135 964 läst ·
3 524 svar
136k läst
3,5k svar
Bank-ID till allt möjligt - ogillar!
Tja, det beror ju lite på hur motparten får tillgång till systemet. Om de redan har blivit validerade med tillräcklig tillitsnivå så kan man ju anse att det räcker.C cpalm skrev:Signerade ett hyresavtal elektroniskt härom året. Jag var så klart tvungen att signera först. Med BankID. Sen när motparten signerade visade det sig att de bara behövde signera med en knapp i signeringstjänsten. Så ingen verifierbar digital signatur utan bara en text i dokumentet där det står att X signerat det, datum och tidpunkt. Inte särskilt seriöst...
Du som eventuellt inte var användare i systemet tidigare behöver ju dock valideras innan du "får" signera avtalet.
Så en viss logik kan det funnits.
(Men minst lika troligt att det inte finns ett spår av logik...)
Fast en identifiering av användaren, oavsett metod, är ingen elektronisk signatur som kryptografiskt knyter användarens identitet, tidpunkt, viljeyttring, m.m. till en viss version av dokumentet.Dowser4711 skrev:
Dvs. det kan knappast anses vara en signering i vare sig i teknisk, juridisk eller allmän bemärkelse.
Mja, det du säger är helt korrekt, men utan att veta hur systemet är byggt, hur det säkerställs att samma användare som loggade in också utförde signeringen, hur den användarens dialog såg ut och vad som loggades i samband med det kan vi inte svara på om det är en fullgod signering eller ej.C cpalm skrev:
Fairlane
Medlem
· Stockholms Län
· 17 923 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 923 inlägg
Å andra sidan är det inte så stor skillnad mellan nivå 3 och 4. Rent teknisk klarar nog BankID allt för nivå 4. Skillnaden ligger framförallt i hur man får legitimationen. Skulle BankID kräva att man personligen hämtade ut sitt BankID på banken, mot uppvisande av legitimation så är man förmodligen uppe på högsta nivån. Man har valt att lägga sig på nivån att man går en gång och legitimerar sig och sen kan hämta ut nytt BankID med hjälp av det gamla, utan att besöka banken. Förmodligen vettigt för de flesta när folk vill ha mobilt BankID på flera enheter och byter enhet relativt ofta.P paralun skrev:
De bedrägerier som folk råkar ut för nu påverkas ju inte ett dugg av detta, så jag är inte så stressade över att BankID inte uppfyller högsta tillitsnivån.
Dels behöver man hämta ut den med legitimation personligt, dels var femte år för att uppnå LOA4.Fairlane skrev:
Å andra sidan är det inte så stor skillnad mellan nivå 3 och 4. Rent teknisk klarar nog BankID allt för nivå 4. Skillnaden ligger framförallt i hur man får legitimationen. Skulle BankID kräva att man personligen hämtade ut sitt BankID på banken, mot uppvisande av legitimation så är man förmodligen uppe på högsta nivån. Man har valt att lägga sig på nivån att man går en gång och legitimerar sig och sen kan hämta ut nytt BankID med hjälp av det gamla, utan att besöka banken. Förmodligen vettigt för de flesta när folk vill ha mobilt BankID på flera enheter och byter enhet relativt ofta.
De bedrägerier som folk råkar ut för nu påverkas ju inte ett dugg av detta, så jag är inte så stressade över att BankID inte uppfyller högsta tillitsnivån.
Sedan är jag lite tveksam till om verkligen lagringen av nyckeln på mobilen uppfyller det högre kravet i LOA4, men jag är inte mobil-utvecklare, så det låter jag vara osagt.
Fairlane
Medlem
· Stockholms Län
· 17 923 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 923 inlägg
BankID hämtar man också ut personligt med legitimation första gången. Det som skiljer är att man inte behöver göra det efter det, men det är en policyfråga inte en teknikfråga, så säkerheten rent tekniskt kan man mycket väl tänkas ha uppnått. Sen kan jag väl också känna att säkerheten med BankID på kort bör vara högre än mobilt BankID. Trots det och trots att jag är säkerhetsmedveten så väljer jag ändå mobilt BankID för det mesta då jag bedömmer säkerheten som tillräcklig, det är inte den svagaste länken.Dowser4711 skrev:
För mig skulle vinsten med Diggs variant (när den nu kommer) vara att den godkänd av andra länder.
Nej.Fairlane skrev:
BankID hämtar man också ut personligt med legitimation första gången. Det som skiljer är att man inte behöver göra det efter det, men det är en policyfråga inte en teknikfråga, så säkerheten rent tekniskt kan man mycket väl tänkas ha uppnått. Sen kan jag väl också känna att säkerheten med BankID på kort bör vara högre än mobilt BankID. Trots det och trots att jag är säkerhetsmedveten så väljer jag ändå mobilt BankID för det mesta då jag bedömmer säkerheten som tillräcklig, det är inte den svagaste länken.
För mig skulle vinsten med Diggs variant (när den nu kommer) vara att den godkänd av andra länder.
Du behöver inte hämta ut det fysiskt första gången. Du kan använda dig av en bank-dosa, som du har hämtat ut fysiskt.
Det är en ID-växling som egentligen bara uppfyller kravet för tillitsnivå 2, men det finns ett undantag just för att utfärda dem på distans med ett likvärdigt sätt som kraven för Bank-ID.
Det undantaget finns *inte* för tillitsnivå 4, så det kräver att handlingen utfärdas vid ett fysiskt besök, vilket innebär att Bank-ID inte kan användas för det förrän samtliga utfärdare har ändrat sina processer och alla gamla Bank-ID'n är ogiltiga.
Jag misstänker att processen för att utfärda en statlig e-legitimation kommer att gå snabbare...
(Gaag, skrev LOA3/4 förut, det är ju tillitsnivå 3/4 jag menar)
Nu är det nog mycket viktigt att hålla isär hur man skaffar ett pass/idkort via polisen och hur man får till säkerheten med bankid på högsta möjliga säkerhetsnivå. Jag ser det mer principiellt att staten ansvarar även för bankid men då helt skiljt från pass/idkort. Det är ju en "ond värld" vi lever i.Fairlane skrev:
Å andra sidan är det inte så stor skillnad mellan nivå 3 och 4. Rent teknisk klarar nog BankID allt för nivå 4. Skillnaden ligger framförallt i hur man får legitimationen. Skulle BankID kräva att man personligen hämtade ut sitt BankID på banken, mot uppvisande av legitimation så är man förmodligen uppe på högsta nivån. Man har valt att lägga sig på nivån att man går en gång och legitimerar sig och sen kan hämta ut nytt BankID med hjälp av det gamla, utan att besöka banken. Förmodligen vettigt för de flesta när folk vill ha mobilt BankID på flera enheter och byter enhet relativt ofta.
De bedrägerier som folk råkar ut för nu påverkas ju inte ett dugg av detta, så jag är inte så stressade över att BankID inte uppfyller högsta tillitsnivån.
Hur menar du med helt skiljt från pass/idkort?P paralun skrev:Nu är det nog mycket viktigt att hålla isär hur man skaffar ett pass/idkort via polisen och hur man får till säkerheten med bankid på högsta möjliga säkerhetsnivå. Jag ser det mer principiellt att staten ansvarar även för bankid men då helt skiljt från pass/idkort. Det är ju en "ond värld" vi lever i.
Menar du att det ska vara en tredje ID-handling som man kan hämta ut via passexpeditionen eller att det ska vara en helt fristående process?
Fairlane
Medlem
· Stockholms Län
· 17 923 inlägg
Fairlane
Medlem
- Stockholms Län
- 17 923 inlägg
Ah, ok. Jag har Handelsbanken och där hämtar man ut en BankID på kort, med medföljande dosa med legitimation på banken, eller åtminstone gjorde man det förr.Dowser4711 skrev:
Nej.
Du behöver inte hämta ut det fysiskt första gången. Du kan använda dig av en bank-dosa, som du har hämtat ut fysiskt.
Det är en ID-växling som egentligen bara uppfyller kravet för tillitsnivå 2, men det finns ett undantag just för att utfärda dem på distans med ett likvärdigt sätt som kraven för Bank-ID.
Det undantaget finns *inte* för tillitsnivå 4, så det kräver att handlingen utfärdas vid ett fysiskt besök, vilket innebär att Bank-ID inte kan användas för det förrän samtliga utfärdare har ändrat sina processer och alla gamla Bank-ID'n är ogiltiga.
Jag misstänker att processen för att utfärda en statlig e-legitimation kommer att gå snabbare...
(Gaag, skrev LOA3/4 förut, det är ju tillitsnivå 3/4 jag menar)
Jag är med på poängen med LOA, men i ärlighetens namn så är det ju inte så att vi ser problem rent praktiskt med den delen. Rent praktiskt är ju problemet att folk signerar saker för att den snälla personen som ringde från "banken" sa att det skulle göra det för att stoppa misstänkta överföringar. Om folk tror att de måste signera att banken stoppar misstänkta överföringar så kommer det inte hjälpa med ett statligt digitalt ID.
Kanske överdrivet.Alfredo skrev:
Och jag är inte rädd att någon ska stjäla min bil (för det behövs ju även gula lappen för), utan mer rädd att jag plötsligt ska stå som ägare till någon jäkla knarkarbil som drar felparkeringsböter dagligen.
Jag vet inte om koden kan användas till något annat, det finns inget annat jag vet i alla fall.