BankID - Varför finns det sådant extremt förtroende på en tjänst?

Nu har jag inte koll på om det är något speciellt med just koden i bankID, men sätter det fungerar på är ju ganska smart i säkerhetssynpunkt.

Du måste ju godkänna vilken telefon/enhet ditt bankID är kopplat till. För att göra det behöver du ju dessutom dosa/bankID redan aktiverat på en annan enhet. (Jag har inte en aning om detta är något som går att "hacka", men det är ju smart i alla fall.)

Inte för att förvara (Mobilt) BankID, då jag inte gillar det alls av ungefär samma skäl.

Men i och med att det krävs två steg för att kunna logga in någonstans med (Mobilt) BankID, så är det säkrare än att bara logga in med te.x lösenord.

Det är ett tveeggat svärd att använda en tjänst. Å ena sidan så kan hackarna koncentrera sig på att hacka en tjänst istället för varje websida med inloggning. Å andra sidan så är det mycket lättare att få bra säkerhet när man enas runt en tjänst istället för att varje sida ska hålla i sin egen säkerhet.

Det räcker med en enkel kod eftersom det är 2FA (Two Factor Authentication). Så det är inte PIN-koden i sig som skyddar dig, utan kombinationen av BankID:t (eller egentligen den privata nyckeln som lagras i det) och pin-kod. Det är ungefär samma princip som med ditt bankkort. Du har troligen en 4- eller 6-siffrig kod till ditt kort som är lätt att komma ihåg, men en bedragare har ingen glädje av din PIN-kod om personen inte får tillgång till ditt fysiska bankkort också (eller har installerat utrustning i t.ex. en betalterminal för att läsa av det). Så PIN-koden är bara till för att skydda om någon får fysisk tillgång till din mobil (och då ska du såklart spärra BankID:t på den så fort som möjligt ändå).

Sedan går såklart allt att hacka, och BankID blir ju ett attraktivt mål eftersom det är såpass utbrett. Men hittills har jag bara hört talas om phishing/social engineering attacker, inga fall där man lyckats hitta någon faktisk teknisk sårbarhet att utnyttja.