Klara sig utan Bank-ID

Det man måste ha i åtanke är historiken kring BankID, eller snarare elegitimation, och hur svårt det faktiskt var att få det att fungera i början. Jag har själv suttit i telefon med gråtande kunder som inte kunnat ta ut sina pengar och liknande. Inte för att jag arbetade med kundtjänst utan för att ingen annan hade lyckats få det att fungera, inklusive kundtjänst och systemutvecklare hos utgivarna. I synnerhet Nordeas kortläsare med Alzheimers var en mardröm, fick tom bistå konkurrerande företag med hjälp hur man skulle få det att fungera (server side) då Nordeas egen IT avdelning/utvecklingsavdelning inte visste hur man skulle göra. Trots detta fanns det tillfällen där jag själv inte lyckades få det att fungera på min egen maskin, så mycket strul var det.

Mobilt BankID har gjort underverk för spridningen av BankID och mängden problem hos kunderna har minskat dramatiskt trots att användningen av BankID ökat lavinartat. Ja, det finns absolut saker som kunde gjorts bättre redan från början, men jag känner inte till någon produkt/tjänst som inte det gäller för. Problemet med BankID kanske snarare är det omvända, att det fungerat så pass bra att folk utgått ifrån att dom inte behöver tänka själva längre (eller av olika skäl inte kan göra det) och då blir man lätt ett byte för bedragare. Man bör även komma ihåg att många av dessa bedragare är jäkligt skickliga på det dom gör. Vågar lova att alla vi i denna tråd skulle kunna bli lurade om en nog slipad bedragare hade oss i siktet och förutsättningarna var dom "rätta".

I slutändan handlar det, som ofta, om enkelhet mot säkerhet. Dvs precis samma sak som för kreditkort, där man för länge sedan släppt kravet på att det fysiska kreditkortet ska finnas tillgängligt vid transaktionen, trots att man varit väl medveten om att bedrägeririsken därmed ökat.

Det finns ju människor som blivit lurade via sin bankdosa, har man brister i den kognitiva funktionen ska man nog varken ha dosa eller bank-id.
Tyvärr kräver ju vissa tjänster bank-id vilket kan ställa till det. Tex när svärfar hade fått nytt bankkort och behövde uppdatera detta på Hallon.

Är man lättlurad och vimsig så strunta i både dosor och bank-id. Ex om man brukar köpa dyra dammsugare eller brandsläckare via dörrförsäljare eller tackar ja till erbjudanden via telefonförsäljare för att sedan upptäcka att det var "för bra för att vara sant".

Visst är det så. Går väl visserligen att runda genom att skriva in ojämnt belopp med ören. Alltså 137 877,98 kr kommer täcka alla 8 fält i rutan på bankdosan (iaf på den jag har). Går alltså att få fram en siffra som inte ser ut som ett transaktionsbelopp utan är mer lik ett verifieringsnummer.
Eller beloppet 37 877,98 som ser ut som kommer bli 03787798 i rutan och det är inte helt säkert att man reagerar på det där.
Den indikationen har sina brister helt enkelt och där är mobilt bankID bra mycket tydligare för där står det att det är en transaktion som ska godkännas.
I en perfekt värld är alla informerade om systemtänket och brister i alla verifieringssystem. Flera i tråden har en del koll och det stärker skyddet för oss. Det är helt klart bra att ha den grundkollen!
Men ja, många är inte så insatta i brister/risker kring de olika alternativen. Tänkvärt är väl att ett helt gäng kunder gick i pension innan internet slog igenom exempelvis ;).

Fast nu är jag ju också mindre känslig för grupptryck inom säkerhetslösningar också. Till exempel har jag tejpat över fingeravtrycksläsaren med alutape eftersom jag läste drivrutinens källkod innan jag köpte telefonen. Ytterligare en sak som har fått mig att bli kallad paranoid, så vid detta laget är det mer av en bekräftelse på att grupptryck är ett verkligt problem.

Men tillbaka till ämnet; om någon ringer och säger att de är från banken, och att jag behöver logga in omedelbart, säger jag åt dem att dra åt skogen. Banken har redan tillgång till alla transaktioner enligt lag gentemot skatteverket och tekniska problem har de garanterat testkonton för.

Att ha en säkerhetsmodell centrerad omkring att vinna ett "race condition" är ett så katastrofalt principfel att jag ifrågasätter bankernas kompetens. Med ett lagom stort botnät och många slumpade försök på ett bra valt spann av personnummer är sannolikheten att du träffar en inloggning hos någon relativt hög. För en närmare förklaring på varför, se https://en.wikipedia.org/wiki/Birthday_attack#Understanding_t...

Skickades från m.sweclockers.com

Är lite småstressad och har månne slarvläst, men Handelsbanken kräver sedan några veckor att man skannar en QR-kod på den enheten som ska loggas in på (som PC när man använder mobilt bankid), finns en speciell knapp i BankID-appen man trycker på för skanningen (QR-kod först och sedan kod/fingeravtryck). Alltså kan man iaf med HB inte längre logga in på två olika ställen, måste vara samma fysiska plats.

Det rätta svaret är nej. Du kommer säkerligen kunna få några utvecklare att bråka om huruvida mobilt är säkrare än datorn pga. olika typer av angrepp (datorn kan tas över på fler sätt än mobilen etc), men i praktiken kan du vara säker på att bank-ID, oavsett mobilt eller på fil, är otroligt jävla säkert. 90% av alla fall där man blivit kapad handlar om att personen blivit lurad till att själv använda sitt ID. Resterande 10% handlar om bedragare som lyckats begära ut ett bank-ID i ditt namn, och det kan de göra oavsett om du själv har den eller inte vilket gör det fallet helt irrelevant till denna diskussion.

Nej, det finns egentligen ingen ytterligare dokumentation man får (som är relevant i detta sammanhang). Dock börjar det numera blir rätt vanligt att man inte går direkt mot BankID eller någon av storbankerna utan använder en tredjepartstjänst via API och isf tillkommer så klart en del dokumentation för det. Att själv snurra upp egen programvara för BankID, typ Nexus, är ett satans jobb, i synnerhet på Windows (var dock några år sedan jag gjorde just det momentet själv så det kan ha blivit bättre).

Här finns den tekniska beskrivningen av BankID för intresserade:

https://www.bankid.com/assets/bankid/rp/bankid-relying-party-...

(Storbankerna har rimligtvis tillgång även till intern dokumentation för BankID iom att dom gemensamt äger företaget som utvecklar och driver tjänsten, men det är inget som är tillgängligt för RPs och bra är väl det).

@MultiMan: Det är ett steg, de började visst 4 feb. Har pratats om det ett tag, men de verkar först ut. Det är väl däremot sårbart för MITM-attacker fortfarande, när du loggar in på telefonen/samma enhet så kommer det givetvis inte upp någon QR-kod heller. Så vitt jag vet krävs ingen QR-kod för att genomföra transaktioner heller.

Ja, alla dessa frihetskämpar på NSA som bara jobbar för världens bästa

Nja, det är inte riktigt sant men däremot måste man ha tillgång till "skärmbilden" som har QR koden vilket gör det väsentligt svårare för en bedragare på annat fysiskt ställe att komma över koden. Finns en anledning att det finns en timeout på 30 sekunder för genererade QR koder

Jag trodde det största problemet varit att någon ringt upp och fått den andre att identifiera sig med sin BankID samtidigt som uppringaren då loggat in. Det går alltså inte längre med HB eftersom QR-koden måste läsas av först på den datorn som ska få åtkomst till bankens tjänster.

Du måste godkänna en andra gång (då står det inte längre legitimering), annars kan du inte göra några överföringar till bedragarnas konton.

MITM, att du råkar komma in på en kapad sida på något sätt löser inte en QR-kod var mer det jag sa i svaret dock.

Handelsbanken vet inte var datorn du/bedragaren försöker logga in med befinner sig, de litar på QR-koden.

På vilket sätt är det inte sant? Med HB kräver iaf BankID-appen att platsidentifiering är aktiverad, annars tar det stopp redan där.

Integrerat med knappen för att väcka telefonen, trivialt att gissa när man ska låtsaskalibrera den för att få ut ett fingeravtryck.

Jo, personnummer behöver du gissa för att hitta någon som för tillfället försöker logga in med Mobilt BankID. Skydd mot brute force är inte effektiva mot botnät och en stor mängd användare eftersom det inte finns någon synlig koppling mellan de attackerande noderna. På liten skala är det en nod som gör några enstaka försök mot några enstaka personnummer, och med lite lurig logik kan du få det att se ut som typografiska fel (typ skiljer ett par siffror som ligger bredvid varandra på tangentbordet eller omkastad ordning). På en stor skala kan det röra sig om tusentals noder som försöker med tiotusentals personnummer utspritt över några tillfällen varje dag då det är mycket trafik till servrarna.

Lycka till med att stoppa den attacken utan att vara väl förberedd.

@Djhg2000: Fortfarande, hur ska du lyckas lista ut kryptot två gånger för samma personnummer?

Aha! Ja en QRkod på datorskärmen som man måste använda tillsammans med mobilen som en del av verifieringen för att säkerställa att allt är på samma plats förstärker skyddet för den här typen av attacker. Helt klart! Och bra grej!

Om ens bank har infört liknande system så ser jag inte någon nackdel med mobilt bankID jämfört med bankdosa på det området heller. Bara styrkor verkar det som.

Jag har för mig att det är frivilligt att dela med sig av platsinfo för BankID, iaf var det det senaste gången jag kollade upp det men det var säkert ett år sen. Bankerna har själva haft krav i sina inloggningar som inte varit generella BankID krav dock.

Att läsa av en QR kod på datorn går nu inte alls iom att dom sällan har några kameror, det används vad jag vet enbart när man har BankID på en annan enhet (dvs normalfallet att man kör webbläsaren på datorn och BankID på telefonen).

Men ändå valde du just den mobilen? Och hur kom du över koden för att som du skrev ha gått igenom koden för deras drivrutin/firmware?

Nej, det skulle bli stora nyheter om det blivit knäckt och man upptäckt att så skett. Om du var kriminell och hade kommit på ett sätt att sno pengar så skulle du förmodligen inte kontakta Aftonbladet om det för då skulle möjligheten försvinna, utan det skulle först vara när någon upptäckte det som så skulle ske. Eller snarare, de flesta upptäckta säkerhetsproblem blir aldrig offentliga, iaf blev dom det inte tidigare. Men nu har väl en del lagar ändrats som tvingar fram det. I detta fall gissar jag dock att det snarare är så att BankID inte blivit knäckt.

Ja, QR koder är en bra lösning på ett problem som blivit större och större. Fram till dess att någon smart bedragare kommer på ett nytt sätt att komma runt det. Och så lär det hålla på