Jump to content
Redaksjonen.

DEBATT: BankID er farligere enn du tror

Recommended Posts

5 hours ago, The Avatar said:

 

Har du Bank-ID p√• mobil s√• forutsetter det at det berre er du som har tilgang til √• l√•se opp mobilen ettersom det med den l√łysinga ikkje er passord. Skal du dele mobilen med andre i husstanden s√• har du i praksis gitt vedkommande tilgang til alle sparepengane dine.¬†

Da har du annen bank id på mobil en meg.

Jeg har egen PIN-kode for BankID på mobil som jeg må taste til hver signering/innlogging som krever dette.

At kona og ungene kan √•pne mobilen, gir dem ikke tilgang til BankID. Heller ikke andre apper hvor det er egen pinkode (unik og ikke samme¬†som til mobilen) vil de ha tilgang til uten √• sp√łrre om dette i tillegg.

 

  • Like 2

Share this post


Link to post
52 minutes ago, Flin said:

For det f√łrste, for en click-bait tittel.

Bare en tanke: Er det for lett å få lån hvis alt som trengs er en kodebrikke og et passord?

Nei.

Det er praktisk å kunne flytte/endre huslån uten å dra i banken å signere papirer.

Og alt det andre man kan gj√łre.

Utfordringen ligger i oppl√¶ring n√•r man f√•r BankID f√łrste gang. Tror ikke alle kundebehandlere klarer √• formidle dette n√•r fokus er √• selge husl√•n/forsikringer.

 

Share this post


Link to post

Tjah. Standarden i dag er firesifret pin kode for BankID p√• mobil, og du trenger ikke l√•se opp telefonen for √• signere. Jeg har selv lagt merke til at jeg kan overf√łre store bel√łp uten √• bli bedt om passord. Selv med tradisjonell BankID med kodebrikke og passord vil det ofte v√¶re trivielt √• installere en keylogger p√• familiens PC. At banken ruger p√• privatn√łkkelen er ogs√• betenkelig. Nei, det er nok best at bankene p√•legges st√łrre ansvar, det er de som har all anledning til √• √łke sikkerheten. Prinsippet b√łr v√¶re at du bare er ansvarlig for avtaler du selv inng√•r, misbruk av signatur/identitet b√łr alts√• v√¶re finansinstitusjonens problem.

Share this post


Link to post
roynu skrev (1 time siden):

Tjah. Standarden i dag er firesifret pin kode for BankID p√• mobil, og du trenger ikke l√•se opp telefonen for √• signere. Jeg har selv lagt merke til at jeg kan overf√łre store bel√łp uten √• bli bedt om passord. Selv med tradisjonell BankID med kodebrikke og passord vil det ofte v√¶re trivielt √• installere en keylogger p√• familiens PC. At banken ruger p√• privatn√łkkelen er ogs√• betenkelig. Nei, det er nok best at bankene p√•legges st√łrre ansvar, det er de som har all anledning til √• √łke sikkerheten. Prinsippet b√łr v√¶re at du bare er ansvarlig for avtaler du selv inng√•r, misbruk av signatur/identitet b√łr alts√• v√¶re finansinstitusjonens problem.

Ser ikke helt hvordan kunden hadde blitt noe tryggere av √• lagre privatn√łkkel selv. Ikke det som er kjernen i problemstillingen her.

Man er jo bare ansvarlig for avtaler man selv inng√•r, sp√łrsm√•let er om man ogs√• er det dersom man har v√¶rt uaktsom og gitt andre tilgang til √• bruke ens egen ID.

Dersom misbruk av signatur/identitet skal være finansinstitusjonens problem, betyr det slutten på nettbank/mobilbank og generell betaling på nett. Jeg tror ikke så mange er interessert i det.

Share this post


Link to post
9 hours ago, sk0yern said:

Ser ikke helt hvordan kunden hadde blitt noe tryggere av √• lagre privatn√łkkel selv. Ikke det som er kjernen i problemstillingen her.

Man er jo bare ansvarlig for avtaler man selv inng√•r, sp√łrsm√•let er om man ogs√• er det dersom man har v√¶rt uaktsom og gitt andre tilgang til √• bruke ens egen ID.

Dersom misbruk av signatur/identitet skal være finansinstitusjonens problem, betyr det slutten på nettbank/mobilbank og generell betaling på nett. Jeg tror ikke så mange er interessert i det.

Hvorfor tror du det? Tenker du at enkeltpersoner er bedre egnet til √• tegne forsikringer og f√łlge opp sikkerheten enn finansinstitusjoner?

Slik systemet fungerer nå er det nærmest uaktsomt å ha BankID, dessverre er det også mer eller mindre obligatorisk.

Selskapene vil kun ta problemstillingene på alvor om de stilles til ansvar. Individuelt ansvar må betinges av beviselig uaktsomhet, kanskje helst beviselig grov uaktsomhet. Det er ikke uaktsomt å ha familie eller å være gammel.

Legg for √łvrig merke til at du allerede ikke er ansvarlig for misbruk av kort, slik at¬†en endring i ansvaret for misbruk av BankID¬†neppe vil¬†ha negative konsekvenser for generell betaling p√• nett.

Edited by roynu
  • Like 1

Share this post


Link to post

Det er en del som skriver¬†at bankid er obligatorisk. Jeg har med vilje ikke¬†bankid fordi jeg √łnsker √• sove trygt, og jeg har b√•de visakort, bankkonto og boligl√•n. √Öpenbart leverer jeg selvangivelsen ogs√•.

Kommer jeg over et selskap som krever bankid s√• bruker jeg bare en annen leverand√łr etter f√łrst √• sp√łrre om jeg kan la v√¶re √• bruke det. Det er¬†urimelige¬†√• feks kreve at en forbruker m√• eksponere seg for √• bli svindlet hos et annet selskap enn det selskapet de opprinnelig var interessert i √• benytte som ikke engang tilbyr¬†finansielle tjenester. Derfor mener jeg at dette¬†allerede forbys¬†av forbrukerloven og det gjenst√•r en st√łrre runde i retten p√• det for regressdom.

Ingen b√łr f√łle seg presset til √• aktivere bankid hvis de ikke f√łler seg trygge.

  • Like 1
  • Innsiktsfullt 1

Share this post


Link to post
16 hours ago, roynu said:

Tjah. Standarden i dag er firesifret pin kode for BankID p√• mobil, og du trenger ikke l√•se opp telefonen for √• signere. Jeg har selv lagt merke til at jeg kan overf√łre store bel√łp uten √• bli bedt om passord. Selv med tradisjonell BankID med kodebrikke og passord vil det ofte v√¶re trivielt √• installere en keylogger p√• familiens PC. At banken ruger p√• privatn√łkkelen er ogs√• betenkelig. Nei, det er nok best at bankene p√•legges st√łrre ansvar, det er de som har all anledning til √• √łke sikkerheten. Prinsippet b√łr v√¶re at du bare er ansvarlig for avtaler du selv inng√•r, misbruk av signatur/identitet b√łr alts√• v√¶re finansinstitusjonens problem.

Standarden er at du kan velge en kode. Men de fleste taster kanskje bare inn fire siffer av gammel vane. Jeg har valgt flere på min mobil, og bank id brikkene gir jo ut seks siffer i tillegg til at man nå taste inn personlig passord.

Overf√łring av bel√łp kan gj√łres i mellom kontoer man har disposisjonsrett p√• uten bank id, men skal det til annen bank eller konto man ikke selv eier gj√łres dette som en regning med BankID. E-faktura og avtalegiro utf√łres ogs√• forenklet etter godkjenning

Dersom din bank tillater at du betaler bel√łp uten godkjenning ville jeg v√¶rt ekstra n√łye med hvordan jeg utf√łrer betalinger, samt at det kan v√¶re verdt √• sp√łrre/informere banken om dette.

Siden BankID bruker enkangskoder, skal keyloggere i utgangspunktet v√¶re nyttel√łst, selv om noen f√•r tak i passordet. Har man mistanke om slikt b√łr man bytte passord fra en trygg PC. Det kan ogs√• v√¶re greit etter samlivsbrudd dersom man har gitt bort passordet pga tillit.

Edited by Asbj√łrn Eliassen

Share this post


Link to post
On 8/14/2020 at 8:36 PM, LMH1 said:

Men ren praksis er dette ekstrem skjeldent skjer, er vel st√łrre sansynlig √• bli svindelet med epost fra apple eller playpal hvor de stjeler kontoen og t√łmmer den. Burde v√¶re slik n√•r man ta opp l√•n b√łr man f√• sms\epost om det ellers er det ganske d√•rlig.

Derfor er det en ekstremt asymmetri i risikobildet.¬† Hvis noe er ekstremt usannsynlig at det skjer, men hvis det skjer s√• er det √łkonomisk ruin, s√• er det eneste naturlige at bankene dekker det.

Det er dobbelt opp bankenes ansvar når de ikke engang har laget delegering i bankid og hindrer brukere i å sette grenser for risikoen de utsetter seg for.

  • Like 1

Share this post


Link to post

Helt sinnsyke egenskaper BankID har:

 

- Ingen delegering av rettigheter

- Ingen bel√łpsgrense.

 

Uten helt basal sikkerhet er risikoen s√• asymmetrisk at bankene burde dekke absolutt alle situasjoner hvor man blir svindlet, ogs√• signering av kontrakter som ikke har noe med bankoverf√łringer √• gj√łre.

 

Det at staten har tillatt et digitalt singeringssystem med så ekstreme svakheter må grunnes i en eller annen korrupsjon.  Det er for ekstremt til å tro at de gjorde dette uten en eller annen form for bestikkelse.

Share this post


Link to post
oppat skrev (2 timer siden):

Helt sinnsyke egenskaper BankID har:

 

- Ingen delegering av rettigheter

- Ingen bel√łpsgrense.

BankID er en elektronisk legitimasjon. Du kan like gjerne klage p√• at et pass ikke har bel√łpsgrense.
 

  • Like 3

Share this post


Link to post
14 hours ago, oppat said:

- Ingen bel√łpsgrense.

I min nettbank er det grense for kor mye som kan brukast i ein tidsperiode. Eg antar at denne grensa også er gyldig ved delegering. Og eg antar at kun kontoeigar kan endra denne grensa.

  • Like 1

Share this post


Link to post
sk0yern skrev (12 timer siden):

BankID er en elektronisk legitimasjon. Du kan like gjerne klage p√• at et pass ikke har bel√łpsgrense.
 

Som du åpenbart er klar over vil du ikke være ansvarlig hvis noen andre tar opp lån i ditt navn ved bruk av pass.

Share this post


Link to post
Gr776 skrev (3 timer siden):

Som du åpenbart er klar over vil du ikke være ansvarlig hvis noen andre tar opp lån i ditt navn ved bruk av pass.

Vet ikke helt om jeg forstår hva du mener her.

Dersom A tar opp lån i B sitt navn, med A sitt pass som legitimasjon, er det åpenbart rett.

Skulle derimot A ta opp lån i B sitt navn, og legitimerer seg vellykket med B sitt pass, så er det ikke like enkelt.
Da må man gå tilbake til videoovervåkning eller lignende, for å kunne vise til at det faktisk ikke var B som var fysisk til stede.

Share this post


Link to post
sk0yern skrev (4 timer siden):

Vet ikke helt om jeg forstår hva du mener her.

Dersom A tar opp lån i B sitt navn, med A sitt pass som legitimasjon, er det åpenbart rett.

Skulle derimot A ta opp lån i B sitt navn, og legitimerer seg vellykket med B sitt pass, så er det ikke like enkelt.
Da må man gå tilbake til videoovervåkning eller lignende, for å kunne vise til at det faktisk ikke var B som var fysisk til stede.

 

Jeg tror vi holder oss til artikkelens problemstiling, ikke delegering av rettigheter eller lignende.

Så lenge du ikke selv har signert på lånepapiret på gamlemåten vil du aldri være ansvarlig uansett.  Passmetoden er dermed mye sikrere for den vanlige forbrukeren.

Edited by Gr776

Share this post


Link to post
32 minutes ago, Gr776 said:

 

Jeg tror vi holder oss til artikkelens problemstiling, ikke delegering av rettigheter eller lignende.

Så lenge du ikke selv har signert på lånepapiret på gamlemåten vil du aldri være ansvarlig uansett.  Passmetoden er dermed mye sikrere for den vanlige forbrukeren.

Problemet er nok at uansett id tyveri, enten p√• gamlem√•ten, eller med BankID, s√• er det den som blir svindlet som sitter igjen med masse rot, √łdelagt kredittverdighet, regninger som forfaller mm.

I tillegg kommer kanskje en utfordring rundt bevisbyrde.

Dette er ikke nytt for bankene, og jeg tenker meg at de har greie rutiner for √• sjekke ut de fleste, og deretter g√• grundigere igjennom de vanskelige sakene. De sitter ogs√• p√• statistikken og ser nok fort n√•r nye metoder dukker opp og √łver nok mye p√• √• gjenkjenne m√łnster.¬†

Noe som kunne fungert er en forsinkelse for overf√łring av verdier ut av landet for personkunder, som gj√łr sporing, stansing og evt verifisering av transaksjoner mulig.¬†

Men det bunner litt i opplæring til syvende og sist når det gjelder BankID tror jeg. Det er nok få tilfeller der svindlere har hatt passordet og engangskode uten at bruker har vært involvert. (Ser da bort fra svindel i nære relasjoner)

P√• den positive siden kan jeg nevne at min bank oppdaget en kredittkortsvindel, ringte og spurte om jeg hadde foretatt disse transaksjonene og etter en tid tilbakef√łrte pengene. S√• jeg vet de jobber med slikt i bakgrunnen.¬†

Edited by Asbj√łrn Eliassen

Share this post


Link to post
On 8/14/2020 at 9:58 PM, Eirik99 said:

Det har jo blitt gjentatt x 100 ganger i norsk media de siste årene - Ikke del koden med noen.

At folk blir svindlet er uheldig og leit √• lese om, men de h√łrer jo ikke etter. At noen er gift eller samboer har ikke noe √• si, da bankID gir signaturrett. Alle vet dette, men de gidder likevel ikke √• beskytte seg. De fleste det er snakk om har velvillig delt koden med andre.

Derimot reagerer jeg p√• det slappe h√•ndverket mange banker utf√łrer. De gidder ikke engang √• ringe l√•ntaker for √• bekrefte opplysningene, og reiser ingen varselsflagg n√•r de plutselig bytter til et kontonummer tilh√łrende andre ved utbetaling. Det b√łr jo ringe noen bjeller hos bankene n√•r slikt skjer.

Tull og t√łys.¬† Det er som √• gi alle norske innbyggere en pistol som eneste verkt√ły for alt fra √• √•pne flasker til √• bekjempe en Russisk invasjon.¬† Deretter klager man p√• at enkelte skyter seg selv i foten.

Ser du ikke at det er en ekstrem mismatch mellom brukerbehovet og hva BankId leverer og at BankId kun med statens velsignelse har den makt at rettsvesenet d√łmmer basert p√• bruken?

Det at du forsvarer en slik hjerned√łd teknologi vitner om mangel av forst√•else av hvordan b√•de teknologi og mennesker fungerer.

Share this post


Link to post
23 hours ago, sk0yern said:

BankID er en elektronisk legitimasjon. Du kan like gjerne klage p√• at et pass ikke har bel√łpsgrense.
 

Meningsl√łs kritikk.¬† I alle andre situasjoner av kommersiell art er det begrensninger.¬† Se p√• OAuth, se p√• prokura, se p√• kredittkort.

Ingen profesjonelle akt√łrer aksepterer BankId-lignende teknologi.

Share this post


Link to post
1 hour ago, Asbj√łrn Eliassen said:

 

Men det bunner litt i opplæring til syvende og sist når det gjelder BankID tror jeg. Det er nok få tilfeller der svindlere har hatt passordet og engangskode uten at bruker har vært involvert. (Ser da bort fra svindel i nære relasjoner)

 

 

Nei det bunner i et ekstremt farlig design som er velsignet av Staten hvor kommersielle akt√łrer kan utnytte forbrukerne helt r√•tt.

Hadde Staten hatt noen som helst kompetanse og ryggrad s√• hadde de trukket signatur-autorisasjonen til BankId hvis de ikke innen 30 dager gj√łr det mulig √• begrense den √łkonomiske st√łrrelsen, samt delegere ansvar, i BankId.

BankId m√• bort i dagens drakt.¬† Oppl√¶ring av senile eldre?¬† Er det en sp√łk?¬† Det er kun bankene som er ansvarlige her.¬† De hindrer fornuftig opsec hos befolkningen.¬† Det er ekstremt alvorlig og det at Staten gir dem monopol er en tragedie uten sidestykke.

Share this post


Link to post

Jeg tror du overså hovedpoenget, som omhandlet familie og andre nære relasjoner. Mennesker med tilgang til familiens PC og som sikkert klarer å finne mobilen eller kodedingsen på nattbordet, eller hvor det nå måtte ligge.

Jeg m√• for √łvrig bekrefte innlogging og betalinger med BankID p√• mobil, men prosessen inkluderer ikke lenger passordet, kun pin koden. Det er heller ikke n√łdvendig √• l√•se opp mobilen for √• bruke BankID. Dette later til √• v√¶re vanlig praksis og fremst√•r som bekymringsverdig. Signering av avtaler, f.eks. om l√•n, krever fortsatt passord.

Share this post


Link to post
On 8/16/2020 at 8:21 PM, sk0yern said:

BankID er en elektronisk legitimasjon. Du kan like gjerne klage p√• at et pass ikke har bel√łpsgrense.
 

Nei, fordi tilsvarende misbruk av pass ikke medf√łrer samme ansvar. Stjeler du passet mitt og forfalsker signaturen min, s√• st√•r jeg ikke ansvarlig for transaksjonen.

Stjeler du derimot BankID‚Äôen til samboeren¬†s√• st√•r hun fullt ansvarlig, fordi hun ¬ę√•penbart¬Ľ m√• ha v√¶rt uaktsom.

Edited by roynu

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Create New...