Cornucopia?

Aktuellt

Mina e-noveller nu som ljudböcker på Storytel

Mina tre e-noveller Valet, Berget och Oscar finns nu som ljudböcker på Storytel . I väntan på min nästa roman Höstregn, uppföljaren till Hös...

2018-06-17 10:34

Snåla företag orsakar säkerhetsproblem med BankID

Ett antal snåla företag har börjat missbruka BankID genom att åt sina användare göra ett inloggningsförsök mot Skatteverket, för att via BankID bekräfta användarnas identitet. Skatteverket varnar nu för denna andrahandsinloggning.
Min nya favoritbild.
BankID och det omåttligt populära Mobilt BankID är tjänster som är gratis för slutanvändaren, men som kostar pengar för det företag eller den organisation som implementerar tjänsten. Varje gång du loggar in med ditt BankID kostar det ett litet belopp som faktureras organisationen av Finansiell ID-Teknik BID AB.

Företag har nu börjat använda en omväg runt detta, och istället implementerat ett inloggningsförsök hos Skatteverket i slutanvändarens namn, som sedan ska bekräftas av användaren. Därmed får företaget en någorlunda bekräftelse på att personen är den den utger sig för att vara och en komplett inloggning till Skatteverkets tjänster för personen. Mycket användbart om man t ex vill kolla upp personens deklarerade inkomst.

Skatteverket varnar nu föga överraskande för dessa andrahandslinloggningar
"Vi vill varna för detta. Den som med sitt BankID släpper in ett företag ger samtidigt åtkomst till all information om sig själv och alla e-tjänster. Logga inte in mot Skatteverket på något annat sätt än personligen med e-legitimation via Skatteverket.se, säger Pär Rylander, säkerhetschef på Skatteverket."
Vad man inte skriver är att detta också kostar Skatteverket pengar, då de får betala för inloggningarna.

Kort sagt handlar det om snåla företag som inte vill betala de 50 öre eller vad det nu kan kosta att göra en inloggning på BankID (=mindre än de 1:50 SEK det kostar för företag att ta emot en transaktion via Swish iaf, vilket kräver en BankID-inloggning). Utvecklingskostnaden för att runda tjänsten på detta vis har de uppenbarligen tagit, så brist på pengar handlar det inte om, utan ren snålhet.

Sedan kan man ju bli inte så lite skrämd av att folk faktiskt accepterar detta.

Det vore dock intressant med en tjänst där allmänheten kan legitimera sig för varandra online, just via BankID och MobiltBankID. Den som vill ha legitimationen skriver bara in personnumret, den andre personen verifierar och tjänsten svarar "korrekt identifierad". Kostnaden för det hela kan förslagsvis betalas via ett förbetalt abonnemang, t ex 29:- SEK för 20 stycken legitimeringar.

Huruvida en sådan tjänst är tillåten inom villkoren för BankID är en annan fråga.
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa. Genom att kommentera samtycker du till att din kommentar, tidsstämpel, profillänk och pseudonym sparas av Googles Blogger-system så länge det är relevant, dvs så länge blogginlägget är publicerat.

34 kommentarer:

  1. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera
  2. Vilka företag är det då som är snåla? Så vet man på förhand vilka man inte skall lita på.

    SvaraRadera
  3. Riktigt korkat av de företag som anammat detta (eller lurats av datakonsulter). Vem som helst borde förstå att detta skulle upptäckas av Skatteverket, stoppas och orsaka merkostnad för tilläggsutveckling samt efter detta kosta lika mycket som det skulle gjort om det gjorts korrekt från början.


    Eller så kan datakonsulten (med rätt) hävda att Skatteverket nu ändrat sina regler och att tjänsten måste skrivas om under 40 timmar à 1450 kronor.

    SvaraRadera
  4. Bank ID företaget (som ägs av storbankerna) "stal" ju idén till Bank ID.

    SvaraRadera
  5. Tycker en legitimeringstjänst är så grundläggande för ett samhälle att staten borde tillhandahålla det utan kostnader för företag och medborgare.

    De samhällsekonomiska vinsterna är förmodligen mångdubbelt större än kostnaderna att driva motsvarande tjänst.

    SvaraRadera
    Svar
    1. Jo. En datoriserad variant borde ingå när man köper id, körkort och pass.

      Radera
    2. Det funkar väl jättebra nu när bankerna håller i det?

      Staten är rätt usel på IT-upphandling i många fall. Paradexemplet måste vara arbetsförmedlingen, se en liten trevlig film av Henrik Jönsson här angående deras katastrofala misslyckande till IT-tjänst, "Jobskills".

      Låt privata aktörer bygga sånt här.

      Radera
    3. Grundproblemet är ju att staten utfärdar falska legitimationer och sedan inte står för den skada som dessa ställer till med.

      Radera
    4. "utan kostnad","gratis", "fri xxx", "staten" är alltid skattepengar = du betalar. Ge pengar till "staten" fram till september innan du får något själv...

      Radera
    5. Privata bolag ska bannemej inte ha hand om medborgarnas identiteter!

      Radera
    6. @Snetmot Nosrorb:
      ++100 !!

      Radera
  6. Kan man upptäcka detta när det sker eller sker det obemärkt?

    SvaraRadera
  7. Problemet är inte legitimeringen, problemet är att man binder sig till att fortsatt interaktion med kund skall ske genom BankID lösningen. All inloggning, all signering, allt.

    Från upphandling on BankID:

    Prismässigt kostar varje inloggning 18 öre och signeringar kostar 60 öre styck.
    500:- i fast månadsavgift tillkommer samt en uppstartkostnad av engångskaraktär på 1.000:-

    Till sist vill jag passa på att belysa två delar, avtalsreglerade, som för en del medför hinder att erbjudas avtal.

    1. ID-växling. Om ni identifierar en kund med BankID får ni inte utifrån denna identifiering (eller signering) ställa ut en egen säkerhetslösning. Exempel, er kund loggar in med BankID, i samma session ber ni kunden registrera ett användarID och självvalt lösenord som kunden därefter använder i kommande kontakter med er. Med andra ord, om kund loggar in med BankID ska denne fortsätta med det i er relation.

    2. BankID får enbart användas till era slutkunder. Innebär att ni inte får sälja identifiering vidare till andra företag.

    SvaraRadera
    Svar
    1. Ah, det kan onekligen handla om ID-växling som gör att företagen fuskat på detta vis.

      Radera
    2. Klausulen om ID-växling är ju typiskt ett resultat av att en privat aktör driver tjänsten.

      Borde vara förbjudet att ha ett sådant villkor i avtalet då det hämmar konkurrens. I praktiken kan man inte byta leverantör av autentisering om man inte samtidigt rensar alla konton i sitt system!

      Radera
  8. Är det inte brottsligt att ha en tjänst som, när kunden loggar in, plötsligt börjar logga på kundens privata konto hos skatteverket?(eller andra företag). Kunden är antagligen inte ens medveten vad som händer. Låter som kriminell verksamhet. Skulle polisanmäla företaget för vilseledande och brottslig verksamhet. Företaget kommer skylla på kunden, men företaget har utformat en bedräglig verksamhet.

    SvaraRadera
  9. ID kollen verkar vara användbar för privat bruk https://idkollen.se

    SvaraRadera
  10. Bank ID har etablerat sig som en betrodd infrastruktur av privata nycklar på privata enheter med tillhörande publik nyckel.
    Det vore ju finfint om det kunde tas vidare till interaktioner mellan privatpersoner. Jag skickar ett meddelande och signerar med min privata nyckel. Vemsomhelst kan kolla mot min publika nyckel att jag är avsändare, och vi tror på Bank ID
    Jag skickar ett meddelande till någon och krypterar med dennes publika nyckel, bara mottagaren kan dekryptera med sin privata nyckel.

    SvaraRadera
    Svar
    1. Har för mig att det redan finns... kolla med en IT-kunnig kompis.

      Radera
    2. jodå, du kan använda PGP-nycklar och göra det själv, du kan ha signeringsparty där du träffar all kompisars kompisar för att gå i god att alla nycklar representerar äkta personer. Du kan kryptera din mail med nämnda nycklar. Inget du kan få din svärmor att fixa när hon skall sälja bilen på blocket. Bank ID har fördelen att det är en betrodd infrastruktur

      Radera
  11. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera
  12. "Det vore dock intressant med en tjänst där allmänheten kan legitimera sig för varandra online, just via BankID och MobiltBankID. Den som vill ha legitimationen skriver bara in personnumret, den andre personen verifierar och tjänsten svarar "korrekt identifierad". Kostnaden för det hela kan förslagsvis betalas via ett förbetalt abonnemang, t ex 29:- SEK för 20 stycken legitimeringar.
    "

    På Kivra.se kan man signera pdf dokument med mottagarens personnummer gratis. Jag provad att skicka ett dokument till dig nu.

    SvaraRadera
    Svar
    1. Man kan t.ex som jag gjorde, skicka en bild, ett nummer, eller vad man nu vill i pdf-format; personen som ska legitimera sig kan svara med ett Sms vad som stod i dokumentet. Nackdelen är att man avslöjar sin egen identitet till viss del.

      Radera
    2. Personnumret på mottagaren får man lättast på Ratsit i inloggat läge.

      Radera
    3. Man ser även när mottagaren signerat, så man behöver egentligen inget svar.

      Radera
    4. Nu när jag tänker efter så måste mottagaren svara, annars kan man bara uppge någon annans personnummer i hopp om att den personen loggar in och signerar.

      Radera
    5. Tack, det kom fram. Du har nu en signerad kattbild.

      Radera
    6. Format som accepteras : pdf, jpg, png

      Radera
    7. Fast det är lite otäckt om man inte är vaken. Nu var det bara en bild i pdf-format, och man märker att dom tänkt igenom det här. Om man t.ex skulle skriva med liten text i ljusgrått på vit bakgrund..

      "Här med förbinder sig X att överlåta alla sina tillgångar till Y"

      Det skulle inte fungera tror jag, för varken jpg, png, eller pdf filer räknas som dokument i lagens mening tror jag.

      Radera
    8. Man verkar inte kunna ingå kontrakt via Kivra, men däremot, helt gratis verifiera att en person är den han utger sig att vara, så länge personen svarar på frågan (med egen bild eller pdf) som ställdes.

      Radera
    9. Det står iofs..

      "Det finns många fördelar med att signera dokument i Kivra, t.ex får alla parter tillgång till dokumentet direkt, signatörens identitet säkerställs med Mobilt BankID och du får detaljerad information om signaturerna (tidsstämpel, ip-adress mm). Det betyder att en digital underskrift är minst lika giltig som en underskrift i bläck."

      Lars, Har du lust att skicka nåt till mig? Skulle vilja se hur det ser ut innan man signerar.

      Radera
  13. https://test.bankid.com/Mobile
    Fungerar lika bra men ger ingen behörighet till något. Jag brukar använda det om jag behöver identifiera någon i mitt jobb på bank. ( min bank är för stålföretag att köpa in tjänsten...)

    SvaraRadera