Bank-ID till allt möjligt - ogillar!

[Alfredo]

Jag finner det också lite fascinerande att en kommersiell säkerhetskritik tjänst används av statliga myndigheter.

Är SAS/SJ också problematiska? 🤔

 

[Alfredo]

Detta för att säkerställa att BankIDt inte hamnar på någon annans telefon

På vilket sätt säkerställer de det efter att de gått iväg med telefonen? 🤔 Och varför är det ett problem om någon annan äger telefonen? Det BankID jag har på telefon finns på en telefon som någon annan äger.

 

[Fairlane]

Nej. Just den saken kollar inte ens banken. Det är bara om man har en god man eller förvaltare, som banken kan göra förändringar, men det är ju en helt annan sak än att ha "en intellektuell funktionsnedsättning".
Alla med "en intellektuell funktionsnedsättning" har inte god man eller förvaltare.

Alla med en intellektuell funktionsnedsättning har inte god man eller förvaltare det är riktigt.
Olika banker har åtminstone tidigare haft lite olika krav på vem de ger ut mobilt BankID till. I vissa fall var det 18-årsgräns, i andra en annan åldergräns och några banker hade inget gräns allt utan om föräldrarna bedömde att barnen kunde hantera det bra så räckte det.

Det är inte så att banken kontrollerar IQ, men de kan ställa krav på att individen ska kunna hantera legitimationen själv (eller kunde åtminstone).

Det är ett känt reellt problem att få ett elektroniskt ID om man inte kan hantera den själv

Över disk accepteras i stort sett alla verifierbara ID-handlingar, men är inte ID-handlingen maskinläsbar så kommer banken göra en telefonkontroll.

Ja, men poängen var att paralun sågat körkort som för osäkra för att de är förfalskade i stor mängd. Med den inställningen bör man ju inte acceptera att någon hämtar ut en annan legitimation mwd hjälp av dessa förfalskade körkort. Obs, personligen ser jag det inte som ett problem. Jag kritiserar bara logiken "körkort är osäkert, nu hämtar jag ut en säker legitimation med mit körkort och så är allt bra".

Då måste du även ha med dig telefonen som BankIDt ska installeras på och så får du lämna över denna, så går personalen iväg med den.

Det där har jag ingen erfarenhet eftersom jag alltid installerat mina mobila BankID själv. Jag förstår inte varför personalen ska gå iväg med telefonen. Det kan de väl göra framför kunden?

BankID på kort hämtade jag hos banken.

Detta för att säkerställa att BankIDt inte hamnar på någon annans telefon, någon som lurat dig att "Besök bankkontoret imorgon och legitimera dig för att aktivera ditt nya BankID".

Mobilt BankID antar jag. Hur skulle det skydda? Jag ger min telefon till min mamma och ber henne gå in på banken och be de hjälpa henne att installera mobilt BankID. De tar telefonen och går iväg med det och så vips så är vi säkra på att hennes ID inte kan hamna på min telefon?

 

[djac]

På vilket sätt säkerställer de det efter att de gått iväg med telefonen? 🤔 Och varför är det ett problem om någon annan äger telefonen? Det BankID jag har på telefon finns på en telefon som någon annan äger.

Med tanke på Swedbanks historik antar jag att de installerar appar från deras Baltiska "samarbetssäkerhetsföretag", allt för kundens bästa!

 

[sebastiannielsen]

Var går de iväg med min telefon? Och till vilken nytta, de kan ju inte göra något med den om de går iväg med den. Den är ju låst.

Du måste givetvis låsa upp den. Och det dem gör när dem gått iväg med den, är att installera BankID på den. Det görs i ett säkrat rum av självklara anledningar eftersom annars skulle folk genom lite våldsamma tendenser kunna plocka ut sig BankID åt vem som helst. Sedan kommer de tillbaka och så får du välja din PIN-kod.

Rutinerna skiljer dock mellan olika banker, ibland får du lov att följa med in i rummet, ibland inte.

På vilket sätt säkerställer de det efter att de gått iväg med telefonen? 🤔 Och varför är det ett problem om någon annan äger telefonen? Det BankID jag har på telefon finns på en telefon som någon annan äger.

Du fattar vad jag menar. Att det är en telefon som du har någorlunda kontroll över. Dvs så det inte är en telefon i handen på en bedragare i Stockholm som bankpersonalen i Göteborg aktiverar på distans med ditt körkort.
Därav att du måste ha med dig telefonen och så installerar bankpersonalen BankIDt på telefonen. Då vet dem att du inte blivit lurad av en bedragare på telefon att installera BankIDt.

Sedan vem som "äger" telefonen (dvs som har betalat för den) spelar ingen roll.

 

[Alfredo]

Det görs i ett säkrat rum av självklara anledningar eftersom annars skulle folk genom lite våldsamma tendenser kunna plocka ut sig BankID åt vem som helst.

Ja det var ju självklart...

 

[djac]

Du måste givetvis låsa upp den. Och det dem gör när dem gått iväg med den, är att installera BankID på den. Det görs i ett säkrat rum av självklara anledningar eftersom annars skulle folk genom lite våldsamma tendenser kunna plocka ut sig BankID åt vem som helst. Sedan kommer de tillbaka och så får du välja din PIN-kod.

Rutinerna skiljer dock mellan olika banker, ibland får du lov att följa med in i rummet, ibland inte.

Du fattar vad jag menar. Att det är en telefon som du har någorlunda kontroll över. Dvs så det inte är en telefon i handen på en bedragare i Stockholm som bankpersonalen i Göteborg aktiverar på distans med ditt körkort.
Därav att du måste ha med dig telefonen och så installerar bankpersonalen BankIDt på telefonen. Då vet dem att du inte blivit lurad av en bedragare på telefon att installera BankIDt.

Sedan vem som "äger" telefonen (dvs som har betalat för den) spelar ingen roll.

Det är omöjligt för många att lämna ifrån sig telefonen öppen, mig inräknat, och även om det inte skulle vara så så är det helt otänkbart att göra det.

 

[sebastiannielsen]

Det är omöjligt för många att lämna ifrån sig telefonen öppen, mig inräknat,

Nope. Bara tillfälligt ställa om låsperioden till 5 minuter och sedan så kan banken hantera telefonen i lugn och ro.

men de kan ställa krav på att individen ska kunna hantera legitimationen själv (eller kunde åtminstone).

ja såklart. Jag syftade mer på att även om banken "vet om" att personen har en intellektuell funktionsnedsättning (t.ex. via databaser på nätet) kommer inte banken göra något som det inte finns ett formellt godmansskap eller förvaltare.

Att de rent fysiskt kan hantera legitimationen kollar de ja, samma med dosan eller andra liknande tjänster. Mest för att slippa supportsamtalen sen när personen låst ute sig för femtioelfte gången när denne angett beloppet som PIN-kod.

paralun sågat körkort som för osäkra för att de är förfalskade i stor mängd.

Därför banken gör en telefonkontroll.

Det kan de väl göra framför kunden?

Om de kan göra det framför kunden, kan man även med lite "våldsamma tendenser" få ut ett BankID i vilket personnummer som helst, även hos en bank som personnumret inte är kund i. Därför de går iväg till ett säkrat rum. I alla fall har det varit så i de banker jag skaffat dosor och inloggningslösningar hos.

Allt som är känsligt görs i ett låst rum som kräver passerkort. Ibland har man fått följa med, ibland inte.

BankID på kort hämtade jag hos banken.
Jag ger min telefon till min mamma och ber henne gå in på banken och be de hjälpa henne att installera mobilt BankID. De tar telefonen och går iväg med det och så vips så är vi säkra på att hennes ID inte kan hamna på min telefon?

Vi pratar inte om sånt som händer mellan anhöriga nu.

vi pratar om TELEFONBEDRÄGERIER. Där en person över telefon förmås att aktivera ett BankID på distans, även om de så kräver ett fysiskt besök på bankkontoret.

Om de hade med ditt körkort aktiverat ett "väntande" BankID på distans, så hade du kunnat bli lurad över telefon att göra detta ("Gå in till bankkontoret imorgon och säg att du vill aktivera ditt väntande BankID, säg att du inte har nationellt ID, så löser sig allt").
Därav att Banken gärna installerar BankID åt dig om du gör kontroll över disk.

Har du däremot nationellt ID eller Pass, så ger dem dig hellre en engångskod i kuvert eller en dosa, för då kan BankIDt inte aktiveras i någon annans telefon (med mindre än att du skickar ditt ID eller pass med post till bedragaren, och det fattar ju vem som helst att det är långt över gränsen)

Då laddar du ner BankID själv hemma i lugn och ro, och aktiverar med ditt Nationella ID eller Pass.

 

[Fairlane]

Du måste givetvis låsa upp den. Och det dem gör när dem gått iväg med den, är att installera BankID på den.

Varför det? Appen mobilt BankID kan jag ju installera själv hemma. Sen ska den aktiveras, men varför ska de gå iväg med min telefon för att göra det?

Det görs i ett säkrat rum av självklara anledningar eftersom annars skulle folk genom lite våldsamma tendenser kunna plocka ut sig BankID åt vem som helst.

Va? Du menar att en kriminell person med stort våldskapital kan tvinga personalen att installera någon annans mobila BankID på telefonen om de sitter kvar i lokalen, men inte om de går in i ett skyddat rum?
Hotar man till sig en legitimation så spärras den rimligtvis så fort man lämnar banken.

Sedan kommer de tillbaka och så får du välja din PIN-kod.

Är inte det en del i aktiveringen?

Rutinerna skiljer dock mellan olika banker, ibland får du lov att följa med in i rummet, ibland inte.

Den våldsamma kriminella följer nog med...

Sen kvarstår frågan hur det här förhindrar att en persons mobila BankID hamnar på någon annans telefon

 

[djac]

Nope. Bara tillfälligt ställa om låsperioden till 5 minuter och sedan så kan banken hantera telefonen i lugn och ro.

Jag tror inte du förstår, jag har installationer på telefonen som kommer med restriktioner och att lämna över denna olåst till någon att gör vad de vill är inte tillåtet.

Sen skulle jag aldrig göra det även om det inte var så och jag kan inte rekommendera någon annan att göra det heller, jag kan svårligen tro att det verkligen går till på det viset.

 

[Alfredo]

Bara tillfälligt ställa om låsperioden till 5 minuter och sedan så kan banken hantera telefonen i lugn och ro.

Det får jag inte.

Därför banken gör en telefonkontroll.

Det har jag aldrig varit med om.

 

[djac]

Det får jag inte.
Det har jag aldrig varit med om.

Ja det är ju en annan praktikalitet, om telefonen hanteras under ett företags device management så kommer man sannolikt inte åt dessa inställningar, så redan där faller denna fabel.

 

[AndersS]

Pass eller nationellt ID sedan är det ju bara att installera på ny mobil/enhet. Sedan kan man självklart leta hypoteser om andra alternativ.......

 

[sebastiannielsen]

men inte om de går in i ett skyddat rum?

Självklart låser de inte upp det skyddade rummet om det händer något i lokalen. Trycker de in överfallslarmet lär det skyddade rummet spärras för åtkomst.

Är inte det en del i aktiveringen?

Jo. Men då är den färdig, det är det sista steget i aktiveringen.

Den våldsamma kriminella följer nog med...

Då vet dem vem det är. Personnummer och kameror o allt. Nu syftas det mer, om åtkomsten att skapa BankIDn finns i en öppen miljö, där en okänd tredjepart kan putta undan en bankanställd och sedan skapa bankidn åt andra på dennes dator.

Tro mig, jag har varit och skaffat dosor m.m. i många banker. De gör alltid detta i skyddade rum. Antingen går de iväg och hämtar en dosa, eller så plockar de en dosa och går iväg och aktiverar den. Sådant som är känsligt vill de alltid gå iväg och göra.

Samma när de skulle stänga mitt nordea-konto. De kunde de heller inte göra vid den "öppna" terminalen bland alla kunder, de var tvungna att gå iväg och göra det från en annan maskin. Vid den "öppna" terminalen kunde de tydligen bara göra sådant som inte är känsligt typ.

Sen kvarstår frågan hur det här förhindrar att en persons mobila BankID hamnar på någon annans telefon

Seriöst du fattar verkligen inte!

Vi pratar om telefonbedrägerier. Att ditt BankID inte hamnar på en telefon i Stockholm medans du är i göteborg.
Om bankpersonalen har en telefon fysiskt i din hand och aktiverar BankIDt i den telefonen, så kan verkligen inte BankIDt hamna på en telefon i en stockholmsbedragarens händer.

Såhär skulle ett bedrägeri kunna gå till:
>> Hej, ditt BankID har blivit stulet, men jag kan hjälpa dig fixa ett nytt. Då vill jag att du gör följande:
>>Skriv in kod1 980234 i dosan. Sedan skriver du in kod2 917377 i dosan. Du ger mig svarskoden.
(Bedragaren laddar nu ner ett nytt BankID i sin telefon, men den kräver aktivering med pass)

>>Nu är ditt BankID spärrat, men för att kunna aktivera ditt BankID igen behöver du gå in imorgon till Bankkontoret och visa ditt körkort, säga att du inte har något nationellt ID, så aktiverar personalen det.


det är DETTA som de vill förhindra genom att fysiskt aktivera BankID i telefonen åt dig.

Jag tror inte du förstår, jag har installationer på telefonen som kommer med restriktioner och att lämna över denna olåst till någon att gör vad de vill är inte tillåtet.

Det får jag inte.

Då får du inte heller installera BankID på den. Sådana devices är ofta strikt förbjudna att använda något som helst privat. Och får du använda dem privat, så klart du får lämna över dem till en bankpersonal för att de ska kunna aktivera ett elektroniskt ID på dem. Om annars är det lätt att annars säga åt IT-avdelningen att du behöver göra det så ordnar dem det åt dig. "Jag har inget nationellt ID och behöver aktivera BankID".

När det i IT-policyn står att du inte får lämna över dem till andra olåsta, så syftas det, på att inte låna ut telefonen till barn som installerar allehanda skumma spel på dem, eller någon opålitlig.

 

[Dowser4711]

Ja, de jämförde det med att man i jobbet skulle behöva legitimera sig med ett privat ID-kort.
(Observera att det inte alls är samma sak som t.ex. att legitimera sig med sitt körkort vid en trafikkontroll när man kör lastbil, eftersom du fortfarande legitimerar dig mot polisen, oavsett om du kör privat eller för företaget. Det var legitimering INOM organisationen som de tyckte var problematiskt)

I detta fall var det *inte* frågan om att legitimera sig för att logga in i interna system, det hanteras med 2FA på annat vis. Det var just legitimering mot Skolverket i samband med att du var representant under Digitala Nationella Prov.
Väldigt jämförbart med trafikkontrollen i mina ögon.

Vidare kan org-IDt användas i en separat telefon OM man vill. Vill man av någon anledning inte använda sin privata telefon på arbetstid, så kan man låna en lånetelefon med Freja installerat, och sedan välja att "aktivera" sitt jobb-ID på lånetelefonen genom en process där man scannar QR-koder. Jobbtelefonen har bara jobb-IDt aktiverat och inte den personliga behörigheten, så även om jobb-telefonen kommer på avvägar komprometteras inte ens privata Freja-ID.

Det är just den lösningen som facket gick med på i slutänden. *Men* i och med att det är frågan om att använda sig av delade enheter så behöver personalen *ändå* ta med sig sin personliga telefon med sitt personliga Freja-eID och använda det innan de därefter kan logga in i DNP. I praktiken innebär det att de behöver använda sin privata ID-handling lika ofta som de sk logga in i DNP...

Hela farhågan vad jag förstod det som, är om det på grund av jobbet skulle hända något så den privata e-legitimationen kom på avvägar eller blev hackad, vems ansvar är det då om den anställde får sitt bankkonto tömt?
Och därför de ville ha en separering av behörigheterna, så att även om den anställde luras till en phishing-portal för org-IDt så påverkas inte den personliga e-legitimationen av bristen.

Det argumentet förekom inte mot denna organisation, men var ju nästan ännu mer fascinerande...
Sannolikheten att någon skulle göra en Phishing version av Skolverkets provtjänst och därefter få användarna att göra bank-transaktioner på densamma känns inte särdeles hög, och användare som ger skolverket sina bankuppgifter har nog redan gett bort allt de har till någon som förvaltar ett arv i Nigeria...