BankID / Mobilt BankID - uppdateringar och allmänt

Jag tror många gärna vill se någon form av gyllene medelväg mellan säkerhet och bekvämlighet. Biometrisk upplåsning har förstås tillkommit på goda grunder, även om det naturligtvis inte är fel att beakta säkerhetsaspekten av det hela. Min take här är snarast att BankID alltsedan iPhone X kom har ansett att ansiktsupplåsning är säkert nog, med rätt tekniska förutsättningar, och att de därför, enligt sin egen logik, bör vara öppna för det även på Android. Om de anser att Googles nya AI-understödda ansiktsupplåsning inte är säker nog, vore det spännande att höra argumentationen. I andra länder, där inloggning i bankappar och liknande inte är kopplat till BankID, går det ju redan i dag alldeles utmärkt att logga in med ansiktsupplåsning på en Pixel 8/Pro. Skulle en amerikansk storbank vara mindre säkerhetsmedveten än en svensk?

 

Rimligt vore olika säkerhets nivåer beroende på hur stora belopp det är fråga om.

Typ enkla för vanliga fattiga, men betydligt högre för rika med miljonbelopp som banken måste ansvara för.

Vad det gäller amerikanska banker och betalningar så är det delvis en helt annan värld, där t.ex pappers checkar fortfarande används i relativt stor utsträckning, och där det inte finns "personnummer".

Avancerade pappers checkar med flera inbyggda säkerhets system förekommer, som kan sättas in via inscanning i mobilen.

 

Det är betydligt mycket värre för en fattig att bli av med pengar än för en rik, jag har suttit i sitsen att en förlorad hundralapp var en katastrof.

Jag har ställt in min BankID så att fingeravtryck räcker för inloggning men när BankID ser att jag ska skicka pengar så krävs kod, jag skulle vilja kunna finjustera, upp till ett visst belopp borde räcka med fingeravtryck, inloggning på banken borde inte gå med fingeravtryck för där går det att skicka pengar utan ytterligare kontroll av BankID...

 

Precis så har jag också det inställt och precis som dig önskar jag att kunna ställa in maxbelopp som fingeravtryck är ok för, därefter varför inte kräva både biometriskt och kod? Med tanke på debatten som varit senaste månaderna kring äldre och bedragare som ringer borde bankerna stå på tå för att driva igenom sådana här självklara saker i bankid men icke...

 

Ja, det går ju att ställa in maxgräns för Swish, och att man på motsvarande sätt skulle kunna reglera maximal överföringssumma att godkänna med biometrik via BankID, är väl ingen helt orimlig tanke. Antar att ansvaret, precis som med Swishgränserna, skulle hamna på bankerna, och inte på BankID då. Men redan idag skiljer det sig ju vad vi kan göra med biometrik och där kod måste petas in, beroende på bank.

 

Interessant debatt det här med säkerheten av användanet av fingeravtryck. Jag har alltid varit i den tro att fingeravtryck är bergsäkert...!? Utom en historia jag läste om någon som fick sin mobil stulen och fingrar avkapad i samma vevan, något som tycks vara en rätt ovanlig metod.

Kan någon beskriva scenarion där fingeravtryck är osäkert som upplåsningsmetod eller identifiering?

 

Det har åtminstone funnits fingeravtrycksläsare som varit enkla att manipulera med en utskrift. Mythbusters gjorde en test där dom tog ett fingeravtryck från en läskburk och kunde låsa upp med, iofs säkert en äldre osäkrare typ av läsare men idag finns säkert teknik där man kan duplicera ett avtryck riktigt bra.

 

Fingeravtryck behöver inte vara unika... Se här!

 

Den svenska artikeln du länkar var ju urkass på att beskriva forskningsstudien.
Denna artikel i CNN förklarar mycket mer på djupet, och var intressant läsning:
Are fingerprints unique? Not really, AI-based study says | CNN

Rubriksättningen är dock inte särskilt välvald, de flesta får ju helt fel associationer av den.
Forskningsstudien har alltså gått ut på att mata in två fingeravtryck till en AI, där det i vissa fall är två fingeravtryck från en och samma person (men olika fingrar) och i vissa fall är två fingeravtryck från helt olika personer. AI-verktyget har då med 77 % säkerhet kunnat förutspå om fingeravtrycken är från samma person eller inte. Dvs den har kunnat identifiera likheter mellan en persons inbördes fingeravtryck, att mina egna fingrar har likheter med varandra.
Tydligen är det något fält i fingeravtryckets mitt/kärna, som har en särskild benägenhet att ha ett likartat utseende på en och samma person. Medan det är andra delar av fingeravtrycket (dess yttre delar?) som är mer unika, och som vanligtvis används när man forensiskt jämför fingeravtryck. Studien tycks inte visa någon helt ny kunskap som inte var känd tidigare, två experter i artikeln påstod att detta varit känt länge, men det är ändå intressant att se vad en AI-implementation kunnat bidra med i detta avseende.

Så jo, fingeravtryck är fortfarande unika såvitt är känt inom vetenskapen, och till stor del slumpmässigt skapade, trots den dåliga rubriksättningen i artiklarna. Men det kan finnas likheter mellan dina egna fingrar.
En bättre rubrik hade varit: "Fingeravtryck är inte (helt) slumpmässigt skapade".

Som jag beskrev i mitt förra inlägg en sida tillbaka i tråden, Pixel 6a hade en mjukvarubugg som gjorde att den godtog båda mina tummar, trots att bara ena var inlagd. Där är det nog inte själva läsaren det var fel på, utan Google skickade ut någon mjukvarubugg som satte all säkerhet ur spel. Buggen fixades senare.
Vore intressant att veta ifall telefonen, när buggen fanns, hade godtagit vilken tumme som helst, eller om likheten mellan mina tummar (det som artikeln ovan beskrev) kan ha bidragit till att just min andra tumme godtogs av telefonen. Hur som helst är det ju inte säkerhetsmässigt acceptabelt, och en felaktig implementering av Google, när fel fingeravtryck kunde godtas.

 

Jo, det är ju enorm skillnad mellan de två. Blir jag hotad kan jag välja att hålla tyst och inte säga min kod. Medan med biometriska lösningar räcker det att någon tvingar mitt finger mot läsaren eller håller telefonen mot mitt ansikte, så har de uppnått sitt mål.
Om du inte ser skillnaden på de grejerna så kanske du är en sån person som viker dig under hot i syfte att inte bli skadad. Inget illa menat. Men det finns andra personlighetstyper som inte viker sig under hot i första taget. Sen kan man såklart sällan veta i förväg hur man reagerar i en sån situation, men med biometrisk upplåsning blir jobbet 90 % enklare för den kriminella individen, det kan jag konstatera.

Dina sista två meningar, vet inte om jag missförstår vad du syftar på här. Om jag lägger fingret mot fingeravtrycksläsaren så är det ju Android-OS:et som avgör om det är en match eller inte, inte en enskild app. En tolkning av din text är att t.ex. upplåsning av telefonen kan kräva 70 % säkerhet i matchningen av fingeravtryck, medan BankID kan kräva 90 % säkerhet i matchningen. Att en enskild app, t.ex. BankID, skulle ha möjlighet att påverka vad Android-OS:et ska godta som en match, har jag aldrig hört talas om. Länka gärna läsning i det ämnet, om du menar så.
Eller menar du bara att upplåsning av telefonen godtar alla säkerhetslösningar - pin, fingeravtryck, ansikte, smart lock (betrodd enhet, klocka osv), medan BankID har skippat de flesta sådana alternativa metoder och bara godtar de mest säkra?

 

Precis, vid fara i dröjsmål är det fritt fram för ordningsmakten att tvinga till sig biometrisk upplåsning.

17 f § Om det finns anledning att anta att någon har möjlighet att öppna ett avläsningsbart informationssystem genom biometrisk autentisering är han eller hon skyldig att på tillsägelse av en polisman medverka till detta, om en genomsökning av ett beslagtaget föremål, en husrannsakan eller en genomsökning på distans annars försvåras. Om han eller hon vägrar, får en polisman genomföra autentiseringen. Lag (2022:316).

Däremot har JO sagt nej till att tvinga misstänkta att ge ifrån sig koden - länk.

 

Jag har nog missuppfattat lite. Var i den tro att osäkerheten beror på att någon kunde stjäla mina fingeravtrycks data t.ex om mitt Googlekonto blev hackad. Vad jag förstår efter lite Googlande så är det ungefär omöjligt.
Samma med att duplicra ett fingeravtryck och låsa upp en telefon med en modern sencor.

Osäkerheten ligger tydlgen i ifall jag, min telefon, en våldsam rånare eller polisen är på samma stället samtidigt. Då kan jag fysiskt tvingas att låsa upp telfonen och t.ex aktivera BankID. Det är ett scenario man inte kan skydda sig mot, ungefär som att bli kidnappad, så jag fortsätter nog använda fingeravtrycks upplåsning på mina två telefoner som har Mobilt BankID.

Btw, polisen ska jag låsa upp luren och överlämna den sju dagar i veckan.

 

Detta gäller för övrigt samtliga appar som 1. inte är installerade via Play och 2. har Tillgänglighet aktiverad, dvs i Inställningar>Tillgänglighet>Installerade appar>Call Recorder (På).

Jag installerade senaste version av BankID (7.36.21) som fungerade innan uppdateringen via APKMirror https://www.apkmirror.com/apk/finan...rhetsapp/bankid-sakerhetsapp-7-36-21-release/, samt gick sedan in på Play> BankID. Klickade på BankID:s menyikon (tre punkter-ikonen överst till höger på skärmen), samt avbockade rutan "Aktiv. autouppdat.".
Nu fungerar Skvalex Call Recorder som vanligt igen.
Förhoppningsvis kommer det en ny uppdatering av BankID i framtiden som fixar till detta problem, tills dess blockerar jag BankID:s uppdateringar alltså.

 

Jag är medveten om det.
Men, tills det...

 

@F5:ad
7.36.21. är väl inte senaste version...? Jag har 7.36.41.3. sedan februari.

 

Jag misstänker att det inte är en bugg utan ett medvetet val från Finansiell ID-teknik här att förhindra obehörig tillgång till BankID från appar som annars kan ta sig förbi säkerheten som de kräver. Troligen kommer alltså problemet att bestå (enligt min teori).

Det är nog en bättre lösning att byta CSC på mobilen så du kan använda mobilens egna inspelning, jag har gjort det på min sekundära mobil, se denna tråd (där slutade dock Samsung Pay att fungera för den mobilen stödjer inte INS som CSC men det kan jag leva med), ska testa snart på min primära mobil.

 

Korrekt, och det är den som är problemet... därför "senaste version av BankID (7.36.21) som fungerade innan uppdateringen [7.36.41]"

 

Du har förmodligen rätt (tyvärr).

INS stödjer Samsung Pay, jag har den själv installerad (Samsung S23+)
Jag föredrar Skvalex-appen (Samsungs egen inspelning måste ändå vara påslagen) p g a inställningsmöjigheterna och ljudkvaliten.
Att blockera BankId från att uppdatera sig är generellt en dålig idé, som jag redan är införstådd med, men en temporär lösning tills antingen BankID ändrar tillbaka alternativt tills app-utvecklaren uppmärksammas och finner en "walk around"-lösning.

 

Sorry, jag läste nog ditt inlägg lite slarvigt...