Fakturaköp hos Amazon kunde genomföras utan legitimering

Inte SL det gäller. De har inte swish, och man slår in kortnumret, sedan får man upp valet att verifiera sig med Mobilt BankID eller Dosa. Trycker man Dosa får man upp i en och samma dialog med skärmkod och svarskod, och det fungerar.
Om man däremot trycker på Mobilt BankID, så "lämnar man appen" (ungefär som att trycka på hemknappen eller växla till en annan app) och detta nollställer viewen i appen så att köpet avbryts.

Rätt många appar som är sådana här, inte "tål" att man lämnar appen utan nollställer sig (går tillbaka till startsidan så fort man gör det) vilket gör att det inte fungerar alls med Mobilt BankID.

Att då kräva Mobilt BankID/dosa för varje litet köp på 23 kronor är helt befängt, är ju rimligare som idag, du måste verifiera dig vid ditt första köp, sedan kommer den "håg dig" sålänge du har kvar samma app och mobil. Ominstallerar man appen eller byter mobil, ja då måste man verifiera sig igen.

Som jag förklarade, det är redan lag idag på att man ska verifiera sig vid kortköp, men tillåter att man sparar identifieringen sålänge man kan identifiera kunden på ett säkert vis t.ex. via enhet. De flesta företag har det på detta viset.

Inte SL det gäller. De har inte swish, och man slår in kortnumret, sedan får man upp valet att verifiera sig med Mobilt BankID eller Dosa. Trycker man Dosa får man upp i en och samma dialog med skärmkod och svarskod, och det fungerar.
Om man däremot trycker på Mobilt BankID, så "lämnar man appen" (ungefär som att trycka på hemknappen eller växla till en annan app) och detta nollställer viewen i appen så att köpet avbryts.

Rätt många appar som är sådana här, inte "tål" att man lämnar appen utan nollställer sig (går tillbaka till startsidan så fort man gör det) vilket gör att det inte fungerar alls med Mobilt BankID.

Att då kräva Mobilt BankID/dosa för varje litet köp på 23 kronor är helt befängt, är ju rimligare som idag, du måste verifiera dig vid ditt första köp, sedan kommer den "håg dig" sålänge du har kvar samma app och mobil. Ominstallerar man appen eller byter mobil, ja då måste man verifiera sig igen.

Som jag förklarade, det är redan lag idag på att man ska verifiera sig vid kortköp, men tillåter att man sparar identifieringen sålänge man kan identifiera kunden på ett säkert vis t.ex. via enhet. De flesta företag har det på detta viset.

Nope. Om affären och inlösaren följer PCI DSS reglerna, så får affären inte ditt riktiga kortnummer, utan en "token", som fungerar som ett slags internt kortnummer bara giltigt för affären ifråga. Det gör att om affären blir hackad, så kan det interna kortnumret inte användas hos någon annan butik.

För att få det kortnumret måste du då verifiera dig hos inlösaren med SecureCode/Verified by Visa, och därefter får butiken detta interna kortnummer. I de flesta fall sparar dem bara det under tiden beställningen hanteras + ångerperioden (just för att man behöver detta interna kortnummer för att göra en återbetalning), men vissa butiker låter dig "komma ihåg" kortet så du kan göra flera köp, och då sparar man denna "interna token" i databasen och återanvänder.
Då "interna token" redan är autensiterad med SecureCode/Verified By Visa, så behöver du inte autensitera dig igen. Och som sagt, det är låst till butik (merchant code) ifråga, så du kan inte ta det interna kortnumret och handla hos någon annan.

Det är möjligt att hacka en webbutik så att redirecten inte går till inlösaren, eller att dialogen från inlösaren förses med ett illvilligt javascript via en proxy, och sedan sno kortnumrerna som slås in - men detta problem finns oavsett om butiken har möjlighet att "spara kortet" eller inte.
Därför det är strikta regler även på webbshoppar att ha god säkerhet på sina servrar och göra regelbundna kontroller av sin server, även om de inte hanterar kortuppgifterna själva utan redirectar till en inlösare (t.ex. Nets eller liknande).

Ja det är en miss många appleverantörer gör. Felkodningen består i att man inte "sparar undan" state när appen lämnas i bakgrunden, vilket gör att varje växling från appen betraktas som att du stänger appen helt och sedan öppnar den på nytt.

Jättemånga appar som har denna brist så fort man ska kopiera en registreringkod från ett SMS eller liknande och går över till SMS appen så försvinner "state" så man får börja om registreringen på nytt. Slutar med att man skriver ner koden från notifikationen för att kunna ta koden i ett enda svep typ.

Vad jag ville poängtera är att det finns aldrig en anledning att göra extra verifieringar om du vet vem kunden är (och har identifierat dig på annat sätt, t.ex. genom att du har en viss app eller enhet).
Sedan vill jag poängtera en annan sak - En verifiering skyddar dig inte mot att butiken är oärlig. Butiken kan dra pengar från vilket kort som helst och hoppa över verifieringen. Verifieringen är bara ett kvitto på att du kontrollerat identiteten, vilket gör att om du hävdar att ditt kort är stulet så slipper butiken betala.

En hyrfirma eller hotellfirma som tar en telefonbokning med kortnummer måste fortfarande kunna debitera ditt kort ifall du smiter utan att betala, förstör rummet eller lämnar tillbaka en krockskadad bil i självinlämningen efter att ha plockat ut den i självutcheckningen.
Således är det inte möjligt att på "banknivå" kräva verifiering, utan det är något butiken är skyldig att göra. Banken ska neka transaktioner utan verifiering för normala "merchant codes" som ett stöd för att locka handlare att införa verifiering, men banken måste också kunna bypassa det på begäran av företaget, exempelvis om du fått med dig varor.

Detta är anledningen till att de med betalningsanmärkningar inte kan få debitkort, för det kan övertrasseras om du gör ett köp som sedan efterdebiteras av butiken utanför den normala rutinen.

Svårt att läsa? Skrev tydligt "Inte SL det gäller".

För mig är det illa nog om någon kan handla på tex Amazon eller hos någon annan som lagrar uppgifter de inte borde få lagra.

Ja det är en miss många appleverantörer gör. Felkodningen består i att man inte "sparar undan" state när appen lämnas i bakgrunden, vilket gör att varje växling från appen betraktas som att du stänger appen helt och sedan öppnar den på nytt.

Jättemånga appar som har denna brist så fort man ska kopiera en registreringkod från ett SMS eller liknande och går över till SMS appen så försvinner "state" så man får börja om registreringen på nytt. Slutar med att man skriver ner koden från notifikationen för att kunna ta koden i ett enda svep typ.

"Inte SL det gäller. De har inte Swish...". Vänligen läs ditt eget inlägg innan du svarar.

Använd Lendo eller liknande tjänst tas bara en upplysning och det kollas hos flera långivare samtidigt.

Det där är så hjärndött av banken om så är fallet. Anledningen att många tar många upplysningar är ju för att man inte vill ta första bästa höga ränta utan se vad olika långivare kan erbjuda för att fortsätta ha en så god ekonomi som möjligt. Men det tolkar då vissa banker som att man har dålig ekonomi och riskbeteende. Hjälp mig.

Har du missat reklam från ex Lendo?
Finns flera kreditinstitut som tar "hjälper" dig att få bästa lånevillkor från flera olika banker/institut och bara en kreditupplysning.

Tråkigt men sant, ska du ta ett större lån och själv letar bästa lånevillkor så kommer din kreditvärdighet minska ju fler banker/institut du frågar.
Sedan gör bankerna egna bedömningar av din kreditvärdighet vid tidpunkten för låneansökan.

Det är inte så att det händer stup i kvarten, men några ggr på ett halvår. Som sagt det är bara två sidor. Jag har massa olika spelkonto osv. utan några problem. Det är bara Hotmail och Amazon.

Hotmailen minskade rejält sedan jag aktiverade tvåstegsverifiering, men försök görs fortfarande. Man kan följa dessa, ofta folk från Vietnam,Thailand och Israel/Palestina som försöker.

Varför det händer mig vet jag inte, ingen säkerhetsexpert.