FriBID forum

FriBID är ett fritt program för e-legitimation med BankID.

You are not logged in.

#1 2015-01-24 18:05:46

janne
Member
Registered: 2015-01-24

Hur säkert är BankID?

Först av allt, det här kanske är helt fel forum för mina funderingar...

Jag vet mycket lite om BankID men känner att BankID på fil knappast kan vara seiöst. Hur är det med BankID på kort eller MobiltBankID?
Tyvärr känns det som om evolutionen har gått så illa att man inte längre kommer undan. Har svårt att acceptera att Finansiell ID-Teknik AB tillåts vara någon typ av smakdomare när det gäller OS.

Vart är vi på väg?

Offline

#2 2015-01-24 19:59:19

samuellb
Administratör
Registered: 2010-02-15
Website

Re: Hur säkert är BankID?

Säkerheten i mobiler och mobilt BankID ger jag inte mycket för faktiskt. Skulle nog säga att BankID på fil är säkrare faktiskt.

  • Mobilt BankID är inte säkrare än bankid på fil eftersom även det är ett mjukt certifikat, fast på mobilen.

  • Mobiler får i regel inte säkerhetsuppdateringar mer än något år efter att de släpps (det varierar dock mellan tillverkare). Många mobiler har därför "remote root" exploits, som det inte finns uppdateringar till. 61% av alla Android-telefoner får ej uppdateringar längre[1].

  • Mobiler utvecklas IMHO i alldeles för hög takt och det slarvas med säkerheten. Även hårdvaran har visat sig ha allvarliga säkerhetshål (bl.a. basbandsprocessorn[2,3]).

  • Säkerhet i mobiltelefoner är ett förhållandevis outforskat område, om man jämför med vanliga datorer.

  • BankID på fil räknas, trots ovanstående, som osäkrare och tillåts normalt sett inte för överföringar m.m. (pga olika certifikat-policies). Vilket ev. kan minska konsekvenserna vid ett kapat BankID på fil.

BankID på kort är säkrare eftersom det inte går att signera något utan att man anger PIN på kortläsaren (om man har knappsats på dosan dvs). Men får man in något skräp i datorn så kan den ju byta ut texten som signeras (t.ex. så att man godkänner en transaktion på 100 000 kr istället för att godkänna deklarationen). Så 100% säkert är det inte.

När det gäller val av OS så verkar det fungera att köra mobilt BankID i Linux. Vidare så verkar version 5.0.2 av BankID-klienten (en gammal version) fungera i Wine, i alla fall så startar den och det går bra att importera certifikat. Har inte testat den mer utförligt dock.

[1] http://news.softpedia.com/news/Almost-1 … 9757.shtml
[2] https://www.usenix.org/system/files/con … inal24.pdf
[3] http://www.osnews.com/story/27416/The_s … bile_phone

Offline

#3 2015-01-25 12:25:31

janne
Member
Registered: 2015-01-24

Re: Hur säkert är BankID?

Referenserna 2 och 3 var mycket intressanta. Jag har anat att det inte stod helt rätt till där men att det var så illa trodde jag inte.

Kräver BankID på kort anslutning till datorn? Skulle kännas betydligt säkrare att knappa in en serie siffror som visas på en display. Eller tänker jag fel där?

Edit: Nu vet jag att det behövs anslutning till datorn.

Last edited by janne (2015-01-25 17:14:30)

Offline

#4 2015-01-26 11:34:50

samuellb
Administratör
Registered: 2010-02-15
Website

Re: Hur säkert är BankID?

Ja kortläsaren måste som du säger vara inkopplad till datorn. Dock finns det lösningar där det inte är så, t.ex. Swedbanks system med dosa där det fungerar just så att man knappar in kontonr eller belopp att överföra och får en svarskod, och det är väldigt säkert (åtminstone i teorin, kan ju finnas säkerhetsbrister ändå). Detta fungerar förstås bara för att godkänna sifferkoder.

Alternativt kan man godkänna helt slumpmässiga koder (så tror jag det är hos de flesta andra banker) men nackdelen då är att man inte vet vad man signerar för något. Det finns för- och nackdelar med säkerheten i en dosa och i BankID på mobil/fil så det går inte att säga rakt av att något är säkrare än det andra. T.ex. blir risken för phising större med en "traditionell" dosa där man signerar slumpkoder.

Offline

Board footer

Powered by FluxBB