Bank-ID till allt möjligt - ogillar!

[AndersS]

strävar efter den högsta tillitsnivån

För dyrt och krångligt, jag och säkert flera kör vidare med BankID som också succesivt utvecklas.
Men kan väl vara en bra lösning för de som inte tycker om BankID.

 

[AndersS]

Jag har inte klickat "dags att förnya ditt medgivande" i swish, undrar om det är GDPR och vad som tillslut händer om jag aldrig uppdaterar... Troligen slutar swish funka vid någon tidpunkt...

Jag fick upp det idag med texten att det var två dagar kvar. Självklart så uppdaterade jag med en underskrift i mobilt BankID, däremot inte med fingeravtryck utan kod.👍

 

[Demmpa]

Jag har inte klickat "dags att förnya ditt medgivande" i swish, undrar om det är GDPR och vad som tillslut händer om jag aldrig uppdaterar... Troligen slutar swish funka vid någon tidpunkt...

Är det förnyelsen av "detaljerad pushnotis", som behöver utföras minst var 90:e dag?

Det som händer om man inte förnyar medgivandet är att det blir enkla pushnotiser.

Inloggade ser högupplösta bilder

Logga in

Skapa konto

Gratis och tar endast 30 sekunder

(Inställningar (kugghjulet) -> Pushnotiser)

 

[Mikael_L]

Skulle det bli så om Polisen vore huvudman för en E-legitimation? Lagrar Finansiell ID-Teknik BID AB alla digitala spår efter den som använder BankID?

Jag antar att de inte behöver lagra något.
När identifieringen är klar så kan hela sessionen raderas, den behöver inte lagras.

Det är väl banken, skattemyndigheten, företaget, som behövde göra identifieringen som kan vilja lagra händelsen.
Det lagras ju ingenstans centralt var och när jag har visat upp mitt körkort, utan det lagras väl i vissa fall hos den som jag legitimerat mig för.

 

[Fairlane]

Jag tror det loggas, och att loggarna lagras en viss tid åtminstone, men sen måste man hantera GDPR så att min inloggning mot Skatteverket, Försäkringskassan eller var det nu är ligger lagrad längre än nödvändigt.

Om inte annat så faktureras ju kunden baserat på antal inloggningar och antal signeringar, så den informationen lär sparas åtminstone. Sen behöver man inte spara vem som loggade in, bara att någon loggade in mot kund X.

 

[djac]

Skulle det bli så om Polisen vore huvudman för en E-legitimation? Lagrar Finansiell ID-Teknik BID AB alla digitala spår efter den som använder BankID?

Självklart, man måste ju hålla bok på transaktionerna, annars finns det ingen mening med att ha en signeringstjänst. Sen krävs det att man installerar en app också, som i sig blir en vektor.

 

[djac]

Fundering, om bankerna fortfarande tillåter BankID vad förändras, Jag personligen ser ingen större skillnad mera än en EU-anpassning vilket i sig är en fördel och skulle kunna vara ett komplement till pass inom EU.
Säkerhetsmässigt har tråden "slagit fast" att BankID är tillräckligt säkert.

Tekniskt är det säkert inga problem, ägarbilden är dock och kopplingen till banker, som jag påpekat så är utfärdandet av BankID villkorat med att man har ett bankkonto, det diskvalificerar BankID som nationellt ID.

 

[djac]

Säkert lagrar de det, det måste de väl i någon form.

Jag har inte klickat "dags att förnya ditt medgivande" i swish, undrar om det är GDPR och vad som tillslut händer om jag aldrig uppdaterar... Troligen slutar swish funka vid någon tidpunkt...

Jag ser hellre att myndigheter utfärdar denna typ av "id" än privata företag. Även om man kan säga att det är illa att kinesiska myndigheter övervakar, är det inte (iallafall för oss) värre om ett privat företag sitter med ess på hand? Det har ju varit några skandaler med data som sålts. Jag tror Apple och Google är jäkligt försiktiga med hur datan hanteras, men de är ju öppna med att de använder den. Facebook har redan fulat ut sig och kan inte gärna göra bort sig igen. Tesla verkar skita helt i lokala lagar map vad och hur man får spara data...

Jag uppmanar inte någon här, inte ens jag själv har gjort det i dertalj, men om man är intresserad så kan man läsa in sig på de regulatoriska kraven för eIDAS så får man en bra bild av vad som krävs för att bli en trusted provider. Det ska inte blandas ihop med vanliga regleringar av att hålla PII osv, det är något helt annat, därför finns det inte så många i varje land heller, det är rätt bökigt och kräver investeringar.

 

[djac]

Vilka utmaningar löser man då?

Det är kan vara både rätt och fel att sikta på högsta nivån i alla lägen. Jag har till exempel inte samma krav på mina dörrar och lås hemma, som bankerna har på sina kassavalv. Min nivå är såklart mycket lägre, men det är en avvägning i kostnad och smidighet också.

För att få ett BankID eller ett mobilt BankID måste jag första gången gå till banken och legitimera mig. Efter det kan jag hämta ut exempelvis ett nytt mobilt BankID med hjälp av mina befintligt, i kombination med ett pass eller nationellt ID-kort.

Med en e-legitimation med högsta tillitsnivån är det första steget likadant, jag måste ta mig någonstans fysiskt och legitimera mig för att få min första legitimation. Skillnaden kommer när jag vill ha en ny eller extra e-legitimation, då måste jag också ta mig till utgivaren och legitimera mig.

Många byter telefon oftare än var 5:e år och löser då ett nytt mobilt BankID själva utan problem. Många har dessutom flera enheter och skulle då behöva gå till utgivaren relativt ofta för att hämta ut nya legitimationer. Dvs hux flux har man gjort det mycket mer komplicerat för personer, vilket i stort sett alltid brukar ge effekten att många skiter i den högre säkerheten, oavsett om det rör sig om ID-säkerhet, brandsäkerhet, trafiksäkerhet etc. Jag som ändå jobbar med frågorna kan tycka att det är bra att det finns e-legitimationer med högsta tillitsnivån, men kommer troligen i det dagliga nöja mig med mobilt BankID, som jag uppfattar som tillräckligt säkert och mycket smidigare.

Det är ju inte så att vi ser stora problem med att bedragare skaffar sig (mobilt) BankID i någon annans namn, det är för svårt, så att göra det ännu svårare tillför väldigt lite, i praktiken ingenting. Så vilka utmaningar är det som man löser?

Det är ett vanligt tänk hos de som inte jobbar med säkerhet, -allt ska vara högsta säkerhet, de förstår inte att det alltid går ut över användbarheten och blir dyrt. Samma människor väljer sällan själv "högsta säkerhet" när de har möjlighet, i någon annan fråga.

 

[AndersS]

Tekniskt är det säkert inga problem, ägarbilden är dock och kopplingen till banker, som jag påpekat så är utfärdandet av BankID villkorat med att man har ett bankkonto, det diskvalificerar BankID som nationellt ID.

Så det blir bara lite olika syften i det stora hela, ja det är vettigt att de som undviker banker eller ogillar t.ex. BankID (finns ju alternativ) kan få en digital identitetshandling. Ungefär som myndigheters digitala brevlåda kontra Kivra.

 

[AndersS]

Är det förnyelsen av "detaljerad pushnotis", som behöver utföras minst var 90:e dag?

Det som händer om man inte förnyar medgivandet är att det blir enkla pushnotiser.


[bild]
(Inställningar (kugghjulet) -> Pushnotiser)

Visst sjutton så var det👍

 

[Fairlane]

Det är ett vanligt tänk hos de som inte jobbar med säkerhet, -allt ska vara högsta säkerhet, de förstår inte att det alltid går ut över användbarheten och blir dyrt. Samma människor väljer sällan själv "högsta säkerhet" när de har möjlighet, i någon annan fråga.

Ett annat vanligt fel som görs, både av experter och amatörer (om än vanligare bland amatörer) är att man glömmer vad som är den svaga. länken.

Man har ett bra lås i dörren, men vill höja säkerheten och tittar på vilket lås som är bättre och glömmer bort fönster och altandörr.

Jag har sett företag som har en bra autentiseringslösning, men har en halvtaskig auktoriseringslösning och så vill de bättre på den första.

Eller när man inte för relativt små pengar vill lyfta säkerheten från dålig till bra, eftersom bra inte är bäst. Bäst har man inte råd till så man gör inget.

Jag tycker det är här man hamnar när man diskuterar tillitsnivån på BankID. Det är inte högst, men hög, och andra delar av systemet är betydligt svagare.

 

[paralun]

För dyrt och krångligt, jag och säkert flera kör vidare med BankID som också succesivt utvecklas.
Men kan väl vara en bra lösning för de som inte tycker om BankID.

Nej bankerna har ju tagit genvägar med bankid och en märklighet är ju att någon annan kan ha någons bankid på sin mobil. Swedbank har ju ändrat det här och har nu ett krav på att man måste endera använda sitt pass eller nationella id-kort för att kunna skapa ett bankid, jag tror samtliga banker följer efter.

Sen vet jag inte om den lösningen kan ges högsta tillitsnivå men dit bör vi nog trots att det är krångligare.

 

[djac]

Så det blir bara lite olika syften i det stora hela, ja det är vettigt att de som undviker banker eller ogillar t.ex. BankID (finns ju alternativ) kan få en digital identitetshandling. Ungefär som myndigheters digitala brevlåda kontra Kivra.

Det är inte så kontroversiellt att man undviker banker men dels har en del svenskar svårt att få bankkonto av olika skäl men har ändå såklart en identitet, här brister det.

En annan vanlig situation är att företag använder utlänningar i olika roller, kan vara en svensk filial där utbetalningar från svenska konton sköts av ekonomiavdelning i annat land, gästarbetare, osv, mao ganska vardagliga situationer där BankID inte funkar. Jag tror att Freja är ett godkänt nationellt eID och klarar allt det där, du ser också att allt fler sajter tillåter inloggning med detta.

Sen såklart konkurrenssituationen, utmanande fintechbolag måste betala de som de utmanar för att kunna ta emot kunder, oftast till ett rätt högt pris.

 

[paralun]

Det är inte så kontroversiellt att man undviker banker men dels har en del svenskar svårt att få bankkonto av olika skäl men har ändå såklart en identitet, här brister det.

En annan vanlig situation är att företag använder utlänningar i olika roller, kan vara en svensk filial där utbetalningar från svenska konton sköts av ekonomiavdelning i annat land, gästarbetare, osv, mao ganska vardagliga situationer där BankID inte funkar. Jag tror att Freja är ett godkänt nationellt eID och klarar allt det där, du ser också att allt fler sajter tillåter inloggning med detta.

Sen såklart konkurrenssituationen, utmanande fintechbolag måste betala de som de utmanar för att kunna ta emot kunder, oftast till ett rätt högt pris.

Jo här har du Frejas remissvar.....

https://www.regeringen.se/contentassets/432e635bdd964101a297164b2b003945/freja-eid-group-ab.pdf