Vad håller BankID på med just nu?

Tråden skapades och har fått 56 svar. Det senaste inlägget skrevs .
  • Medlem
  • Stockholm
  • 2016-10-08 10:02

Många appar uppdateras just nu och inloggning via fingeravtryck tas bort. Varför?

Vilka appar då till exempelvis? Jag kan fortfarande logga in på Handelsbanken med hjälp av touch-ID.

Ursprungligen av barbapappa_86:

Vilka appar då till exempelvis? Jag kan fortfarande logga in på Handelsbanken med hjälp av touch-ID.

Dito:)

Det är väl dessutom inte BankID som i sådana fall håller på med något. Det är väl respektive app som slutar med BankID som id-metod.

Ursprungligen av barbapappa_86:

Vilka appar då till exempelvis? Jag kan fortfarande logga in på Handelsbanken med hjälp av touch-ID.

I Klarnas app såg jag att touch-id togs bort pga ändringar i regelverket från bank-id.

Det är bra! Funktionen är dokumenterat osäker. Bekvämt bara tills man råkar illa ut...

Någon som vet vilka ändringar de har gjort?

Enda skillnaden jag har märkt är i SEB's app för företag, dock inte den för privatpersoner.
Med 3D touch/force touch eller vad de nu kallar det på 6s och framåt så kan man genom ett hårt tryck på appen få en genväg till att logga in som förr tog en direkt till Bank-ID men numera så mellanlandar man i SEB-appen där personnumret redan står och man får klicka på 'Logga in'. Detta mellanslag finns inte i privatappen.

  • Medlem
  • Kungälv
  • 2016-10-08 12:11
Ursprungligen av Alix:

Det är bra! Funktionen är dokumenterat osäker. Bekvämt bara tills man råkar illa ut...

Var har du den dokumentationen?

Jag swishade precis, bankid funkade som vanligt med touch.

Ursprungligen av Json_81:

Var har du den dokumentationen? ...

Det finns flera som har lurat systemet med hjälp av tejp, gelatin, modellera och så vidare. Det är känt sedan åtminstone 2002. Nyare exempel finns också, se här.

  • Medlem
  • Stockholm
  • 2016-10-08 13:43

Personligen tycker jag inte det är en jättegrej att inte kunna använda touch ID i dessa situationer. Och självklart föredrar jag säkerhet framför denna lilla bekvämlighet. Jag är inte tillräckligt teknisk för att kunna göra en korrekt riskbedömning vad gäller touch ID. Men jag har funderat på om man inte borde kunna välja båda. Typ när man ska logga in på sin bank, alltså fingeravtryck OCH en pinkod.

Frågan är ju om det hänt något nyligen då det nu ändras i flera appar på begäran av Bank ID?

Ursprungligen av Alix:

Det finns flera som har lurat systemet med hjälp av tejp, gelatin, modellera och så vidare. Det är känt sedan åtminstone 2002. Nyare exempel finns också, se här.

Finns det något skarpt exempel där någon har hackat någon annans telefon på detta sätt? Jag tvivlar

I min Android stöder bara Nordeas app fingeravtryck. Men bara vad gäller mina egna uppgifter och transaktioner mellan mina egna konton. Det tycker jag är en okej servicenivå i förhållande till säkerhetsaspekten. Med fejkat fingeravtryck är det rena rama motorvägen för en bedragare via fullt ut tillämpat touch ID. Inte bra.

Ursprungligen av BlackSmp:

Finns det något skarpt exempel där någon har hackat någon annans telefon på detta sätt? Jag tvivlar

Vad spelar det för roll? Proof of concept gäller vid säkerhetsbedömningar.

Ursprungligen av Alix:

Vad spelar det för roll? Proof of concept gäller vid säkerhetsbedömningar.

Vid en säkerhetsbedömning så ingår nog också en riskbedömning och den är låg, väldigt låg för dessa hack - såvida det finns bevis på skarpa hack.

Ursprungligen av BlackSmp:

Vid en säkerhetsbedömning så ingår nog också en riskbedömning och den är låg, väldigt låg för dessa hack - såvida det finns bevis på skarpa hack.

Dialog hos Bank-ID:
- Chefen, det går att rätt enkelt komma förbi fingeravtrycksläsaren.
- Finns det kända belägg för att det har hänt så att någon har drabbats?
- Nej.
- Då fortsätter vi som förut.

Ursprungligen av Alix:

I min Android stöder bara Nordeas app fingeravtryck. Men bara vad gäller mina egna uppgifter och transaktioner mellan mina egna konton. Det tycker jag är en okej servicenivå i förhållande till säkerhetsaspekten. Med fejkat fingeravtryck är det rena rama motorvägen för en bedragare via fullt ut tillämpat touch ID. Inte bra.

Fingeravtryck gäller väl endast inloggning med BankID? För att godkänna transaktioner så behöver man skriva sin kod i BankID appen. I alla fall är det så i Nordea. Du kan logga in med fingeravtryck men om du ska föra över pengar, betala räkningar så blr det att fylla i koden. Det tycker jag är en ganska rimlig säkerhetsnivå. Alltså ingen motorväg för bedragare.

Ursprungligen av matssoderstrom:

Fingeravtryck gäller väl endast inloggning med BankID? För att godkänna transaktioner så behöver man skriva sin kod i BankID appen. I alla fall är det så i Nordea. Du kan logga in med fingeravtryck men om du ska föra över pengar, betala räkningar så blr det att fylla i koden. Det tycker jag är en ganska rimlig säkerhetsnivå. Alltså ingen motorväg för bedragare.

Du missförstår mig. Den näst sista meningen jag skrev rör touch ID, alltså Apples lösning. Men där kanske man också måste skriva kod i slutändan? Jag minns inte (gav min Iphone till dottern för några veckor sedan).

Ursprungligen av matssoderstrom:

Fingeravtryck gäller väl endast inloggning med BankID? För att godkänna transaktioner så behöver man skriva sin kod i BankID appen. I alla fall är det så i Nordea. Du kan logga in med fingeravtryck men om du ska föra över pengar, betala räkningar så blr det att fylla i koden. Det tycker jag är en ganska rimlig säkerhetsnivå. Alltså ingen motorväg för bedragare.

Helt korrekt.

Ursprungligen av Alix:

Dialog hos Bank-ID:
- Chefen, det går att rätt enkelt komma förbi fingeravtrycksläsaren.
- Finns det kända belägg för att det har hänt så att någon har drabbats?
- Nej.
- Då fortsätter vi som förut.

Din fråga är ofullständig:

Hur kommer man "rätt enkelt" åt ditt fingeravtryck i ett verkligt scenario?

Men sak samma, vi går vidare med olika uppfattningar i frågan.

Ursprungligen av BlackSmp:

Din fråga är ofullständig:

Hur kommer man "rätt enkelt" åt ditt fingeravtryck i ett verkligt scenario?

Men sak samma, vi går vidare med olika uppfattningar i frågan.

Jag har visat det i tidigare länkar. Om man har tillgång till ett fingeravtryck och mobilen så kan man komma förbi fingeravtrycksspärren. Jag antar att FBI inte hade haft några problem att komma in i San Bernadino-mobilen om den hade haft touch ID. Oavsett om det handlade om terroristens verkliga fingrar eller hans fingeravtryck. Sedan leder din avslutning om "olika uppfattningar" potentiellt fel. Det är ingen "uppfattning" att fingeravtryck ger en sämre säkerhet än pinkod eller lösenord. Det är bevisat att det är så. Däremot kan man så klart ha olika uppfattningar om vilken betydelse det har, och om eller hur man ska agera annorlunda.

I min dotters klass finns det TVÅ elevers fingrar som kan öppna den enes telefon! Dom är inte släkt - går bara i samma klass. Två samålders tjejer - den ene har en iPhone med sitt pekfinger som öppnare...och en klasskompis pekfinger kan också öppna den telefonen!
Världen består av miljarder osannolika saker varje sekund och detta är så osannolikt att jag är tvungen att skriva det (samlar på osannolikheter (statistiska "mirakel"), men det säger också en hel del om en konsumentprodukts fingeravtrycksteknik: Den KAN inte vara speciellt säker ty då skulle det ta lång tid att öppna telefonen och många försök skulle krävas och man skulle måsta se till att sensorn är ren hela tiden - en säkrare sensor skulle säkert dra mycket mera batteri också.
Fingeravtrycksöppnare på konsumentgrejer är en bekvämlighets/användarupplevelse-grej - har föga med "säkerhet" att göra.

  • Medlem
  • Örnsköldsvik
  • 2016-10-08 17:14

Jag kunde öppna min frus 5S.
Hon hade däremot problem med det rätt ofta, suddiga fingeravtryck..

Oj, då! Nu finns det alltså exempel på "hackade" touch ID. Godartade exempel, men ändå...

Hur många exempel på lyckade bedrägerier finns det där ett fejkat/klonat fingeravtryck varit nyckeln till framgång? Hur många lyckade bedrägerier finns det där ett lösenord eller PIN varit på vift?

Jag har aldrig hört talas om ett enda fall med fingeravtryck. Däremot finns det ju ett nästan oändligt antal bedrägerier där skurkarna kommit över lösen/PIN och utnyttjat detta. Via phishing, kollat på dig när du betalar i nån butik och sen ficktjuvar din plånbok, eller koden förvarad tillsammans med kortet, eller något annat sätt.

Ursprungligen av Sir N.:

... Hur många lyckade bedrägerier finns det där ett lösenord eller PIN varit på vift?

... Däremot finns det ju ett nästan oändligt antal bedrägerier där skurkarna kommit över lösen/PIN och utnyttjat detta. Via phishing, kollat på dig när du betalar i nån butik och sen ficktjuvar din plånbok, eller koden förvarad tillsammans med kortet, eller något annat sätt.

Du verkar skriva om kortbedrägerier?

Ursprungligen av Alix:

Du verkar skriva om kortbedrägerier?

Bedrägerier i allmänhet. Hur mycket bedrägerier har genomförts mha fingeravtryck vs. lösen/pin?

Ursprungligen av Sir N.:

Bedrägerier i allmänhet. Hur mycket bedrägerier har genomförts mha fingeravtryck vs. lösen/pin?

Det blir att jämföra äpplen och päron. Mobiler skyddas av kod och fingeravtryck men kort bara av kod. Kort är överlägset vanligast som betalningsmedel, så det är självklart att de är mest drabbade.

  • Medlem
  • Kungälv
  • 2016-10-09 08:41
Ursprungligen av Alix:

Det finns flera som har lurat systemet med hjälp av tejp, gelatin, modellera och så vidare. Det är känt sedan åtminstone 2002. Nyare exempel finns också, se här.

En artikel från 5 år före första iPhonen släpptes och en där de visar att kan lura läsaren med en avgjutning av fingret.
Ska vi lägga till säkerhetsrisken att någon hotar dig med pistol för att få ditt lösenord också?

Ursprungligen av Json_81:

En artikel från 5 år före första iPhonen släpptes och en där de visar att kan lura läsaren med en avgjutning av fingret.
Ska vi lägga till säkerhetsrisken att någon hotar dig med pistol för att få ditt lösenord också?

Kriminalitet kan man aldrig värja sig helt från. Den risken är därtill jämnt fördelad över de olika säkerhetsalternativen. Intressant nog, det är ju en amerikansk telefon, är att man som privatperson i USA av rättsvårdande myndigheter kan tvingas avge fingeravtryck men inte lösenord. Det senare skyddas av grundlagen där man muntligen slipper sätta sig själv i klistret.

Jag skulle vilja påstå att för gemene man så är säkerheten i TouchID tillräcklig. Går det att lura TouchID? Ja, men går ju att knäcka en kod med. För mig så vinner smidigheten över säkerheten då det gäller TouchID.

Bevaka tråden
PLACE BANNER HERE
PLACE BANNER HERE
PLACE BANNER HERE