Hur vet Bank-id vilken apparat som ska loggas in på?

Jag vill nog utveckla lite mer, eller iaf gå tillbaka till orginalfrågeställningen.

Banken har inte koll på dig, så att säga, den vet att webbläsaren försöker logga in, kör sin challenge-response-runda och loggar in om den går bra.

Dock finns det ett problem med det, vilket nog är anledningen till frågeställningen. Hur vet banken vilken webbläsare den ska släppa in om två försöker logga in samtidigt? Här har BankID gjort en dundermiss i implementationen, då BankID inte kräver att det går en challenge-response hela vägen till användaren när det gäller att koppla ihop vad som det loggas in på (i.e. webbläsaren till banken) med vad man loggar in med (i.e. mobilt BankID i din telefon), så du kan inte veta det. Dock ska det nämnas att Finansiell ID-teknik har börjat låsa BankID direkt vid misstänkt aktivitet, vilket är ett steg i rätt riktning (dock ett steg som inte hade behövts med vettig design).

Min rekommendation om du inte får en QR-kod vid inloggningen är att bli väldigt arg på din bank och klaga mycket och ofta. Specifikationen för BankID för tjänsteleverantörer (typ banker) finns här (https://www.bankid.com/assets/bankid...nes-v3.2.2.pdf), tryck den gärna i ansiktet på dem.

Och innan de har fixat QR-kod, starta alltid mobilt BankID innan du knappar in ditt personnummer så att du ser att appen (mobilt BankID-appen) drar igång inloggningen samtidigt som du har knappat in ditt personnummer. Då kan du vara hyffsat säker på att det är din webbläsare som loggas in.

BankIDs specifikation är väldigt svag, den lyder så här när det kommer till inloggningsflödet:
Det borde i det närmaste vara tvärtom, inloggning som inte stödjer challenge-response på användarnivå (dvs QR-koden) borde inte få användas utan vidare och det borde spruta rött överallt.

För att undvika missförstånd, mobilt BankID har en objektivt dålig design, i meningen att det går att lura en vanlig användare relativt lätt. Rent kryptografiskt är lösningen bra, men vad spelar det för roll när du kan godkänna fel överföring eller fel inloggning? (och förmodligen har den bara utvärderats tekniskt och inte användarmässigt)

100% korrekt! Bankens hemsida vet det inte. Det scammare har gjort är att de ringer till folk och ber de logga in på sin bank med mobilt bank-ID. Scammaren har då redan slagit in personens personnummer på bankens hemsida och ligger på så sätt före i kön.

När personen som blivit uppringd verifierar med mobilt bank-ID så blir scammaren inloggad. Och det är precis därför de infört QR-kod som du skriver.

Detta funkar förstås bara om du inte har några andra säkerhetskoder, men många banker och sparinstitut har bara personnummer och mobilt bank-ID (eller vanligt bank-ID).

Folk i tråden verkar blanda ihop mobilt bank-ID med vanligt bank-ID som är installerat på datorn. I det fallet så kan man inte få det här problemet, eftersom vanligt bank-ID är bundet till datorn som du loggar in med...

Tack för ett utförligt svar. Det var precis detta jag ville ha svar på. En följdfråga; när du skriver "var man vill logga in" under punkt 1, vilken exakt information är det? Alltså rör det sig bara om ett ip-nummer, eller är det även t.ex. information om dators hårdvarukomponenter. Anledningen jag undrar är för att vissa brukar använda bank-id på offentliga nätverk, vilket inte verkar vara så speciellt smart eftersom man då delar ip-address med en massa andra.

Ja, precis, det är därför jag undrar. Det är skrämmande att något som är så centralt för hela Sverige är så dåligt genomtänkt. Allt verkar använda bank-id nuförtiden, från nätbutiker till myndigheter. Vi har ju alltid haft en enorm hets i Sverige mot att göra allt digitalt och det går ju inte alltid som förväntat.

Om någon utvecklar ett virus som meddelar virusskaparen när en inloggning via bank-id görs så kommer de kunna tömma hur många konton som helst.

Om det går att tömma konton på det sättet så har banken gjort allvarliga fel i sin implementation. För att lägga till nya konton så ska dessa nya konton godkännas med Bank ID och slutligen ska överföringen till det kontot också godkännas med Bank ID. Då krävs det alltså 3 godkännanden i BankID-appen för att få igenom en sån transaktion.

Jag har för mig att Nordea har haft alldeles för slapp kontroll på vad som händer inne på kontot och godkänt såna saker utan att det krävs Bank ID. När jag gjorde en överföring på Nordea företag idag så krävdes inte Bank ID för att lägga till en ny mottagare, men när jag skulle godkänna överföringen så var det väldigt tydligt vad jag godkände i Bank ID-appen. Inga möjligheter att felaktigt godkänna transaktioner...förutom om man inte läser vad man signerar.

De flesta banker har idag kontroll på om flera inloggningar sker samtidigt så det problemet ska vara borta. Jag har testat med Swedbank, Skandia och Nordea och alla stoppar dubbla inloggningar.

Det borde ju gå att göra redan i dagsläget. Bedragaren sitter redo med någons personnummer knappat in på banken. Offret öppnar bankens hemsida och knappar in sitt personnummer. När vederbörande trycker på logga in så förhindrar viruset detta, och skickar istället en signal till bedragarens dator att påbörja inloggningen. Då godkänner offret vad han tror är sin egen inloggning och viruset levererar en fejkad bankhemsida. Då förbereder bedragaren en överföring till hans konto, och inväntar att offret ska göra något som kräver kod.

Klockrent inlägg!
Det är just därför jag använder "bank-id på fil" i datorn vid de tillfällen jag behöver bank-id, raderar sedan programmet från datorn. (Och tar bort ID:t från banken). Nästa gång jag behöver bank-id, installerar jag om programmet. Faktiskt rätt sällan jag behöver använda bank-id, kanske 10 ggr per år. Max. Mobilt bank-id vägrar jag att installera. Det finns en genom generationer nedärvd visdom att det ska vara svårt att komma åt pengar, därav kassavalven för fysiska pengar och guld.

"Lätt att betala" har folk gått på som ett rent lämmeltåg. De springer rakt mot stupet till sitt eget fördärv. Det ska vara SVÅRT att betala! (För då blir man inte av med sitt kapital, förenklat förklarat).

Om man använder SEB så tror jag man kan vara ganska trygg. För det första krävs inte bara Bank-ID för inloggning utan signering av varje transaktion. Då man loggar in eller signerar står det i appen vad man signerar. Sedan så finns det en kontroll på dubbelinloggning på servern som skall förhindra det.

Generellt kan man ju också säga att om någon ringer upp och ber en att logga in så skall man ju självklart inte göra det. Man skall alltid ringa upp banken och fråga om något liknande händer. Går man på en sådan bluff får man nästan skylla sig själv.

Det går utmärkt att skapa ett nytt mobilt Bank-ID med ett existerande när man byter mobil t ex. Max 3 Mobila bank-ID kan man ha samtidigt på olika enheter.

För den som är orolig över säkerheten så är det klart lämpligt att ha ett aktivt Mobilt Bank-ID på en gammal mobil som man förvarar på säker plats. Blir man av med mobil och plånbok med kort så kan man inte använda dosan (eftersom man inte har något kort längre).

I det läget vill man kunna logga in för att spärra kort, kolla transaktioner och kanske flytta pengar från lönekontot.

(Bank-ID på fil på en dator funkar förstås också)

Här måste du skilja på Bank-ID på fil och mobilt Bank-ID.

TS frågar i detta fall om hur banken vet vilken enhet förfrågan ska gå till då man loggar in via personnummer. Och detta vet ju inte, eller för den delen bryr sig, ens bank om i normalfallet.

Säkerhetskriteriet är redan uppfyllt sen tidigare då Bank-ID installerades på enheten.

Nu kan du verifiera med vilken enhet du vill, då du öppnar appen känner den att det finns en förfrågan riktad till ditt personummer.

Men säkerheten behöver helt klart, och kommer också att, stramas upp betydligt, exakt hur är bara frågan, fingeravtryck och ansiktsigenkänning är det man verkar satsat mest på de senaste åren men även röstigenkänning kanske kan vara möjligt, eller vanlig tvåsteg kopplad till mobilnummer eller epost exempelvis.

Men finns även en säkerhet inbyggd ifall dubbla inloggningar sker, exempelvis från skilda datorer, då kommer ett vanligt felmeddelande upp, minns inte om den första inloggade också blir utslängd.

Ja, att fejka en inloggning går hyfsat enkelt, men att sen godkänna något utöver det blir betydligt svårare då det står information i Bank ID-appen om vad det är man godkänner. Det står ju inte samma sak hela tiden.

Edit:
Jag gjorde ett snabbt test på Swedbank och godkänner man följande så bör man fundera på om man verkligen ska ha mobilt Bank ID eller hantera sina egna pengar över huvud taget.

1. Inloggning
"I identify myself at:
Swedbank och Sparbankerna"

2. Lägga till bankkonto
"I sign at:
Swedbank och Sparbankerna
Text to be signed:
Jag godkänner kontonummer 8XXX-X,X XXX XXX-X som jag namgett Test som ny överföringsmottagare."
Här måste jag även trycka på en knapp "Sign with security code" för att få upp knappsatsen.

3. Godkänna överföring
"I sign at:
Swedbank och Sparbankerna
Text to be signed:
Jag godkänner följande överföringar:
-Test, 1 kr
Totalsumma: 1 kr."

Det är ju inte så konstigt om din enhet släpps in eftersom du skriver in ditt personnr och väljer verifiering via bankid.

Det är alltså den enhet som requestat bankid som tillåts gå vidare.