Det här med Bank-ID

OTP via SMS är osäkert, det säger många inom säkerhet. Sedan har jag inte fått någon betalning från någon bank eller pr-byrå

Vad är problemet med BankID?

Hur menar du att de borde lösa problemet med social engineering och att människor inte läser vad de godkänner? Finns det någon inloggningsmetod eller elektronisk legitimation där det inte skulle vara ett problem?

Ditt inlägg är lite som att säga att lås är dåliga för att tjuvar blir insläppta av personal som håller upp dörren utan att kolla vilka de är..

SIM-swapping är väl det mest uppenbara skälet. Sen förstår jag inte hur pjb menar att det skulle förhindra att människor blir lurade.

Helt enig. Det är svårt att lösa dumhet/naivitet med säkerhet. En authenticator app är ju extra lager av säkerhet men är man godtrogen/naiv så spelar inte det någon roll heller.

*Tråd rensad*

Tagit bort div. anklagelser. Anser man att ett inlägg strider mot reglerna (ex. marknadsföring) går det bra att anmäla. Att häva ut sig "ni är betalda för att skriva bra om [insert produkt] är inte ett acceptabelt sätt att föra en saklig och givande dialog på.

Njaa, det är inte osäkert,
Du verkar ha grävt ner dig ganska djupt i den här BankID är skit gropen. Ungefär som gubben som är emot vägsalt. (http://www.absolutvetande.se/).

Du har har fortfarande ej specificerat vilken typ av BankID som du anser är problematiskt. Du har inga konkreta saker du kritiserar, bara att folk blir lurade, vilket inte har med hur systemet är uppbyggt utan hur folk använder det. Du pratar om sms koder etc som det råder stor enighet om bland säkerhetsexpert er är sämre än BankID.
Vart vill du komma? Vill du göra något annat än att Basha BankID? Sedan att 90 % i tråden verkar vara av en annan uppfattning än du, är det provocerande?

Räcker med att gå in på SEBs inloggningssida för att se att det inte stämmer.

https://id.seb.se/ibp/bid

Varför skulle man vilja ta bort BankID på kort?

Kan du länka till källor på att detta fastslagits? Har bara tagit fram domen jag tror du menar med HD, och det är inte alls vad som sägs, det enda de säger är vad lagen säger,

Från HD
""
En konsument som till följd av ett bedrägeri hade lämnat ut koden till sitt BankID och svarskoder från sin bankdosa agerade grovt vårdslöst men inte särskilt klandervärt. Konsumenten ska därför inte svara för mer än 12 000 kr av de transaktioner som genomförts.
..
Om en obehörig transaktion har genomförts är huvudregeln att kontohavarens betaltjänstleverantör ska återställa kontot till den ställning som det skulle ha haft om transaktionen inte hade genomförts. Har transaktionen kunnat genomföras för att kontohavaren inte skyddat sin personliga behörighetsfunktion (BankID eller liknande) ansvarar kontohavaren för högst 400 kr. Har agerandet varit grovt vårdslöst är ansvaret begränsat till 12 000 kr. Konsumenten ansvarar för hela beloppet endast när konsumenten har handlat särskilt klandervärt.
""

För länge sedan var det sk. "Nigeria prinsar", innan det spanska fången, idag är det jag vet inte hur många som får samtal och popup:er från Microsoft, Amazon, Norton, kolla t.ex. youtube kaneler på Scammer busting/payback m.m. och de får folk att köra till en butik och köpa presentkort och säljer koderna, eller att de tar ut pengar och lägger i en låda och postar.

Du skriver engångskoder via SMS, hur hade det hjälp i ovan HD fall? "Nej men det är ju ett SMS, det kan jag ju inte lämna ut!" (och jag menar ingen skam eller brottsoffer skam för den som blivit lurad, det kan hända alla, och ska inte vara ett stigma eller något man inte kan prata om, spridning av information hjälper för att fler inte ska gå på bluffarna).

Det är en kapplöpning, banker gör mer än du förmodligen tror, intressantare frågor är vad gör ordningsmakten för att få tag på bedragare och tjuvar, vad gör staten och EU för att få länder där dessa call-centers finns (finns ju vissa indikationer på att det är vissa länder där det är en stor industri av detta, ingen nämnd ingen glömd).

Det är kanske bra att det finns regler som sätter en gräns till att man måste agera klandervärt för att behöva betala mer än 12 tkr (och kommer säkert komma en bankregel om transaktioner över 12tkr kräver mer än ett godkännande om fler driver sin ärenden så bankerna får stå för fiolerna).

Men att klaga på Bank-id för sociala bedrägerier i sig är i min värld lite som att säga att bilen är dåligt för den gick att köra i 150 på en 30 väg, och det är bara biltillverkaren som är ansvarig för problemet.

Blev en wall-of-text, men jag gillar verkligen bankid, det är en quality of life för oss som har att göra med många banker oavsett om det är privat eller i arbetslivet, och aldirg att jag skulle välja SMS verifiering istället med alla problem det har haft för mig.

Handelsbanken verkar också vara ett "undantag"...

För övrigt:

Trådstarten har en poäng. Det är en rejält puckad ide att kunna logga in på en enhet och utföra transaktioner på en annan enhet utan att kontrollera att enheterna i alla fall befinner sig på samma ställe. Med QR-kodernas intåg så är det i alla fall på den ovan nämnda banken inte ett problem längre, men så har det inte alltid varit. Man skulle antagligen kuna strama åt det ännu mer och faktiskt säkerställa att transaktioner alltid, utan undantag, görs på den enhet man loggat in på. Då skulle bedragaren behöva befinna sig i samma rum som den bedragne, vilket skulle göra logistiken mycket svårare och identifieringen av bedragaren betydligt lättare.

Min åsikt om HD-domen är att den är fruktansvärt dålig. Den skapar en enorm "moral hazard".

Men allvarligt talat, valet för BankID på kort för inloggning finns hos Swedbank. Övertygelsen om hur det är verkar vara så stor, att hur det ser ut i verkligheten inte spelar någon roll. Alltså är det en (1) av de fyra stora som f.n. har tagit bort kortvarianten. De mindre har väl allmänt inte utfärdat sådant ens tidigare däremot. För andra tjänster varierar det där en del bara har implementerat mobilt. Jag har för mig att t ex fakturaköp hos SJ var så iaf tidigare, vilket är något ironiskt när det just kan vara folk som inte är mobilifierade som vill nyttja det.

Det du/domarna anmärker på är inte bank-id systemets säkerhet utan hur det implementeras.
Bank id i sig är säkert men det är klart att det går att göra säkra signeringar av olämpliga saker.
Klaga i stället på hur bankerna och övriga företag som hanterar pengar fungerar för det är där det brister i säkerhetstänk för att göra det "enkelt".
Tex att det är tillåtet att lagra kortuppgifter och att betalaren inte alltid måste signera köpet via en separat rutin, tänk tex hur illa de flesta onlinebutiker fungerar och att man som kund inte kan välja att alltid behöva godkänna köpet på annat sätt än att bara klicka på köp.