BankID - Detta gissel

Det som gick bra innan borde gå bra nu med.

Att kunna logga in på ica/willys/coop utan bankid ser jag inte ett som ett problem, att kunna betala en order man gjort utan bankid vore ett problem.

Håller med dig till fullo. Som du skriver, Bankid används idag så återkommande att riskmedvetenheten lätt försvinner. Samtidigt är fördelen med Bankid ju att möjligheterna till social engineering, speciellt så via telefon, minskar betydligt.

Helt enkelt så borde bankid bara användas för saker som rör ens bank. Logga in på banken, betala räkningar, betala för någon vara man beställer, swisha pengar, osv.

Men det skall inte användas för att identifera sig/logga in på skatteverket, 1177, ica, willys, eller annat om inte banken är direkt involverad.

Vi sitter på Sweclockers men de flesta människor har noll intresse av datorteknik och många äldre har även väldigt svårt att ta till sig ny teknik. Oavsett vad vet vi ju att det redan idag är vanligt med bedrägerier som riktar sig mot Bankid. Tror du verkligen någon som har svårt med tekniken kommer göra en mental åtskillnad mellan pin och biometri?

Ja, för generell identifiering bör andra system användas (Freja eller statligt alternativ).

Borde finnas ett och det ska vara statligt. Se på danska MitId. Fungerar hur bra som helst. Inget behov för alternativ.

Förutom att de totalt blockerat custom roms vad jag hört.

Du missar poängen åter igen. Jag måste inte vara personligt legitimerad, Ica MÅSTE inte veta exakt vem det är. Alltså ska de heller inte kräva det, och det gör de inte heller. Åtminstone än så länge.

Självklart, det är praktiskt att dela kontot med exempelvis sambon.

Som sagt, Ica har inget behov av att veta att det specifikt är jag.

Jag förespråkar starkt det senare. Superenkelt och smidigt med unikt user + pass för varenda tjänst, det går löjligt mycket fortare och enklare med lösenordshanterare än att måsta bängla med en extern enhet och knappa in en väldigt lång kod varenda jävla gång (och inte sällan skanna en jävla qr-kod dessutom, vilket gör det ännu mindre smidigt).

Lösenord är bara osäkert om man har värdelösa lätthackade sådana, och ännu värre om man använder samma på fler än ett ställe. Det gör inte jag.

För övrigt är jag ingen fan av MFA, det är bara osmidigt som satan, använder det enbart och endast till extremt viktiga konton (och där är det andOTP som gäller för min del).

Det borde finnas en en block/allowlist så slipper alla gamla människor bli lurade.
De flesta behöver inte teckna smslån eller föra över pengar till okända konton.
Då räcker det med att det går att ställa in att man kommer in på banken och kan betala räkningar till kända mottagare.

Att både Bank-id och Freja är privat är irrelevant. Den viktiga skillnaden är att Freja inte är kopplat till banksystemet. Självklart kan vi ha flera e-id, både privat och statligt.

Som en av de konsulter som jobbar med danska myndighetslösningar och MitID-ibtegrationer tycker jag inte det du säger stämmer. Vad som varit historiskt är ju ointressant, vi jämför var vi ör idag. Varför har Sverige inte genomgått dessa steg för att få en bra produkt? Istället skrattar vi åt att Sveriges mest använda lösning inte ens är godkänd att användas av europeiska EIDas (men freja är dock vill jag påpeka).

NemID fanns när jag började arbeta iDanmark och det var ljusår bakom BankId men idag är vi förbisprungna av danskarna. Danskarna är ljusår före svenskarna inom digitalisering, allt annat är en lögn. Är mycket nyfiken på vilka danskar du menar kollar på Sverige…

Skulle precis beställa lite medikament på apohjärtat.

först logga in med bankid för att hitta receptet

Sedan logga in med bankid för att legga mot klarna

Sedan logga in med bankid för att bekräfta köpet................

Visa legg EN gång på apoteket, eller 3+ För att få beställa och betala?

alla inloggningar för att få beställa min medicin, 1 gång ska räcka.

Så om man jämför det skulle du låta legget ligga framme men de skulle fortfarande kolla på det flera gånger.

I butik övervakar du fysiskt vad som händer med ditt legg medans du har gett bort det. Om man skulle göra samma sak digitalt skulle det bli katastrof tror jag. I dag finns inga kakor eller cacheade uppgifter att sno från webbplatsen. Alla transaktioner signeras kryptografiskt av av dig.

Om BankID gick att sno lika enkelt som en sessionkaka skulle vi ha många fler problem tror jag. Att signera varje transaktion är ju en princip som de Svenska bankerna haft sen dag ett på internet. Och med gott resultat måste jag säga.

Detta kommer så sakterliga med scopeing och ZeroKnowledgeProofs genom EUs idenditetsplånbok. Än är det dock många år bort.

Med plånboken kan man samla signerade attest för olika behörigheter som alla är kopplade till ens ID vid utgivande men som inte behöver vara knutna mot ID när man lämnar de från sig. Polisen som stoppar dig för att kontrollera om du har behörighet att köra motorcykel får bara veta om du har behörighet för att köra motorcykel. Hur vet man då att personen visar upp "sitt intyg"? Här finns det lite olika lösningar. Man får lita på plånbokens koppling till personen, begära ett intyg med biometri (bild, fingeravtryck till exempel) som polisen kan verifiera på plats eller som sista utväg så får man begära en fullständig ID kontroll på plats och sedan verifiera att beviset man fick från transportstyrelsen är utfärdat till den identiteten. För mindre kritiska transaktioner som att köpa alkohol etc. antar jag att man kommer att lita på plånboken eller plånbok + biometri. Det är förlitande part (den som ska ta emot beviset) som begär det och sedan godkänner den som ska identifiera sig vad den kommer att dela med dig av.

Intressant framtid, tack för läsning.