Jag försöker gå mot ett läge där jag inte behöver ha mobilt BankID med mig i vardagen. I år trädde ju effekterna av PSD2 in och DeFacto-lösningen (för SCA) i Sverige verkar vara att kräva mobilt BankID. Eftersom mobilt BankID kan fungera som en single-sign on för otroligt många känsliga aspekter av våra liv så försöker jag låta bli att ha det med mig på stan. Vi skulle kunna ha en lång debatt om detta, men jag har gjort min forskning och är nöjd med mina slutsatser. Även om det är bättre idag så ser jag fortfarande för många risker med det. Tills de riskerna är mitigerade så väljer jag att använda alternativ när så är möjligt.
Även om jag förstår och delar andemeningen med PSD2 så håller jag inte med om att mobilt BankID ska vara ända sättet att verifiera “osäkra” internetköp. Det är bara en lat implementering som ytterligare förstärker sårbarheterna i samhället när allt mer hängs upp på BankID.
Nog om bakgrunden. I min nerskalade plånbok så vill jag ha tre kort, ett Mastercard, ett Visa och ett Amex.
Här är de kort som jag har hittat som inte är beroende av BankID för verifiering av internetköp
Amex Green (använder Amex appen för verifiering av köp)
Lunar Visa (använder Lunar appen för verifiering, appen använder en PIN-kod eller TouchID)
N26 Mastercard (använder N26 appen som använder TouchID / lösenord)
Kan vi fylla på fler? Tidigare har man kunnat använda engångskod via SMS för de flesta kort, men den möjligheten är nu borta i och med PSD2.
Är du rädd att ditt BankID blir kapat eller att BankID skulle bli hackat? När använder man BankID på stan? Menar du typ på tunnelbanan och du blir inspelad när du kollar Avanza? Tack för förtydligande.
BankID är en “skeleton key” som ger tillgång till alldeles för mycket för att vara något som jag är trygg med att gå runt med på fickan. Många “normies” inser kanske inte riktigt vilken skada man kan åsamka någon om man får tillgång / hotar sig till tillgång. Jämför med det tidigare normalläget med bankdosorna. Hade du en bankdosa från SEB så kunde du med den (och innehavarens personnummer) komma åt innehavarens bankkonton hos SEB. Med ett BankID så kan du i stället komma åt innehaven hos (i princip, finns vissa banker som har utökat skydd och kräver aktivering av ett nytt BankID från annan utgivare) alla banker och myndigheter.
Har man dessutom aktiverad biometrisk inloggning på sin telefon och BankID så blir det ju ännu värre.
I mitt fall är det ju inte endast min privata ekonomi utan företag med stora behållningar. Det är fullständigt overkill att gå runt med en sådan “huvudnyckel”, därför gör jag inte heller det. Jag har BankID på kort som förvaras hemma som har en unik kod och när jag inte är hemma ligger inlåst i värdeskåp. Det är en hygienfaktor för mig, jag skulle inte ha miljoner i cash liggande i en väska eller garderob.
Som tur är så kan man idag lösa de flesta behov av elektronisk identifiering med hjälp av Freja eID+ och (än så länge) så kan det inte användas för inloggning på banker.
En grundtanke för identifiering och autentisering gentemot datasystem är att det kan ske genom att den som vill få tillgång till systemet:
vet något
har något
är något
Jag anser inte att mobilt BankID, så som det är uppbyggt idag, uppfyller dessa kraven. Visst har det blivit bättre genom användandet av t.ex. QR koder, men att man med ett helt färskt BankID kan logga in även hos andra (icke utfärdande banker) är inte något jag gillar. Det är helt enkelt inte säkert nog att ha en och samma säkerhetsnivå för att hämta ut ett paket på Ica som att kvittera ut ett nytt BankID, ta ett lån, göra stora överföringar och mycket mer. Systemet borde bygga på opt-in eller åtminstone default begränsningar. Hos Nordea kan man t.ex. ha olika PIN-koder för BankID på kort för identifiering och för signering.
Skulle kunna skriva mycket mer om ämnet, men jag tror att jag nöjer mig där.
Revolut kräver det inte heller, utan likt Lunar verifiering i appen. Men de är så internationella att du inte ens kan ansöka om kortet med BankId heller. De vet helt enkelt inte vad BankID är för något. Så du får fota dig själv och pass och skicka in osv. Jäkligt meckigt, men i ditt fall tycks det ju vara något du föredrar framför andra aspekter
Så länge jag inte måste skicka kopior vidimerat av notarius publicus tillsammans med DNA prov så har du rätt. Jag föredrar det för att vara ärlig. Tyckte Freja’s eID:s onboarding process var föredömlig.
Ska kolla upp Revolut då.
De ställen som accepterar Apple Pay (via webben) fungerar ju direkt tack vare Apple Pay-systemet, men tyvärr är det ju ännu rätt få ställen e-handelsplatser som accepterar det.
Förstår och håller med om problematiken. Som vanligt är vi lite naiva
Vad säger du om att ha sitt vanliga kort i en Wallet med begränsat cash på kontot (vilket alltid är rimligt för debit kort) och ingen BankID på den telefonen. Man kan ju ta en avlagd gamal telefon med kortet i Wallet när man är ute på stan.
Det är precis så jag har det. Det debit-kort jag har med mig har begränsat med pengar. Kreditkort et är jag inte lika orolig för.
Freja eID+ har ju fördelen att fungera (på många platser) som fotolegitimation, t.ex. hämta ut paket.
Nackdelen med min approach är ju att man “utestänger sig” från att betala med Swish. Helt galet att man måste ha en “master key” av den digniteten för att betala de begränsade summorna som många har inställda för Swish.
Det här är ett väldigt intressant ämne och hoppas jag förstår det du vill uppnå. Jag är helt med på riskerna att ha med sig sin mobil med mobilt BankID installerat. Biometriskt login gör det möjligt att på några sekunder komma åt i princip vad som helst om den ondskefulle har tillgång till både mobil och fingrar. För att komma runt det problemet har väl både iOS och Android OS lösning för tunna plånböcker, i det man kan lägga till sina fysiska kort i den digitala plånboken? Då krävs ju bara att man har sin digitala plånbok med sig och inte BankID i någon form. Exempelvis har jag Apple Pay på min klocka där jag lagt in det betalkort vi använder oss av. Då kan jag genomföra alla köp jag vill i butiker, men utan att ha med BankID. Är det en väg att ”lösa” problemet? Jag förstår annars inte helt vad det är du vill åstadkomma med betalkort som kan användas utan mobilt BankID…
Jag förstår att det blir mer komplicerat med företagstillgångar och dylikt, men för privatpersoner, om du blir bestulen eller rånad borde väl försäkringen täcka in det? Eller hur funkar det?
Har själv noterat att det inte känns helt rimligt hur lätt jag kan förflytta stora summor pengar med min fingeravtryck. Det djävulska är att kunna kolla kontot då o då att det är ”okej” är lugnande, när det i själva verket borde vara tvärtom.
Det löser nästan problemet. Problemet är att SCA i Sverige (i princip) kräver mobilt BankID för att verifiera internetköp som överstiger tröskelvärdena.
edit: Ett förtydligande, ute på stan är inte synonymt med “ute och svirar” för min del men det är ju ett case som ytterligare borde leda till stärkt förebyggande säkerhetsåtgärder. För min del så täcker det in alla situationer när jag inte är hemma.
Nja, ibland så triggas det där eländiga SCA när man t.ex. ska köpa en tågbiljett eller dylikt. Kan inte tänka mig att vara på resande fot utan att kunna hantera SCA i de lägen det dyker upp.
Den snabba inblicken som BankID:t kan ge vid t.ex. en hotfull situation ökar ju inte direkt sannolikheten att man slipper undan med några tusenlappar som tas ut / swishas från kontot. Inte särskilt sannolikt kanske, men personligen så skyltar jag inte med mina tillgångar.
Hittade en relativt färsk rapport som har gjort en genomlysning. Den tar upp en del framsteg som har gjorts sedan jag senast tittade närmare på området: rapport—bankgranskning-2021.pdf (villaagarna.se)
SEB som är min huvudsakliga bank verkar ha höjt sig rejält här mot när jag forskade på området i samband med examensarbete vilket är glädjande.
Tack för länken och för att du gjort mig uppmärksam på detta. Handelsbanken är min bank och dom får högsta betyget i denna undersökning vilket känns betryggande.
Men jag ska nog tänka igenom åtkomsten till de konton med större summor på, rimligen borde ju dessa kunna låsas eller kanske till och med göras hemliga?
Ja precis. Swish känns rätt föråldrat när man bott i Kina. Där sätter man över pengar i sin WeChat/Alipay Wallet och betalar direkt med QR kod bakom pin/fingeravtryck/ansiktsigenkänning beroende på ens val.
Kan bara bli av med det beloppet man har i Wallet (dvs som en riktig plånbok) och dessutom snabbare.
Swish borde införa något liknande som fungerar när man inte har/inte vill ha BankID på telefonen.
Man kan opt-in och kräva verifiering av köp med mobilt BankID för Klarna som betalningsmetod (dvs faktura, dra från konto etc etc). Det har dock inget att göra med SCA för Klarna-kortet. Klarna appen är helt beroende av BankID.
Jag är så pass gammal att jag minns (och använde) Sveriges första försök med digitala pengar, Cash-kortet: Cash (betalsystem) – Wikipedia
Precis som du skriver är det rimligaste att man kan göra digital småköp utan stark identifiering på samma sätt som man kan göra kontanta köp. Apple Pay löser detta på ett väldigt bra sätt, speciellt Apple Pay Cash som inte finns i Sverige.
Samhället (och bankernas) lust över data och id-taggade transaktioner gör dock att man måste verifiera minst köp. Säkerheten är den samma mellan 1 kr och 250k (vissa banker har lägre belopp än 250k).
Intressant, som e-handlare har jag av någon anledning fått för mig att det är lagkrav på bank-id när man handlar på nätet i Sverige? Att man inte längre kan betala med ett kort utan att också bekräfta med bank-id? Har jag drömt detta?
Nja… Det som PSD2 kräver gällande RTS/SCA är följande:
Under PSD2, and as reiterated in the RTS, SCA is defined as an ‘authentication based on the use of two or more elements categorised as knowledge (something only the user knows), possession (something only the user possesses) and inherence (something the user is) that are independent, in that the breach of one does not compromise the reliability of the others, and is designed in such a way as to protect the confidentiality of the authentication data’
Den svenska majoritetsimplementationen av SCA som svenska kortinlösare och kortutgivare har landat i med mobilt BankID täcker i sitt grundutförande in två av dessa tre element. Här finns en lista med exempel på element som kan användas.
I fallet med Amex SafeKey så uppfyller den kraven för SCA utan mobilt BankID. Enligt information så ska även Nordea och Handelsbanken ha alternativa SCA mekanismer som använder kort och kortläsare, det kan dock vara gammal information som ligger kvar på webben.
Jag är för att man stärker säkerheten för att minska risken för kortbedrägerier. Jag är dock emot det slentrianmässiga sätt som man väljer BankID som metod, eftersom man som användare inte själv kan styra behörigheterna. När jag var yngre så var det mycket prat om att man skulle begränsa användandet av personnummer i samhället till de situationer där de verkligen krävdes. Nu har användningen i stället ökat exponentiellt.
Ha ha, jag kommer också ihåg det men förstod då inte nyttan med det jämfört med kontanter på den tiden.
Nu tror jag svenska i allmänhet skulle uppskatta ett nytt Wallet försök med begränsad pengamängd och utan BankID , speciellt så som allmänna säkerhetsläget ser ut för både ung och gammal.
