Bank id utan mobiltelefon?

Jag använde ordet terminal för att jag menade just terminal.
Du behöver inte slå ifrån dig bara för att du inte förstår terminologin.
En kortläsare är en terminal, vart vill du komma egentligen?

Jaså den här tråden är visst aktiv igen! I alla fall jag skrev för tre år sedan om möjligheten att använda en Android emulator som LDPlayer för att skaffa och sedan använda mobilt BankID I emulatorn. Tyvärr är den möjligheten inte längre tillgänglig då BankID appen kraschar direkt om man försöker köra den i emulatorn. Synd för det var annars ett bra "hack" för dom som ville avstå från smartphones. Fler förändringar är att din enhet måste ha NFC ifall du skaffar nytt BankID med säkerhetsdosa eller pass/nationellt ID kort. Om du använder ditt gamla BankID som alternativ så går det dock fortfarande att installera och sedan använda det på en enhet utan NFC. Men det är inte problemfritt Det kan hända vid större transaktioner eller om man använder sitt BankID på resa exempelvis utomlands så kan kravet på att scanna ID handling dyka upp.

En annan förändring är att det sedan februari 2023 inte längre går att installera fler än 1 BankID på samma enhet. Tidigare kunde man ha mellan 3-5 olika beroende på bank på samma enhet. De som har kvar giltighet går dock att fortsatt gå att använda på samma enhet fram tills det äldsta BankID går ut. Det här var ju praktiskt tex om man hade en familjegemensam surfplatta eller att en anhörig kunde ha en äldre persons BankId på sin mobil.

Jag visste inte ens att de överhuvudtaget använde PKI. Hur vet du detta? Sett källkoden?

Men inte ska man behöva läsa på om bränsleblandningsprocessen och tändpunkten i förbränningsmotorn och kullagerkonstruktionen i växellådan för att köra bil. Inte ska man behöva sätta sig in i hur matematiken bakom krypteringen fungerar för att använda "bank-id på fil".

Om det finns något som heter "bank-id på fil" måste det ju gå att förklara hur man lägger in filen och hur man använder den.

Om det nu är så att det här med "bank-id på fil" dessutom kräver en speciell app i datorn så är det ett mycket vilseledande namn på det hela. Och det är inte bara jag som vilseletts. Jag vet inte hur många som genom åren förslagit "bank-id på fil" som ett alternativ när jag förklarar att jag inte kan köra deras special-appar och systemtillägg.


Så man måste klippa och klistra tillfälliga koder mellan webbläsaren och bank-ids egna säkerhetsprogram?


Vilken pinkod? Vilket chipkort är det du pratar om nu?

Bankid är nog den mest spridda och lända tillämåningen av PKI, public key infrastructure, dvs en säkerhetslösning med privata och publika nycklar, hanterade av en central entitet, i detta fall bankid själva, som alla parter litar på. Bankid utfärdar nycklarna, dvs certifikaten, och validerar dem när någon ber om det. Det är så PKI fungerar, du behöver inte utbyta din hemliga nyckel med den du vill interagera med, utan den parten skickar ett meddelande till dig krypterade av din publika nyckel, och bara du, med din privata nyckel, kan dekryptera det, och därmed verifiera att du är du.
Plz, grundläggande cybersäkerhet, ju, sen decennier. SSL fungerar på samma sätt, fast då sköts det av din browser utan att du behöver göra något.

Ja, man laddar ned bankids säkerhetsprogram som hanterar filen, och all tillgång till den.

Tycker du det är jobdigt att Edge/Firefox eller vilken browser du nu kör hanterar din hemliga nyckel för SSL/TLS-kommunikation också (dvs surf på websidor med hänglås)?



Nej, vill du identifiera dig på en site skickar den en begäran till din browser att starta bankid-programmet, som hanterar kommunikationen och verifieringen via bankid, och sen säger till siten att du är den du säger du är, varvid siten släpper in dig till din bank, försäkringsbolag eller var du nu har identifierat dig. Ungefär som mobilt bankid, det är också en app som sköter identifiering på samma sätt.



Alla vanliga bank- och kreditkort har ett chip, och en pinkod. Den används när du använder kortet för att visa att du är den rättmätige innehavaren. Den pinkoden finns i en speciell skyddad area av chippet, otillgänglig för andra kortläsare eller applikationer. Du kan alltså inte komma åt den även om du har en egen chipkortläsare, eftersom den är en hemlig privat nyckel som ligger skyddad. När kortterminalen ber dig om pinkod knappar du in den, och den krypteras i terminalen, skickas till chipet, eller banken, beroende på om terminalen är online eller ej, som dekrypterar, verifierar och säger ok/inte ok, utan att någon vet vilken pinkod du slog in, inte ens terminalen, krypteringen sker i tangentbordet..

No offence, men du har väldigt starka synpunkter på en teknik du uppenbarligen vet väldigt lite om.
Lästips: https://en.wikipedia.org/wiki/The_Codebreakers
mycket intressant och nyttig bok om kryptering och säkerhet.

Olika typer av bankid: https://sv.wikipedia.org/wiki/Bank-id
PKI basics: https://sv.wikipedia.org/wiki/Public_key_infrastructure

Nu får du nog sänka farten på dina svar. Just nu är kvalitén väldigt låg. Både stavning och korrekthet i fakta.


Knappast. Hur många länder använder Bankid? Används det i Kina och Indien?


Detta har du ju redan skrivit en gång.


Vad är Plz? Ännu en krypteringsteknik? Eller är du tonåring?

Om det sköts bekom kulisserna, varför känner du ett behov av att förklara?


Är det en fil så lär det vara operativsystemet som hanterar tillgången till den.


När det gäller Edge, ja. Där har jag haft en del problem med att Windows centrala certifikathanterare trasslat till sig själv, så det varken gått att surfa eller uppdatera skiten.

Nej det gäller Firefox, nej, varför skulle jag det? I Firefox så är denna hantering inbyggt, så jag kan använda Firefox helt oavsett vilket fabrikat det är på mitt operativsystem, eftersom Firefox i princip går att få igång på alla moderna operativsystem.

Det jobbiga med bank-id-skiten är att det inte finns för de operativsystem jag använder, samt att det är stängd källkod så jag inte skulle kunna veta vad programmet gjorde i mitt system om det fanns.

Dessutom har jag fått intrycket att programmet faktiskt gör att massa hokus pokus, och kräver att få gräva i allt möjligt, som gör det svårt att isolera det i en container, vilket annars är en lösning på problemet med stängd kod.


Jag vet inte hur mobilt bank-id fungerar, så det kan du inte använda som någon slags utgångspunkt i dina förklaringar om hur "bank-id på fil" fungerar.

Men utifrån det du skriver så tolkar jag det som att webbläsaren enbart startar upp ett externt program, genom att det på förhand registrerats att det programmet hanterar ett visst "scheme" eller en viss "mime-typ"?

Och därefter sker all kommunikation via en eller flera servrar, så att absolut ingen annan integration behövs lokalt, och i själva webbläsaren? Inga plugins eller extensions? Och heller inga "system-hooks" som fångar upp systemanrop som webbläsaren gör? Är detta korrekt uppfattat?


Ok. Du pratar om ett typiskt vanligt kreditkort. Det var ju inte självklart i trådens sammanhang.

Den koden hade nog jag gissat bara fanns i mitt huvud, och i min lokala offline icke proprietära lösenordshanterare. Tror du den är lagrad alls, i kortet eller hos banken eller hos kreditutgivaren?


Självklart har jag starka åsikter om något som mer eller mindre påtvingas mig, men som de förefaller gjort omöjligt för mig att använda.

Hur svårt kan det vara att ge mig ett ssh-shell som alternativ där jag kan knappa in en hederlig skrapkod eller vad som helst?

Hur svårt kan det vara att identifiera mig precis på samma sätt som jag identifierar mig med en bankdosa utan sladd?

Hur svårt kan det vara att införa en riktig standard istället, som inte kräver något jävla hokus pokus i någon stängd exe-fil, utan som kan släppas i form av en specifikation, och eventuellt en referensimplementation som öppen källkod, och som kan kodas från scratch i valfritt språk om man så vill?

Förresten, varför skriver du "No offence" om det inte just är det som är ditt syfte?

Det där är helt enkelt falskt. Jag kan inte använda det.

Jag har väl redan skrivit det jag ville, att du har en lite egen definition av ordet terminal, om terminalen du pratar om inte interagerar med en människa på annat sätt än att man sätter i ett kort.

På svenska säger vi ofta kortterminal. Men då handlar det om enheter där man som människa förutom att läsa av ett kort också kan se information och mata in koder. Alltså en kortterminal är både en kortläsare och en terminal, eller en terminal med kortläsare.

Ja alla kan inte använda det, finns säkert personer som har olika handikapp som gör det helt omöjligt. Dock kan man i de flesta fall då utförda en fullmakt till någon man litar på.

Olika på olika banker. Skandiabanken har inte längre bank-id, tror inte ICA-banken har det heller?

Plz är en vanlig förkortning av 'please'.

Och jo, chipkort har pinkoden (eller rättare en hash, dvs krypterad version) av den lagrad lokalt, därför kan de fungera och autenticera även om kortterminalen är off line. Den finns dessutom, också hashad, hos banken så att banken kan autenticera transaktioner online. Olika inlösare har lite olika regler man oftast låter man lägre köpbelopp godkännas lokalt medan högre skickas till utgivaren för auktorisering. Och du kan ju själv ändra den, via din bankapp eller bankens websida, så alltså kan banken uppdatera den tidigare lagrade hashen av den med den nya du väljer, vilket också propageras ut till kortets chip när det är online, t ex i en kortläsare eller en bankomat.
Och skälet till att jag nämnde vanliga kort var att flera banker har eller har haft bankid lagrat på sina kort.

Det finns rätt mycket dokumentation om bankid och dess APIer att läsa om du är intresserad.
https://www.bankid.com/utvecklare/guider
Integrationsguider, demokod och exempel och mycket annat. Många utvecklare på många olika ställen har läst och implementerat detta tidigare, så även om du hyser tvivel så verkar det som om de flesta andra tycker detta är säkert nog att enkelt implementera i sina weblösningar. Såvitt jag vet har det inte skett någon breach eller annan säkerhetsincident hittills, men jag kan ha fel, det finns ju ingen helt buggfri kod.

Och jag skrev no offence för att det var inte min avsikt att förolämpa dig, men jag fick intrycket att du skrev med starka känslor om något du inte förstod riktigt hur det fungerade, och möjligen missförstod, därför ville jag ge dig lite lästips. Jag inser nu att du har rätt bra koll, om än inte på hur just bankid är implementerat.
F ö kan du ju fortfarande (i alla fall i min bank) använda en vanlig bankdosa som gör en vanlig challenge-responseidentifiering av dig, och även kan signera dina betalningar, precis som mobilt bankid och bankid på fil, fast utan någon fysisk koppling till din dator, om det är vad du vill så behöver du inte bankid.

Fast jag skulle inte lita på någon annans telefon heller. Så det lät inte som det löste grundproblemet.

Nu vet jag inte vad grundproblemet är men ta av foliehatten och förklara så kanske jag kan svara på det...