Det har kommit en massa intressanta svar, de flesta inriktade på tekniken.
Men det har inte dykt upp en enda som drabbats själv och hur det i så fall gick till.
Är det någon där ute som drabbats själv eller någon nära anhörig?
Men det har inte dykt upp en enda som drabbats själv och hur det i så fall gick till.
Är det någon där ute som drabbats själv eller någon nära anhörig?
Men hur fungerar det? För jag kan verkligen inte förstå hur det fungerar? För du har ännu inte förklarat hur det fungerar rent praktiskt. Eftersom det är ett ganska rejält påstående du kommer med för du gärna blanda in nån källa...DMOL skrev:
Jag är övertygad om att tekniken är tillräckligt säker, därför tror jag inte att någon drabbats. Det ändå är då om någon lyckats skaffa ett ID kort i ditt namn... Eller om någon helt enkelt ringer upp en....roland53 skrev:
Alltså det finns vad jag vet ingen som har lyckats hacka ett bank id.
(naturligtvis, ingenting är helt omöjligt, men det är tillräckligt svårt samt för osäker utdelning för att någon skall ge sig på det hela. Så sov lugnt! Det gör jag...
Han har väl förklarat hur det fungerar? Men, jag kan göra ett försök att repetera hur jag tolkat det:Odjuret skrev:
Bedragaren har ditt personnummer. Då och då, på tidpunkter då det är många som loggar in på sin bank, exempelvis på kvällen den 25:e och 27:e, kör bedragaren ett script som försöker logga in på banken med hjälp av mobilt bank-id. Bedragaren har inte tillgång till ditt bank-id, men hoppas att du någon gång själv ska logga in på banken under kvällen, och då startar bank-id-appen, där en autenticerings-request som bedragaren initierat väntar. Du knappar in din kod (eftersom du ju själv tryckt på att logga in) och bedragaren är inne.
Det betyder ju dock inte att bedragaren faktiskt kan få ut pengar dock.
Som du förstår är det ingen som kommer gå in på detaljer.Odjuret skrev:
https://secure.pensionsmyndigheten....d10180b/1478858435208/FHB000788-02+Falcon.pdf
Jag kan gå in på detaljerna för det som hände pensionsmyndigheten. Det är bara att googla så framkommer hur man tillväga.
Skummisen ringde en person och sa att man var schyst och bad folk att bekräfta sin identitet med mobilt bankId. Personen knappade in sin pinkod och så var skummisen inne på pensionsmyndigheten och bytte fonder. Pensionsmyndigheten krävde ingen signering så i och med att man släppt in skummisen så märkte man inte av fondbytet. Knappast ett hackat bankId...
Skummisen ringde en person och sa att man var schyst och bad folk att bekräfta sin identitet med mobilt bankId. Personen knappade in sin pinkod och så var skummisen inne på pensionsmyndigheten och bytte fonder. Pensionsmyndigheten krävde ingen signering så i och med att man släppt in skummisen så märkte man inte av fondbytet. Knappast ett hackat bankId...
Nej, men det är inte heller frågan om det. Det finns inget sätt att verifiera att det är rätt "ägare" till personnumret som faktiskt loggas in med Mobilt BankID. Nu får man en varning om två inloggningsförsök sker samtidigt så ägaren blir varse om vad som händer. Det räcker med att någon annan hinner ta sig in, innan du gör det.Fairlane skrev:
Då är det inte den delen du länkade till från pensionsmyndigheten.
Där var det som jag beskrev.
När man loggar in står det var man loggar in. När man signerar står det vad man signerar. Läser man inte så är det svårt att skydda sig, men det gör inte att tekniken är fel.
Sen skulle man kunna ha en form av challenge-response där olika aktörer hade olika challenge. Det skulle vara bättre, men mobilt bankid är fortfarande att klassificera som säkert, även om det finns små hål, men den produkt som saknar det har jag ännu inte sett.
Ett större problem är om någon lyckats knäcka RSA-algoritmen. Det skulle ge enorma problem. Om det har hänt lär det isåfall vara av en militär organisation eller liknande och de ser nog större värde i att behålla hemligheten själva.
Där var det som jag beskrev.
När man loggar in står det var man loggar in. När man signerar står det vad man signerar. Läser man inte så är det svårt att skydda sig, men det gör inte att tekniken är fel.
Sen skulle man kunna ha en form av challenge-response där olika aktörer hade olika challenge. Det skulle vara bättre, men mobilt bankid är fortfarande att klassificera som säkert, även om det finns små hål, men den produkt som saknar det har jag ännu inte sett.
Ett större problem är om någon lyckats knäcka RSA-algoritmen. Det skulle ge enorma problem. Om det har hänt lär det isåfall vara av en militär organisation eller liknande och de ser nog större värde i att behålla hemligheten själva.
Det framgår i brevet, två parallella inloggningar.
När du skriver in din kod står det inte, godkänn IP-adress vid X tidpunkt, från enhet Y.
Hur avgör du vilken session du godkänner?
När du skriver in din kod står det inte, godkänn IP-adress vid X tidpunkt, från enhet Y.
Hur avgör du vilken session du godkänner?
Förekommer detta överhuvudtaget? Det låter som att det är lika stor risk att man vinner högsta vinsten på lotto...ordain skrev:
Tror att det är bättre att spela på lotto...
konstig länk....DMOL skrev:
Där stod ingenting egentligen... Du måste länkat fel
Jag kan iofs. tänka mig situationer där ngn. kan lura dig att logga in på banken vid just detta "rätta" tillfälle. Ex. att du har på gång att göra ett kanonköp på blocket, har säljaren i telefon, som uppmanar dig att betala just precis nu, så skall du få de där brittney spearsbiljetterna per mail direkt. och i ett sådant läge kanske bedragaren faktiskt kan få dig att göra även en andra "inloggning" där du bekräftar en större betalning i tron att du håller på att logga in.Odjuret skrev:
Jo, den biten när någon luras. Men inte på något annat sätt än att ringa upp å säga hej!hempularen skrev:
(Tur att jag inte gillar Britney Spears
så slipper jag bli lurad )Ja, konstigt att de inte gick ut med en guide där det uttryckligen står hur man enklast uttnyttjar sårbarheter i plattformen, allt för att tillfredställa din nyfikenhet.Odjuret skrev:
