Bör Bank-id gå i graven?

Tråden skapades och har fått 99 svar. Det senaste inlägget skrevs .
Ursprungligen av BlackSmp:

Prova https://www.nyteknik.se/sakerhet/sa-ska-bank-...

Citat:

Den nya lösningen gäller dock bara vid inloggning via mobilt bank-id mot tjänster i datorn, till exempel internetbanken, och inte via mobilen.

Vilket faktiskt sällan hjälper mig eftersom jag oftast gör alla ärenden via mobilen - men alla småsteg är nog bra - men problemet är det vanliga: säkerhet och bekvämlighet är motsatser

”Bank-id med ett extra steg” liknar den ”spanska metoden”. Istället för att fotografera av en QR-kod, skickar man tillbaka de sex siffror som dyker upp på mobiltelefonen. Varför man skickar just sex siffror fattar jag inte, det är ju det faktum att man besitter mobilen som räknas.

  • Wisserbesser
  • Uddevalla
  • 2018-10-11 01:10
Ursprungligen av Björn Wahlsten:

”Bank-id med ett extra steg” liknar den ”spanska metoden”. Istället för att fotografera av en QR-kod, skickar man tillbaka de sex siffror som dyker upp på mobiltelefonen. Varför man skickar just sex siffror fattar jag inte, det är ju det faktum att man besitter mobilen som räknas.

Jo, men det är allmänt känt att SMS inte är säkert.
BankID, skyddat med telefonens lösenkod/touchid/faceid är betydligt säkrare. Dessutom är den låst till de enheter du har BankID på.
SMS är varken låst till telefon eller SIM-kort.

Ursprungligen av BlackSmp:

Vilket faktiskt sällan hjälper mig eftersom jag oftast gör alla ärenden via mobilen - men alla småsteg är nog bra - men problemet är det vanliga: säkerhet och bekvämlighet är motsatser

Efter lite eftertanke så inser jag att jag tänkte fel - eftersom attacken är att de ska lura mig att godkänna en inloggning som de gör på en annan dator så försvårar det attacker - dvs hjälper mig även om jag sällan loggar in via dator.

Apropå det som Reboot skriver - SMS-koder är bara elände

Ursprungligen av reboot81:

Jo, men det är allmänt känt att SMS inte är säkert.
BankID, skyddat med telefonens lösenkod/touchid/faceid är betydligt säkrare. Dessutom är den låst till de enheter du har BankID på.
SMS är varken låst till telefon eller SIM-kort.

Via en spoofing-attack kan någon skicka ett sms till en mobil som ser ut att komma från någon annan, exempelvis mottagarens bank. Att svara på detta eller klicka på bifogade webblänkar kan sedan utnyttjas för att komma åt känsliga uppgifter. Det är emellertid banken som skickar en kod och den är inte känd för den som attackerar. För att banken (i det spanska fallet) skall skicka en kod måste ägaren av kontot eller den som utför attacken vara inloggad på kontot.

  • Wisserbesser
  • Uddevalla
  • 2018-10-11 10:33
Ursprungligen av Björn Wahlsten:

Via en spoofing-attack kan någon skicka ett sms till en mobil som ser ut att komma från någon annan, exempelvis mottagarens bank. Att svara på detta eller klicka på bifogade webblänkar kan sedan utnyttjas för att komma åt känsliga uppgifter. Det är emellertid banken som skickar en kod och den är inte känd för den som attackerar. För att banken (i det spanska fallet) skall skicka en kod måste ägaren av kontot eller den som utför attacken vara inloggad på kontot.

Är koden känd av dig på förväg?

  • Medlem
  • 2018-10-11 12:47

Det finns en anledning till att Google vill gå ifrån tvåstegsverifering med sms till att istället använda deras app

So, why the move away from SMS?
For the simple fact that receiving 2SV codes via SMS is less secure than using an authentication app. Hackers have been able to trick carriers into porting a phone number to a new device in a move called a SIM swap. It could be as easy as knowing your phone number and the last four digits of your social security number, data that tends to get leaked from time to time from banks and large corporations. Once a hacker has redirected your phone number, they no longer need your phone in order to gain access to your 2SV codes.

https://www.cnet.com/how-to/why-you-are-at-ri...

SMS är aldrig säkert. En krypterad app som bankid där varje enhet har olika id'n och banken verifierar att dessa enheter är godkända, är mycket säkrare

Ursprungligen av reboot81:

Är koden känd av dig på förväg?

Koden är okänd och består av sex siffror. Siffrorna är alltid olika.

  • Medlem
  • Stockholm
  • 2018-10-11 17:33

Intressant att TS dömer ut ett system han uppenbarligen inte vet hur det fungerar.

Men jag har en fundering som nån kanske kan besvara:

Mina (mobila) BankID är utfärdade i mitt namn. Utan denna koppling kommer (väl?) inte BankID-appen att få reda på att det sker en begäran om inloggning?

Krävs det då inte att bedragarna lyckats få ett mobilt BankID i mitt namn för att deras inloggning skall fungera? Här finns det isåfall en brist hos bankerna.

  • Medlem
  • 2018-10-11 18:22
Ursprungligen av oskard:

Intressant att TS dömer ut ett system han uppenbarligen inte vet hur det fungerar.

Men jag har en fundering som nån kanske kan besvara:

Mina (mobila) BankID är utfärdade i mitt namn. Utan denna koppling kommer (väl?) inte BankID-appen att få reda på att det sker en begäran om inloggning?

Krävs det då inte att bedragarna lyckats få ett mobilt BankID i mitt namn för att deras inloggning skall fungera? Här finns det isåfall en brist hos bankerna.

Nej, det är enklare än så.

Bedragaren ringer till dig och ber att du ska identifiera dig hos banken genom att logga in där med mobilt bankid.

Innan du gör det har bedragaren angett ditt personnummer på internetbankens inloggningssida och startat en bankid-session som står och väntar.

När du loggar in med ditt mobila bankid så står bedragaren före dig i kön och det är hans session som valideras när du loggar in.

Enkelt

  • Medlem
  • Stockholm
  • 2018-10-11 18:48

OK. Att kunna logga in med hjälp av ett BankID som är utfärdat till någon annan känns som en svaghet.

  • Wisserbesser
  • Uddevalla
  • 2018-10-12 00:26
Ursprungligen av oskard:

OK. Att kunna logga in med hjälp av ett BankID som är utfärdat till någon annan känns som en svaghet.

Det går inte.

Endast ditt BankID kan logga in/signera åt dig. Men om du bedragaren påbörjar en inloggning på sin dator, med ditt publika personnummer, och du sedan godkänner denna inloggning i din telefon – ja då har du loggat in dig själv på hans dator.

BankID är vad vi vet säkert. Människor är vad vi vet lättlurade.

Problemet är att människor går på denna blåsning.

Ursprungligen av oskard:

Mina (mobila) BankID är utfärdade i mitt namn. Utan denna koppling kommer (väl?) inte BankID-appen att få reda på att det sker en begäran om inloggning?

Krävs det då inte att bedragarna lyckats få ett mobilt BankID i mitt namn för att deras inloggning skall fungera? Här finns det isåfall en brist hos bankerna.

Det har hänt. Ett falskt eller stulet fysiskt id-kort har använts för att få ut ett BankID. Bristen är då alltså inte i BankID utan kontrollen vid besöket på bankkontoret. Du kan göra ett hur smart och listigt system som helst men om någon kan bluffa sig till att bli insläppt i systemet med ett falskt ID-kort, ett övertygande telefonsamtal eller på något annat sätt så är det kört. Det är människan som är den svaga länken. Med den nya QR-koden försvårar man i alla fall eftersom mobiltelefonen med BankID och datorn som begär transaktionen måste befinna sig på armlängds avstånd från varandra.

Man skaffar väl inte ett Bank-ID på ett bankkontor...finns ens bankkontor kvar? Jag har då inte varit på ett bankkontor på många, mpnga år och Bank-ID fixar man via Internet, hemma vid datorn, något fysiskt id-kort har aldrig varit inblandat.

Ursprungligen av Sir N.:

Det har hänt. Ett falskt eller stulet fysiskt id-kort har använts för att få ut ett BankID. Bristen är då alltså inte i BankID utan kontrollen vid besöket på bankkontoret. Du kan göra ett hur smart och listigt system som helst men om någon kan bluffa sig till att bli insläppt i systemet med ett falskt ID-kort, ett övertygande telefonsamtal eller på något annat sätt så är det kört. Det är människan som är den svaga länken. Med den nya QR-koden försvårar man i alla fall eftersom mobiltelefonen med BankID och datorn som begär transaktionen måste befinna sig på armlängds avstånd från varandra.

  • Medlem
  • 2018-10-12 09:14
Ursprungligen av Demiurgen:

Man skaffar väl inte ett Bank-ID på ett bankkontor...finns ens bankkontor kvar? Jag har då inte varit på ett bankkontor på många, mpnga år och Bank-ID fixar man via Internet, hemma vid datorn, något fysiskt id-kort har aldrig varit inblandat.

Vi kanske inte går dit för att fixa ett bank-id men de som luras verkar göra det

  • Medlem
  • TRELLEBORG
  • 2018-10-12 09:33

Hela den här tråden verkar blanda ihop äpplen och päron.

Bank-ID - Är en dosa där du stoppar in ditt betalkort som läser av chippet.

Mobilt Bank-ID - Är egentligen det som diskuteras i tråden. Appbaserad identifieringsprocess.

Vi kan vara överrens (exkluderat TS) att;

Mobilt Bank-ID är överlägset några engångdkoder via SMS. SMS är förövrigt en förlegad standard utan någon större kryptering.

Människor kommer alltid att bli lurade oavsett hur säkert Mobilt Bank-ID kommer att bli.

  • Medlem
  • Malmö
  • 2018-10-12 09:48
Ursprungligen av reboot81:

BankID är vad vi vet säkert. Människor är vad vi vet lättlurade.

Problemet är att människor går på denna blåsning.

Det är bara detta det handlar om, dumma människor och social engineering. Inget mer att diskutera.

Ursprungligen av Demiurgen:

Man skaffar väl inte ett Bank-ID på ett bankkontor...finns ens bankkontor kvar? Jag har då inte varit på ett bankkontor på många, mpnga år och Bank-ID fixar man via Internet, hemma vid datorn, något fysiskt id-kort har aldrig varit inblandat.

På något sätt måste du identifiera dig första gången. Sen är det en fråga om chain-of-trust ...

Ursprungligen av wemme:

Hela den här tråden verkar blanda ihop äpplen och päron.

Bank-ID - Är en dosa där du stoppar in ditt betalkort som läser av chippet.

Mobilt Bank-ID - Är egentligen det som diskuteras i tråden. Appbaserad identifieringsprocess.

Vi kan vara överrens (exkluderat TS) att;

Mobilt Bank-ID är överlägset några engångdkoder via SMS. SMS är förövrigt en förlegad standard utan någon större kryptering.

Människor kommer alltid att bli lurade oavsett hur säkert Mobilt Bank-ID kommer att bli.

Hur osäkert är SMS i just detta sammanhang? Antag att lurendrejaren har lurat till sig användarnamn, lösenord och användarens telefonnummer. Lurendrejaren loggar in och beställer en överföring. Hur skall lurendrejaren kunna läsa det SMS som banken skickar till användaren? Användaren läser i sitt SMS att banken vill ha bekräftat att ett stort belopp skall överföras till ett okänt konto. Detta måste bekräftas genom att returnera de sex mottagna siffrorna. Siffrorna är slumpmässiga.
Man kan också tänka sig att lurendrejaren ringer och ber användare att logga in och godkänna den överföring som lurendrejaren lagt in. Även i detta fall måste bankens SMS besvaras korrekt.

Jag menar alltså Mobilt bank-ID. Man bara loggar in på sin bank och skaffar ett. Det behövs inget ID-kort eller bankkontor, man kan göra det när man sitter på muggen hemma eller på en flygplats i New York.

Ursprungligen av Sir N.:

På något sätt måste du identifiera dig första gången. Sen är det en fråga om chain-of-trust ...

  • Medlem
  • Lund
  • 2018-10-12 13:54
Ursprungligen av Demiurgen:

Jag menar alltså Mobilt bank-ID. Man bara loggar in på sin bank och skaffar ett. Det behövs inget ID-kort eller bankkontor, man kan göra det när man sitter på muggen hemma eller på en flygplats i New York.

Det går även att skaffa på ett bankkontor. I det här fallet tyckte nog bedragaren att det var det enklaste sättet att komma över ett sådant.

Ursprungligen av Demiurgen:

Jag menar alltså Mobilt bank-ID. Man bara loggar in på sin bank och skaffar ett. Det behövs inget ID-kort eller bankkontor, man kan göra det när man sitter på muggen hemma eller på en flygplats i New York.

Handelsbanken kräver och har hela tiden krävt bankdosa med BankID-kort (med 6-siffrig personlig kod) varje gång man skaffar ett nytt mobilt BankID (t ex på en ny telefon) och man kan bara ha tre aktiva samtidigt om jag minns rätt.

Man kan logga in på HB med mobilt BankID men inte skaffa några nya mobila IDn.

Ja, dosan behövs även på Swedbank för att skaffa Mobilt Bank-ID...men inte ID-kort och besök på ett bankkontor. Det var det jag reagerade på.

Ursprungligen av MultiMan:

Handelsbanken kräver och har hela tiden krävt bankdosa med BankID-kort (med 6-siffrig personlig kod) varje gång man skaffar ett nytt mobilt BankID (t ex på en ny telefon) och man kan bara ha tre aktiva samtidigt om jag minns rätt.

Man kan logga in på HB med mobilt BankID men inte skaffa några nya mobila IDn.

Ursprungligen av wemme:

Hela den här tråden verkar blanda ihop äpplen och päron.

Bank-ID - Är en dosa där du stoppar in ditt betalkort som läser av chippet.

Mobilt Bank-ID - Är egentligen det som diskuteras i tråden. Appbaserad identifieringsprocess.

Vi kan vara överrens (exkluderat TS) att;

Mobilt Bank-ID är överlägset några engångdkoder via SMS. SMS är förövrigt en förlegad standard utan någon större kryptering.

Människor kommer alltid att bli lurade oavsett hur säkert Mobilt Bank-ID kommer att bli.

Det finns Bank-ID på fil också, jag har det på min mac. Ingen dosa. Ibland fungerar det i mobilt Bank-ID:s ställe, ibland inte.

Ursprungligen av wemme:

Bank-ID - Är en dosa där du stoppar in ditt betalkort som läser av chippet.

Jag tror att det du pratar om är bank-id på kort. Det används i en dosa, men det är inte en dosa.

En dosa där man stoppar in sitt betalkort är en variant jag aldrig har hört talas om. Vilken bank handlar det om?

De varianter av bank-id som jag känner till är: på kort, på fil eller mobilt.

  • Medlem
  • 2018-10-12 15:43
Ursprungligen av Jesper Ohlsson:

En dosa där man stoppar in sitt betalkort är en variant jag aldrig har hört talas om. Vilken bank handlar det om?

Nordea för min del. Det är rätt praktiskt, man kan låna någon annans dosa om man skulle behöva. Men i praktiken är enda gången jag använder den när jag ska förnya mitt mobila bankid.

  • Medlem
  • Stockholm
  • 2018-10-12 15:58
Ursprungligen av Jesper Ohlsson:

En dosa där man stoppar in sitt betalkort är en variant jag aldrig har hört talas om. Vilken bank handlar det om?

Har jag gjort nån gång med handelsbanken för att verifiera någon betalning med det kortet. Annars använder man deras BankID-kort i samma dosa. Om man inte (som jag) istället använder Mobilt BankID eftersom det är smidigare.

  • Wisserbesser
  • Uddevalla
  • 2018-10-13 01:43
Ursprungligen av Björn Wahlsten:

Hur osäkert är SMS i just detta sammanhang? Antag att lurendrejaren har lurat till sig användarnamn, lösenord och användarens telefonnummer. Lurendrejaren loggar in och beställer en överföring. Hur skall lurendrejaren kunna läsa det SMS som banken skickar till användaren? …

Experterna är ense: SMS är osäkert. Ungefär som ett vykort. Vem som helst det passerar kan läsa innehållet, fördröja, undanhålla, förvanska eller dela ut det till någon annan.

Ursprungligen av Björn Wahlsten:

Hur osäkert är SMS i just detta sammanhang? Antag att lurendrejaren har lurat till sig användarnamn, lösenord och användarens telefonnummer. Lurendrejaren loggar in och beställer en överföring. Hur skall lurendrejaren kunna läsa det SMS som banken skickar till användaren? Användaren läser i sitt SMS att banken vill ha bekräftat att ett stort belopp skall överföras till ett okänt konto. Detta måste bekräftas genom att returnera de sex mottagna siffrorna. Siffrorna är slumpmässiga.
Man kan också tänka sig att lurendrejaren ringer och ber användare att logga in och godkänna den överföring som lurendrejaren lagt in. Även i detta fall måste bankens SMS besvaras korrekt.

Komplettering till reboots svar

https://www.howtogeek.com/310418/why-you-shouldnt-use-sms-for-two-factor-authentication/

Bevaka tråden