Skandiabankens jobbiga inloggning?

Man kan inte använda en hur gammal mobil som helst för mobilt bankid. I juni slutar Android 5 att funka mobilt bankid på.
Varför har ni aviserat att BankID-appen kommer att sluta stödja Android 5 samt iOS 10 och 11 i juni 2021?

Bäst är om de erbjuder en säkerhetsdosa.

 

Android 5 (Lollipop) är ändå 7 år gammalt. Men det gäller BankID, inte Skandiabanken i sig.
Ska alla andra tjänster som förlitar sig på BankID också dela ut sina egna säkerhetsdosor? Skatteverket, Kivra, otaligt antal banktjänster/betalningssätt osv..

 

Poängen var att man med andra ord inte kan använda en gammal telefon som backup. (Min nuvarande tfn kör Android 9 och min gamla kör Android 5.1..). Alla tjänster bör erbjuda flera inloggningsalternativ.

Skillnaden är att BankID är något som just bankerna själva har kommit på och har full kontroll över. En säkerhetsdosa skulle i teorin gå att använda till flera tjänster. Jag skulle dessutom vilja påstå att en säkerhetsdosa dessutom är säkrare än BankID då den inte är ansluten till internet. Nackdel är förstås att folk tappar bort den - det har jag aldrig gjort.

Tittar man på andra tjänster än bankerna så erbjuda flera alternativ, en vanlig konkurrent är Freja.
Jag skulle gärna vilja se fler alternativ än de här överallt.

Skatteverket:

 

Visst är det trevligt med alternativ. För att ha något med topic att göra; På Skandiabanken kan du använda BankID (på fil), Mobilt BankID eller Certifikat.

Ett heltäckande fysiskt alternativ (säkerhetsdosa) kommer aldrig att existera, det tillhör 2000-talet.

Freja är än sämre då eftersom det kräver Android 6.0 (Marshmallow)? Du kan inte ens använda det idag med din gamla telefon.

 

Hej min vän! Kul att vi är flera som tycker så här!

Jag kan börja med att berätta att jag hittade din tråd via Google idag när jag försökte hitta mer info om inloggning med Skandia certifikat. Jag håller på och inventerar mina lösenord, och jag blev fundersam på en sexsiffrig PIN kod som jag har skrivit ner i min lösenordshanterare. Jag har döpt den till "Skandia Certifikat". Jag är så duktig att jag skriver alltid en anteckning om det är allt annat än enkla inloggningsuppgifter. I det här fallet har jag skrivit så här. "Ett certifikat för webbläsaren. Det kan användas som alternativ till BankID på fil och Mobilt BankID för säker inloggning på Skandia Internetbanken Privat. Certifikatet är giltigt i 1 år." Jag har även skrivit att det här är ett lösenord som krävs för att installera certifikatet. Men jag vet inte om det stämmer? Är det inte en engångskod, likt de som man får med SMS?

Jag hittade nästan ingen info alls om Skandia certifikat på Skandias webbplats. Det enda de kunde prestera var att skriva den här lilla texten.

Jag ser att andra har tagit skärmbilder av Skandias webbplats, och det är bra gjort. Så bevaras det för eftervärlden. Så jag tog också en liten bild på det här.


Vet du något om det här? Kan man använda den här koden mer än en gång? Jag provade att fråga Skandia kundtjänst, men de kände inte till att det finns sexsiffriga PIN koder. De menar att den personliga PIN koden är fyrsiffrig, och används bl.a. för inloggning med certifikat och i fall man behöver legitimera sig över telefon utan att ha tillgång till BankID. De menar att bara engångskoderna via SMS är sexsiffriga, och gäller i 15 minuter bara. Men det här är inte en kod jag har fått via SMS, den visades på datorn när jag skulle hämta certifikatet. Därför har jag valt att spara den. Jag sparade även en p12 fil som är själva certifikatet. Jag misstänker att den här PIN koden kan användas i kombination med filen för att portera certifikatet, t.ex. när man installerar om datorn.

Vad gäller själva inloggningen på Skandia, så skrev jag ett litet klagomål om det här idag. Egentligen vill jag inte klaga för mycket på Skandia. Eftersom deras erbjudande för vanliga banktjänster är värt varenda krona! Det kostar nämligen ingenting! Helt otoroligt! Ofattbart! Det trodde jag inte fanns. Jag bokstavligen flydde från SEB och deras prishöjningar på alla tjänster. Jag tog också med mig två familjemedlemmar. Jag satt i ett par dagar och gjort en ordentlig jämförelse mellan de olika bankerna, med tabeller och priser, och en liten funktionsmässig jämförelse. Skandia kom ut som segrare, följt av Länsförsäkringar Bank. Så där har ni två stycken, ni som läser det här och inte har bestämt er, eller bara är missnöjda med Skandia och vill prova något annat.

Skandias internetbank är inte bara billig, den är också väldigt enkel att använda och har en del intressanta funktioner jag aldrig sett förut hos SEB eller hos Swedbank. Vilken annan bank har "byt bank" som inbyggd funktion i banken, där banken får en fullmakt för att ta över saker som autogiro så att övergången ska fungerar smidigt, och attt avsluta konton i den gamla banken? Jag lät mina konton i SEB stå kvar, men det står noll kronor där nu. På samma sätt gjorde jag när jag bytte från Swedbank till SEB. Jag gör så mest för historikens skull. Men det är inte fel att ha mer än en bank och konto att falla tillbaka på om eller när det behövs.

Det finns självklart saker som man kan göra bättre på Skandias internetbank. Vissa saker är rent av konstiga, så som kopplingen mellan konton och betalningsmottagare. Jag menar det här att man inte kan ha en lista med betalningsmottagare som är gemensam för alla konton, utan varje konto har sin egen lista med betalningsmottagare. Det är lite onödigt och omständigt. En annan sak är det här med inloggning. Jag citerar mitt meddelande till Skandia nedan, i sin helhet. Jag fick precis plats med 2000 tecken som man får skicka genom internetbanken. Perfekt!

Vad tror ni andra om det här? Varför är det så här? Varför är BankID på fil generellt sett underminerat och underanvänt? Jag tittade på lite statistik från BankID, och dessa typer har varit på väg neråt under en lång tid. Men jag funderar på vad som kom först, den nedåtgående trenden, eller att allt färre tjänster erbjuder inloggning med något annat än Mobilt BankID. Är Android säkrare än Windows? Beror inte det också på kunskapen och kompetensen på den som sitter (eller står) framför skärmen? Jag har alltid sagt det och jag står fast vid att kunskap är det främsta vapnet mot cyberhotet. Tyvärr är intresset för den typen av frågor väldigt dåligt bland allmänheten. Det är främst entusiaster och nördar som vi som intresserar oss för sådant. Men det är ingen ursäkt för att inte informera och tipsa folk om hur de bäst kan skydda sig.

 

Vad är jobbigt? Använd Mobilt BankID, scanna QR-kod, identifiera med biometri eller kod.

Säkraste sättet idag än att hålla på med certifikat.

 

Vad är jobbigt? Är det inte uppenbart? Jag vill inte använda två enheter för att logga in på en. Det ska inte behövas. Jag litar på min dator, även om banken inte gör det. Jag litar mer på min dator än jag litar på min telefon och banken.

Jag som har varit med om att "flaggskeppet" från Samsung helt plötsligt bara sjunker (dör!), vet hur det känns när livet helt stannar av bara för att man saknar en mobiltelefon som man kan installera ett jäkla Mobilt BankID på. Jag har varit med om det mer än en gång, och med Samsung båda gångerna. Och en familjemedlem har varit med om samma sak med exakt samma telefonmodell. Trots att man tagit väl hand om den och aldrig tappat den. Mina telefoner har inte så mycket som en repa. Men det hjälper inte när de slits så snabbt internt.

Det hjälper inte att man går ut till närmsta butik och lägger ut 10000 kr på ett nytt "flaggskepp" (jag köper bara det "bästa"), eftersom man måste installera den först, lägga in konton, och installera ett nytt Mobilt BankID innan man kan använda den för inloggning.

Det hjälper inte ens att man har kvar det fysiska SIM kortet och telefonnumret när telefonen dör. Det kräver att man åtminstone har en GSM telefon som reservtelefon för att kunna ta emot engångskoder med SMS, och att den finns nära till hands där den behövs. Och snart lär det inte gå att flytta SIM kortet till annan telefon efter att operatörerna har helt gått över till virtuella eSIM, inbyggda i telefonen.

Det är mycket mer än bara banken som påverkas av sånt här. Som sagt, allting stannar av för stunden, tills man har skaffat en ny mobiltelefon. Och inte vilken som helst heller, utan den måste vara "smart" också och ha tillräckligt hög version av Android (eller iOS) som Mobilt BankID appen stödjer för stunden. Så köper man begagnat eller tittar i hurtsen vilka gamla telefoner man har kvar, eller om man lånar av en vän, så måste den vara tillräckligt ny för att det ska gå att göra något med den.

Min familjemedlem vars telefon dog, fick t.ex. låna min telefon under tiden. Tack vare att den bank som användes hade en säkerhetsdosa, så att man kunde beställa och installera nytt Mobilt BankID, och tack vare att det fanns tillräckligt med batteri i den för att genomföra processen, trots "bAtt" varningen om lågt batteri och att den fastnade och visade felkoder flera gånger vid uppstart innan den startade normalt. Och tack vare att man numera kan ha flera stycken Mobilt BankID i samma app och på samma telefon. Jag tror man kan ha upp till fem stycken nu. Förr fick man bara ha en på en telefon, så det var värre förr när man var tvungen att köpa lika många mobiltelefoner som det finns familjemedlemmar som ska ha Mobilt BankID. Och när min egen telefon dog så fick jag åka snålskjuts på dennes telefon lite, tills jag fick en ny telefon och kunde installera Mobilt BankID på den. Numera är vi flera i familjen faktiskt som har varandras BankID på varandras telefoner som reserv, i fall det behövs. Ett hett tips!

Och medans man jagar rätt på rätt telefon, med rätt mjukvara (och pengar för att köpa den med), så står det ett helt vanligt, giltigt och installerat, BankID på fil, på datorn... som man inte kan använda... för att banken kräver även att man kan ta emot ett SMS för att logga in. Det är absurt!

Så vad är problemet med att erbjuda inloggning med vanligt BankID på en dator, på samma villkor som inloggning med Mobilt BankID på en mobiltelefon? Jag menar inte att Skandias inloggning med certifikat är säkrare, eller smidigare än BankID. Tvärt om! Deras inloggning med certifikat är jobbigare (men inte mindre säkert) än BankID när man måste använda både PIN kod och SMS kod för att logga in. Då är man återigen beroende av en fungerande mobiltelefon.

Poängen är att vanligt BankID, alltså "på fil" som det heter, är minst lika säkert som Mobilt BankID. Du kommer inte se banken skicka SMS koder till dig när du loggar in på banken på mobilen, med Mobilt BankID. Så varför ska det vara annorlunda att logga in på banken på datorn, med BankID?

Eller varför kräver inte banken att du ansluter en kortläsare med kabel, till USB porten på telefonen, så att du kan stoppa in ett "BankID på kort"?... som är den säkraste typen av BankID som ingen använder. Det skulle mycket väl kunna fungera med en Android telefon. Men lycka till med att få en kortläsare att fungera för den som använder en iPhone med "Lightning" port. Det kanske finns kortläsare till iPhone, jag vet inte. Men ingen mobilanvändare vill ha en kortläsare som står och dinglar från dataporten. De ser hellre att allt lagras och fungerar inifrån telefonen. Varför ska det vara annorlunda för dataanvändare? Jag använder nästan alltid en dator för bankärenden, det är sällan jag använder en mobiltelefon till det.

Hela den här iden med att diskriminera mellan olika typer av BankID känns korkad. Också sättet som BankID fungerar på är korkad, där olika leverantörer av säker inloggning så som CGI Sverige AB, väljer att implementera BankID på lite olika sätt, utan någon gemensam standard. Beroende på implementering, så kan man ibland logga in med "BankID" trots att en webbplats väntar på att man ska logga in med "Mobilt BankID" eller "BankID på kort". Man bara startar BankID Säkerhetsprogram på datorn manuellt, så fångar den upp förfrågan om autentisering istället för att den går till mobiltelefonen. Andra gånger fångar den upp förfrågan, men man får ett felmeddelande. Och ibland kommer man inte ens så långt med BankID på datorn, utan är tvungen att använda just ett Mobilt BankID. Allt beroende på hur BankID är implementerat av leverantören. Det finns inget rätt eller fel här, så det är en enda röra och ett lotteri. Ibland fungerar det, ibland fungerar det inte. Ibland fungerar det fel även när man använder det på rätt sätt.

Det bästa exemplet på hur man bygger en sån här inloggning på ett inkluderande sätt är nog inloggningen till Försäkringskassan. De erbjuder "BankID med QR-kod", "BankID med personnummer", "BankID på annan enhet", och "Foreign eID". Själva processen fungerar också väldigt smidigt, utan lång fördröjning.



Det är inte så konstigt egentligen, eftersom Försäkringskassan och Skatteverket är de myndigheter i Sverige som är tekniskt mest kompetenta. Det var ju i princip Skatteverket som ensamma uppfann samhällsfunktionen "digital brevlåda" och det är fortfarande de som driftar och underhåller infrastrukturen (det heter Mina Meddelanden), trots den nya "DIGG" myndigheten för digitalisering som är den som ska "förvalta" myndighetspost. Kivra har ingen egen funktion för myndighetespost, de kopplar bara upp sig mot Skatteverkets.

Gällande inloggning med Mobilt BankID med QR kod så används det i princip av alla svenska banker numera. Jag minns att Swedbank har förut tillåtet att man väljer om man ska logga in med QR kod eller knappa in sitt personnummer och sedan godkänna med Mobilt BankID. Numera måste man skanna QR koden även hos Swedbank om man ska kunna logga in med Mobilt BankID. Det finns en del andra tjänster också, som inte är banker, som antingen erbjuder eller kräver inloggning med QR kod när man använder Mobilt BankID, varav många erbjuder Mobilt BankID som det enda sättet att logga in. Men det var bankerna som var först ute med det här. Jag märkte av det först hos SEB för ett par år sedan, och sedan också hos Swedbank, men hos Swedbank kunde man välja som sagt, men inte nu längre.

Anledningen till att man införde inloggning med QR kod är de många bedrägerier med Mobilt BankID som har pågått i flera år, där en skurk i Stockholm kan lura ett offer i Kalix, 1000 km bort, genom att ge sig ut för att ringa från banken och kräva att offret godkänner BankID förfrågan på sin mobiltelefon. Men med QR kodade TOTP koder (engångskoder) så måste offrets mobiltelefon stå en halv meter från skurkens dator för att BankID ska fungera. Det satte stopp för den typen av bedrägerier. Men ursprunget till det problemet är att man litar mer på den externa enheten, alltså mobiltelefonen, än man litar på den enhet man loggar in sig på, alltså datorn. Det problemet skulle inte ha funnits om var sak hade sin egen inloggning, och att använda en mobiltelefon som en slags hårdvarunyckel som man kan ringa till, är en dålig ide.

 

@Fractalogic, det finns en hel del svar/motargument på dina frågor/påståenden om BankID på fil kontra mobilt BankID i tråden Kan man ha flera olika bankID som pekar mot olika banker mm?

 

Framöver blir det nog ännu krångligare. Många banker har börjat kräva att man ska ha ett nationellt Id Kort eller ett pass för att aktivera ett nytt bank ID på mobilen:
Digitalt ID-kort från BankID

Däremot tror jag inte att man kommer undan mobilt BankID för bankärenden.
Många banker verkar fasa ut egna dosor m.m..

 

Ett tips här som jag upptäckte är att skaffa ett nytt mobilt BankID med det nuvarande mobila BankID:t innan det nuvarande tas bort. Då slipper man kontrollen med ID-kort.

Tyvärr kom jag på detta försent och var tvungen att kvittera ut ett nationellt ID-kort. Turligt nog var det under passkaozet så fick det för en enkel 100-lapp. Nu kostar det 400:-. Skandal att inte körkort är en giltig ID-handling längre!

 

Det är sant, i övriga fall. Dock i detta fall är det inte längre en statlig giltig legitimationshandling för BankID, för att det saknar funktioner som du säger.

 

Innan de införde NFC så var det ju det. Tycker synd om de som kanske inte har en smartphone eller NFC i mobilen, då är det kört och då får de gå vägen via banken. En bank som i dagens samhälle knappt är öppen... Vi får hoppas att det statliga BankID:t kommer godkänna körkort som giltig ID-handling

 

Ordklyveri, men det är fortfarande en statligt giltig id-handling. Däremot godkänner inte bankerna den ändå i vissa fall.

 

men har redan haft detta ute på remiss att körkort skulle få chip och godkännas som ID handling med de nya reglerna på idhandling. man kom då fram till att detta inte skulle ske utan man införde chip i nationell idhandling istället. detta för att höja säkerheten att innehavaren av handlingen verkligen är korrekt.
en undersökning som presenterades 2019 och som ligger till grund för beslutat om chip i idhandling kom fram till följande angående körkort.

"Körkortet är en av de mest osäkra id-handlingar vi har. Det är ingen id-handling, det är en handling för behörighet. Det har väldigt lång giltighetstid (tio år) och man kan få det utan att personligen inställa sig. granskningar av hur falska id används har visat att det är just körkort och id från företag och banker som är lättast att förfalska och därmed också används vid bedrägerier."

Personligen är jag glad att man från statligt håll är villiga att höja vår säkerhet mot bedrägerier i en eller annan form.

PS Bankid ägs av Finansiell ID-Teknik BID AB som i sin tur ägs av flera storbanker. Bankid är alltså EJ statligt som många tror. DS

 

Jag hoppas att de INTE godkänner körkortet som en giltig id-handling så länge som det är så lätt att få ut ett körkort i någon annans namn.