BankID - katastrof för SEB-kunder

Okej låt mig förklara.

Jag har idag SEB internetbank. För att logga in måste man dels ha fysisk tillgång till min digipass samt den hemliga koden till denna. Plus mitt personnr.
Jag har säkrat upp det ganska bra då jag sätter vissa regler för mig själv. Jag håller digipassen gömd så en tjuv inte hittar den lätt, jag slår aldrig in koden när någon annan är i närheten. Hyfsat säkert dvs. Jag har kontroll/påverkan på hur svårt det ska vara att komma in i internetbanken.'

Men. Nu har jag fått ett VISA-kort med BankID på. I samband med detta skickar banken hem en anonym kortläsare. Det innebär att vilket kort som helst funkar i alla kortläsare. Det enda som är privat är ditt kort + kod. Jag kan alltså använda mitt kort i din kortläsare och tvärtom.

Nu är det såhär. Att med denna kortläsare kan du logga in i internetbanken. Det enda du behöver är en kortläsare (som alla får), ett kort med BankID (alla VISA-kort byts ut till detta allt eftersom) samt en kod du har till kortet.

BankID är en ersättare till din digipass. Du klarar dig helt utan din digipass när du fått ditt nya kort + kortläsare.

Ok, smidigt tycker du kanske? Ja, men oerhört riskabelt med anser jag.

Följande jag har testat själv samt fått bekräftat från SEB:s kundtjänst två gånger vid olika samtal.

Om jag får tag i ditt kort + kod kan jag komma in i din internetbank. Så. Enkelt va?

Känns det tryggt att betala i den där EMV-terminalen på krogen nu? Flasha runt med ditt kort och slå in koden på krogen framför alla när du vet att om någon snor ditt kort med kod har de full tillgång till hela din internetbank. Alla konton, lån, aktier, you name it. Hela din privatekonomi vilar på att du inte visar din kod för någon.

Jag har själv testat detta hemma på följande sätt på en dator jag aldrig använd BankID på:

*Jag laddade ner bankid-säkerhetsprogram, installerade och startade om datorn.
*Stoppade in den anonyma kortläsaren i datorn, surfade till seb och valde logga in med BankID
*Stoppade in kortet i kortläsaren och slog in min pinkod jag använder på krogen, mataffärer - överallt.
*Jag är nu inne i min internetbank och har full kontroll över min ekonomi.

Inte ens personnr behövde jag ange.

Jag har alltså fått detta bekräftat från SEB kundtjänst av två olika personer vid två olika tillfällen samt återskapat det själv.

Nu tänker ni att man måste väl verifiera den "initiala" installationen av bankID på datorn på något sätt? Nej. Jag behöver aldrig bevisa på något sätt att jag ska kunna logga in från denna dator på detta kort. Kommer jag bara över ett kort + kod kommer jag in i personens internetbank. Jag kan enkelt använda min egna kortläsare jag fått hemskickad.

Ditt VISA-kort är i praktiken din digipass som du numer måste ha med dig överallt och "flasha" koden till när du handlar.

Jag anser att detta är helt hål i huvudet av SEB. Varför har dem gjort såhär? Inser dem inte vilka katastrofala följder detta kommer få när tjuvar inte bara kommer åt pengarna på ditt lönekonto utan hela din privatekonomi när de stjäl ett kort + kod?

Snälla, hjälp mig nu. Jag _måste_ ha gjort fel någonstans. Kan ni verifiera detta och säga att jag har fel för såhär idiotiska kan bankerna inte vara. Alla samtal till SEB och egna tester visar dessvärre på motsatsen

Svaret från SEB är - Jag förstår din oro men du får se till att ingen ser din kod helt enkelt...

- Jag förstår din oro men du får se till att ingen ser din kod helt enkelt

Haha vilket jävla svar Och jag kan inte annat än hålla med dej, totalt idiotiskt, känns nästan som det är dags för ett bankbyte. Fast detta kanske är framtiden hos alla banker?

Det låter ju helt absurt både svaret från SEB och dera Bankid-lösning i sig. Går det att avsäga sig tjänsten och få Bankid på annat sätt? är ju svårt att vara utan Bankid nu när alltfler tjänster byggs kring detta.

Fast nu har ju inte alla en sådan kortläsare som krävs för att logga in på SEBs internetbank.

Yep detta är framtiden. Men enl en bekant som har Swedbank måste du "godkänna" den lokala installationen innan du kan börja använda bankID. Typ logga in en gång i banken och ladda ner ett engångscert av något slag. Det är ganska säkert om jag förstått det rätt. Dock obekräftade uppg.


har försökt få den bortkopplad men de säger att detta är framtiden och jag inte kan välja. Jag MÅSTE ha detta på min internetbank. Som jag förstod det kommer digipass försvinna i framtiden till förmån för BankID.


Alla tjuvar med självrespekt ser till att ha en sådan här hemma. Du får en hemskickad om du är kund eller så köper du en enkelt.

Jag har också funderat på det och håller mer. Det är dessutom inte bara SEB som den potentiella rånaren kan få tillgång till utan även andra banker man har (för oss som har det) samt skattekonto och allt annat man kan logga in via bank-id med.

Riktigt dålig ide att ha vanliga pinkoden som inloggning också..

Jag har 2 olika bank ID, då borde det väl gå att få hem ett kort utan bank id på eftersom man ändå kan använda den andra? Och du borde väl kunna be om att få använda digipass istället?

Alla säkerhetslösningar är en avvägning mellan säkerheten och användbarheten.

Jag tycker lösningen är kanon, å andra sidan har jag lejonparten av min ekonomi hos avanza och nordnet så det blir ett extra lager av svårighet att komma åt.

Om någon kommer över både ditt kort och din kod så kan de tömma kontot i bankomaten och handla friskt - visst nu kan de även logga in på banken men man får ju vara mentalt efterbliven om man både släpper uppsikten över det fysiska kortet och dessutom låter koden komma på vift.

Jag gör tummen upp för SEB's modernisering och anser det vara en hygglig avvägning mellan säkerhet och användbarhet.

Alla bör oavsett ha engagemang i minst 2 olika banker ändå så riskerna och sårbarheten minskas.

Du har missat poängen. BankID i sig är måhända kanon det är den värdelösa och naiva inställningen till säkerhet jag vänder mig emot. Hur försvarar du möjligheten att logga in med alla kort från alla datorer - helt utan verifiering på att du är du?

Den som tror man kan leva sitt liv och skydda både kort + kod till 100% går aldrig på krogen eller rör sig bland människor i allmänhet. handlar inte på konsum mm. En eremit mao.

Därför har många, som jag, ett begränsat belopp på kontot kortet är kopplat till samt ett annat konto där man förvarar lite mer utifall kortet blir stulet. Iom denna idiot-lösning _måste_ jag skaffa ett till konto hos en annan bank där jag försäkrar mig emot ev. kortstölder.

Förut riskade jag - som mest - att torska det belopp som fanns på kort-kontot. Nu riskar jag allt som finns knutet till banken i fråga. Allt ligger bara en ficktjuv bort

Hur vet jag ifall de kopplat Bankid på befintligt VISA-kort?

Jag kan inte påminna mig något personligt brev om detta från SEB mer än något allmänt luddigt på hemsidan vid något tillfälle att deras befintliga lösning med ID i samarbete kring e-legitimation med Telia skulle upphöra.

Jag tror inte jag missat poängen om du betänker vad jag skrev i slutet.

Jag ser det som något mycket positivt att svenska bankkunder tvingas skaffa konto i ytterligare en bank. Stärker konkurrensen, tack seb

Det är något dom gör med nya kort som tillverkas. Inget befintligt kort får BankID utan nya. I samband med nya kortet medföljer info samt en kodläsare några v senare.

Jag får en stark känsla av att du arbetar på en bank .

Ledsen men jag köper inte denna "modernisering" bara för sin egen skull. Bankerna kommer på ett nytt system som öppnar upp en stor säkerhetslucka i mitt privatliv och lösningen är att sprida risken över flera banker. Låter inte logiskt för mig. Låter som bankerna får gå tillbaks till ritbordet - gör om gör rätt!