Kontantlösa butiker

[Enceladus]

Kravet på personligt besök omöjliggör den typ av bedrägeri som beskrivs i videoklippet. E-legitimationer borde naturligtvis utfärdas tillsammans med pass och nationella id-kort. Det svenska förfarandet där ansvaret delegeras till kommersiella aktörer som helst vill slippa träffa sina kunder är förnuftsvidrigt.

Tillvägagångssättet (modus operandi, som Leif GW säger) framgår givetvis inte på något tydligt sätt i den refererade SvT-artikeln:

Tillvägagångssättet beskrivs mer ingående i det refererade videoklippet. Det sägs explicit att bedragaren har tagit ut ett nytt BankID i offrets namn.

Det är väl det som ett hårt certifikat på ett separat ID-kort (hur det nu i övrigt är utformat) ska kunna motverka, givet att denna typ av identifikation alltid krävs om ett nytt BankID ska kunna tas ut. Då duger det inte att skriva som min bank gör:
"Det kan hända att du behöver verifiera din identitet en extra gång genom att skanna och blippa ditt svenska pass eller nationella id-kort.".

Min erfarenhet är att beskrivningen är korrekt. I vissa fall behövs denna identifikation, men inte alltid. Oavsett vad så stoppar den inte social manipulation.

och här lägger man, i en kommande lösning, det huvudsakliga ansvaret för att förhindra obehörigt användande inte på innehavaren (av ett eID) utan på den "förlitande aktören" dvs. i vårt exempel internetbanken. Hur det nu ska gå till. Formuleringarna är ju ganska allmänna.

Det är svårt att resonera annorlunda när BankID är tänkt att förbli den dominerande e-legitimationen i Sverige. Jag tror dock inte att EU viker sig här. Svenskar kommer att tvingas använda den statliga e-legitimationen för EU-tjänster. Då är frågan varför andra aktörer skulle vilja fortsätta med dyra BankID.

För övrigt är banken "utfärdaren av e-legitimationen", inte "den förlitande aktören". Naturligtvis ska banken inte behöva ta ansvar för den usla säkerheten!

[dr Cassandra Nojdh]

Kravet på personligt besök omöjliggör den typ av bedrägeri som beskrivs i videoklippet. E-legitimationer borde naturligtvis utfärdas tillsammans med pass och nationella id-kort. Det svenska förfarandet där ansvaret delegeras till kommersiella aktörer som helst vill slippa träffa sina kunder är förnuftsvidrigt.

Tillvägagångssättet (modus operandi, som Leif GW säger) framgår givetvis inte på något tydligt sätt i den refererade SvT-artikeln:

Tillvägagångssättet beskrivs mer ingående i det refererade videoklippet. Det sägs explicit att bedragaren har tagit ut ett nytt BankID i offrets namn.

Det är väl det som ett hårt certifikat på ett separat ID-kort (hur det nu i övrigt är utformat) ska kunna motverka, givet att denna typ av identifikation alltid krävs om ett nytt BankID ska kunna tas ut. Då duger det inte att skriva som min bank gör:
"Det kan hända att du behöver verifiera din identitet en extra gång genom att skanna och blippa ditt svenska pass eller nationella id-kort.".

Min erfarenhet är att beskrivningen är korrekt. I vissa fall behövs denna identifikation, men inte alltid. Oavsett vad så stoppar den inte social manipulation.

och här lägger man, i en kommande lösning, det huvudsakliga ansvaret för att förhindra obehörigt användande inte på innehavaren (av ett eID) utan på den "förlitande aktören" dvs. i vårt exempel internetbanken. Hur det nu ska gå till. Formuleringarna är ju ganska allmänna.

Det är svårt att resonera annorlunda när BankID är tänkt att förbli den dominerande e-legitimationen i Sverige. Jag tror dock inte att EU viker sig här.

För övrigt är banken "utfärdaren av e-legitimationen", inte "den förlitande aktören". Naturligtvis ska banken inte behöva ta ansvar för den usla säkerheten!

Självklart är en bank som tillåter inloggning med BankID en förlitande aktör.
Min frågeställning var mer generell än så. Såvitt jag begriper är det alltid så det har gått till vid telefonbedrägerier - jag kan inte inse att det skulle kunna gå till på nåt annat sätt om bedragaren snabbt vill "tömma kontot". Fastän man då använde sk. personnummerstart, dvs. det räckte med personnummer för att identifiera brottsoffret och påbörja en BankID-auktorisering. Det vill man motverka med "säker start" (se ovan), dvs, skanning av QR-kod, men det har bedragarna redan forcerat.

Social manipulation går aldrig att stoppa, det är också vad Digg skriver, men om en identifiering med pass eller ID-kort alltid krävs för att få ut ett nytt BankID borde man i alla fall kunna försvåra sådana här förfaranden.

Självklart är en bank som tillåter inloggning med BankID en förlitande aktör. I det här fallet inträffar båda rollerna eftersom banken dels förlitar sig på att de autoriseringr som görs är äkta, dels på grundval av detta ställer ut ett nytt BankID.

[Enceladus]

Social manipulation går aldrig att stoppa, det är också vad Digg skriver, men om en identifiering med pass eller ID-kort alltid krävs för att få ut ett nytt BankID borde man i alla fall kunna försvåra sådana här förfaranden.

Nonsens. Ovanstående förfarande är helt omöjligt i de flesta EU-länder. Krävs personligt besök så går det i praktiken inte! Men Digg måste tyvärr skriva så:

Det är svårt att resonera annorlunda när BankID är tänkt att förbli den dominerande e-legitimationen i Sverige. Jag tror dock inte att EU viker sig här. Svenskar kommer att tvingas använda den statliga e-legitimationen för EU-tjänster. Då är frågan varför andra aktörer skulle vilja fortsätta med dyra BankID.

För övrigt är banken "utfärdaren av e-legitimationen", inte "den förlitande aktören". Naturligtvis ska banken inte behöva ta ansvar för den usla säkerheten!

[dr Cassandra Nojdh]

Social manipulation går aldrig att stoppa, det är också vad Digg skriver, men om en identifiering med pass eller ID-kort alltid krävs för att få ut ett nytt BankID borde man i alla fall kunna försvåra sådana här förfaranden.

Nonsens. Ovanstående förfarande är helt omöjligt i de flesta EU-länder. Krävs personligt besök så går det i praktiken inte! Men Digg måste tyvärr skriva så:

Det är svårt att resonera annorlunda när BankID är tänkt att förbli den dominerande e-legitimationen i Sverige. Jag tror dock inte att EU viker sig här. Svenskar kommer att tvingas använda den statliga e-legitimationen för EU-tjänster. Då är frågan varför andra aktörer skulle vilja fortsätta med dyra BankID.

För övrigt är banken "utfärdaren av e-legitimationen", inte "den förlitande aktören". Naturligtvis ska banken inte behöva ta ansvar för den usla säkerheten!

Floskler återigen! Vem är det som pratar nonsens - jag , Digg eller Enceladus-kollektivet. Nu är det Enceladus-kollektivet som pratar strunt igen. Kollektivet är duktigt på att vräka ur sig påståenden utan underbyggda resonemang, det har vi sett i åtskillga trådar. Jag kan tänka mig flera scenarier, men det finns ingen anledning att här fördjupa sig i detta.

Begreppet grundidentfiering har vi redan berört, försök inte blanda bort korten! Försök istället hålla en anständig ton och föra ett (begriplig) resonemang. Den som vill ha konflikt kommer att få konflikt, kom ihåg det!

[Enceladus]

Floskler återigen! Vem är det som pratar nonsens - jag , Digg eller Enceladus-kollektivet. Nu är det Enceladus-kollektivet som pratar strunt igen. Kollektivet är duktigt på att vräka ur sig påståenden utan underbyggda resonemang, det har vi sett i åtskillga trådar. Jag kan tänka mig flera scenarier, men det finns ingen anledning att här fördjupa sig i detta.

Begreppet grundidentfiering har vi redan berört, försök inte blanda bort korten! Försök istället hålla en anständig ton och föra ett (begriplig) resonemang. Den som vill ha konflikt kommer att få konflikt, kom ihåg det!

Bland inte bort korten nu. Enskilda bedrägerier medelst social manipulation, t.ex. felaktiga betalningar, kan givetvis inte stoppas helt, men falska e-legitimationer är ett unikt svenskt fenomen. Dessutom behöver skribenten informera sig om vem som är den förlitande aktören för fortsatt diskussion!

Till och med högerextrema debattörer uppmärksammar "det svenska tillståndet", om än från en annan vinkel:

Rapporten är som en katalog över svensk naivitet: skenäktenskap, madrassboenden, ankarboenden, skeninvandring, målvakter, samordningsnummer, identitetskapning, människoexploatering… Med hjälp av e-legitimation och BankID organiseras vidsträckta bedrägerier utan individkontroll. Det finns exempel på aktörer som förfogat över 60 BankID i en och samma mobiltelefon.

Eftersom politikerna vill att BankID förblir den dominerande e-legitimationen i Sverige så måste Digg hitta andra lösningar, t.ex. krav på förlitande aktörer.

[dr Cassandra Nojdh]

Floskler återigen! Vem är det som pratar nonsens - jag , Digg eller Enceladus-kollektivet. Nu är det Enceladus-kollektivet som pratar strunt igen. Kollektivet är duktigt på att vräka ur sig påståenden utan underbyggda resonemang, det har vi sett i åtskillga trådar. Jag kan tänka mig flera scenarier, men det finns ingen anledning att här fördjupa sig i detta.

Begreppet grundidentfiering har vi redan berört, försök inte blanda bort korten! Försök istället hålla en anständig ton och föra ett (begriplig) resonemang. Den som vill ha konflikt kommer att få konflikt, kom ihåg det!

Bland inte bort korten nu. Enskilda bedrägerier medelst social manipulation, t.ex. felaktiga betalningar, kan givetvis inte stoppas helt, men falska e-legitimationer är ett unikt svenskt fenomen. Dessutom behöver skribenten informera sig om vem som är den förlitande aktören för fortsatt diskussion

Då tar vi det så konkret som möjligt, eftersom jag är intresserad av att veta mer och inte kasta pajer. Så ska vi se om Enceladus-kollektivet är intresserat av att föra ett resonemang eller bara ställa till bråk.

Min erfarenhet är att beskrivningen är korrekt. I vissa fall behövs denna identifikation, men inte alltid. Oavsett vad så stoppar den inte social manipulation.

Förklara i detalj hur det skulle gå att runda detta med social manipulation

Social manipulation går aldrig att stoppa, det är också vad Digg skriver, men om en identifiering med pass eller ID-kort alltid krävs för att få ut ett nytt BankID borde man i alla fall kunna försvåra sådana här förfaranden.

Nonsens. Ovanstående förfarande är helt omöjligt i de flesta EU-länder. Krävs personligt besök så går det i praktiken inte! Men Digg måste tyvärr skriva så:

Förklara i detalj varför det är omöjligt.

Och i övrigt, det är Enceladus-kollektivet som ska förklara vad det anser ryms inom begreppet "förlitande aktör". Det är heller inte Enceladus-kollektivet som sätter upp villkor för fortsatt diskussion. Om man nu ska kalla det som pågår för någonting sådant, Enceladus-kollektivet är i regel oemottagligt för andras åsikter och argument. Men slipper vi pajkastningen så kanske vi kan komma någon vart. Annars inte!

Och var vänlig skriv färdigt inläggen innan de publiceras, så att man vet vad man ska bemöta!

[Enceladus]

Förklara i detalj hur det skulle gå att runda detta med social manipulation

I Uppsala-fallet hade bedragaren bara behövt säga att detta extra steg krävs för kreditupplysning. Folk är lättlurade. Det är inte utan anledning som EU inte vill acceptera BankID, även med detta extra steg.

Och var vänlig skriv färdigt inläggen innan de publiceras, så att man vet vad man ska bemöta!

Kasta inte sten i glashus.

[dr Cassandra Nojdh]

Förklara i detalj hur det skulle gå att runda detta med social manipulation

I Uppsala-fallet hade bedragaren bara behövt säga att detta extra steg krävs för kreditupplysning. Folk är lättlurade. Det är inte utan anledning som EU inte vill acceptera BankID, även med detta extra steg.

Och var vänlig skriv färdigt inläggen innan de publiceras, så att man vet vad man ska bemöta!

Kasta inte sten i glashus.

Ovanstående uppfyller inte på något sätt kravet på en detaljerad beskrivning.

Enceladus-kollektivet är väl det som vet mest om glashus, halmdockor osv. Men det går uppenbarligen inte att få någonting vettigt ut Enceladus-kollektivet (nu heller). Därför stänger jag för tillfället dessa kannstöperier. Jag har annat att göra än att ägna min tid och menings- och innehållslösa ordstrider.

[dr Cassandra Nojdh]

Men Enceladus-kollektivet ska få en hemläxa: Sista steget i att anskaffa en BankID är att ladda ned certifikatet i den telefon från vilket det sedan ska användas. Genom att ändra personuppgifterna i internetbanken så kan bedragaren styra certifikatnedladdningen till sin egen telefon.

Men jag uppfattar det som att det är den telefonen som också ska användas för att validera identiteten mot ett pass eller ID-kort, det kan inte göras från någon annan telefon.

Om det är den telefon som bedragaren disponerar så saknar ju bedragaren ändå de nyss nämnda handlingarna för detta. Så tolkar jag instruktionsfilmen från BankID: https://support.bankid.com/sv/bestalla-mobilt-bankid/

Enceladus-kollektivet får nu i uppgift att verifiera eller falsifiera ovanstående beskrivning. Gärna med tydliga källhänvisningar, tack!

[dr Cassandra Nojdh]

Förklara i detalj hur det skulle gå att runda detta med social manipulation

I Uppsala-fallet hade bedragaren bara behövt säga att detta extra steg krävs för kreditupplysning. Folk är lättlurade. Det är inte utan anledning som EU inte vill acceptera BankID, även med detta extra steg.

Enceladus-kollektivet blir svaret skyldigt, som vanligt.

Problemet verkar vara möjligheten att ta ut ett nytt mobilt bankid via internetbanken. Bedragaren måste ha kontroll över processen, dels genom att lura brottsoffret att "hjälpa till" med inloggningen i internetbanken (med sitt mobila BankID - här krävs alltså åtkomst till QR-koden i realtid). Dels genom att få brottsoffret att verifiera beställningen av ett nytt bankid. Två operationer, således.

En del del banker kräver att denna andra verifiering görs med koddosa eller BankID på kort, vilket åtminstone krånglar till processen en del. När beställningen är godkänd presenteras en QR-kod på bedragarens skärm, den kan läsas in i bedragarens mobiltelefon, varefter BankID-certifikatet laddas ned. Slutligen väljer bedragaren sin säkerhetskod och det nya mobila BankID:t är färdigt att använda för brottsliga syften. Men om det krävs en lokal verifiering mot ett pass eller ID-kort på denna telefon så stoppas processen, annars hade Enceladus-kollektivet invändning haft giltighet. Det kan inte gärna förhålla sig på något annat sätt om åtgärden ska ha någon innebörd. Det krävs dock att verifieringen är obligatorisk.


Möjligheten finns, åtminstone i min bank, att göra hela operationen i den mobil som ska tillföras ett nytt BankID, med hjälp av bankens egen app. Denna autostartar BankID-appen på samma mobil, för inloggning i bankappen. I bankappen beställer man sedan sin mobila BankID och verifierar detta med sin koddosa (som måste hämtas ut personligen på bankkontor och som får betraktas som ett hårt certifikat). Därefter laddas BankID-certifikatet ned och beställaren lägger in sin säkerhetskod (ev. finns även här mellansteget med verifiering mot pass eller ID-kort). Hela beställningen görs alltså lokalt, i den telefon som ska använda det mobila BankID:t. Mycket vore vunnet om detta blev den enda tllåtna metoden.

[dr Cassandra Nojdh]

Till och med högerextrema debattörer uppmärksammar "det svenska tillståndet", om än från en annan vinkel:

Rapporten är som en katalog över svensk naivitet: skenäktenskap, madrassboenden, ankarboenden, skeninvandring, målvakter, samordningsnummer, identitetskapning, människoexploatering… Med hjälp av e-legitimation och BankID organiseras vidsträckta bedrägerier utan individkontroll. Det finns exempel på aktörer som förfogat över 60 BankID i en och samma mobiltelefon.

Eftersom politikerna vill att BankID förblir den dominerande e-legitimationen i Sverige så måste Digg hitta andra lösningar, t.ex. krav på förlitande aktörer.

Det där är ju svepande beskrivningar av det slag man hittar hos många högerreaktionärer. Gudmundson slutade ju ex.vis på SvD för att denna tidning enligt hans åsikt inte var tillräckligt högervriden. Men intressant att Enceladus-kollektivet använder denna typ av argumentering.

Alltnog, Gudmundson ger ingen källhänvisning till sitt påstående "Det finns exempel på aktörer som förfogat över 60 BankID i en och samma mobiltelefon". Jag ställer mig frågan hur det ens är tekniskt möjligt. En BankID-app kan bara hantera ett BankID-certifkat. I Android (hur det är i iPhones vet jag inte eftersom jag är fientligt inställd mot Apple) finns dock möjligheten att i en och samma telefon lägga upp flera sk. profiler, dvs. användare vars appar osv. är helt separerade från varandra. Men 60 profiler? Dessutom finns bara 11 BankID-utfärdande banker. Varje bank utfärdar högst 3 mobila BankID till en och samma kund. OM man teoretiskt blir kund i alla banker som kan man alltså ta ut maximalt 33 mobila BankID. Som ett komplement kan man registrera sig som olika kunder med falska fysiska legitimationer, men då är det där problemet ligger.

[Enceladus]

Alltnog, Gudmundson ger ingen källhänvisning till sitt påstående "Det finns exempel på aktörer som förfogat över 60 BankID i en och samma mobiltelefon". Jag ställer mig frågan hur det ens är tekniskt möjligt. En BankID-app kan bara hantera ett BankID-certifkat. I Android (hur det är i iPhones vet jag inte eftersom jag är fientligt inställd mot Apple) finns dock möjligheten att i en och samma telefon lägga upp flera sk. profiler, dvs. användare vars appar osv. är helt separerade från varandra. Men 60 profiler? Dessutom finns bara 11 BankID-utfärdande banker. Varje bank utfärdar högst 3 mobila BankID till en och samma kund. OM man teoretiskt blir kund i alla banker som kan man alltså ta ut maximalt 33 mobila BankID. Som ett komplement kan man registrera sig som olika kunder med falska fysiska legitimationer, men då är det där problemet ligger.

Det handlar förstås om 60 olika personers BankID i en och samma mobiltelefon. Ganska praktiskt för att utföra diverse bedrägerier.

[dr Cassandra Nojdh]

Alltnog, Gudmundson ger ingen källhänvisning till sitt påstående "Det finns exempel på aktörer som förfogat över 60 BankID i en och samma mobiltelefon". Jag ställer mig frågan hur det ens är tekniskt möjligt. En BankID-app kan bara hantera ett BankID-certifkat. I Android (hur det är i iPhones vet jag inte eftersom jag är fientligt inställd mot Apple) finns dock möjligheten att i en och samma telefon lägga upp flera sk. profiler, dvs. användare vars appar osv. är helt separerade från varandra. Men 60 profiler? Dessutom finns bara 11 BankID-utfärdande banker. Varje bank utfärdar högst 3 mobila BankID till en och samma kund. OM man teoretiskt blir kund i alla banker som kan man alltså ta ut maximalt 33 mobila BankID. Som ett komplement kan man registrera sig som olika kunder med falska fysiska legitimationer, men då är det där problemet ligger.

Det handlar förstås om 60 olika personers BankID i en och samma mobiltelefon. Ganska praktiskt för att utföra diverse bedrägerier.

Det kan man iofs. tänka sig, och det är ur Android-synpunkt fullt legitimt. Tanken med Android-profiler är ex.vis att fler personer ska kunna använda en och samma telefon (för olika ändamål). Problemet uppstår när en och samma person har tillgång till flera olika BankID med olika uppgivna identiteter. Inget av dessa BankID behöver iofs. nödvändigtvis vara förfalskade, på det sätt som beskrivs ovan, men det gör att en och samma person kan uppträda elektroniskt under flera identiteter.

Även i det estniska systemet för mobilt ID, som baseras på hårda certifikat på SIM-kortet, kan man tänka sig det: https://e-estonia.com/solutions/e-identity/mobile-id/

Men det blir förstås något krångligare hantering eftersom man måste byta SIM-kortet. I det estniska systemet verifierar man tydligen sin identitet med med det hårda certifikatet på sitt statliga ID-kort endast en gång, när man tar ut ett mobilt ID (som tydligen utfärdas av teleoperatören).

Sedan frågar jag mig - återigen - om det är tekniskt hanterbart att ha 60 profiler på en och samma Android-telefon.

[dr Cassandra Nojdh]

Ytterligare ett exempel på där bedragare använd ett videosamtal för att komma runt problemet med QR-koden i BankID:s säker start (som blir obligatorisk först 2024), som flesta banker redan infört, men som blir verkningslös mot detta förfarande:
Angelika, 19, sökte jobb – då blev hon blåst av en falsk chef

Även här togs det ut en nytt BankID, och så länge det inte är obligatoriskt att ett på distans nyuttaget mobilt BankID måste verifieras lokalt mot en id-handling i den telefon där det ska användas kommer detta att fortsätta. Tyvärr avgör bankerna själva vilken nivå de vill lägga sig på.

Tekniken har funnits ett tag: https://www.bankid.com/om-oss/nyheter/d ... aekerheten

Svenskt pass eller nationellt ID-kort är inte idealiska som underlag, bättre vore om kontrollen skedde mot ett statligt eID med ett hårt certifikat på en fysisk bärare (som iofs. kan vara pass eller nationellt ID-kort, vilket inte är fallet idag). Men det är bättre än nuvarande tillstånd eftersom dessa ID-handlingar bara kan erhållas via personligt besök.

Beskriv gärna varför ett sådant bedrägeri inte kan ske, istället för att bara påstå det.

Kravet på personligt besök omöjliggör den typ av bedrägeri som beskrivs i videoklippet. E-legitimationer borde naturligtvis utfärdas tillsammans med pass och nationella id-kort. Det svenska förfarandet där ansvaret delegeras till kommersiella aktörer som helst vill slippa träffa sina kunder är förnuftsvidrigt.

Även i Estland har staten f.ö. överlåtit åt kommersiella aktörer att, med det statliga eID:t som underlag, utfärda mobila eID - nämligen teleoperatörerna. Applying and activating Mobile-ID

Telias estniska dotterbolag (en av de utfärdande teleoperatörerna) beskriver mer i detalj hur detta går till:
https://www.telia.ee/era/lisateenused/mobiil-id/

En EUR i månaden vill de ha för detta.

[dr Cassandra Nojdh]

Baltkum har f.ö. ett mobilt eID-system som är oberoende av SIM-kort, SmartID:

https://www.id.ee/en/article/smart-id/
https://www.smart-id.com/

SmartID ägs av den kommersiella aktören SK ID Solutions: https://www.skidsolutions.eu/

[dr Cassandra Nojdh]

Även den kommersiella aktören Freja ID tillåter nu att den som registrerar ett Freja-konto kan verifiera detta med svenskt pass eller nationellt ID-kort, och få tillgång till de fullständiga Freja+ -tjänsterna utan att behöva besöka något ombud personligen: https://frejaeid.com/registrering/

Det är alltså ingen fel att delegera utfärdadet av mobila eID-lösningar till kommersiella aktörer, så länge basen i tillitskedjan är ett statligt ID-dokument.

[Enceladus]

Svenskt pass eller nationellt ID-kort är inte idealiska som underlag, bättre vore om kontrollen skedde mot ett statligt eID med ett hårt certifikat på en fysisk bärare (som iofs. kan vara pass eller nationellt ID-kort, vilket inte är fallet idag). Men det är bättre än nuvarande tillstånd eftersom dessa ID-handlingar bara kan erhållas via personligt besök.

Europeisk digital identitet (e-legitimation): rådet gör framsteg i arbetet med en europeisk e-plånbok – ett paradigmskifte för e-identitet i Europa

Tillitsnivåerna bör återge graden av tillit till ett medel för elektronisk identifiering och därmed skapa visshet om att den person som gör anspråk på en viss identitet faktiskt är den person som tilldelas denna identitet. Därför måste plånboken utfärdas inom ett elektroniskt identifieringssystem som uppfyller tillitsnivån hög.

Som bekant kommer Sverige att tvingas att utfärda ett elektroniskt identifieringssystem som uppfyller tillitsnivån hög (alla andra EU-länder gör redan det).

Europeisk digital identitet

Med den europeiska digitala identiteten kommer medborgarna i EU-länderna få tillgång till tjänster online utan att behöva dela med sig av personuppgifter i onödan. Du kan till exempel öppna ett bankkonto eller hyra en lägenhet i ditt hemland eller ett annat europeiskt land. Fördelen är att du har full kontroll över de data du delar med dig av.

Hur sannolikt är det att bankkartellen och dess Swish-tjänst öppnar upp för andra e-legitimationer? Detta kan öka konkurrensen och minska övervinsterna.

[dr Cassandra Nojdh]

Som bekant kommer Sverige att tvingas att utfärda ett elektroniskt identifieringssystem som uppfyller tillitsnivån hög (alla andra EU-länder gör redan det).

Europeisk digital identitet

Med den europeiska digitala identiteten kommer medborgarna i EU-länderna få tillgång till tjänster online utan att behöva dela med sig av personuppgifter i onödan. Du kan till exempel öppna ett bankkonto eller hyra en lägenhet i ditt hemland eller ett annat europeiskt land. Fördelen är att du har full kontroll över de data du delar med dig av.

Tja, den som lever får se. Tills vidare är Diggs utredning om en ev. statlig e-legitimation vad vi har att hålla i nationellt. Som jag förstår det är det en nödvändighet även i den digitala "identitetsplånboken".
https://www.digg.se/digitala-tjanster/e ... gitimation

Kort och gott innebär förslaget att alla EU-länder ska kunna erbjuda medborgare och företag digitala plånböcker som kan kopplas till deras nationella digitala identitet med bevis på andra personliga attribut (t.ex. körkort, utbildningsbevis och bankkonton). De kommer att kunna styrka sin identitet och dela med sig av elektroniska handlingar från sina e-identitetsplånböcker, bara genom ett mobilklick. E-identitetsplånböckerna kan tillhandahållas av offentliga myndigheter eller privata enheter, om dessa erkänns av ett EU-land.

BankID-kartellen skulle i alla fall, som en kortsiktig åtgärd, kunna göra förfarandet med kontroll mot pass eller nationellt ID-kort obligatoriskt varje gång ett mobilt BankID utfärdas på distans.

Sedan har vi det verkliga alexandershugget - att se till att svenska folkets tröstnapp nr. 1, körkortet, inte längre godtas som fullgod ID-handling. Vilket naturligtvis kommer att reta upp landsbyggdsbefolkningen något oerhört. Samtidigt som ett visst parti fiskar röster bland denna. Men det ena ger väl det andra, kanske.

[Odd]

...
BankID-kartellen skulle i alla fall, som en kortsiktig åtgärd, kunna göra förfarandet med kontroll mot pass eller nationellt ID-kort obligatoriskt varje gång ett mobilt BankID utfärdas på distans....

Det vore förmodligen väldigt bra, och då tillsammans med ett krav på att besöka ett godkänd valideringsställe (kanske det lokala postombudet eller liknande)

Hur som helst, dagens system där man kan utfärda ett nytt Bankid med hjälp av ett gammalt Bankid, bryter ju egentligen inte bara mot intentionen i tillitsnivå 3, utan vilken person som helst med insikt i hur säkerhet skall fungera, inser ju hur korkat det är med en rekursiv tillförlitlighetskedja.

Det finns ju en anledning till att självsignerade certifikat på internet i normalfallet inte godtas utan att man måste tala om för applikationen att man litar på just det certifikatet ändå (genom att man ju känner till att det är självsignerat). Ni har säkert alla då och då stött på ett meddelande om ogiltigt certifikat.

invalid_cert_example.png (22.9 KiB) Visad 585 gånger

Det kommer naturligtvis finnas användarfall som inte passar in, men dessa får man ju hantera separat.

[Odd]

Jag vill tillägga att bara för att Mobilt BankID/BankID är extremt lätt att manipulera, så är det en annan faktor som gör själva manipulationen möjlig. Nämligen det vida användningen av vårt socialförsäkringsnummer, Personnumret.

Om personnumret endast skulle användas till det som det avsågs från början så skulle inte identifiering ske via personnumret. I stället skulle din identitet vara en egen entitet inom den intressesfär som identiteten representerar, exempelvis, en identitet som du har när du interagerar med din bank. En annan identitet när det gäller ditt elbolag osv. Denna identitet är då endast känd mellan dig och företaget, och en bedragare kan i normala fall inte känna till det och därmed inte utnyttja det.