedömningen att det är en acceptabel kompromiss. Märkligt tycker jag.
Sen är det ju också sårbarhetsaspekten när aktiveringen är beroende av en central molntjänst.
De som har det fungerar ju inte sedan den 1/5:e då Säker Start blev obligatorisk.C cpalm skrev:
Pratade senast idag med en kollega på ett annat företag och jämförde våra övergångar till Säker Start.
De hade däremot råkat glömma bort ett av sina äldre system som strax ska gå end of life, det slutade mycket riktigt att fungera och de fick rätt mycket att göra...
Allvetare
· Tullinge
· 6 040 inlägg
Å andra sidan är inte väldigt mycket i molnet? Är det inte ganska mycket vi är beroende av molnet? Kanske just när vi behöver säkerhet. Bank id har allting i molnet vi har bara en personlig fil. på det stora säkerheten ligger i att det krävs en hårdvara för att kunna kunna logga in. Din telefon är hårdvaran.tillsammans med den bank id fil som du har på telefonen. Jag har svårt att se att det skulle vara så mycket osäkrare för att man inte har bank id. Swish är det via bank id. Internetbanken om något är beroende på molnet. För att inte tala om många kassasystem som är direkt beroende på molnet för att fungera.C cpalm skrev:
Back upen kan vara placerad i molnet
Perfekt placering som privatperson. Jag tycker att det borde vara liknande även när det gäller företag men där vet jag inte
Men molnen finns där uppe... Och de kommet att stanna.
