Bank ID rekommenderar alla att dela platsinformation

Tråden skapades och har fått 39 svar. Det senaste inlägget skrevs .

Bank ID har uppdaterats och använder nu platsinformation i ett försök att motverka bedrägerier. Just nu är det frivilligt men längre fram kan det komma att bli obligatoriskt.

Läs hela artikeln här

  • Medlem
  • Göteborg
  • 2018-05-15 07:52

Detta kan jag leva med och uppskatta om det motverkar bedrägerier. Det är svårt att begära anonymitet i en tjänst som går ut på att bevisa att jag är jag för motparten. BankID ersätter ju t.ex bankomatuttag eller fysiskt besök i en bank. I bäda de fallen uppger jag min platsinformation.

Men hänvisningen till ”Enemy of the state” var bra

  • Medlem
  • 2018-05-15 08:51

Orwellskt. Särskilt om detta skulle bli ett krav för att använda Svensk e-legitimation (E-legitimationsnämnden är ju en statlig myndighet under Finansdepartementet).

Med tanke på att platsinformationen i exempelvis Pokémon GO rutinmässigt spoofas, så förstår jag inte hur BankIDs krav på platsinformation ger något annat än falsk säkerhet. Det förefaller mer vara en förevändning för att kartlägga BankID-användares rörelsemönster. Vilken plats som lämpar sig för spoofing framgår ju av folkbokföringsadressen (vilket jag antar är lätt tillgängligt om du har personnumret till BankID).

Finns det något bra alternativ till BankID, som inte spionerar på sina användare? Helst öppen källkod och granskad av oberoende och tillräckligt kompetent tredje part.

Ursprungligen av IngoX:

BankID ersätter ju t.ex bankomatuttag eller fysiskt besök i en bank. I bäda de fallen uppger jag min platsinformation.

BankID ersätter även signatur på deklarationen, samt kod till telefonbank (inloggning på internetbank), vilka inte uppger någon platsinformation.

Såg i Playbutiken för Android att detta kom där i april. Det var en som var arg (”integritet”). Bank ID svarade också.
För egen del undrar jag om man kan få bli problem om datorn inte anger plats, inte alls eller inte korrekt, och om man vill använda mobilt bank id.

Freja e-Id finns alltid men du behöver en aktör som används av de tjänster som du vill komma åt.

Dessutom så är open source överreklamerat men det är en annan diskussion

  • Medlem
  • 2018-05-15 09:27
Ursprungligen av IngoX:

Det är svårt att begära anonymitet i en tjänst som går ut på att bevisa att jag är jag för motparten.

Du likställer felaktigt anonymitet med integritet. Jag finner det vara ett argumentationsfel att påstå att det inte går att begära anonymitet, när det handlar om att begära integritet och rätt till privatliv.

Ursprungligen av amn:

Du likställer felaktigt anonymitet med integritet. Jag finner det vara ett argumentationsfel att påstå att det inte går att begära anonymitet, när det handlar om att begära integritet och rätt till privatliv.

Du har rätt till det. Man är inte i princip tvingad att använda diverse tjänster på Internet. Där finns integriteten, intakt. Att ett sådant val kan kännas praktiskt orimligt är principiellt irrelevant.
Vad du egentligen begär är att tjänsterna ska ske på dina villkor. Man kan alltid begära det, men det finns inga egentliga argument som stöder att aktörerna måste tillmötesgå dig. Särskilt inte om tjänsterna är avgiftsfria.

Jag skulle mer vara intresserad av hur platsinformationen används för att förhindra bedrägerier? Och om detta de facto förbättrar säkerheten.

Det största bedrägeriet som jag har hört talas om har inte att göra med var (geografisk) jag loggar in på appen utan att jag luras att godkänna en inloggning på en annan site än den jag trodde.

  • Medlem
  • 2018-05-15 12:24

Det enklaste vore om banker och andra inte tillåter parallella sessioner.

https://www.svt.se/nyheter/inrikes/nordea-vi-...

BTW, uppdaterade nyss men ser inga spår efter appen i platstjänsterna så jag undrar om de har gjort något?

Ingen fråga om tillstånd att använda platstjänsterna från IOS. Någon som har uppdaterat och fått en fråga?

Version 7.9.0.177

  • Medlem
  • Överallt
  • 2018-05-15 12:46

Min dagsfärska version frågar.

  • Medlem
  • 2018-05-15 12:49
Ursprungligen av BlackSmp:

BTW, uppdaterade nyss men ser inga spår efter appen i platstjänsterna så jag undrar om de har gjort något?

Ingen fråga om tillstånd att använda platstjänsterna från IOS. Någon som har uppdaterat och fått en fråga?

Version 7.9.0.177

För mig dök fråga om tillstånd upp först när jag använde BankIDet till något (legitimering exempelvis).

  • Medlem
  • 2018-05-15 12:49
Ursprungligen av BlackSmp:

BTW, uppdaterade nyss men ser inga spår efter appen i platstjänsterna så jag undrar om de har gjort något?

Ingen fråga om tillstånd att använda platstjänsterna från IOS. Någon som har uppdaterat och fått en fråga?

Version 7.9.0.177

Jag fick frågan om platstjänster när jag loggade in på min bank med mobilt bankid. Svarade nej.

  • Medlem
  • 2018-05-15 13:38
Ursprungligen av Zeugma:

Du har rätt till det. Man är inte i princip tvingad att använda diverse tjänster på Internet. Där finns integriteten, intakt. Att ett sådant val kan kännas praktiskt orimligt är principiellt irrelevant.
Vad du egentligen begär är att tjänsterna ska ske på dina villkor. Man kan alltid begära det, men det finns inga egentliga argument som stöder att aktörerna måste tillmötesgå dig. Särskilt inte om tjänsterna är avgiftsfria.

Med vad du citerar, så syftade jag blott till att påpeka att frågan handlar om integritet och inte anonymitet.

Jag har aldrig begärt eller påstått att BankID måste tillmötesgå mig. Istället frågade jag efter alternativ tjänst att fly till.

Att betala för tjänster som respekterar min integritet har jag inga problem med (därav att jag använder Apple), men jag känner inte till någon sådan alternativ e-legitimation som går att använda på myndigheternas e-tjänster.

Med tanke på att staten utfärdar fysiska legitmationer, så finner jag det rimligt att de även borde utfärda även e-legitimationer. Jag tycker inte att det är rätt att i praktiken tvinga medborgarna till använda kommersiella tjänster för legitimera sig för staten. Vad hindrar BankID et al. från att kan tjäna storkovan på att kunna positionera miljontals svenskar på några meter när, under ogrundade förevändningar som att det "motverkar bedrägeri" och "höj[er] säkerheten" (se bild ovan)?

edit: stavfel

Ursprungligen av amn:

... Jag tycker inte att det är rätt att i praktiken tvinga medborgarna till använda kommersiella tjänster för legitimera sig för staten. ...

Det kan man tycka, men eftersom det inte är något principiellt tvång går det fritt vad gäller integritet/privatliv.

Ursprungligen av amn:

... Vad hindrar BankID et al. från att kan tjäna storkovan på att kunna positionera miljontals svenskar på några meter när, under ogrundade förevändningar som att det "motverkar bedrägeri" och "höj[er] säkerheten" (se bild ovan)? ...

Utfärdare måste följa en massa styrdokument. Bland annat detta. Citat:

Konspirationsteoriers validitet kan jag omöjligt uttala mig om.

Ursprungligen av amn:

... Istället frågade jag efter alternativ tjänst att fly till. ...

AB Svenska Pass har sökt och fått tillstånd att tillhandahålla e-leg till privatpersoner. Mer om företaget här. De tillhandahåller Skatteverkets ID, som man kan läsa mer om här och här. Kan kanske vara något?

  • Medlem
  • 2018-05-15 14:50
Ursprungligen av Zeugma:

Det kan man tycka, men eftersom det inte är något principiellt tvång går det fritt vad gäller integritet/privatliv.
Utfärdare måste följa en massa styrdokument. Bland annat detta. Citat:

Konspirationsteoriers validitet kan jag omöjligt uttala mig om.

Jag är ingen advokat, men jag ser ingenting i vad du citerade som stödjer lagring av exakt platsinformation.

Vänligen insinuera inte att jag är konspirationsteoretiker. Det var du som gick in i en principiell diskussion, istället för en praktisk. Vad som är "praktiskt orimligt är principiellt irrelevant". Därav frågan om vad som principiellt hindrar "aktörerna" att utnyttja platsinformationen i vinstdrivande syfte. Särskilt om tjänsterna är avgiftsfria.

  • Medlem
  • 2018-05-15 14:52
Ursprungligen av Zeugma:

AB Svenska Pass har sökt och fått tillstånd att tillhandahålla e-leg till privatpersoner. Mer om företaget här. De tillhandahåller Skatteverkets ID, som man kan läsa mer om här och här. Kan kanske vara något?

Förhoppningsvis.

Ursprungligen av amn:

Jag är ingen advokat, men jag ser ingenting i vad du citerade som stödjer lagring av exakt platsinformation. ...

Mitt svar riktades mot detta: ”... Vad hindrar BankID et al. från att kan tjäna storkovan på att kunna positionera miljontals svenskar på några meter när, under ogrundade förevändningar som att det "motverkar bedrägeri" och "höj[er] säkerheten" (se bild ovan)? ...” Att döma av citatet får personrelaterad information, varav plats är en, bara lagras så lite som möjligt. Att använda sådana uppgifter utöver själva tjänsten är därmed uteslutet. Vad utfärdarna ändå gör kan jag inte uttala mig om. För vad hindrar någon från att begå inbrott i någon annans hem om tio minuter? Annat än att det inte är tillåtet?

Jag ringde nyss E-legitimationsnämnden för att fråga om det är okej med regelverket att kräva platsinformation för att man ska kunna använda mobilt bank id. Juristen jag talade med, och som själv hade sett detta igår, skulle undersöka saken och återkomma, dock inte de närmaste dagarna. Hellre rätt än snabbt, bra så!

  • Medlem
  • 2018-05-15 15:30
Ursprungligen av Zeugma:

Att döma av citatet får personrelaterad information, varav plats är en, bara lagras så lite som möjligt.

Precis. Då säkerheten i e-legitimationer vilar på beprövade kryptografiska primitiver och protokoll, och inte på lättförfalskad platsinformation, så är exakt platsinformation inte nödvändigt. Som jag förstår saken.

Ursprungligen av amn:

Precis. Då säkerheten i e-legitimationer vilar på beprövade kryptografiska primitiver och protokoll, och inte på lättförfalskad platsinformation, så är exakt platsinformation inte nödvändigt. Som jag förstår saken.

Nej, givetvis är det inte nödvändigt. Det tror jag ingen anser. Det är bara ett försök att motverka bedrägerier. Stig-Arne, 85, ska inte via telefon med framgång förmås att signera sitt bank id. Oklart dock hur effektivt det är, som du indikerar. Buset hittar oftast en ny väg.

  • Medlem
  • 2018-05-15 15:38
Ursprungligen av Zeugma:

Jag ringde nyss E-legitimationsnämnden för att fråga om det är okej med regelverket att kräva platsinformation för att man ska kunna använda mobilt bank id. Juristen jag talade med, och som själv hade sett detta igår, skulle undersöka saken och återkomma, dock inte de närmaste dagarna. Hellre rätt än snabbt, bra så!

Strålande! Grymt bra initiativ. Vänligen återkom med deras svar. Hellre rätt än snabbt. Definitivt.

  • Medlem
  • 2018-05-15 15:48
Ursprungligen av Zeugma:

Nej, givetvis är det inte nödvändigt. Det tror jag ingen anser. Det är bara ett försök att motverka bedrägerier. Stig-Arne, 85, ska inte via telefon med framgång förmås att signera sitt bank id. Oklart dock hur effektivt det är, som du indikerar. Buset hittar oftast en ny väg.

Är det tänkt som ett skydd mot social engineering? Nämen gud så dumt.

Att lagra exakt platsinformation för miljontals svenskar (som naturligtvis blir ett läckert mål för hackers), det finner jag inte vara proportionerligt till det lilla möjliga teoretiska skydd det medför mot social engineering. Som du säger buset hittar oftast en ny väg, och den finns ju redan utstakad i och med enkel spoofing.

edit: Förresten. Om tanken är att identifiera bedragare genom platsinformationen, så är det ju bara för bedragarna att befinna sig på allmän plats utan kameraövervakning. Ingen spoofing nödvändig. Detta verkar inte genomtänkt överhuvudtaget.

Senast redigerat 2018-05-15 16:12

Ja, detta var verkligen en usel lösning mot social engineering. Jisses. Att man riskerar ALLA användares integritet (givetvis kan miljoner individuella platsinformationer hackas - allt finns på servers såklart) riskeras bara för att några få åldringar/korkskallar är absurt lättlurade och psykotiskt auktoritetstroende (det var ju från banken/myndigheten/polisen/etc!! han lät så...myndig...och klok...) - OCH att media drog igång hysterin (hade media inte hoppat på detta löjligt minimala säkerhetsproblem (som ju är ett socialt problem...mänskliga faktorer) så hade det inte blivit någon hysterisk snabblösning som detta).

Ursprungligen av Zeugma:

Jag ringde nyss E-legitimationsnämnden för att fråga om det är okej med regelverket att kräva platsinformation för att man ska kunna använda mobilt bank id. Juristen jag talade med, och som själv hade sett detta igår, skulle undersöka saken och återkomma, dock inte de närmaste dagarna. Hellre rätt än snabbt, bra så!

Tveksamt om de har så mycket att säga till om.

Citat:

Vi är en statlig myndighet som stöder och samordnar offentlig sektor i frågor som rör e-legitimering och e-underskrift nationellt och internationellt. Vi granskar även utfärdare för kvalitetsmärket Svensk e-legitimation

BankID är privat och inte offentlig sektor. Det finns inget krav att en e-legitimation måste vara kvalitetsmärkt med Svensk e-legitimation. Bank-id är inte kvalitetsmärkt även om de nyss har ansökt om det.

Ursprungligen av Ljung:

Jag fick frågan om platstjänster när jag loggade in på min bank med mobilt bankid. Svarade nej.

Jo, frågan kom när jag skulle legitimera första gången.

Ursprungligen av Zeugma:

AB Svenska Pass har sökt och fått tillstånd att tillhandahålla e-leg till privatpersoner. Mer om företaget här. De tillhandahåller Skatteverkets ID, som man kan läsa mer om här och här. Kan kanske vara något?

Freja eID är också ett alternativ som jag har påpekat ett antal gånger

Hur kommer detta påverka om man använder VPN?

Ursprungligen av BlackSmp:

Tveksamt om de har så mycket att säga till om.

BankID är privat och inte offentlig sektor. Det finns inget krav att en e-legitimation måste vara kvalitetsmärkt med Svensk e-legitimation. Bank-id är inte kvalitetsmärkt även om de nyss har ansökt om det.

Jo, men på samma sida anges att de också ”Granskar fristående underskriftstjänster”. Mer om det står här. Dock sker själva ansökan till Kammarkollegiet. Juristen jag talade med svor sig inte fri vad gällde detta, utan skulle höra av sig. Om han och hans myndighet inte skulle ha med BankID® att göra så skulle han väl ha sagt det? Vi får se när han hör av sig.

Bevaka tråden