Bank-ID till allt möjligt - ogillar!

[pmd]

Man måste upp till högsta tillitsnivå som med pass och nationella idkort!

Varför?

 

[AndersPS]

Jag tycker att det vore bättre att uppgradera säkerheten på körkort.

Personligen tycker jag det vore bättre att alla var ärliga och vi inte behövde körkort alls. Och att välfärden fick mer pengar men skatterna sänktes och att det blev fred på jorden.

😁

Det är dock irrelevant i sammanhanget.

 

[paralun]

Varför?

Därför att vi har ett klientel som med all sannolikhet ökar i antal som förfalskar legitimationer.

Sedan så var det nog ett "feltänk" med BankId, Freja mfl att det skulle användas överallt.

Så min syn är att jag helt håller med sittande regering om behovet av en statlig e-legitimation med högsta tillitsnivå. Sedan kan BankId, Freja mfl kopplas till den och sedan väljer fritt vilken man vill använda.
https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2023/10/sou-202361/

Swedbank's BankId är ju defacto med högsta tillitsnivå eftersom man kopplat den till ett pass eller nationellt Id-kort.
https://www.swedbank.se/privat/digi...id-kontroll-med-pass-eller-nationellt-id.html

Jag tror Sverige får ändra regelverket så man slipper personligt besök om man har pass eller nationellt Id-kort. Sannolikt så efter remissrunda 2 borde det klarna.

 

[djac]

Går det att använda överallt där man vanligen betalar med kort?

Jag är skeptisk till att registrera mig hos fler ställen än där det är absolut nödvändigt.

Ja, överallt där du kan "blippa" ditt vanliga kort fungerar det, jag skulle säga att det är 100%-igt idag faktiskt, jag är mycket nöjd.

 

[djac]

Varför då?

Vi har ju ett klientel som "tänjer på gränserna" så det kan ju inte bli annat än att man måste gå till högsta tillitsnivå, oundvikligt!

Sen du själv accepterar ju rutinerna för pass och nationellt idkort dvs högsta tillitsnivå så varför "gnöla"?

Att staten skulle föra logg över allt som invånarna gör är mer än skrämmande och kommer såklart missbrukas på alla möjliga sätt, från individer som läcker och tjänar en slant till de som läcker för en ännu större slant till kriminella, de som är nyfikna på grannarna och till sist är det en stor risk för förföljelse. Nej, det skulle vara total katastrof.

De kameror som har satts upp har redan bekräftats missbrukas, sånt funkar helt enkelt inte.

 

[djac]

Fast det är superenkelt att visuellt härma en app, med t.ex skärmdumpar från originalet. Som @Daniel 109 påpekar så kan man lätt spegla uppförandet hos en app med all funktionalitet och kontroll utan att det finns något som helst substantiellt bakom ö.h.t...
Att efterlikna att man öppnar ett fejkat mobilt BankId är ingen konst.

Edit: har alltid förfasat när jag laddat ned en app. Kollar alltid på antalet nedladdningar och väljer det populäraste men hur f...n vet man att ingen mixtrat med den siffran? Finns ju botar för allt...

Som sagt så kan du kontrollera ett BankID långtgående, osannolikt att du bygger en app som lurar hela systemet.

 

[Fairlane]

Därför att vi har ett klientel som med all sannolikhet ökar i antal som förfalskar legitimationer.

Problemet är inte förfalskningar utan att man inte verifierar. Det går precis lika bra att förfalla ett nationellt ID-kort om den som ska titta på det inte gör det.

Sedan så var det nog ett "feltänk" med BankId, Freja mfl att det skulle användas överallt.

Ah, en lite ändrad syn. Förut sas det att det nog inte var meningen att det skulle användas överallt (vilket var precis tanken). Nu var det istället ett feltänk att en ID-handling används överallt. Det måste rimligen även gälla en nationell ID-handling isåfall.

Så min syn är att jag helt håller med sittande regering om behovet av en statlig e-legitimation med högsta tillitsnivå.

Jo det har framkommit, men argumentationen är bristfällig. Förfalskningar är inte skälet, för det är ju inte möjlighet till förfalskningar som förändras. Att de "kloka människor" tänkt ser jag också som ett uselt argument.

Sedan kan BankId, Freja mfl kopplas till den och sedan väljer fritt vilken man vill använda.
[länk]

Så det är inte fel på BankID och Freja generellt?

Swedbank's BankId är ju defacto med högsta tillitsnivå eftersom man kopplat den till ett pass eller nationellt Id-kort.
[länk]

Fint då går det inte att "förfalska" dessa?
Dvs det går att skapa en egen App som liknar ID för mobilt bankID om det är från en annan bank än Swedbank, men om man har Swedbank går det inte?

Jag tror Sverige får ändra regelverket så man slipper personligt besök om man har pass eller nationellt Id-kort. Sannolikt så efter remissrunda 2 borde det klarna.

De kloka människorna kanske inte tänkt igenom allt?

En klassik sanning när det gäller säkerhet är att det inte finns någon absolut säkerhet. Det går alltid att göra saker lite säkrare, men det kommer med en kostnad, ofta i form av användbarhet.
Ett nationellt ID-kort har en giltighetstid på 5 år och man behöver personligen legitimera sig när man hämtar ut det, exempelvis med ett körkort (som är väldigt lätta att förfalska?). Man kan göra det säkrare. Man kan sänka giltighetstiden till 6 månader och för att hämta ut den så måste man ha med sig 3 personer som kan legitimera sig och gå i god för personen i fråga. Det kan bli en ny högsta tillitsnivå. Några kommer säkert ställa krav på att man måste ha den nya högsta tillitsnivån då, den tidigare var alltför låg. Andra kommer säga att skillnaden i säkerhet är för låg för att det ska vara rimligt att kräva detta.

 

[paralun]

Att staten skulle föra logg över allt som invånarna gör är mer än skrämmande och kommer såklart missbrukas på alla möjliga sätt, från individer som läcker och tjänar en slant till de som läcker för en ännu större slant till kriminella, de som är nyfikna på grannarna och till sist är det en stor risk för förföljelse. Nej, det skulle vara total katastrof.

De kameror som har satts upp har redan bekräftats missbrukas, sånt funkar helt enkelt inte.

Jo men det är nog sedan länge "slutflummat" som det ser ut idag.

Citat sammanfattning statens utredning:
"Syftet är att stärka samhällets säkerhet och robusthet, motverka bedrägerier som begås med hjälp av e-legitimationer och underlätta för så många som möjligt att kunna få tillgång till en e-legitimation."

Vidare bakgrunden
"Rådets kompromissförslag till Europaparlamentets och rådets förord-ning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (den reviderade eIDAS-för-ordningen), COM(2021) 281, innebär bl.a. att det ska bli obligatoriskt för varje medlemsstat att anmäla en e-legitimation på den högsta tillits-nivån enligt ett förfarande för gränsöverskridande identifiering.1

Tillitsnivån på e-legitimationen avgör hur tillförlitligt det är att personen som identifierar sig är den man utger sig för att vara."

Så varför skulle det INTE vara högsta tillitsnivå för ett bankid, Freja etc? Swedbanks lösning tror jag blir godkänd dvs att man måste använda ett pass eller nationellt idkort för att generera ett bankid och att man inte behöver ett personligt besök.

https://www.regeringen.se/contentas...ganglig-statlig-e-legitimation-sou-202361.pdf

 

[Fairlane]

Så varför skulle det INTE vara högsta tillitsnivå för ett bankid, Freja etc? Swedbanks lösning tror jag blir godkänd dvs att man måste använda ett pass eller nationellt idkort för att generera ett bankid och att man inte behöver ett personligt besök.

Det är inget fel i sig att sträva efter en hög tillitsnivå, men att låtsas som att BankID i sin nuvarande form är svag säkerhetsmässigt är förvillande.

Att man inte har högsta tänkbara säkerhet i alla sammanhang är givet. Det är alltid en avvägning.

 

[djac]

Jo men det är nog sedan länge "slutflummat" som det ser ut idag.

Citat sammanfattning statens utredning:
"Syftet är att stärka samhällets säkerhet och robusthet, motverka bedrägerier som begås med hjälp av e-legitimationer och underlätta för så många som möjligt att kunna få tillgång till en e-legitimation."

Vidare bakgrunden
"Rådets kompromissförslag till Europaparlamentets och rådets förord-ning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (den reviderade eIDAS-för-ordningen), COM(2021) 281, innebär bl.a. att det ska bli obligatoriskt för varje medlemsstat att anmäla en e-legitimation på den högsta tillits-nivån enligt ett förfarande för gränsöverskridande identifiering.1

Tillitsnivån på e-legitimationen avgör hur tillförlitligt det är att personen som identifierar sig är den man utger sig för att vara."

Så varför skulle det INTE vara högsta tillitsnivå för ett bankid, Freja etc? Swedbanks lösning tror jag blir godkänd dvs att man måste använda ett pass eller nationellt idkort för att generera ett bankid och att man inte behöver ett personligt besök.

[länk]

Misstänker att Kinas regim säger ungefär samma sak om deras övervakning.

 

[AndersS]

Och nu var vi tillbaka 2000 inlägg i tråden gällande "tillitsnivå" och inget nytt under solen, ungefär samma länkar till utredning som tidigare😆

 

[djac]

Jo men det är nog sedan länge "slutflummat" som det ser ut idag.

Citat sammanfattning statens utredning:
"Syftet är att stärka samhällets säkerhet och robusthet, motverka bedrägerier som begås med hjälp av e-legitimationer och underlätta för så många som möjligt att kunna få tillgång till en e-legitimation."

Vidare bakgrunden
"Rådets kompromissförslag till Europaparlamentets och rådets förord-ning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (den reviderade eIDAS-för-ordningen), COM(2021) 281, innebär bl.a. att det ska bli obligatoriskt för varje medlemsstat att anmäla en e-legitimation på den högsta tillits-nivån enligt ett förfarande för gränsöverskridande identifiering.1

Tillitsnivån på e-legitimationen avgör hur tillförlitligt det är att personen som identifierar sig är den man utger sig för att vara."

Så varför skulle det INTE vara högsta tillitsnivå för ett bankid, Freja etc? Swedbanks lösning tror jag blir godkänd dvs att man måste använda ett pass eller nationellt idkort för att generera ett bankid och att man inte behöver ett personligt besök.

[länk]

Det är lite naivt att bara ropa efter punktvis höjda säkerhetsnivåer, kan man kalla det populism kanske, om det ska ha betydelse så måste allt i kedjan då ha samma nivå och det kan sällan motiveras affärsmässigt.

Det finns säkert saker att ta tag i men väldigt lite, om ens något, kan lösas med denna typen av förslag. Man får därför anta att det ligger andra drivkrafter bakom.

 

[cpalm]

Att staten skulle föra logg över allt som invånarna gör är mer än skrämmande

Givetvis bör det vara ett icke-centraliserat system som fungerar utan att någon annan än de berörda parterna skall vara inblandad. Precis som är grundtanken med PKI. Men tyvärr är väl detta önsketänkande i dagens samhälle med extrema kontrollbehov.

P.s. lite av en ödesfråga faktiskt...

 

[Unikt namn]

De kameror som har satts upp har redan bekräftats missbrukas, sånt funkar helt enkelt inte.

Finns det för bekräftat missbruk av vilka kameror och var?

 

[Fairlane]

Finns det för bekräftat missbruk av vilka kameror och var?

Om det ska räknas som missbruk eller inte kan diskuteras, men när man införde trängselskatt i Stockholm var ett orosmoment att man kunde se vem som rest var. Det lovade man från myndigheterna att det inte kunde/skulle ske. Det dröjde inte länge innan man bröt mot det.

PKU registret var många motståndare till men det lovades att polis aldrig skulle kunna använda det för att söka efter individer och det har ju också skett.