Bör Bank-id gå i graven?

Tråden skapades och har fått 99 svar. Det senaste inlägget skrevs .

I Spanien existerar inte Bank-id. Vill jag göra ett bankärende via internet måste jag först registrera min mobil på banken. Antag att jag vill fylla på mitt bankkort. Jag loggar in på bankens applikation med användarnamn och lösenord. Jag kan även välja att logga in med fingeravtryck på min iPhone. När jag begärt överföringen får jag i mobiltelefonen ett meddelande typ: ”BBVA: 265845 är koden för att konfirmera en påfyllning av 200 Euro från ditt konto ES….6545.” Det man kan anmärka på är att det är väl många siffror i koden. Säkerhet ligger i att Du besitter telefonen och kan läsa vad som är på gång. Att registrera telefonen är enkelt eftersom vi har massor av bankontor. Jag upplever säkerheten god.

Du talar om Bank-ID men avser tydligen "Mobilt Bank-ID".
Finns inte Bank-ID heller?

Kanske bör Bank-Id (mobilt eller inte) gå i graven men det räcker inte med en bankspecifik lösning. Vi måste ha en e-legitimation som fungerar mellan olika tjänster - offentliga såväl som privata.

Den lösning som du beskriver är sämre än bank-id eftersom den är specifik för en bank.

Vi har varken Bank-id eller mobilt Bank-id i Spanien. Däremot tvingas vi använda Bank-id i någon form för att kommunicera med Banker och myndigheter Sverige. Här har vi elektroniska certifikat för att exempelvis deklarera och begära ut handlingar.

  • Medlem
  • Kungälv
  • 2018-10-05 10:01

Varför skulle bankid gå i graven för att spanien har en sämre lösning?

Ursprungligen av Json_81:

Varför skulle bankid gå i graven för att spanien har en sämre lösning?

Jag efterlyser en säker lösning och får veta hur kontona plundras i Sverige med Bank-id. Är det bra?

Ursprungligen av Björn Wahlsten:

Jag efterlyser en säker lösning och får veta hur kontona plundras i Sverige med Bank-id. Är det bra?

Men det beror ju oftast på att folk har blivit lurade att signera med BankID och inte direkt en brist i lösningen?

Ursprungligen av Björn Wahlsten:

Vi har varken Bank-id eller mobilt Bank-id i Spanien. Däremot tvingas vi använda Bank-id i någon form för att kommunicera med Banker och myndigheter Sverige. Här har vi elektroniska certifikat för att exempelvis deklarera och begära ut handlingar.

Hur fungerar de certifikaten då? Hur får jag dem? Hur bekräftas de? Måste jag ha olika certifikat för olika myndigheter?

  • Medlem
  • Stockholm
  • 2018-10-05 10:22

Svaret på frågan är nej. Den spanska lösningen verkar mycket omodern och otymplig. Allt som låser in kunder och minskar rörlighet är av ondo. Jag läste någonstans att i alla bedrägerier med/mot mobilt Bank-ID har "ägaren" varit delaktig. Dvs blivit lurad av någon att logga in på bank eller liknande. Problemet är alltså användarna. Frågan som då kan resas är om lösningen är fullgod när vissa blir lurade. Min slutsats är att det är ganska få som blir lurade och därmed får man konstatera att systemet är tillräckligt säkert.

  • Medlem
  • Malmö
  • 2018-10-05 10:23
Ursprungligen av Json_81:

Varför skulle bankid gå i graven för att spanien har en sämre lösning?

My thoughts exactly.

Förstår inte riktigt poängen med denna tråden öht..

Ursprungligen av BlackSmp:

Kanske bör Bank-Id (mobilt eller inte) gå i graven men det räcker inte med en bankspecifik lösning. Vi måste ha en e-legitimation som fungerar mellan olika tjänster - offentliga såväl som privata.

Den lösning som du beskriver är sämre än bank-id eftersom den är specifik för en bank.

Denna lösning är inte patenterat och jag upplever den som mycket säker. Det är väl det viktigaste?
Jag tror att de flesta bara har en bank och då lär man sig snabbt deras rutiner. Vi har riktiga banker i Spanien som hanterar mynt och sedlar. När vi lämnade Sverige talade vi med vår personliga kontaktperson på banken för att få tjänster utförda. Röstavläsning kanske är nästa steg?

Ursprungligen av BlackSmp:

Hur fungerar de certifikaten då? Hur får jag dem? Hur bekräftas de? Måste jag ha olika certifikat för olika myndigheter?

Det är skattekontoren som utfärdar dem.

Ursprungligen av primu[s]®:

Men det beror ju oftast på att folk har blivit lurade att signera med BankID och inte direkt en brist i lösningen?

Om man får ett sådant här meddelande:

”BBVA: 265845 är koden för att konfirmera en påfyllning av 200 Euro från ditt konto ES….6545.”

utan att ha gjort någonting som har med BBVA att göra, varför skulle man då skicka koden?

Ursprungligen av zinned:

My thoughts exactly.

Förstår inte riktigt poängen med denna tråden öht..

det beror på vad man lägger i begreppet "sämre lösning".
Uppenbarligen är den spanska lösningen säkrare.

  • Medlem
  • Kungälv
  • 2018-10-05 10:49
Ursprungligen av Björn Wahlsten:

Jag efterlyser en säker lösning och får veta hur kontona plundras i Sverige med Bank-id. Är det bra?

Ursprungligen av Björn Wahlsten:

Om man får ett sådant här meddelande:

”BBVA: 265845 är koden för att konfirmera en påfyllning av 200 Euro från ditt konto ES….6545.”

utan att ha gjort någonting som har med BBVA att göra, varför skulle man då skicka koden?

Varför skulle man signera med bankid utan att ha gjort något med banken?

Jo, för att folk blir lurade. Vilket inte är ett dugg säkrare med den spanska lösningen.

  • Medlem
  • Mjölby
  • 2018-10-05 10:50
Ursprungligen av Björn Wahlsten:

Om man får ett sådant här meddelande:

”BBVA: 265845 är koden för att konfirmera en påfyllning av 200 Euro från ditt konto ES….6545.”

utan att ha gjort någonting som har med BBVA att göra, varför skulle man då skicka koden?

Fast det är ju precis så det går till med BankID också. Lurendrejaren ringer upp, säger sig vara från banken och kan du godkänna följande transaktion. Det står ju klart och tydligt i BankID appen vad som ska hända men trots det godkänner vissa personer transaktionen.

Ursprungligen av Björn Wahlsten:

Det är skattekontoren som utfärdar dem.

Så jag behöver ett certifikat per myndighet... Kan jag ha det på mobilen?

Det låter i alla fall inte som framtidens lösning - knappt något att ha idag

Ursprungligen av theN:

Fast det är ju precis så det går till med BankID också. Lurendrejaren ringer upp, säger sig vara från banken och kan du godkänna följande transaktion. Det står ju klart och tydligt i BankID appen vad som ska hända men trots det godkänner vissa personer transaktionen.

Jag läste att bara under juli månad i år stals det 19,6 miljoner kronor genom bedrägerier med BankID.
Jag är nyfiken på hur det går till steg för steg. Lurendrejaren måste väl ha tillgång till offrets telefonnummer, personnummer och vilken bank offret har? Vad händer sedan? Avslöjar offret via telefonen inloggningskoden?

Ursprungligen av BlackSmp:

Så jag behöver ett certifikat per myndighet... Kan jag ha det på mobilen?

Det låter i alla fall inte som framtidens lösning - knappt något att ha idag

Alla spanjorer bär alltid med sig ett nationellt ID-kort. Där kan man ha sitt certifikat. Man kan också ha det i sin mobil eller sin stationära dator. Många som deklarerar via sin mobiltelefon eller platta väljer istället en app "Cl@ve PIN". Man kan också ange numret på den senaste deklarationen. Det är ETT certifikat för alla myndigheter som gäller. Skillnaden mellan Sverige och Spanien är att det inte är bankerna som utfärdar certifikat.

Intressant med andra lösningar och annan input tycker jag! 👍

Men jag tycker inte att det låter vare sig säkrare eller smidigare. (Jag ÄLSKAR Touch och Face ID i det avseendet!)

Och let's face it: Människor kommer att bli lurade hur säkert ett system än är. Det handlar om sunt förnuft och att vara lite vaken – vilket en del människor inte är, och då finns det alltid idioter som utnyttjar dessa.

@Björn; Som svar på din fråga om HUR man luras så torde det väl gå till ungefär så här:
- Jag har dina personuppgifter (går lätt att hitta på nätet eller i någons brevlåda).
- Jag ringer från t ex Nordeas nummer (går lätt att ringa från ett fejkat nummer).
- Möjligen tar man här reda på vilken bank du har. Exakt hur vet jag inte, utan att kolla din brevlåda. Men det går ju att chansa.
- Jag säger att jag ringer från Nordea och att det har varit ett intrång på ditt konto, och jag ber dig därför att verfiera att du är du genom att logga in med ditt Bank ID. Samtidigt loggar jag in på MIN dator med DITT personnr.
- Sedan gör jag en överföring och du får verifiera igen.
- Samtalet slut.

Det handlar alltså om datorvana personer med sociala färdigheter. Det är svårt att skydda sig mot mänskliga interaktioner.

Ser ut som att det går att göra på ett liknande sätt med Spaniens koder...?

Ang vad Bank ID är, så var det ett gäng banker som gick ihop för att få till en smidig och säker lösning. Idag används den av myndigheter och alla slags instanser – alltså inte bara bankrelaterat. Jag har svårt att tänka mig en smidigare lösning.

Ursprungligen av carlsson:

Intressant med andra lösningar och annan input tycker jag! 👍
Men jag tycker inte att det låter vare sig säkrare eller smidigare. (Jag ÄLSKAR Touch och Face ID i det avseendet!) ....

....alltså inte bara bankrelaterat. Jag har svårt att tänka mig en smidigare lösning.

Det är ett gravt tekniskt fel om två enheter tillåts loggas in samtidigt från EN användare.
Det "spanska sättet" kräver att Lurendrejaren känner till telefonnummer, användarnamn och lösenord till applikationen samt vilken bank det gäller. Har man lämnat ut allt detta via ett telefonsamtal kan det dyka upp ett meddelande som detta på mobilen; ”BBVA: 196748 är koden för att konfirmera inköp hos ”discoverybags1" för 157,60 Euro." Den som läst (och förstått) meddelandet och därefter besvarar med koden får naturligtvis skylla sig själv.

Jag har lite svårt att förstå ditt syfte med tråden. Du förfaller inte vara tekniskt insatt i de olika lösningarna så det blir mest vaga kommentarer som blandat ihop olika begrepp.

BankID eller Freja Id är inga certifikat. De är e-legimationer och för mig är det något annat än certifikat.

E-legitimationen används för att bekräfta din identitet mot olika tjänster. Du loggar inte in på Bankid. Du bekräftar din identitet mot en annan tjänst via BankID.

Så vitt som jag vet så har inte BankID blivit knäckt utan är säkert.

  • Medlem
  • Mjölby
  • 2018-10-05 14:22

Jag ser det här som ett utbildningsproblem.

Ingen skulle få för sig att lämna över sin plånbok till en främling man möter på gatan som bara ska "gå iväg och kolla en sak". På något sätt kopplar man inte ihop att följa instruktioner från en främling på telefon är samma sak.

Jag tycker BankID är en riktig livskvalitethöjare, men man behöver utbilda folk som inte har någon känsla för hur teknik fungerar.

BankID är ju inte bara till för bankärenden. Det är ett digitalt sätt att bevisa att du är du, och det kommer vi att behöva använda mer i framtiden.

Ursprungligen av Björn Wahlsten:

Det är ett gravt tekniskt fel om två enheter tillåts loggas in samtidigt från EN användare.
Det "spanska sättet" kräver att Lurendrejaren känner till telefonnummer, användarnamn och lösenord till applikationen samt vilken bank det gäller. Har man lämnat ut allt detta via ett telefonsamtal kan det dyka upp ett meddelande som detta på mobilen; ”BBVA: 196748 är koden för att konfirmera inköp hos ”discoverybags1" för 157,60 Euro." Den som läst (och förstått) meddelandet och därefter besvarar med koden får naturligtvis skylla sig själv.

Nu vet jag inte (och tror inte) att man loggar in samtidigt, man bara loggar in på sitt Bank ID eftersom "personen från Nordea ber mig om det, och om de säger att de är från Nordea så måste det ju vara så".

Vidare, så står det i Bank ID antingen "Du vill logga in på Nordea från bla bla bla." eller "Godkänn överföringen om 15.000 kronor till ditt konto hit och dit" eller "Godkänn köpet från Klarna på 688,-".
MEN - det är få som läser vad det står, och om man ändå gör det så säger personen i telefonen att "Det låter konstigt, men klicka på OK". Och det är väldigt ofta personer som inte fattar vad dem gör, som gör vad personer säger till dem.

I ditt SMS-fall så måste jag först läsa och förstå texten, och sen slå in en kod. Det är alltså EXAKT samma förfarande som med Bank ID! Skillnaden är att jag med Bank ID skriver in min kod, eller använder mitt Touch/Face ID, istället för att svara på ett SMS.

Enligt Wikipedia är Spanien ett av de länder som är mest drabbat av scams av denna typen; "Other nations known to have a high incidence of advance-fee fraud include: Ivory Coast, Togo, South Africa, the Netherlands, and Spain."
Saxat från: https://en.wikipedia.org/wiki/Advance-fee_sca...

Jag drar mitt streck i diskussionen med att gå till något som skulle kunna vara en något så när vederhäftig källa...

Myndigheten för digital förvaltning

Personligen tycker jag att (Mobilt) Bank-ID är bland det smartaste funktion som sett dagens ljus. Otroligt smidig lösning för alla möjliga myndigheter och företag.

  • Wisserbesser
  • Uddevalla
  • 2018-10-05 19:26
Ursprungligen av Björn Wahlsten:

Det är ett gravt tekniskt fel om två enheter tillåts loggas in samtidigt från EN användare.
Det "spanska sättet" kräver att Lurendrejaren känner till telefonnummer, användarnamn och lösenord till applikationen samt vilken bank det gäller. Har man lämnat ut allt detta via ett telefonsamtal kan det dyka upp ett meddelande som detta på mobilen; ”BBVA: 196748 är koden för att konfirmera inköp hos ”discoverybags1" för 157,60 Euro." Den som läst (och förstått) meddelandet och därefter besvarar med koden får naturligtvis skylla sig själv.

Om jag förstår det rätt så är den spanska lösningen lik i flera avseenden med (Mobilt) BankID. Du påbörjar en inloggning eller en signering (tex avtal eller köp). Jag får öppna BankID-appen och verifiera med tummen samt min kod ≥6 tecken. Du får ett SMS som du ska svara på, om du godkänner inloggning eller signering.

Mobilt BankID är säkrat med telefonens lösenkod/TouchID och den personliga koden.
Den spanska är inte skyddad mer än dina SMS.

1-0 till Mobilt BankID.

På tal om SMS, detta går via ett av de minst säkra kommunikationssystem som vi använder oss av.
Och vidarebefordring av SMS är en barnlek för en app, ffa på Android.

2-0 till BankID.

Sen att svenska banker totalt struntat i att se till att användarna förstår innebörden av att logga in/signera med BankID, ja det är ett fett misslyckande.

Efter att ha läst denna tråd känns det rätt skönt att man inte bor i Spanien.

Ursprungligen av reboot81:

Om jag förstår det rätt så är den spanska lösningen lik i flera avseenden med (Mobilt) BankID. Du påbörjar en inloggning eller en signering (tex avtal eller köp). Jag får öppna BankID-appen och ....
Sen att svenska banker totalt struntat i att se till att användarna förstår innebörden av att logga in/signera med BankID, ja det är ett fett misslyckande.

Visst är lösningarna ganska lika. En skillnad är dock att jag loggar in på bankens applikation med användarnamn och lösenord. Jag kan även välja att logga in med fingeravtryck på min iPhone. SMS får jag bara om jag (eller Lurendrejaren) har begärt en tjänst av banken. Banken skickar då ett SMS till min mobil och ingen annan. Det betyder att någon med användarnamn och lösenord kan ta sig in på applikationen men sedan är det stopp. Det är bara jag från min mobil som kan besluta om banken skall utföra något.
Jag tycker det är skillnad på att bara logga in med Mobilt BankID och att få ett SMS med en utförlig text.

  • Medlem
  • Karlskoga
  • 2018-10-06 17:01

Den utförliga texten får vi ju i bankappen så fort vi gör något! Mobilt BankID har inget med det att göra, det är som att visa fram sitt körkort för personalen.

Bevaka tråden