DEBATT: BankID er farligere enn du tror

[Asbjørn Eliassen]

5 hours ago, The Avatar said:

 

Har du Bank-ID på mobil så forutsetter det at det berre er du som har tilgang til å låse opp mobilen ettersom det med den løysinga ikkje er passord. Skal du dele mobilen med andre i husstanden så har du i praksis gitt vedkommande tilgang til alle sparepengane dine. 

Da har du annen bank id på mobil en meg.

Jeg har egen PIN-kode for BankID på mobil som jeg må taste til hver signering/innlogging som krever dette.

At kona og ungene kan åpne mobilen, gir dem ikke tilgang til BankID. Heller ikke andre apper hvor det er egen pinkode (unik og ikke samme som til mobilen) vil de ha tilgang til uten å spørre om dette i tillegg.

 

[Asbjørn Eliassen]

52 minutes ago, Flin said:

For det første, for en click-bait tittel.

Bare en tanke: Er det for lett å få lån hvis alt som trengs er en kodebrikke og et passord?

Nei.

Det er praktisk å kunne flytte/endre huslån uten å dra i banken å signere papirer.

Og alt det andre man kan gjøre.

Utfordringen ligger i opplæring når man får BankID første gang. Tror ikke alle kundebehandlere klarer å formidle dette når fokus er å selge huslån/forsikringer.

 

[roynu]

Tjah. Standarden i dag er firesifret pin kode for BankID på mobil, og du trenger ikke låse opp telefonen for å signere. Jeg har selv lagt merke til at jeg kan overføre store beløp uten å bli bedt om passord. Selv med tradisjonell BankID med kodebrikke og passord vil det ofte være trivielt å installere en keylogger på familiens PC. At banken ruger på privatnøkkelen er også betenkelig. Nei, det er nok best at bankene pålegges større ansvar, det er de som har all anledning til å øke sikkerheten. Prinsippet bør være at du bare er ansvarlig for avtaler du selv inngår, misbruk av signatur/identitet bør altså være finansinstitusjonens problem.

[sk0yern]

roynu skrev (1 time siden):

Tjah. Standarden i dag er firesifret pin kode for BankID på mobil, og du trenger ikke låse opp telefonen for å signere. Jeg har selv lagt merke til at jeg kan overføre store beløp uten å bli bedt om passord. Selv med tradisjonell BankID med kodebrikke og passord vil det ofte være trivielt å installere en keylogger på familiens PC. At banken ruger på privatnøkkelen er også betenkelig. Nei, det er nok best at bankene pålegges større ansvar, det er de som har all anledning til å øke sikkerheten. Prinsippet bør være at du bare er ansvarlig for avtaler du selv inngår, misbruk av signatur/identitet bør altså være finansinstitusjonens problem.

Ser ikke helt hvordan kunden hadde blitt noe tryggere av å lagre privatnøkkel selv. Ikke det som er kjernen i problemstillingen her.

Man er jo bare ansvarlig for avtaler man selv inngår, spørsmålet er om man også er det dersom man har vært uaktsom og gitt andre tilgang til å bruke ens egen ID.

Dersom misbruk av signatur/identitet skal være finansinstitusjonens problem, betyr det slutten på nettbank/mobilbank og generell betaling på nett. Jeg tror ikke så mange er interessert i det.

[roynu]

9 hours ago, sk0yern said:

Ser ikke helt hvordan kunden hadde blitt noe tryggere av å lagre privatnøkkel selv. Ikke det som er kjernen i problemstillingen her.

Man er jo bare ansvarlig for avtaler man selv inngår, spørsmålet er om man også er det dersom man har vært uaktsom og gitt andre tilgang til å bruke ens egen ID.

Dersom misbruk av signatur/identitet skal være finansinstitusjonens problem, betyr det slutten på nettbank/mobilbank og generell betaling på nett. Jeg tror ikke så mange er interessert i det.

Hvorfor tror du det? Tenker du at enkeltpersoner er bedre egnet til å tegne forsikringer og følge opp sikkerheten enn finansinstitusjoner?

Slik systemet fungerer nå er det nærmest uaktsomt å ha BankID, dessverre er det også mer eller mindre obligatorisk.

Selskapene vil kun ta problemstillingene på alvor om de stilles til ansvar. Individuelt ansvar må betinges av beviselig uaktsomhet, kanskje helst beviselig grov uaktsomhet. Det er ikke uaktsomt å ha familie eller å være gammel.

Legg for øvrig merke til at du allerede ikke er ansvarlig for misbruk av kort, slik at en endring i ansvaret for misbruk av BankID neppe vil ha negative konsekvenser for generell betaling på nett.

Endret 16. august 2020 av roynu

[Gr776]

Det er en del som skriver at bankid er obligatorisk. Jeg har med vilje ikke bankid fordi jeg ønsker å sove trygt, og jeg har både visakort, bankkonto og boliglån. Åpenbart leverer jeg selvangivelsen også.

Kommer jeg over et selskap som krever bankid så bruker jeg bare en annen leverandør etter først å spørre om jeg kan la være å bruke det. Det er urimelige å feks kreve at en forbruker må eksponere seg for å bli svindlet hos et annet selskap enn det selskapet de opprinnelig var interessert i å benytte som ikke engang tilbyr finansielle tjenester. Derfor mener jeg at dette allerede forbys av forbrukerloven og det gjenstår en større runde i retten på det for regressdom.

Ingen bør føle seg presset til å aktivere bankid hvis de ikke føler seg trygge.

[Asbjørn Eliassen]

16 hours ago, roynu said:

Tjah. Standarden i dag er firesifret pin kode for BankID på mobil, og du trenger ikke låse opp telefonen for å signere. Jeg har selv lagt merke til at jeg kan overføre store beløp uten å bli bedt om passord. Selv med tradisjonell BankID med kodebrikke og passord vil det ofte være trivielt å installere en keylogger på familiens PC. At banken ruger på privatnøkkelen er også betenkelig. Nei, det er nok best at bankene pålegges større ansvar, det er de som har all anledning til å øke sikkerheten. Prinsippet bør være at du bare er ansvarlig for avtaler du selv inngår, misbruk av signatur/identitet bør altså være finansinstitusjonens problem.

Standarden er at du kan velge en kode. Men de fleste taster kanskje bare inn fire siffer av gammel vane. Jeg har valgt flere på min mobil, og bank id brikkene gir jo ut seks siffer i tillegg til at man nå taste inn personlig passord.

Overføring av beløp kan gjøres i mellom kontoer man har disposisjonsrett på uten bank id, men skal det til annen bank eller konto man ikke selv eier gjøres dette som en regning med BankID. E-faktura og avtalegiro utføres også forenklet etter godkjenning

Dersom din bank tillater at du betaler beløp uten godkjenning ville jeg vært ekstra nøye med hvordan jeg utfører betalinger, samt at det kan være verdt å spørre/informere banken om dette.

Siden BankID bruker enkangskoder, skal keyloggere i utgangspunktet være nytteløst, selv om noen får tak i passordet. Har man mistanke om slikt bør man bytte passord fra en trygg PC. Det kan også være greit etter samlivsbrudd dersom man har gitt bort passordet pga tillit.

Endret 16. august 2020 av Asbjørn Eliassen

[oppat]

On 8/14/2020 at 8:36 PM, LMH1 said:

Men ren praksis er dette ekstrem skjeldent skjer, er vel større sansynlig å bli svindelet med epost fra apple eller playpal hvor de stjeler kontoen og tømmer den. Burde være slik når man ta opp lån bør man få sms\epost om det ellers er det ganske dårlig.

Derfor er det en ekstremt asymmetri i risikobildet.  Hvis noe er ekstremt usannsynlig at det skjer, men hvis det skjer så er det økonomisk ruin, så er det eneste naturlige at bankene dekker det.

Det er dobbelt opp bankenes ansvar når de ikke engang har laget delegering i bankid og hindrer brukere i å sette grenser for risikoen de utsetter seg for.

[oppat]

Helt sinnsyke egenskaper BankID har:

 

- Ingen delegering av rettigheter

- Ingen beløpsgrense.

 

Uten helt basal sikkerhet er risikoen så asymmetrisk at bankene burde dekke absolutt alle situasjoner hvor man blir svindlet, også signering av kontrakter som ikke har noe med bankoverføringer å gjøre.

 

Det at staten har tillatt et digitalt singeringssystem med så ekstreme svakheter må grunnes i en eller annen korrupsjon.  Det er for ekstremt til å tro at de gjorde dette uten en eller annen form for bestikkelse.

[sk0yern]

oppat skrev (2 timer siden):

Helt sinnsyke egenskaper BankID har:

 

- Ingen delegering av rettigheter

- Ingen beløpsgrense.

BankID er en elektronisk legitimasjon. Du kan like gjerne klage på at et pass ikke har beløpsgrense.
 

[digimator]

14 hours ago, oppat said:

- Ingen beløpsgrense.

I min nettbank er det grense for kor mye som kan brukast i ein tidsperiode. Eg antar at denne grensa også er gyldig ved delegering. Og eg antar at kun kontoeigar kan endra denne grensa.

[Gr776]

sk0yern skrev (12 timer siden):

BankID er en elektronisk legitimasjon. Du kan like gjerne klage på at et pass ikke har beløpsgrense.
 

Som du åpenbart er klar over vil du ikke være ansvarlig hvis noen andre tar opp lån i ditt navn ved bruk av pass.

[sk0yern]

Gr776 skrev (3 timer siden):

Som du åpenbart er klar over vil du ikke være ansvarlig hvis noen andre tar opp lån i ditt navn ved bruk av pass.

Vet ikke helt om jeg forstår hva du mener her.

Dersom A tar opp lån i B sitt navn, med A sitt pass som legitimasjon, er det åpenbart rett.

Skulle derimot A ta opp lån i B sitt navn, og legitimerer seg vellykket med B sitt pass, så er det ikke like enkelt.
Da må man gå tilbake til videoovervåkning eller lignende, for å kunne vise til at det faktisk ikke var B som var fysisk til stede.

[Gr776]

sk0yern skrev (4 timer siden):

Vet ikke helt om jeg forstår hva du mener her.

Dersom A tar opp lån i B sitt navn, med A sitt pass som legitimasjon, er det åpenbart rett.

Skulle derimot A ta opp lån i B sitt navn, og legitimerer seg vellykket med B sitt pass, så er det ikke like enkelt.
Da må man gå tilbake til videoovervåkning eller lignende, for å kunne vise til at det faktisk ikke var B som var fysisk til stede.

 

Jeg tror vi holder oss til artikkelens problemstiling, ikke delegering av rettigheter eller lignende.

Så lenge du ikke selv har signert på lånepapiret på gamlemåten vil du aldri være ansvarlig uansett.  Passmetoden er dermed mye sikrere for den vanlige forbrukeren.

Endret 17. august 2020 av Gr776

[Asbjørn Eliassen]

32 minutes ago, Gr776 said:

 

Jeg tror vi holder oss til artikkelens problemstiling, ikke delegering av rettigheter eller lignende.

Så lenge du ikke selv har signert på lånepapiret på gamlemåten vil du aldri være ansvarlig uansett.  Passmetoden er dermed mye sikrere for den vanlige forbrukeren.

Problemet er nok at uansett id tyveri, enten på gamlemåten, eller med BankID, så er det den som blir svindlet som sitter igjen med masse rot, ødelagt kredittverdighet, regninger som forfaller mm.

I tillegg kommer kanskje en utfordring rundt bevisbyrde.

Dette er ikke nytt for bankene, og jeg tenker meg at de har greie rutiner for å sjekke ut de fleste, og deretter gå grundigere igjennom de vanskelige sakene. De sitter også på statistikken og ser nok fort når nye metoder dukker opp og øver nok mye på å gjenkjenne mønster. 

Noe som kunne fungert er en forsinkelse for overføring av verdier ut av landet for personkunder, som gjør sporing, stansing og evt verifisering av transaksjoner mulig. 

Men det bunner litt i opplæring til syvende og sist når det gjelder BankID tror jeg. Det er nok få tilfeller der svindlere har hatt passordet og engangskode uten at bruker har vært involvert. (Ser da bort fra svindel i nære relasjoner)

På den positive siden kan jeg nevne at min bank oppdaget en kredittkortsvindel, ringte og spurte om jeg hadde foretatt disse transaksjonene og etter en tid tilbakeførte pengene. Så jeg vet de jobber med slikt i bakgrunnen. 

Endret 17. august 2020 av Asbjørn Eliassen

[oppat]

On 8/14/2020 at 9:58 PM, Eirik99 said:

Det har jo blitt gjentatt x 100 ganger i norsk media de siste årene - Ikke del koden med noen.

At folk blir svindlet er uheldig og leit å lese om, men de hører jo ikke etter. At noen er gift eller samboer har ikke noe å si, da bankID gir signaturrett. Alle vet dette, men de gidder likevel ikke å beskytte seg. De fleste det er snakk om har velvillig delt koden med andre.

Derimot reagerer jeg på det slappe håndverket mange banker utfører. De gidder ikke engang å ringe låntaker for å bekrefte opplysningene, og reiser ingen varselsflagg når de plutselig bytter til et kontonummer tilhørende andre ved utbetaling. Det bør jo ringe noen bjeller hos bankene når slikt skjer.

Tull og tøys.  Det er som å gi alle norske innbyggere en pistol som eneste verktøy for alt fra å åpne flasker til å bekjempe en Russisk invasjon.  Deretter klager man på at enkelte skyter seg selv i foten.

Ser du ikke at det er en ekstrem mismatch mellom brukerbehovet og hva BankId leverer og at BankId kun med statens velsignelse har den makt at rettsvesenet dømmer basert på bruken?

Det at du forsvarer en slik hjernedød teknologi vitner om mangel av forståelse av hvordan både teknologi og mennesker fungerer.

[oppat]

23 hours ago, sk0yern said:

BankID er en elektronisk legitimasjon. Du kan like gjerne klage på at et pass ikke har beløpsgrense.
 

Meningsløs kritikk.  I alle andre situasjoner av kommersiell art er det begrensninger.  Se på OAuth, se på prokura, se på kredittkort.

Ingen profesjonelle aktører aksepterer BankId-lignende teknologi.

[oppat]

1 hour ago, Asbjørn Eliassen said:

 

Men det bunner litt i opplæring til syvende og sist når det gjelder BankID tror jeg. Det er nok få tilfeller der svindlere har hatt passordet og engangskode uten at bruker har vært involvert. (Ser da bort fra svindel i nære relasjoner)

 

 

Nei det bunner i et ekstremt farlig design som er velsignet av Staten hvor kommersielle aktører kan utnytte forbrukerne helt rått.

Hadde Staten hatt noen som helst kompetanse og ryggrad så hadde de trukket signatur-autorisasjonen til BankId hvis de ikke innen 30 dager gjør det mulig å begrense den økonomiske størrelsen, samt delegere ansvar, i BankId.

BankId må bort i dagens drakt.  Opplæring av senile eldre?  Er det en spøk?  Det er kun bankene som er ansvarlige her.  De hindrer fornuftig opsec hos befolkningen.  Det er ekstremt alvorlig og det at Staten gir dem monopol er en tragedie uten sidestykke.

[roynu]

Jeg tror du overså hovedpoenget, som omhandlet familie og andre nære relasjoner. Mennesker med tilgang til familiens PC og som sikkert klarer å finne mobilen eller kodedingsen på nattbordet, eller hvor det nå måtte ligge.

Jeg må for øvrig bekrefte innlogging og betalinger med BankID på mobil, men prosessen inkluderer ikke lenger passordet, kun pin koden. Det er heller ikke nødvendig å låse opp mobilen for å bruke BankID. Dette later til å være vanlig praksis og fremstår som bekymringsverdig. Signering av avtaler, f.eks. om lån, krever fortsatt passord.

[roynu]

On 8/16/2020 at 8:21 PM, sk0yern said:

BankID er en elektronisk legitimasjon. Du kan like gjerne klage på at et pass ikke har beløpsgrense.
 

Nei, fordi tilsvarende misbruk av pass ikke medfører samme ansvar. Stjeler du passet mitt og forfalsker signaturen min, så står jeg ikke ansvarlig for transaksjonen.

Stjeler du derimot BankID’en til samboeren så står hun fullt ansvarlig, fordi hun «åpenbart» må ha vært uaktsom.

Endret 17. august 2020 av roynu