Säkerhet kontra integritet på nätet

[LÅ1]

I dag när jag skulle logga in på banken via en mobilapp så ville Bankid veta min position. Jag nekade och det gick utmärkt att logga in ändå. Några minuter senare så fick jag anledning att logga in igen. Nu fick jag upp en ruta som talade om att jag behövde tillåta positionsbestämning (GPS- och nätverksbaserad) och att denna behörighet krävs för att säkra mitt Bankid. Enda valet var "JAG FÖRSTÅR". I nästa skede skulle jag ge Bankid tillåtelse att komma åt platsuppgifter. Men jag nekade och kom in i bankappen i alla fall!

Detta är nytt för mig, och vad har det för betydelse för Bankid var jag befinner mig? OK, jag kan förstå det om man i efterhand skall kunna utreda ett obehörigt hanterande av mina bankuppgifter. Men det verkar ändå konstigt. Mina bankkort är spärrade för köp utanför Sverige, men någon sådan spärr vet jag mig inte ha på Bankid, och det är väl inte ens möjligt?

[daniel_s]

Du kan väl anstränga dig lite för att stava rätt i rubriken i alla fall. Går nog att ändra fortfarande

Har du provat att göra någon transaktion? Kan ju vara så att du måste slå på platstjänster för att bekräfta att du är en icke-robot.

[LÅ1]

Du kan väl anstränga dig lite för att stava rätt i rubriken i alla fall. Går nog att ändra fortfarande

Har du provat att göra någon transaktion? Kan ju vara så att du måste slå på platstjänster för att bekräfta att du är en icke-robot.

Jag antar att du syftade på stavningen av "integritet" med i i stället för e. Det konstiga är att jag inte får stavfelsmarkering på någon variant av stavningen vare sig i textrutan här i forumet eller i MS Word. Däremot markeras det som fel i Googles sökruta!

Ja, det kan var så att platstjänsten behövs när man vill göra en transaktion. Men det är konstigt att vare sig Bankid eller banken har gått ut med information om detta.


En annan integritetsgrej har dykt upp nyligen. Men inte på nätet. Forex kräver legitimation för valutaväxling. Det är nytt sedan knappt en månad sa man. Det är väl en del av penningtvättningslagen antar jag.

[Enceladus]

De som sysslar med storskaliga bedrägerier använder nog emulatorer som fejkar både position och IP-adress. Dock kan det hjälpa mot amatörer. Påminner en del om debatten kring DRM där det finns både förespråkare och kritiker.

[BSB101]

Loggade in med Bankid tidigare idag utan att behöva ange det du beskriver.

[LÅ1]

Loggade in med Bankid tidigare idag utan att behöva ange det du beskriver.

Jag kanske skulle skrivit mobilt Bankid. Det var på telefonen och jag använde Nordeas app på samma telefon. Undra om banken i det här fallet kan ställa en fråga till Bankid om positionen, medan andra aktörer kan låta bli?

[Odd]

Bankerna, liksom alla andra aktörer som sysslar med/borde syssla med att säkra upp sina system, arbetar inte bara på en front utan man försöker att göra en samlad bedömning av säkerhetssituationen.

Det innebär tex att om banken ser att du handlar med ditt kort i ICA-butiken i Blackeberg så är det orimligt att du loggar in med ditt mobila bankid från Uzpekistan en halvtimme senare. Typ. Nu vet jag inte om det är Bankid själva som gör hanterar positionsinformationen eller om det är banken.

Exempelvis, häromveckan skulle jag beställa två grejer från en leverantör på nätet. Eftersom ena var restnoterad och det endast skulle gå en leverans, så behövde jag lägga två beställningar. Den första betalningen gick igenom, men när jag skulle göra den andra två minuter senare så nekades betalningen. Jag ringde då SEB, som ställde lite kontrollfrågor, varefter de lyfte spärren och jag kunde genomföra den andra betalningen. Uppenbarligen hade mitt köpbeteende triggat en skyddsmekanism som är tänkt att förhindra nån typ av mim-attack, misstänker jag.

Säkerhet handlar inte bara om en enda attackvektor, det handlar om flera attackvinklar och att försvara sig mot dessa är vitalt för en bank och dess kunder. I skenet av detta så är det rimligt att din fysiska position är en faktor som används för att göra en rimlighetsbedömning av din bankid-inloggning. Du är nog tacksam den gången som BBBF (Berras Bättre Begagnade Fondförsäkringsbolag) försöker kapa din bankid-inloggning för att flytta dina surt förvärvade fondpengar till sitt bolag, och positioneringen i Mobila Bankid-appen är avgörande för att de inte lyckas att logga in.

[LÅ1]

Loggade in med Bankid tidigare idag utan att behöva ange det du beskriver.

Googlade nu bankid platsinformation och inser att det är för att jag uppdaterat appen i telefonen som jag får detta nu. Infördes i våras. Men är än så länge inte obligatoriskt.

Apropå säkerhet så testade jag för ett tag sedan att logga in till banken både från en dator och från telefonen samtidigt. Det gav en varning. Fullföljde ingen av inloggningarna.

Apropå varningssystem så berättade en kollega om att hon blivit uppringd av sin bank som undrade om hon handlat med sitt kort i London vid en viss tidpunkt. Det hade hon inte, "antog det" sa banktjänstemannen, och såg till att hon inte blev debiterad för transaktionen (eller transaktionerna) utförd(a) i London. (Hon reste till London någon gång per år tror jag, men inte just då.) Detta hände för rätt länge sedan. Runt år 2000 tror jag.

[BSB101]

Okej, kan säkert skilja på mobilt banikid och bankid. Detta med att bankerna på olika sätt har koll på köpmönster/inloggningsmönster är dock inget nytt. Bar eller dåligt? Alla mynt har två sidor.

Själv är jag emot övervakning generellt men samtidigt vill jag inte bli av med mina pengar. Vad som är det optimala avvägningen finns det nog inget entydigt svar på.