Hur mycket litar ni på BankId?

Är ni medvetna om att någon illasinnad med falsk legitimation kan skapa ett bankid på bank A och på så sätt få fullständig kontroll över alla dina besparingar på bank B? Nej, jag uppskattar inte säkerheten i BankID-systemet på långa vägar!

BankID är ju som vilken legitimation som helst, med fördelen att de kriminella kan sitta hemma i soffan och utföra överföringarna oavsett finansinstitut.
Det är en av punkterna som kritiserats, att det inte finns någon möjlighet att begränsa denna övergripande åtkomst. Med den fysiska legitimationen så måste du ju släpa ditt huvud till platsen du legitimerar dig på, helt plötsligt är detta inte nödvändigt längre. Missförstå mig inte, jag accepterar fjärraccess så som det skall vara i ett modernt samhälle. Men, jag vill gärna kunna sätta upp vissa regler för hur detta skall ske baserat på kunskapen om mitt eget liv, hur jag reser t.ex. eller som i fallet vi diskuterar vilka institut jag har affärer med.

Jag ser ingen nytta av att Bank B-BankID skall kunna logga in "mig" på Bank A om jag inte själv godkänner detta från Bank A.
Sen har det ju rent historiskt varit en kritiserad produkt som "åtgärdats" i flera fall. Där tycker jag att de har fallerat. Jag vill nog ställa kraven högre på BankID än på t.ex. Microsoft/Intel/AMD och deras eventuella historiska brister då det direkt tar dig till hjärtat av din ekonomi och ditt liv.

En sak jag noterat är att Mobilt BankID (iaf android) använder ett självsignerat certifikat för anslutning till sin tjänst. Lagom udda. Någon som kikat mer i detalj på vad detta kan innebära? Orkade själv inte gräva vidare i ämnet.

Kanske inte blint - men ja förtroendet för bankID är högt här. Kanske inte att driften garanteras alla sekunder på dygnet - men att tjänsten gör rätt och är säker, ja det tror jag generellt på.

Här blir det däremot ett tydligt nej. Det tror jag inte.

Säkerheten för en helhetstjänst är väl som en kedja med dess svagaste länk.
Om man frågar om bankID är den svaga länken så tror jag inte det är problemet särskilt ofta. Säkerheten för inloggningen på en plattform består av så mycket mer än det - och givetvis ger inte användandet av bankID någon säkerhet för att övriga delar är byggda säkert nog.

Lite OT, men vi pratar ju ändå säkerhet och vem man egentligen kan lita på. Denna YouTube-video är från 2016 men ger ändå något att tänka på.

DEF CON 24 - How to Do it Wrong: Smartphone Antivirus and Security Applications Under Fire (35 minuter)

Där tas det först upp att bankerna rekommenderar användandet av antivirusskydd i mobiltelefonerna för att skydda sig. Sedan kavlar forskarna upp armarna och bryter sig in i telefoner med AndroHelm, Avira, CM Security, ESET, Kaspersky, McAfee och MalwareBytes via deras egna produkter !!!!

Fanns inget alternativ som var typ: "Jag vet inte om det säkert eller osäkert, men jag litar ändå inte på det, men jag är så illa tvungen att nyttja det i denna moderna tid". Problemet jag har är att lösningen dom kör med inte är öppen-källkod så var och en själv kan kolla i all källkod och kompilera klienten direkt ifrån källkod, om dom så vill.

BankID som sig är väldigt säkert däremot litar jag desto mindre på integratörer, ett exempel är Klarnas problem för några dagar/veckor? sedan där problemet inte var BankID utan hos Klarna.

Som med det mesta så ligger säkerhetsproblemen oftast i integrationer eller tillägg.

BankID som autentiseringsmetod tror jag är väldigt säker. Problemen är dels social engineering/phishing, och dels att man fortfarande inte har någon kontroll över vad aktören gör med ens session när man väl har autentiserat sig via BankID.

Jag litar inte 100% på något som är digitalt oavsett vad det gäller.

Nytt fall, 23 årig tjej uppmanades legitimera sig via BankID för en kreditupplysning inför ett hyreskontrakt.

På BankID appen såg det ut som en identifikation mot hennes bank. I verkligheten utfärdades ett nytt BankID som bedragarna fritt kunde fortsätta använda utan kännedom för ID-innehavaren. Ingen varning i appen, inget SMS, ingenting om att ett nytt BankID utfärdats till bedragarna.

Källa: Clara blev bedragen på hundratusentals kronor

Ja, det verkar ju även vara det allra vanligaste utifrån vad man ser rapporteras; olika varianter av att stressa upp folk så att de trycker godkänn utan att läsa vad det faktiskt handlar om.

Ja, det är ju godkännandet av den falska legitimationen som är den egentliga bristen i det scenariot.
Dock får det ju en förvärrande effekt att den nya legitimationen (bankid) de får tag i det första läget sedan är avsedd att användas utan fysisk närvaro.

Jag tycker man skall lyfta ögonen lite från BankID som programvara, protokoll, etc. (Typiska design-frågor, som må så vara säkra) och inse att det från användarens synvinkel (lättheten att utnyttja social hacking om ni så vill) saknas mycket som talar om vad som faktiskt är på gång och hända. Tjejen i detta fall är inte ett dugg intresserad av att veta att protokollet är 100% säkert, hon hade nog gärna velat veta att ett nytt ID hade utfärdats, något hon upptäckte några dagar senare!

Ja här har ju banken gjort fel genom att godkänna ett falskt ID utan verifikation på något annat sätt. Vet inte hur det håller juridiskt, men den banken borde bli ersättningsskyldig till eventuell förlust av pengar osv.

Det är min poäng, BankID är alldeles för lätt att utnyttja genom social enginering. Därmed faller hela säkerheten rätt mellan stolarna.

efter att jobbat en del inom bank och finans och samarbetat med "BankID" ett par gånger i div projekt så litar jag på BankID.
men man skall aldrig lita till 100% inte på någonting, de är ju lite Titanic varning då.

största problemet är ofta användarna själva.

Här måste det ju ändå ha vart en inloggning till banken som godkändes? Hur sen banken tillåter ett byte av BankID bara av att logga in en enda gång är ju skrämmande (om det nu är så det fungerade på hennes bank). Om det faktiskt var som artikeln försöker hävda så är det alltså registreringen av nytt bankID som skulle godkännas, men då var de ju redan inne på hennes bankkonto? Känns lite som om det är fler än ett signerande men att det kanske utelämnats för att låta värre