Det här med Bank-ID

Permalänk
Medlem

@mattoys: Du scannar alltså en QRkod på din skärm med din telefon vilket betyder att telefon och inloggning är på samma ställe. Nej då behövs inte GPS.

Permalänk
Medlem
Skrivet av Petterk:

Missbruk av urkund bör det väl bli.

"Man döms bara för brottet, om gärningen medför fara i bevishänseende, det vill säga om det föreligger sannolikhet att någon skulle kunna bli lurad av beteendet."

https://sv.wikipedia.org/wiki/Missbruk_av_urkund så i fallet att en kompis/familjemedlem loggar in som dig på din begäran och utför en uppgift åt dig borde inte vara något brottsligt.

Permalänk
Medlem
Skrivet av dlq84:

"Man döms bara för brottet, om gärningen medför fara i bevishänseende, det vill säga om det föreligger sannolikhet att någon skulle kunna bli lurad av beteendet."

https://sv.wikipedia.org/wiki/Missbruk_av_urkund så i fallet att en kompis/familjemedlem loggar in som dig på din begäran och utför en uppgift åt dig borde inte vara något brottsligt.

Det är vad företag bland annat blivit dömda för, numera finns också olovlig identitetsanvändning – men där har du högre straff.

Permalänk
Medlem
Skrivet av Petterk:

Missbruk av urkund bör det väl bli.

Alright. Löser man inte det genom en enkel fullmakt sinsemellan?

https://sv.wikipedia.org/wiki/Missbruk_av_urkund

Citat:

Man döms bara för brottet, om gärningen medför fara i bevishänseende, det vill säga om det föreligger sannolikhet att någon skulle kunna bli lurad av beteendet.

Är det relevant?

Edit: Såg nu att samma sak redan sagts... Men tycker inte du riktigt svarar, det innebär väl att det inte är brottsligt? Eller? Lagar är svårt att tyda ibland som icke-jurist.

Visa signatur

Ryzen 5600x (Noctua NH-D15) || Kingston Fury 32GB 3600MHz
ASUS Prime X470 PRO || ASUS GeForce RTX 3080 Tuf OC
Fractal Design Define S (6x chassifläktar) || Corsair RM750X v2
FURY Renegade 2TB || WD Blue 1TB M.2 || LG C2 42" + XB271HUA

Permalänk
Medlem

Man kan inte hjälpa att bli lite mörkrädd, när man läser allt om vad som går och inte med BankID?

Den stora faran här är att många bara ser BankID som ännu en "app" i vardagen. Det är den INTE! Det är nyckeln till personens identitet. Har man den är nästan allt möjligt idag och det som inte är möjligt idag, kommer bli det imorgon.
Att man läser hur banker tar kontakt och ber folk logga in, är skrämmande. Tjänstemän som är för lata för att sköta sitt jobb korrekt?

NUMMER ETT: Man loggar aldrig in om någon annan initierat kontakten! Du kan omöjligt veta om personen är äkta eller ej! Om bank personal gör detta, skäll ut dem efter noter och byt bank, omedelbart!
Om du själv, ringer banken, tex för att öka gränsen på ditt kort, så du kan betala en bil? (Det har jag själv gjort) Då har DU ringt banken, DU vet att den du pratar med är banken och inte en skojare!
(Ring INTE ett nummer till "banken" som du fått av någon som ringer till dig! En bedragare har givetvis ett "direkt nummer" förberett som du kan ringa, som inte alls går till banken, utan till luren som bedragaren håller i andra handen.)

Lär dig att kasta ett öga ovanför raden där du skriver under med BankID. Där står som redan skrivits, precis vad du signerar. Står det överföring av 150'000kr där när du tror att du bara skall "verifiera din identitet"? Kanske du skall vänta med signeringen?
Det står dessutom med röd text, så du skall se det lättare. Jag vet att det är jättesvårt, människor koncentrerar sig bara på en sak åt gången, det är så alla från ficktjuvar, till just bedragare fungerar. De får dig att vara vaken på något helt annat.

Min bank skickar gamla hederliga pappers brev, om de vill nått. Eller så får jag ett mail att jag har ett meddelande "i min inkorg", de låter mig då logga in helt på egen hand vid en tid som passar mig, för att ta reda på vad de vill.

Jag förstår hur de lyckas lura gamla människor. Men folk som lyckats ta sig in på Swec borde ligga över den nivån?

Grunden för ett bedrägeri, går ut på att utge sig för att vara banken och få "torsken" att logga in.
För att banken skall "säkerställa kundens identitet". (I själva verket för att släppa in tjuven!)
Sedan snackar bedragaren lite skit, släpper ut lite blårök, medans han förbereder flytt av pengar, då han nu har full insyn på konton m.m.
När bedragaren satt alla pengar i kö för att lämna offrets konton, behöver bedragaren hitta på en ursäkt för att offret åter skall "logga in". Det är här som man ser allt bedragaren har hittat på, med röd text i BankID appen. Signerar man under denna andra gång, så är man officiellt fattig!

Man kan aldrig göra någonting helt idiot säkert!
Hackare har knäckt lösenord och tagit sig in både på NASA och FBI! Hur skulle BankID kunna vara bättre?
Den absolut vanligaste svagheten i alla fall sedan datorers barndom, har varit och ÄR, den mänskliga faktorn! = DU!

Summering!
Logga ALDRIG in på någon annans inrådan!
En riktig bank skickar fortfarande analoga brev.

Ett undantag som jag råkat ut för, där banken faktiskt ringde mig:
Mitt kort hade blivit "skimmat" (Kopierat) någonstans och ett uttags försök hade gjorts i Sydamerika två timmar senare. Banken hade då spärrat kortet för allt utom uttag i sverige. "Någon" ringde mig och beskrev situationen. Sa att om jag behövde pengar, kunde jag gå till en automat och göra ett uttag, sedan skulle kortet inte fungera mera, nytt kort var skickat.
Jag behövde inga pengar, så jag bad dem spärra kortet helt, direkt. Två dagar senare hade jag ett nytt kort. (Troligen var det då banken som faktiskt ringde.)

Visa signatur

Gått i träda. Åter om något år!

Permalänk
Medlem

Fattar fortfarande inte att det finns folk (förutom bankmänniskor) som försvarar Bank-ID-systemet och hävdar att det är bra.

I ett säkert system ska det inte gå att logga in/signera någon(-ting) som görs från en annan dator än den egna bara för att någon på en annan dator har skrivit in ens personnr som lätt kan fås genom öppna källor.
Att sedan skylla på 90-åriga Greta och komma undan med det är skandal.

Banker ringer visst sina kunder dels för att meddela om spärrade kontokort som använts märkligt och tydligen dels för att be kunder logga in eller legitimera sig med BankID. B la chefredaktören på PC för Alla hade tydligen råkat ut för det och skrivit en krönika om detta.

Mycket enklare än att uppmana folk att inte logga in när någon ringer och ber om det vore om man konstruerade ett säkrare BankId-sytem som endast kan loggas in från den dator/telefon som det används i och inte en annan.
Men då erkänner man bristen i systemet och att man lurat i folk att det var deras fel och att det var så säkert att man inte behövde betala det rättmätiga skadestånden.

Att lämna ut koder i säkerhetsdosan (utan BankID) till någon är däremot ens eget fel.

Permalänk
Medlem

@PJB

Pratar du om Mobilt BankID, BankID eller säkerhets ID?

En koddosa löser inte det problemet, kodbricka som Nordea hade fimpades för att det var för osäkert, lösenord (två stycken) som banker i t.ex. UK har är sämre.

Att banker ringer sina kunder fast som uttryckligen sagt att dom inte gör det har ju inget med BankID att göra, det har med bankens bristande rutiner att göra.

Tycker mobilt Mobilt BankID är perfekt, speciellt nu med det extra lagret med QR kod.
Det gör att jag slipper installera en BankID programvara på varenda dator jag sitter på.

Sen handlar det också om att folk får börja ta lite eget ansvar och läsa på.
Om en främmande person stoppar dig på stan och säger "hej, jag är från Nordea, kan jag få din bankomatkod?" hade du gett personen det då? Sannolikt inte.

Jag vill verkligen inte tillbaka till tiden då man var tvungen att ha med sig sin bankdosa eller installera ett program på varje dator när man ska nå banktjänster. Dessa lösningar hade också säkerhetsproblem.

Permalänk
Medlem

Frågan kvarstår.

Varför är BankID-sytemet så bristfälligt konstruerat och utan att något gjorts åt det att man loggar in en annan dator än sin egen när man använder BankID för att logga in på bankontot och när man signerar bara för att någon på den andra datorn skrivit in ens personr som enkelt finns att hämta i öppna källor.

Hade det inte gått så hade ingen mer än den riktiga banken ringt och bett att någon skulle logga in på sitt konto med BankID.
Jag lovar!

Problemet med att lämna ut koder i sin säkerhetsdosa/bankdosa/Digipass/mm är ett annat problem ungefär som att ge någon ens kontokortsnr, valid to, csr-kod på baksidan och bankomatkod om någon ringer och ber om det.
Man får skylla sig själv för det. Men sker misstänkta händelser på kortet så brukar det spärras av kortföretaget/banken.

Permalänk
Medlem

@pjb
Frågan kvarstår, pratar du om Mobilt BankID, BankID eller säkerhetsID?

Permalänk
Medlem
Skrivet av pjb:

Frågan kvarstår.

Varför är BankID-sytemet så bristfälligt konstruerat och utan att något gjorts åt det att man loggar in en annan dator än sin egen när man använder BankID för att logga in på bankontot och när man signerar bara för att någon på den andra datorn skrivit in ens personr som enkelt finns att hämta i öppna källor.

Hade det inte gått så hade ingen mer än den riktiga banken ringt och bett att någon skulle logga in på sitt konto.
Jag lovar!

Problemet med att lämna ut koder i sin säkerhetsdosa/bankdosa/Digipass/mm är ett annat problem ungefär som att ge någon ens kontokortsnr, valid to, csr-kod på baksidan och bankomatkod om någon ringer och ber om det.
Man får skylla sig själv för det. Men sker misstänkta händelser på kortet så brukar det spärras av kortföretaget/banken.

Vad är det som är bristfälligt?
Att logga in på valfri dator, och använda mobilen för säkerheten är smidigt. Med smidigheten öppnas möjligheten att lura Greta 90, ja!
Men vad är alternativet enligt dig? Tillbaka till att behöva installera säkerhets program på datorn du vill logga på banken ifrån? det är inte ett steg tillbaka, det är minst tio steg. (Och Greta 90 kan luras över telefon även med den tekniken.)

Det bristfälliga är inte i programmet, utan i folks medvetande.
Precis som det skrevs tidigare. Du lämnar inte ut ditt bank kort och pin till en främmande människa på gatan? Man måste lära folk att inte göra det online heller, så är problemet löst, tills tjuvarna kommer på nästa grej! (Det kommer alltid finnas tjuvar!)

Åter igen, VAD ÄR BRISTFÄLLIGT? Hur tänker du dig att hålen skulle tätas? Ett sätt är att ta med sig sitt ID-kort och gå till banken, som man gjorde förr... men vänta nu... falska leg, check bedrägerier osv. osv...
Det har ALLTID funnits tjuvar, så kläm fram nått som inte är bristfälligt, istället för att kritisera något som idag fungerar rätt så bra, om man bara låter bli att digitalt överlämna sitt kort med pin till främmande människor.

Visa signatur

Gått i träda. Åter om något år!

Permalänk
Medlem
Skrivet av mfm:

Vanliga banker har ingen kod, det räcker att logga in med (mobilt) bankID.

Min, som jag tycker är en vanlig bank, Länsförsäkringar kräver att du skannar QR kod när du loggar in på datorn.

Andra banker som Swedbank (tror jag det är) kräver QR kod då du ska skicka pengar till någon annans konto.

Permalänk
Medlem
Skrivet av pjb:

Frågan kvarstår.

Varför är BankID-sytemet så bristfälligt konstruerat och utan att något gjorts åt det att man loggar in en annan dator än sin egen när man använder BankID för att logga in på bankontot och när man signerar bara för att någon på den andra datorn skrivit in ens personr som enkelt finns att hämta i öppna källor.

Hade det inte gått så hade ingen mer än den riktiga banken ringt och bett att någon skulle logga in på sitt konto.
Jag lovar!

Problemet med att lämna ut koder i sin säkerhetsdosa/bankdosa/Digipass/mm är ett annat problem ungefär som att ge någon ens kontokortsnr, valid to, csr-kod på baksidan och bankomatkod om någon ringer och ber om det.
Man får skylla sig själv för det. Men sker misstänkta händelser på kortet så brukar det spärras av kortföretaget/banken.

Misstänker att detta frågats tidigare, men på vilket sätt anser du att bank-id skiljer sig från säkerhetsdosa/bankdosa/digipass/mm? Är det just det faktum att det är en app på mobilen? Dina alternativ brister väl på samma sätt i upplägget i.o.m. att det går att logga in på vilken apparat som helst, var som helst, utan att vara fysiskt bundna till den apparat som inloggningen sker på? De flesta av dessa startar väl även de inloggningen genom att man anger personnummer?

Den springande punkten är att det är en balansgång mellan vad som är praktiskt och vad som är säkert, skulle man kräva fysisk koppling mellan inloggningsfunktionen och apparaten man loggar in på så skulle det vara säkrare, men så opraktiskt att man tappar poängen med bank-id. Så länge en fysisk koppling inte krävs så går det alltid att lura folk att logga in och bekräfta betalningar, oavsett vilket system du har.

Permalänk
Medlem

Jag vet inte riktigt vad som är så dåligt. Man lär väll som person ha koll på vad man signerar, har man inte det så är det även upp till en själv att stå för det, sen är det synd att äldre blir lurade, absolut, men hur skulle du lösa det? skall man behöva ha tillgång till en dator för att göra en betalning? Bank-ID är kanon då man kan göra det mesta från mobilen och man behöver inte sin dator, eller om man inte ens äger en dator. Sen är ju säkerheten även lite på ens egna sida, man kan inte signera allt som bara ploppar upp utan man måste nog kanske lära sig att läsa också, så man faktiskt vet vad man signerar...

Visa signatur

Main
MOBO: Gigabyte B550M DS3H, CPU: AMD Ryzen 5 5600, RAM: 2x16B @ 3600MHz, GPU: RADEON RX5700 Flashat till XT, SSD: WD BLACK SN750 SE 1TB nVME, 2x1TB Sata SSD Chassi, : Fractal Design Node 804, PSU: Corsair RM1000e, Skärm: Philips 27M1N3500LS.

Permalänk
Medlem

Har vi fastställt om det är BankID eller Mobilt BankID TS pratar om? Det är två olika tjänster.

Permalänk
Hedersmedlem

Jag har SEB. Där behöver man inte scanna en QR-kod (skulle gärna ha det) men för varje sak man vill göra när man är inloggad (flytta pengar till externt konto, betala räkning) etc så kräver det att man på nytt identifierar sig. Så om någon ska lura mig via telefon kräver det att de flera gånger får mig att godkänna via bankId för att kunna göra något.

Men vet du vad? Det funkar även via koddosa. Någon som vill lura dig kan fortfarande ringa dig och be dig att verifiera dig via din koddosa och ge dig de nummer som ska matas in och sen låta dig läsa upp numret som visas i dosan.

Jag tycker mobilt bankid är underbart. Jag minns den tiden när jag fick hålla på att lägga in bankid på fil på varje dator och det ofta var strul. fel version av webbläsare. OS stöds inte. Ooops, den här datorn hos mina föräldrar har inte bankid så nu måste vi installera det ....

Är mobilt bankid perfekt? Inte alls. Det kommer alltid finnas "smarta" brottslingar som listar ut hur man via social engineering kan komma åt saker. Det suger. Det är ju bland annat därför vi också nu har just fått stöd för att kunna lägga till ett extra steg med QR-kod i de fallen man verkligen behöver det. Klaga i så fall på banken om de inte har implementerat det.

Ang att banken ringer upp och ber dig använda mobilt bankId. Det är något jag upplevt flera gånger och jag ser normalt inte ett problem så länge du vet vem du pratar med OCH att du väntar dig samtalet. När vi nyligen flyttade bolån från SBAB till SEB blev jag uppringd flera gånger av SEB där vi diskuterade lånet och varje gång så fick jag verifiera att det är rätt person som hon pratade med. I det fallet är det ju lika viktigt för mig att banken inte pratar med någon som inte är jag. Jag kollade upp via true Caller att numret tillhörde SEB och eftersom jag sen även kände igen henne + att jag noterade vad det stod i BankID-appen så kände jag det att jag kunde acceptera det.

Skulle någon ringa "out-of-the-blue" skulle jag dock vara väldigt försiktig.

Att det finns sätt för skurkar att försöka lura folk tycker jag är en dålig ursäkt för att skrota mobilt bankid - snacka om att slänga ut bebisen med badvattnet. Det är bra att tidningarna gör folk medvetna om att man ska vara försiktig men tänk på att sådana artiklar säljer "DITT KONTO KAN TÖMMAS PÅ SEKUNDER!!!".

Så nej, jag håller inte med för en sekund att mobilt bankid är en sådan katastrof som TS försöker få det till. Med sunt förnuft är det en minimal risk att du blir lurad.

Visa signatur

-----------------------------------------------------
Ägare/grundare: www.bjorn3d.com

Permalänk
Medlem

Jag kan verkligen inte förstå hur ni tycker att bank-ID är ett osäkert system? Enda sättet att bli "hackad" är ju att bli lurad och den som lurar dig dessutom erkänner vad den gör varje gång? I appen STÅR det att de loggar in, försöker ta pengar, öppnar nya bank-id konton, swish och liknande.

Om personen på telefon säger att de vill identifiera dig men det i appen står att de försöker öppna ett Swishkonto, då är det ju bara att slänga på luren och polisanmäla. Alternativt om man vill luska lite information själv innan man lägger på.

Jag blev av med mitt kort i helgen. Ficktjuvar. De köpte kebab för 2 000 kronor genom att gå runt och blippa mitt kort under beloppsgränsen innan jag märkte det. (Hade badat med telefonen så fick inte notiser om köpen). Där kan vi snacka ett osäkert system.

Visa signatur

Gaming: RTX 2070 & 3770k
Studier: MacBook pro retina 13
Ljud: QH-1339 & ett par rackans smidiga AirPods
Telefon: iPhone 6s plus
Skärm: ASUS 27" ROG Swift PG279Q med sån där g-sync

Permalänk
Medlem

@pjb ett system är inte smartare än personen som nyttjar det. (mobilt) bankid är ett säkert system. Det kräver fysisk närvaro och ett lösenord för att nyttja. Ger du bort information eller låter andra nyttja din enhet så är det hos dig säkerheten brister och inte hos bankid...

Visa signatur

#1: Z370N ITX | i7 8700k | GTX 1080 | 32GiB
#2: P8Z77-M pro | i7 3770k | GTX 1050ti | 16GiB

Server: Z370-G | i5 8600T | 64GiB | UnRAID 6.9.2 | 130TB
Smartphone: Samsung Z Flip 5 | Android 13 | Shure SE535

Permalänk
Medlem

TS:

För det första behöver du klargöra vad det är för Bankid du pratar om, det är olika tekniker.
Vidare så behöver du klargöra exakt vad det är du ser som bristfälligt som löses med ett annat system och hur det ska fungera. Vad är det för brister du vill designa bort?

Det är lätt att skapa ett oknäckbart system för inloggning, man skulle då använda en variant av OTP, one time pads. Fullkomligt säkert. Problemet med det systemet är att det kommer vara helt oknäckbart men också extremt svårarbetat med höga kostnader, lång tid, resurskrävande och så vidare. All form av kryptering och identifikation som handlar om människointegrering kommer alltid dras med dessa problem.

Enkelt sagt är det lättare att få två maskiner att prata med varandra säkert än det är att få en maskin och en människa att göra det. En maskin kan hantera teckenblock på en miljon tecken utan problem.

Så man måste nog fundera på vad det är man vill göra och vad man vill uppnå. Implementering och tekniken är inte den svaga länken, den svaga länken är att folk inte följer de krav som ställs för att det ska fungera.

Som när folk krypterar med AES-256 och väljer ett lösenord som "AnnA96!".

Visa signatur

Intel Core i5 3570K @ 4.2GHz | Hyper 212 EVO | 12 GB DDR3 |GTX 1070 8GB ROG STRIX DC3 | Fractal Design Tesla R2 650W | Fractal Design Define R4 Titanium | 370 GB SSD totalt | ~2TB HDD totalt
+ Acer Predator Helios 300 GTX 1060
Båda kör MS Röj i minst 50 FPS.

Permalänk
Medlem
Skrivet av MuLLvaD3n:

Jag kan verkligen inte förstå hur ni tycker att bank-ID är ett osäkert system? Enda sättet att bli "hackad" är ju att bli lurad och den som lurar dig dessutom erkänner vad den gör varje gång? I appen STÅR det att de loggar in, försöker ta pengar, öppnar nya bank-id konton, swish och liknande.

Om personen på telefon säger att de vill identifiera dig men det i appen står att de försöker öppna ett Swishkonto, då är det ju bara att slänga på luren och polisanmäla. Alternativt om man vill luska lite information själv innan man lägger på.

Jag blev av med mitt kort i helgen. Ficktjuvar. De köpte kebab för 2 000 kronor genom att gå runt och blippa mitt kort under beloppsgränsen innan jag märkte det. (Hade badat med telefonen så fick inte notiser om köpen). Där kan vi snacka ett osäkert system.

Håller med dig, här har vi ett otroligt osäkert system, vist går det att inaktivera denna funktion, men det vet kanske inte greta om och då kan det blir problem, men Bank ID i sig är ju ett säkert system.

Visa signatur

Main
MOBO: Gigabyte B550M DS3H, CPU: AMD Ryzen 5 5600, RAM: 2x16B @ 3600MHz, GPU: RADEON RX5700 Flashat till XT, SSD: WD BLACK SN750 SE 1TB nVME, 2x1TB Sata SSD Chassi, : Fractal Design Node 804, PSU: Corsair RM1000e, Skärm: Philips 27M1N3500LS.

Permalänk
Rekordmedlem

Det är ju användaren som luras att göra nått dumt och det går ju att luras även utan att bank id finns med i bilden, många har ju blivit bedragna, bestulna och rånade utan att bank id på nått sätt har använts.
Jag är mer orolig över de näthandlare som prompt ska lagra kortuppgifter och där man inte måste verifiera köpet på nått mer sätt, hade tex gärna sett ett absolut krav från kortföretagen på nån ytterligare metod för att verifiera köpet (tex bank id) idag är det ju frivilligt för butikerna att ha ytterligare säkerhet men många stora näthandlare kräver tyvärr inget mer.

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Permalänk

Mobilt bankid är ju helt fantastiskt. Vad bubblar TS om.

Permalänk
Medlem

Ett exempel på hur kunder lurades på pengar enligt en släkting som jobbar med säkerhet på bank är at.
A ringer upp B och säger att hens kort blivit kapat. Vi behöver att du signerar med bank ID för att omedelbart spärra kortet innan en transaktion på flera tusen går igenom.
Sen får de kunden att signera en gång till för att verifiera ett nytt kort beställs.
Så det bygger mycket på panikläge

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av mattoys:

Senast igår loggade jag in med mobilt bankId, GPS avstängd på telefonen, vpn på datorn som visar att jag befinner mig i en annan stad med datorn.
Så ser inte att BankId:et skall kunna se att min mobil(med bankId) och dator befinner sig på samma ställe.

Är du säker på att GPS krävs, eller det kanske inte behövs om man scannar en QR-kod.

Gjorde precis samma sak så det funkar med mobilt bankID att logga in från vart som helst, hade VPN inställt i USA.
Men med fasta datorn, alltså hem PC:n, där måste jag logga in med QR-kod och bankID nuffrorna.

Förövrigt så måste jag säga att bankID är ett otroligt säkert system, säkrare än sladdlös dosa t.ex. Och som många redan frågat, hur ska bedragarna kunna lura dig om du SER vad de gör?
Håller med om att jag är också mer orolig att man kan lagra kortuppgifter hos olika näthandlare/betalningshanterare. Det är inget man bör göra tycker jag.

Visa signatur

"En superdator är en maskin som kör en ändlös slinga på bara två sekunder" - Okänd

Permalänk
Medlem
Skrivet av frong:

Alright. Löser man inte det genom en enkel fullmakt sinsemellan?

https://sv.wikipedia.org/wiki/Missbruk_av_urkund
Är det relevant?

Edit: Såg nu att samma sak redan sagts... Men tycker inte du riktigt svarar, det innebär väl att det inte är brottsligt? Eller? Lagar är svårt att tyda ibland som icke-jurist.

Du kan inte få en fullmakt att använda någon annans ID-handling i identifikationssyfte. Tänker du på ombud så är det bara ombudet som identifierar sig.

Permalänk
Medlem
Skrivet av pjb:

Frågan kvarstår.

Varför är BankID-sytemet så bristfälligt konstruerat och utan att något gjorts åt det att man loggar in en annan dator än sin egen när man använder BankID för att logga in på bankontot och när man signerar bara för att någon på den andra datorn skrivit in ens personr som enkelt finns att hämta i öppna källor.

Hade det inte gått så hade ingen mer än den riktiga banken ringt och bett att någon skulle logga in på sitt konto med BankID.
Jag lovar!

Problemet med att lämna ut koder i sin säkerhetsdosa/bankdosa/Digipass/mm är ett annat problem ungefär som att ge någon ens kontokortsnr, valid to, csr-kod på baksidan och bankomatkod om någon ringer och ber om det.
Man får skylla sig själv för det. Men sker misstänkta händelser på kortet så brukar det spärras av kortföretaget/banken.

Nej det är inte konstigare än att du kan logga in en annan dator med en sladdlös koddosa. MITM/MITB-risken är mycket större med sladdlös koddosa än med bankid på annan enhet. Med koddosan vet du inte vad du signerar.

Däremot finns redan funktioner för att antingen bara kunna logga in samma enhet eller enhet i din närhet (QR-kod). Det är upp till de som använder sig av bankid att välja.

Permalänk
Medlem
Skrivet av Petterk:

Du kan inte få en fullmakt att använda någon annans ID-handling i identifikationssyfte. Tänker du på ombud så är det bara ombudet som identifierar sig.

Alright

Visa signatur

Ryzen 5600x (Noctua NH-D15) || Kingston Fury 32GB 3600MHz
ASUS Prime X470 PRO || ASUS GeForce RTX 3080 Tuf OC
Fractal Design Define S (6x chassifläktar) || Corsair RM750X v2
FURY Renegade 2TB || WD Blue 1TB M.2 || LG C2 42" + XB271HUA

Permalänk
Medlem
Skrivet av pjb:

Frågan kvarstår.

Varför är BankID-sytemet så bristfälligt konstruerat och utan att något gjorts åt det att man loggar in en annan dator än sin egen när man använder BankID för att logga in på bankontot och när man signerar bara för att någon på den andra datorn skrivit in ens personr som enkelt finns att hämta i öppna källor.

Hade det inte gått så hade ingen mer än den riktiga banken ringt och bett att någon skulle logga in på sitt konto med BankID.
Jag lovar!

Problemet med att lämna ut koder i sin säkerhetsdosa/bankdosa/Digipass/mm är ett annat problem ungefär som att ge någon ens kontokortsnr, valid to, csr-kod på baksidan och bankomatkod om någon ringer och ber om det.
Man får skylla sig själv för det. Men sker misstänkta händelser på kortet så brukar det spärras av kortföretaget/banken.

Har du helt missat allt vad QR-kod scanningen heter?

Visa signatur

| Corsair Crystal 460X | Z390-F | 9700K | ROG Ryujn 360mm | RTX 3080Ti | ROG Thor 850W | Vengeance Pro 3200mhz 16cl 16GB (2x8) | 970 Pro 2TB + 2xWD Black 4TB | ROG SWIFT PG279Q | Arctis 7 Pro Wireless | ROG Scope Deluxe red silent | ROG Chakram |

Permalänk
Medlem
Skrivet av HenrikM:

Ett exempel på hur kunder lurades på pengar enligt en släkting som jobbar med säkerhet på bank är at.
A ringer upp B och säger att hens kort blivit kapat. Vi behöver att du signerar med bank ID för att omedelbart spärra kortet innan en transaktion på flera tusen går igenom.
Sen får de kunden att signera en gång till för att verifiera ett nytt kort beställs.
Så det bygger mycket på panikläge

Skickades från m.sweclockers.com

Ja, där har vi ju det största problemet och så har det alltid varit.

Det är svårt att lura en person som är lugn, som har tid, som har möjlighet att diskutera med någon annan och som befinner sig i en van situation. Därför är steg ett att ta bort så många av dessa faktorer som möjligt.

Men det är också därför det är viktigt med informationen om att "ingen kommer att ringa och be dig logga in på BankID, det är alltid bedragare". Nu verkar ju det dock inte stämma utan det finns uppenbarligen banker som gör exakt detta. Hade min bank gjort det hade jag bett dem dra åt helvete och bytt bank. Banker som försvagar säkerheten är inte en bank jag vill ha. Så grundregeln är ändå att aldrig legitimera sig på annans initiativ, oavsett vem de påstår sig vara och vad de påstår har hänt/kommer hända. Det är inte så annorlunda mot om man går på stan och någon går fram till en och ber om att få se legitimation. I en sådan situation så visar man ju inte upp sitt körkort.

Visa signatur

Intel Core i5 3570K @ 4.2GHz | Hyper 212 EVO | 12 GB DDR3 |GTX 1070 8GB ROG STRIX DC3 | Fractal Design Tesla R2 650W | Fractal Design Define R4 Titanium | 370 GB SSD totalt | ~2TB HDD totalt
+ Acer Predator Helios 300 GTX 1060
Båda kör MS Röj i minst 50 FPS.

Permalänk
Medlem
Skrivet av pjb:

Fattar fortfarande inte att det finns folk (förutom bankmänniskor) som försvarar Bank-ID-systemet och hävdar att det är bra.

I ett säkert system ska det inte gå att logga in/signera någon(-ting) som görs från en annan dator än den egna bara för att någon på en annan dator har skrivit in ens personnr som lätt kan fås genom öppna källor.
Att sedan skylla på 90-åriga Greta och komma undan med det är skandal.

Banker ringer visst sina kunder dels för att meddela om spärrade kontokort som använts märkligt och tydligen dels för att be kunder logga in eller legitimera sig med BankID. B la chefredaktören på PC för Alla hade tydligen råkat ut för det och skrivit en krönika om detta.

Mycket enklare än att uppmana folk att inte logga in när någon ringer och ber om det vore om man konstruerade ett säkrare BankId-sytem som endast kan loggas in från den dator/telefon som det används i och inte en annan.
Men då erkänner man bristen i systemet och att man lurat i folk att det var deras fel och att det var så säkert att man inte behövde betala det rättmätiga skadestånden.

Att lämna ut koder i säkerhetsdosan (utan BankID) till någon är däremot ens eget fel.

Pratar man med kundtjänst (ringt dit själv) kan man behöva identifiera sig, här bör banken ha ett helt annat meddelande än vid inloggning till banken – men för att någon loggas in i ditt bankkonto betyder det inte att de kan sno något, sedan måste konto för överföring/betalning läggas till och sist måste betalningen godkännas, vilket normalt kräver två signeringar. Drygt hälften av bankerna kräver QR-koder om du kör bankid på en annan enhet idag, snart kommer alla kräva det fast det är inget som kommer få slut på bedrägerier – det går att få fram QR-koderna till folk även fast de inte är statiska. Bevisligen går det också att lura folk att skapa nya bankid:n åt bedragaren, går det går det säkert också att få folk att ta fram bankdosan och godkänna att det nya bankid ska kunna göra alla banktjänster. Du har banker att välja på om du vill logga in med hjälp av QR-koder. Ibland används också QR-koder för att kunna signera en betalning.

Du skulle också uteslutande kunna använda Mobilt BankID för appar på samma enhet, uteslutande bankid på kort på datorn.

Det är du som har kommit med FUD och inte förstått hur det fungerar. Mobilt BankID lanserades i slutet av 2011, innan dess körde vi bankid på fil eller kort och öppnade länkar som browser-tillägget kunde öppna bankid-programmet med tillsammans med en unik token (allt skedde alltså på samma enhet) och använde sällan bankid för banken, men det förekom fortfarande friskt med bedrägerier av folk. Att race:a legitimeringsförsök har aldrig fungerat så länge Mobilt BankID har funnits på marknaden.

Lurat folk? Åter FUD, det har prövats i rättegångar och oaktsamhet har kunnat visats. Domstolarna är vid det här laget även bekantade med QR-kodsfunktionerna. Är du oaktsam kan du knappast vänta dig att få tillbaka hela beloppet för att du blir bedragen. Tar någon ut ett ID-kort i ditt namn hos Polisen får du inte heller någon ersättning! Skadestånd får du bara i rätten, det förekommer givetvis fall där banken helt eller delvis ersatt kunden också.

Vi har dessutom inte grupptalan så jag vet inte varför du kör med FUD och kommer med påståenden om miljardskadestånd, fortfarande så har många banker i USA bra mycket svagare system.

Permalänk
Medlem
Skrivet av Petterk:

Att race:a legitimeringsförsök har aldrig fungerat så länge Mobilt BankID har funnits på marknaden.

Är du säker på det? Tyckte det var stort hallabalo om det för ett par tre år sedan.

Användarna uppmanas att uppdatera BankID säkerhetsapp i App Store, Google Play eller Windows Store så snart som möjligt. Uppdateringen innebär att ett varningsmeddelande om misstänkt bedrägeri kommer upp i användarens app, om det skulle pågå ett försök med flera samtidiga inloggningar. (BankID 2016)