Hur vet Bank-id vilken apparat som ska loggas in på?

1. Jag går till min banks hemsida, fyller i mitt personnummer och trycker på "logga in med mobilt bank-id"

2. Nu skickar banken en request till mitt bank-id-konto.

3. Jag loggar in på bank-id.

4. Nu skickar bank-id ett godkännande till bankens hemsida och jag blir inloggad.

Hur vet bankens hemsida att det är just min dator som ska släppas in? Jag misstänker att det är så att steg 2 innehåller information om vilken dator som vill ha tillgång, information så som ip-address och kanske något mer jag inte tänkt på. Stämmer detta?

Jag tror inte bankens hemsida vet det. Det är det scammare utnyttjar.
Min bank ger mig en qr-kod att scanna för att bli säkrare på dator hör ihop med inloggningen.

Förhoppningsvis finns det någon som vet. Jag gubbgissar ;-)

Vet inte exakt hur det funkar, men man kan ju gissa att det finns nåt JavaScript nånstans som ligger och skickar en unik token till banken medan du ombeds logga in med bankid, man skulle ju kunna gissa på att denna token innehåller nån slags hash på dels den IP-adress som initierade anropet, samt nån slags tidsstämpel.

Denna token måste givetvis valideras serverside nånstans i inloggningsförfarandet (dvs beroende på avsändaren av token måste det gå att räkna fram samma hash återigen) och om hela handskakningen med bankid funkar (dvs du har rätt kod) startar sessionen och du loggas in.

Detta kommer givertvis inte hjälpa om någon annan påbörjar en inloggning och ber dig logga in med ditt bankid som nån sa, eftersom denna token då genererats från dennes dator (som nån annan påpekat).

Rena spekulationer från min sida.

Jag tror att det här är vad du söker: https://www.w3schools.com/php/php_sessions.asp

Du har ju redan verifierat (aktiveringskod) att du är du på just din maskin via ett lösenord.
Därför vet banken att bara du kan logga in med ett givet lösenord på den maskinen.
Lösenordet är en värdhandling som bara du ska känna till.
Testar du att logga in med en annan mobil eller surfplatta så funkar det ej.
D. v. s. ditt bank-id är bundet endast till där du första gången loggade in.

Bank-id med QR-kod, förklaring nedan
https://support.bankid.com/sv/fragor.../vad-ar-qr-kod

Hur funkar det om man byter mobil? Avinstallera appen på gamla luren och ladda ner appen på nya?

Har ingenting med BankID att göra. Protons inlägg stämmer, men vill ändå utveckla lite.

Du har ett certifikat på mobil/dator som är kopplat till ditt personnummer. Och det finns två sätt att använda det certifikatet: Samma enhet, eller annan enhet, man behöver inte alltid ange personnummer heller vilket komplicerar saker. Det finns alltid 3 delar i ett inlogg. BankIDs servrar, tjänsten man vill logga in på, och BankID klienten.

1) När man vill logga in begär klienten en token från BankIDs servrar., med den vet BankID var man vill logga in. Tjänsten sparar den i minne för kommunikationen mellan de 3 delarna.

2) Om man valde annan enhet får man antingen fylla i sitt personnummer, eller skanna en QR kod från BankID klienten. Annars försöker tjänsten starta BankID klienten på samma enhet, hur man startar beror på enheten men man skickar med samma token som man fick från BankIDs servrar. Nu vet man vem som vill logga in.

3) Nu när man kopplat ihop BankID klienten och tjänsten förväntar sig tjänsten ett godkännande från BankIDs servrar att personen lyckades med inlogget. Och börjar skicka frågor till servern, och då används samma token igen. Samtidigt väntar BankIDs servrar på rätt kod från BankID klienten. Detta pågår tills användaren skrivit sin kod på BankID klienten eller tills tiden går ut.

Hemligheten är certifikatet på enheten som bara kan verifieras med lösenordet. Och BankIDs servrar kan verifiera att det är ett äkta certifikat kryptografiskt (det sista är en gissning men det är så det brukar skötas).

Att bara ha appen räcker inte, du skapar ett certifikat och det oftast med bankdosa eller kanske gammalt BankID (osäker om det går) via din bank. Ta bort det och du kan inte längre logga in. Man kan ha flera certifikat kopplade till olika personer på samma enhet.

Men jag har bankdosa också så då är det väl bara att skaffa mobilt BankID på nya telefonen.? Bara göra om samma procedur som jag gjorde på nuvarande telefonen.

Precis. Din bank vet vem dosan tillhör och kan med det skapa ett giltigt certifikat som BankIDs servrar kan verifiera.

Via den krångliga processen du gick igenom för att få ditt bank-id(certifikat), processen är krånglig just för att se till att det är rätt certifikat hos rätt person.

Man har ju bank-id:t på fil i datorn, som man har skapat genom banken. När man legitimerar sig så drar browsern igång programmet. Knepigare än så är det inte.