Klara sig utan Bank-ID

Man blir ID-kapad på BankID om man är en idiot. Samma personer som donerar pengar till en prins i Nigeria. Tänker man med huvudet och inte är blåögd finns det ingen anledning till att inte ha BankID. Kortdosor är 90-talet. Välkommen in till framtiden min vän!

Kanske ska hålla dig till fysiska butiker då...

Känns som att det står väldigt mycket om det på nyheterna men oftast är det väl Agda, 97 år gammal som blivit lurad av hembiträdet. Själv förstår jag inte riktigt att människor skaffar saker som de inte kan hantera.

Efter att ha byggt olika tjänster för BankID i flera års tid så vet jag att en stor del av de som blir lurade är folk som själv är övertygade att dom aldrig kommer bli lurade eftersom dom är så mycket smartare än alla andra.

Vad jag känner till har BankID aldrig blivit knäckt, det är snarare dess användare som blivit lurade. Och det i sig har ju folk blivit i tusentals år, så det är nog inte BankID som är problemet här. QR koder är på gång nu för att lösa problemet med när bedragare och offer befinner sig på olika ställen, rekommenderar att alla använder det så mycket som möjligt istället för det gamla sättet. Finns dock inte på så många ställen ännu men lär komma nu på bred front.

Nej. det gör de inte. Åtminstone har de inte krävt det av mig.

?? Klart bankid på fil finns, använder det själv hemma vid min stationära maskin.

Hmm....vad gör man på Fistclass?

Som @Findecanor är det nog inte lätt för oss glada amatörer att ta reda på det eftersom Bank-Id är ostandardiserad skit.

Min oinformerade uppfattning är att de som blir blåsta i stort sätt alltid har mobilt Bank-Id. Som sagts av andra i tråden tror jag inte heller det är vanligt att man rent tekniskt knäcker mobilt Bank-Id, men det verkar ändå vara tusentals människor som blir blåsta den vägen.

När man loggar in via dator kommer man själv få fortsätta sessionen där man loggar in, men om man loggar in på en annan enhet (mobil) kan den som fortsätter sessionen likaväl vara någon helt annanstans. Jag tycker det är ett så allvarligt designfel att det är en tillräckligt stor anledning att bojkotta systemet helt, det är uppenbarligen ett gäng amatörer som har designat systemet och därmed är det troligt att det finns fler feltänk. Just det här problemet försöker man komma runt med QR-koder, men man gör inte QR-koderna obligatoriska (än i alla fall), vilket gör att dom inte gör ett dugg skillnad.

Man-in-the-middle-varianten (Telenor/Skatteverket) som länkades ovan skulle jag gärna se en lite mer noggrann analys på. Vad jag förstår finns det inget som hindrar att man tömmer ett bankkonto på samma sätt, men jag kan ha fel.

Hur som helst så finns ju även Bank-Id på hårt certifikat (dvs kort + dosa), vilket inte har nämnts i tråden än. Jag föredrar den varianten framför Bank-Id på mobil eller på fil eftersom det är noll chans att någon kör en keylogger på dosan och snappar upp PIN-koden till kortet (Bank-Id:t) den vägen. Man kan naturligtvis köra keyloggern på datorn i stället och snappa upp engångskoden (response i challenge/response), men det är i alla fall inte fullt så illa. Hur säker kort + dosa-med-sladd-varianten är vågar jag inte ha någon uppfattning om, den funkar hur som helst inte på Linux och då går den bort för mig.

@KAD: Ärligt talat så låter det som du mest blandar personliga åsikter och gissningar här

Mobilt BankID är en marknadsföringsterm, det är inget som hindrar att man kör webbläsaren på sin smartphone, går till inloggningen och sen istället startar sitt BankID via sin dator med BankID på t.ex. ett smartcard. Det vanligaste är dock tvärt om så klart, men det är ingen skillnad rent tekniskt.

Istället handlar det, som jag skrev ovan, ifall BankID är på samma enhet som webbläsaren (eller vad man nu kör för program för sessionen, brukar väl vara en webbläsare eller en app) eller på en annan enhet. Och i det senare fallet kan man få problem iom att det är "race condition" som gäller, dvs du tror du godkänner din egen inloggning/session men godkänner istället någon annan inloggning/session.

Det gäller att inte glömma bort att folk blev lurade även innan BankID fanns, och problemet är inte BankID i sig utan att folk fortfarande är lite för lättlurade och godtrogna. Och dessa lättlurade kan lika väl vara du och jag i fel situation och om bedragaren är skicklig nog, även om det så klart tyvärr är en överrepresentation bland gamla, sjuka och svaga.

Man ska nog snarare säga att det inte finns några kända fall där BankID blivit knäckt, många tvärsäkra uttalanden om säkerhet som visat sig felaktiga i efterhand

Sluta noja. Den lilla risk du har för att någon kommer kapa dig är ås minimalt liten att det inte är värt att skänka en take åt det ens. Fyll din vakna tid med något annat än att oroa dig.

Om det får dig att känna dig bättre så kolla vad du har för skydd mot ID-kapning eller så skaffar du ett skydd. Sen kan du inte göra mycket mer.

Lev livet och sluta noja.