Trädvy Permalänk
Medlem
Plats
Vårgårda
Registrerad
Okt 2009

Klara sig utan Bank-ID

Jag undrar om någon annan försöker låta bli att skaffa bank-id pga risken för id-kapning, jag behöver överlevnadstips. De internetbutiker som tar paypal brukar gå att handla från, men på de flesta ställen verkar det nu omöjligt utan id. Om jag måste skaffa id, vad kan jag göra för att minimera riskerna? Jag är tankspridd och lär inte uptäcka en kapning innan mycket skada är skedd.

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Mar 2008
Skrivet av Youma:

Jag undrar om någon annan försöker låta bli att skaffa bank-id pga risken för id-kapning, jag behöver överlevnadstips. De internetbutiker som tar paypal brukar gå att handla från, men på de flesta ställen verkar det nu omöjligt utan id. Om jag måste skaffa id, vad kan jag göra för att minimera riskerna? Jag är tankspridd och lär inte uptäcka en kapning innan mycket skada är skedd.

Man blir ID-kapad på BankID om man är en idiot. Samma personer som donerar pengar till en prins i Nigeria. Tänker man med huvudet och inte är blåögd finns det ingen anledning till att inte ha BankID. Kortdosor är 90-talet. Välkommen in till framtiden min vän!

| Asus ROG Crosshair VII Hero | AMD Ryzen 2700X | Noctua NH-D15 SE-AM4 | G.Skill TridentZ 16GB DDR4 @ 3200Mhz | Palit GeForce RTX 2080 Ti 11GB GamingPro OC | Samsung 860 EVO 500GB + Samsung 860 EVO 1TB | Corsair AX850 | Fractal Define R6 TG Blackout | Acer XG270HU |

Monitor Audio Silver 200 + Yamaha WXC-50 + Rotel RB-1552 MkII
Klipsch R-115SW
Sennheiser HD650

Trädvy Permalänk
Medlem
Registrerad
Feb 2003

Bank-ID sparas som en fil till den enhet du där och då väljer att godkänna och ladda ned ditt Bank-ID till. Du kan förstås alltid skydda telefonen så gott det går med lösenord av en väldigt avancerad variant. Men sen även skydda ditt Bank-ID med ytterligare en kod. Filen är så pass krypterad att jag ser inte hur en normal person skulle kunna knäcka detta innan du hunnit ringa banken eller kontakta dom på annat sätt, och spärrat ditt Bank-ID.
Så börja där, skydda din telefon på alla tänkbara vis det bara går. Stöldspärr, funktion för att återställa den t.ex via Google, om du har en Android-lur.

Har inte hört så mycket om att någon blivit kapad på sitt Bank-ID. Visst, vi har några som blivit uppringda och hejsan hoppsan vill denna kära herre i telefonen att du skriver in din kod och godkänner något via ditt Bank-ID. Tillhör du inte den skaran av människor så kan du nog vara ganska lugn på den fronten

Så, har någon hört något om Bank-ID kapning sista tiden?

.:. 101218 - Mitt allt .:.
http://www.escapefromtarkov.se/ - Svensk EFT Discord

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Jan 2011
Skrivet av Youma:

Jag undrar om någon annan försöker låta bli att skaffa bank-id pga risken för id-kapning, jag behöver överlevnadstips. De internetbutiker som tar paypal brukar gå att handla från, men på de flesta ställen verkar det nu omöjligt utan id. Om jag måste skaffa id, vad kan jag göra för att minimera riskerna? Jag är tankspridd och lär inte uptäcka en kapning innan mycket skada är skedd.

Kanske ska hålla dig till fysiska butiker då...

Skrivet av Tomika:

Bank-ID sparas som en fil till den enhet du där och då väljer att godkänna och ladda ned ditt Bank-ID till. Du kan förstås alltid skydda telefonen så gott det går med lösenord av en väldigt avancerad variant. Men sen även skydda ditt Bank-ID med ytterligare en kod. Filen är så pass krypterad att jag ser inte hur en normal person skulle kunna knäcka detta innan du hunnit ringa banken eller kontakta dom på annat sätt, och spärrat ditt Bank-ID.
Så börja där, skydda din telefon på alla tänkbara vis det bara går. Stöldspärr, funktion för att återställa den t.ex via Google, om du har en Android-lur.

Har inte hört så mycket om att någon blivit kapad på sitt Bank-ID. Visst, vi har några som blivit uppringda och hejsan hoppsan vill denna kära herre i telefonen att du skriver in din kod och godkänner något via ditt Bank-ID. Tillhör du inte den skaran av människor så kan du nog vara ganska lugn på den fronten

Så, har någon hört något om Bank-ID kapning sista tiden?

Känns som att det står väldigt mycket om det på nyheterna men oftast är det väl Agda, 97 år gammal som blivit lurad av hembiträdet. Själv förstår jag inte riktigt att människor skaffar saker som de inte kan hantera.

Stationär:Asrock P67 Extreme 4 | i5 2500K@4.5Ghz | Asus GTX 970 black Överklockad | Samsung Evo 960 1TB, 2x WD blue 5TB | 8GB Corsair XMS3 + 8GB Hyper x Fury | EVGA Supernova G2 750W Gold | Silverstone FT02
Laptop: Dell XPS 15 2017
Mobil: Oneplus 6 128GB

Trädvy Permalänk
Medlem
Registrerad
Apr 2002
Skrivet av Tomika:

Har inte hört så mycket om att någon blivit kapad på sitt Bank-ID. Visst, vi har några som blivit uppringda och hejsan hoppsan vill denna kära herre i telefonen att du skriver in din kod och godkänner något via ditt Bank-ID. Tillhör du inte den skaran av människor så kan du nog vara ganska lugn på den fronten

Så, har någon hört något om Bank-ID kapning sista tiden?

https://www.svd.se/120000-drabbade-av-telenors-miss är väl ett exempel som fick viss publicitet.

Kanske inte det värsta utfallet man kan tänka sig, men ändå.

Intel i7 6850k || Asus X99-A II || Evga GTX 1080Ti || Kingston HyperX Fury 2666 64GB || Samsung 950 Pro 512GB || XB270HU 1440p IPS G-Sync

Trädvy Permalänk
Medlem
Registrerad
Feb 2003

@evil penguin: Precis som jag menar dock är det inte Bank-ID i sig självt som är problemet här, utan Telenors app var problemet.
Så egentligen ska inte Bank-ID få någon skit, endast Telenor.

Vilket jag tror är vad TS efterfrågar, om Bank-ID i sig är säkert. Och vad jag vet finns ingen som lyckats knäcka själva Bank-ID ännu?

.:. 101218 - Mitt allt .:.
http://www.escapefromtarkov.se/ - Svensk EFT Discord

Trädvy Permalänk
Medlem
Plats
Vårgårda
Registrerad
Okt 2009

OK, ok, jag fattar. Gäller samma sak för bank-id i datorn?

Trädvy Permalänk
Entusiast
Plats
Göteborg
Registrerad
Nov 2002

@Youma: skaffa en enhet som en tablet, koppla ur internet efter att ha installerat bank id och enbart sätta på nätet vid bankid uppdateringar.
Denna enhet kan du hålla avstängd tills du behöver använda den och enbart använda den för bank id.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2010

Vilka banker är det som kräver att man skulle ha Bank-ID för att kunna handla med kort på nätet?

Jag har Nordea, inte Bank-ID och handlar med kort på nätet då och då utan problem. Antingen funkar kortet med kod-dosa och challenge/response man får knappa in, eller så öppnar man kortet temporärt för Internet-köp i Internet-banken.

Att smart kort och kod-dosa är säkert förstår jag därför att jag är utbildad i datasäkerhet och vet vad challenge/response innebär: det behövs inga konstigheter.
Hur Bank-ID fungerar vet jag inte, och jag kan inte hitta någon fritt tillgänglig teknisk beskrivning av det och dess protokoll, inte hitta någon beskrivning hur "bedrägerierna" gjordes skriven av någon som inte är lekman, och jag kan inte hitta någon oberoende utvärdering av Bank-ID från något universitet eller myndighet.
Innan det sker tänker i alla fall jag inte använda Bank-ID. Det enda jag vet är att lekmäns beskrivning av "BankID-bedrägerier" har innehållit något som låtit som ett säkerhetshål som möjliggjort utnyttjande av ett "race condition" för att hämta pengar ur offers konton. Om det vore sant så skulle BankID vara osäkert på en fundamental nivå.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av GarfieldPower:

Man blir ID-kapad på BankID om man är en idiot. Samma personer som donerar pengar till en prins i Nigeria. Tänker man med huvudet och inte är blåögd finns det ingen anledning till att inte ha BankID. Kortdosor är 90-talet. Välkommen in till framtiden min vän!

Efter att ha byggt olika tjänster för BankID i flera års tid så vet jag att en stor del av de som blir lurade är folk som själv är övertygade att dom aldrig kommer bli lurade eftersom dom är så mycket smartare än alla andra.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006

Vad jag känner till har BankID aldrig blivit knäckt, det är snarare dess användare som blivit lurade. Och det i sig har ju folk blivit i tusentals år, så det är nog inte BankID som är problemet här. QR koder är på gång nu för att lösa problemet med när bedragare och offer befinner sig på olika ställen, rekommenderar att alla använder det så mycket som möjligt istället för det gamla sättet. Finns dock inte på så många ställen ännu men lär komma nu på bred front.

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Jul 2001

Bankid är ju guds gåva, allt kan såklart hända men jag loggar nog in på div ställen minst 10gg per dag, och har så gjort många år. Går väl knappt att vara utan idag, Fistclass, banken, betala räkningar med mobilen, swish, atg, Flexpay, Avanza, skatteverket, deklarera osv osv, jag loggar in överallt med bankid.

Men då tänker jag inte heller i dom banerna som TS gör. Jag har kollegor som fortfarande inte vågar handla med kort på nätet, jag har använt kort i säkert 20år och handlat från världens alla hörn.

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Feb 2012

Du vet att BankID är till för att göra det säkrare för dig? Inte tvärtom.

Trädvy Permalänk
Medlem
Plats
Vårgårda
Registrerad
Okt 2009

@Findecanor: Swedbank kräver bank-id för kort

Igen, är det någon skillnad i säkerhet mellan mobilt bank id och i dator?

Trädvy Permalänk
Medlem
Registrerad
Feb 2015
Skrivet av Youma:

@Findecanor: Swedbank kräver bank-id för kort

Nej. det gör de inte. Åtminstone har de inte krävt det av mig.

Trädvy Permalänk
Medlem
Registrerad
Feb 2003

@Youma: Inte mer än hur installationen går till. En dator kan du förstås säkra upp med lösenord men detta går att komma runt lätt. Däremot är Bank-ID lösenordet precis som dess fil krypterad så detta går inte knäcka så lätt. DÄREMOT, kan det gå att kopiera över den filen till en annan enhet. Detta går förstås även med mobila enheter. Men skriver då som jag gjorde innan. Förhoppningsvis märker du stölden och spärrar.

Något som kan vara mer riskfullt på en dator är förstås risken för virus, intrång och liknande. Så personligen hade jag aldrig velat ha en Bank-ID fil sparat lokalt på mina datorer. Brandväggar eller ej.

.:. 101218 - Mitt allt .:.
http://www.escapefromtarkov.se/ - Svensk EFT Discord

Trädvy Permalänk
Medlem
Plats
Falkenberg
Registrerad
Mar 2013
Skrivet av Youma:

@Findecanor: Swedbank kräver bank-id för kort

Igen, är det någon skillnad i säkerhet mellan mobilt bank id och i dator?

Bankid på fil finns inte längre? Skulle säga att det är den största skillnaden.

För att bli kapad på mobilt bankid måste de ta ha tillgång till din mobil och lösenord

Hette något annat förut, men kom fram till att det är dumt att ha samma namn på 78 miljoner sidor...
citera, svara osv. osv...
hot tip - ctrl + shift T öppnar senast stängda flik i vissa webbläsare

Trädvy Permalänk
Medlem
Registrerad
Okt 2003
Skrivet av moonblase:

Bankid på fil finns inte längre? Skulle säga att det är den största skillnaden.

För att bli kapad på mobilt bankid måste de ta ha tillgång till din mobil och lösenord

?? Klart bankid på fil finns, använder det själv hemma vid min stationära maskin.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Dansken:

Bankid är ju guds gåva, allt kan såklart hända men jag loggar nog in på div ställen minst 10gg per dag, och har så gjort många år. Går väl knappt att vara utan idag, Fistclass, banken, betala räkningar med mobilen, swish, atg, Flexpay, Avanza, skatteverket, deklarera osv osv, jag loggar in överallt med bankid.

Men då tänker jag inte heller i dom banerna som TS gör. Jag har kollegor som fortfarande inte vågar handla med kort på nätet, jag har använt kort i säkert 20år och handlat från världens alla hörn.

Hmm....vad gör man på Fistclass?

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Youma:

@Findecanor: Swedbank kräver bank-id för kort

Igen, är det någon skillnad i säkerhet mellan mobilt bank id och i dator?

Ja, det är skillnad men knappast någon som påverkar användarna annat än att Mobilt BankID (som eg borde heta "BankID på annan enhet") är klart smidigare och användarvänligt än BankID på kort.

Trädvy Permalänk
Medlem
Plats
Falkenberg
Registrerad
Mar 2013
Skrivet av bacardi_avt:

?? Klart bankid på fil finns, använder det själv hemma vid min stationära maskin.

Hade fått för mig att detta togs bort, men verkar ju finnas.

Hette något annat förut, men kom fram till att det är dumt att ha samma namn på 78 miljoner sidor...
citera, svara osv. osv...
hot tip - ctrl + shift T öppnar senast stängda flik i vissa webbläsare

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av bacardi_avt:

?? Klart bankid på fil finns, använder det själv hemma vid min stationära maskin.

Nästan alla har slutat med BankID på fil numera även om det kanske finns ett par som fortfarande gäller fortfarande, har dock för mig att Nordea och Swedbank fortfarande har det men det är nog bara en tidsfråga innan det försvinner. Det normala är snarare idag att man har BankID på ett kort anslutet via en kortläsare till datorn.

Trädvy Permalänk
Medlem
Registrerad
Dec 2015
Skrivet av Youma:

Igen, är det någon skillnad i säkerhet mellan mobilt bank id och i dator?

Som @Findecanor är det nog inte lätt för oss glada amatörer att ta reda på det eftersom Bank-Id är ostandardiserad skit.

Min oinformerade uppfattning är att de som blir blåsta i stort sätt alltid har mobilt Bank-Id. Som sagts av andra i tråden tror jag inte heller det är vanligt att man rent tekniskt knäcker mobilt Bank-Id, men det verkar ändå vara tusentals människor som blir blåsta den vägen.

När man loggar in via dator kommer man själv få fortsätta sessionen där man loggar in, men om man loggar in på en annan enhet (mobil) kan den som fortsätter sessionen likaväl vara någon helt annanstans. Jag tycker det är ett så allvarligt designfel att det är en tillräckligt stor anledning att bojkotta systemet helt, det är uppenbarligen ett gäng amatörer som har designat systemet och därmed är det troligt att det finns fler feltänk. Just det här problemet försöker man komma runt med QR-koder, men man gör inte QR-koderna obligatoriska (än i alla fall), vilket gör att dom inte gör ett dugg skillnad.

Man-in-the-middle-varianten (Telenor/Skatteverket) som länkades ovan skulle jag gärna se en lite mer noggrann analys på. Vad jag förstår finns det inget som hindrar att man tömmer ett bankkonto på samma sätt, men jag kan ha fel.

Hur som helst så finns ju även Bank-Id på hårt certifikat (dvs kort + dosa), vilket inte har nämnts i tråden än. Jag föredrar den varianten framför Bank-Id på mobil eller på fil eftersom det är noll chans att någon kör en keylogger på dosan och snappar upp PIN-koden till kortet (Bank-Id:t) den vägen. Man kan naturligtvis köra keyloggern på datorn i stället och snappa upp engångskoden (response i challenge/response), men det är i alla fall inte fullt så illa. Hur säker kort + dosa-med-sladd-varianten är vågar jag inte ha någon uppfattning om, den funkar hur som helst inte på Linux och då går den bort för mig.

Trädvy Permalänk
Medlem
Registrerad
Apr 2006

@KAD: Ärligt talat så låter det som du mest blandar personliga åsikter och gissningar här

Mobilt BankID är en marknadsföringsterm, det är inget som hindrar att man kör webbläsaren på sin smartphone, går till inloggningen och sen istället startar sitt BankID via sin dator med BankID på t.ex. ett smartcard. Det vanligaste är dock tvärt om så klart, men det är ingen skillnad rent tekniskt.

Istället handlar det, som jag skrev ovan, ifall BankID är på samma enhet som webbläsaren (eller vad man nu kör för program för sessionen, brukar väl vara en webbläsare eller en app) eller på en annan enhet. Och i det senare fallet kan man få problem iom att det är "race condition" som gäller, dvs du tror du godkänner din egen inloggning/session men godkänner istället någon annan inloggning/session.

Det gäller att inte glömma bort att folk blev lurade även innan BankID fanns, och problemet är inte BankID i sig utan att folk fortfarande är lite för lättlurade och godtrogna. Och dessa lättlurade kan lika väl vara du och jag i fel situation och om bedragaren är skicklig nog, även om det så klart tyvärr är en överrepresentation bland gamla, sjuka och svaga.

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Aug 2004

Som sades tidigare så har mobilt bank-id aldrig blivit knäckt.

Sättet folk blir lurade på är att dom skriver in sitt lösenord till saker som är scams och bedrägerier.

Senast redigerad av Loxus, 2004-08-02 klockan 13:13

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008

Nämen så skönt att man inte är den enda som bojkottar skräpet. Varje gång jag talar om det för någon blir jag kallad för paranoid och liknande. Körde BankID på datorn fram tills Linux-klienten inte längre fungerade (där säkerheten var någorlunda korrekt implementerad) och efter det har jag bara struntat i att försöka lösa problemet.

Om det är något ställe som absolut vill ha BankID brukar det gå att ringa dem eller hitta en konkurrent.

Mjölnir: Ryzen 5 2400G | GA-AB350N | Ballistix Elite 16GB | Sapphire RX 470 8GB Miner Edition | IKEA Knagglig
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | Sapphire RX 580 8GB | Sapphire HD 5850 1GB | NZXT Switch 810

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Loxus:

Som sades tidigare så har mobilt bank-id aldrig blivit knäckt.

Sättet folk blir lurade på är att dom skriver in sitt lösenord till saker som är scams och bedrägerier.

Man ska nog snarare säga att det inte finns några kända fall där BankID blivit knäckt, många tvärsäkra uttalanden om säkerhet som visat sig felaktiga i efterhand

Trädvy Permalänk
Medlem
Plats
Nangijala
Registrerad
Okt 2009
Skrivet av Youma:

@Findecanor: Swedbank kräver bank-id för kort

Igen, är det någon skillnad i säkerhet mellan mobilt bank id och i dator?

Jag har swedbank och har aldrig behövt bank id för kort, jag har i internetbanken öppnat kortet för internetköp

Trädvy Permalänk
Medlem
Plats
Åtvidaberg
Registrerad
Jul 2001
Skrivet av Megacrash:

Jag har swedbank och har aldrig behövt bank id för kort, jag har i internetbanken öppnat kortet för internetköp

Låter ärligt talat inte jättesäkert jämfört med att ha BankID som en extra säkerhet imellan. Dvs betalar du med kortet i tex en webshop så får man verifiera med BankID på mobilen.

P8Z77-V | i5 3570K@4,4ghz | Evo 212 | 4x4GB Corsair LP | Inno3D GTX 970 Air Boss Ultra | Asus Xonar DGX
850 Evo 250GB & 2x500GB | WD Green 2TB | Asus PB278QR | Corsair 760T | CoolerMaster V850
HP Microserver Gen8 1610 | Corsair Force F80 80GB | 2x WD RED 1TB RAID 1 | 1x WD RED 2TB | 1x WD Green 1TB

Trädvy Permalänk
Medlem
Plats
Hemma
Registrerad
Dec 2002

Sluta noja. Den lilla risk du har för att någon kommer kapa dig är ås minimalt liten att det inte är värt att skänka en take åt det ens. Fyll din vakna tid med något annat än att oroa dig.

Om det får dig att känna dig bättre så kolla vad du har för skydd mot ID-kapning eller så skaffar du ett skydd. Sen kan du inte göra mycket mer.

Lev livet och sluta noja.

Felet med världen är att de dumma är så tvärsäkra och de kloka så fulla av tvivel.