Rafræn skilríki = stórgallað kerfi?

[falcon1]

Nú eru að poppa upp allskonar mál þar sem er verið að plata fólk að samþykkja millifærslur í gegnum rafræn skilríki og engin leið til þess að endurheimta peningana aftur. Þetta er orðið sérstaklega áberandi eftir að glæpamenn fóru að herja á símkerfið innanlands, þ.e. áður var maður öruggur með að innanlandsnúmer væru í lagi.
Líklega eru flest fórnarlömbin í þessum málum eldra fólk sem er ekki eins tæknivætt og yngra fólkið.

https://www.visir.is/g/20252732379d/tap ... mfgXQwV6ug

Þannig að spurningin er: Er þetta stórgallað kerfi og ef svo er hvernig er hægt að laga það?

[Climbatiz]

var nú soldið smeykur við að klikka á linkinn þinn þar sem hann hafði "fbclid" hash skrifaðann í staðinn fyrir að taka út öll tracking

[olihar]

Ef ég myndi senda rafræna beiðna á 100 random símanúmer núna þá get ég lofað að einhverjir af þeim muni slá in pin og samþykkja bara útaf vana.

Þetta er stórhættulegt kerfi og það þarf að laga þetta.

Svo get ég einnig líka lofað að mjög stór hluti þeirra pin númera fyrir rafræn skilríki eru síðustu 4 stafirnir í kennitölu viðkomandi.

[nidur]

Mér finnst spooky að samþykkta rafrænt þegar maður er að tala við bankann, þeir gefa yfirleitt ekki upp númerið sem maður er að samþykkja heldur.

Og það kemur ekkert hvað þú ert að samþykkja.

[rapport]

Þetta íslenska kerfi er mjög falskt öryggi og fríar fjármálafyrirtæki allri ábyrgð sem er galið.

Ég vildi óska að ég gæti valið annað app eða þjónustuaðila fyrir þetta.

[natti]

og ef svo er hvernig er hægt að laga það?

Ég tel að sameiginleg ábyrgð sé lausnin.

Það þarf lagasetningu eða e-ð álíka sem kemur í veg fyrir að stofnanir (bankar t.d.) geti fyrrað sig ábyrgð þó svo að endanotandi noti rafræn skilríki.

Sem dæmi, það eru ekki allar þjónustur sem krefjast þess að þú veljir rétt númer (ef þú notar auðkennisappið þarftu stundum að velja úr 3 númerum, það rétta birtist á síðunni sem þú skráðir þig inn í, ef þú velur vitlaust klárast ekki innskráning.)

En sem dæmi, innskráning í heimabanka Íslandsbanka gerir ekki kröfu um þetta, þú þarft ekkert að vita hvað er í gangi á síðunni, færð bara upp auðkennis request í app eða síma og skrifar inn PIN og málið leyst.

En af því að skv skilmálum berð þú 100% ábyrgð á öllu sem er gert með rafrænum skilríkjum, hvort sem þú átt í hlut eða ekki, þá hafa stofnanirnar engan sérstakan hag á að bæta öryggið, því þau bera engan fjárhagslegan skaða af mögulegri misnotkun.

Sama má svo yfirfæra á hvernig þetta hefur verið misnotað með uppsetningu á heimabanka APP-i í síma, og svo framkvæmdar aðgerðir þar sem þurfa kannski ekki aftur auðkenningu.
Þá spilar inn í að þú sem einstaklingur hefur enga yfirsýn yfir hversu oft APPið hefur verið sett upp, eða á hversu mörgum tækjum það er virkt.

Þú hefur heldur enga stýringu til að takmarka aðgerðir, eins og t.d. að afvirkja alla notkun erlendis frá, og virkja bara þegar þú ferð út.

Það eru fullt af hlutum sem að bankarnir gætu gert til að auka öryggi, og ef þeir yrðu neyddir til þess að deila ábyrgð þá yrði farið í slíkar aðgerðir.

Að sama skapi þá er má líka ræða úthlutun rafrænna skilríka, og sú staðreynd að þessu sé outsourced á non-gov entity, banka og símafyrirtæki.
Það vantar inn punishment að ef upp kemst um misnotkun, samanber þegar einhver fór með stolið ökuskírteini inn til Hringdu og fékk rafræn skilríki í nafni annars aðila til að misnota, en var samt nógu grunsamlegur til þess að Hringdu ákvað að reyna að afturkalla útgáfuna seinna sama dag því þau grunuðu að það væri ekki allt í lagi.
Sem segir t.d. að það er eitthvað stórkostlega mikið að ferlinu.

Ef að það myndi bætast við automatic sekt upp á t.d. 50M per case ef að rafrænum skilríkjum er úthlutað á rangan einstakling, þá myndu þeir aðilar sem vinna þessa vinnu fara over and above í að staðfesta hver viðkomandi er áður en þeir klára ferlið.

[falcon1]

var nú soldið smeykur við að klikka á linkinn þinn þar sem hann hafði "fbclid" hash skrifaðann í staðinn fyrir að taka út öll tracking

Æ já sorrý, gleymdi að hreinsa tengilinn.

[raggos]

Ég get nú ekki tekið undir að þetta sé stórgallað kerfi og flestir hér vanmeta töluvert hvað hægt er að gera með þessu ef bankar og aðrir nýta lausnina eins og hægt er.
Það er nefnilega ekkert mál fyrir bankana að krefjast viðbótar auðkenningar fyrir allar stærri færslur sem og að tilkynna í færslunni sem send er í símann hvað nákvæmlega er verið að samþykkja. T.d. "þú ert að millifæra 20M af reikningi á svikaaðila B".

Enn fremur er það val hvers og eins hvort fólk vilji nota rafræn skilríki á sim korti eða nota bara appið (sem er töluvert öruggara).
Svo má ekki gleyma því að ef fólk fær afhent sim kort, kreditkort, debitkort eða hvað annað þá ber það ábyrgð á öryggi miðilsins og að þekkja hvernig notkun hans er.

Það sem er helvíti oft að gerast hjá gamla fólkinu er að börn viðkomandi sjá t.d. um fjármálin og fólkið er orðið vant því að samþykkja bara í blindni auðkenningartilraunir því það eru yfirleitt börnin sem eru að hjálpa til með fjármálin eða borga reikninga. Þetta fyrirkomulag er náttúrulega stórhættulegt.

Svo vantar sárlega frekari gagnrýni á bankana sjálfa í þessari gagnrýni því þeir hafa öll tækifæri á að áhættumeta sérkennilegar aðgerðir hjá fólki og biðja um frekari staðfestingar ef aðgerðin telst utan eðlilegrar notkunar. Slík kerfi hafa í mörg ár verið í notkun hjá fjármálastofnunum landsins. Að gamalmenni sem aldrei millifærir neitt sé allt í einu að millifæra milljónir innan sólarhrings ætti að hringja öllum viðvörunum í slíku kerfi.

[playman]

Það er nefnilega ekkert mál fyrir bankana að krefjast viðbótar auðkenningar fyrir allar stærri færslur sem og að tilkynna í færslunni sem send er í símann hvað nákvæmlega er verið að samþykkja. T.d. "þú ert að millifæra 20M af reikningi á svikaaðila B".

Þetta er akkúrat málið, þetta er svo lítið mál i uppsetningu og hefur eingan gríðarlegan kostnaðarlið, sérstaklega þar sem að þeir þyrftu
bara að vera með þetta littla tjékk á erlendum millifærslum þar sem að þjónustufulltrúi myndi hafa samband til þess fá staðfestingu á færsluni.
jafnvel hægt að hafa þetta automated, frysta færsluna í einhverja klukkutíma og senda sms ásamt email til eiganda reikningsins þar sem að hann þurfi að staðfesta þá færslu.
það er fylsgt með okkur að við séum ekki að þvo fyrir glæpasamtök og fleyra í þeim dúr, en svo fullkomnlega "eðlilegt" að glæpasamtök steli af fólki frekar. (komin auðveld leið til þess að þvo án áhættu)

það er lítið mál að minka þennan þjófnað, jafnvel stoppa hann alveg, það þarf bara að gera bankana ábyrga fyrir þessum þjófnaði, sérstaklega í ljósi þess að millifæra 10 millur erlendis geti ekki talist eðlilegt, að sjálfsögðu gerist það en ég myndi frekar vilja fá simtal frá bankanum þar sem að þeir óska eftir staðfestingu frekar en ekki.

[Revenant]

Rót vandans er að fólk meðhöndlar rafræn skilríki mjög kæruleysislega. Það má deila um keisarans skegg hvort SIM vs APP leið vs annað sé betri/verri/öruggari en þegar fólk notar rafræn skilríkin á þess að skoða hvað liggur á baki þá er erfitt að skella skuld á mótaðilann.

Já það er hægt að gera ferlið meira "idiot-proof" en svo lengi sem fólk les ekki hvað það er að skrá inn/undirrita þá er það bara plástur á svöðusár.

[Hjaltiatla]

Auðkennisappið biður þig um kennitölu og svo um kóða sem birtist á síðunni. Held að við getum alveg verið sammála um að símanúmeraleiðin sé ekki örugg með að eingöngu óska eftir pin númeri en ekki með þetta auka number matching skref sem er í Auðkennisappinu. Því miður er ekki hægt að færa ábyrgðina að öllu leiti frá endanotanda því það er líklega alltaf hægt að plata notendur á mis flókinn hátt og þá má að sjálfsögðu reyna að gera ferlið erfiðara fyrir þessa netglæpamenn.

[gRIMwORLD]

Hvort sem það er notað símanúmer eða kt þá er ávallt númer sem þú sérð á skjánum sem á að matcha við númer sem þú færð í auðkenningarbeiðnina á símann.

Aldrei...og bara aldrei samþykkja auðkenningu blint. Það er eins og það sé bankað á dyrnar hjá þér og þú bara opnar en mátt ekki vera að því að athuga hver er á ferð og skilur svo hurðina eftir opna.

Endalaust hægt að röfla yfir hlutum en ferlið er öruggt ef fólk hefur fyrir því að athuga hver var að banka.

Það er samt alltaf hægt að betrumbæta og samhliða númerinu ætti að vera nafn kerfisins sem verið er að opna á.
Hitt er svo að bankar senda aldrei auðkenningarbeiðnir yfir síma heldur undirskriftarbeiðnir. Aldrei hleypa öðrum inn í kerfin þin. Simple

[appel]

Ég er sammála.

Þetta er fáránlegt að rafræn skilríki veiti svona mikinn aðgang, að hægt sé að millifæra aleigur fólks á svipstundu.
Þetta ætti aðeins að veita næga heimild til að nota fyrir hefðbundið sem einstaklingar gera á hverjum mánuði.

T.d. finnst mér asnalegt að það séu engar öryggisstillingar umfram rafræn skilríki, ég get ekki still t.d. að það þurfi PIN númer til að virkja rafrænu skilríkjabeiðnina, hafa aukalega lykilorð eftir innskráningu, eða stilla hámarks upphæðir sem hægt er að sýsla með á mánuði eða degi, óvirkja möguleikann að flytja peninga úr landi, eða einfaldlega óvirkja rafrænu skilríkin sem auðkenningarleið þó maður sé með þau. Ég myndi vilja miklu meiri stillingar á þessa vegu.

Svo er alltaf að koma upp fjárkúgunarmál og jafnvel þar sem glæpamenn misþyrma fólki þar til það millfærir peninga til sín.
Alveg fáránlegt af ríkisstjórninni að birta lista yfir kaupendur að Íslandsbankabréfunum, þetta er "shopping list" fyrir þannig glæpamenn, sjá hverjir eiga peninga.


Ekki svo langt síðan þetta gerðist:

Stal rafrænum skilríkjum og sveik út fé
https://www.mbl.is/frettir/innlent/2023 ... eik_ut_fe/

Svo veit maður aldrei hversu öryggir þessir símar í raun og veru eru.

Virkilega slæmt þegar maður veit af eldra fólki sem er ekki klárt í tækninni og komið með elliglöp, fær einhver skilaboð í sms um að það þurfi að samþykkja beiðni í rafrænum skilríkjum, svo samþykkir það eitthvað haldandi að það sé bankinn að gera eitthvað fyrir þau.... og bara búið að taka allt af því.


Það eru hættur allsstaðar í þessu nútímasamfélagi sem við búum í, verst að bankarnir virðast ekki vilja gera neitt til að vernda fólk fyrir þessu.

[Viktor]

Það hefur verið talað um þetta síðan áður en rafræn skilríki voru tekin upp og gagnrýnt af tæknifólki í bönkunum.

Það er algerlega út í hött að þú þurfir ekki að slá inn kóða sem birtist á síðunni til að skrá þig inn til að tryggja að þú sért við tölvuna sem er verið að innskrá.

Ótrúlegt að það hafi ekkert verið gert í þessu - og nú er Landsbankinn búinn að taka PIN númer af reikningum svo nú þarf bara eina innskráningu til að tæma alla reikninga.

[natti]

Enn fremur er það val hvers og eins hvort fólk vilji nota rafræn skilríki á sim korti eða nota bara appið (sem er töluvert öruggara).

Alls ekki.
Þetta er ekki val, þú verður að vera annaðhvort með skilríki á SIM eða sim+app.
Þetta hefur verið rætt af og til, en vandamálið byggir á því að upprunaleg hönnun var ekki með neitt "millilag", þannig að það kemur í hlut þess aðila sem nýtir stafræn skilríki sem auðkenningu að forrita á móti skilríkum í farsíma (SIM) annarsvegar, og APP hlutanum hinsvegar.
Og af því að við byrjuðum a SIM hlutanum, þá eru ennþá þjónustur sem styðja ekki við APP hlutann.
(Allir styðja skilríki á SIM, flestir styðja skilríki á SIM eða skilríki via APP, en ekki allir.)

Síðast þegar ég þurfti að endurnýja tók ég snúning á að reyna að nota bara APP-ið.
Gafst upp.

[dadik]

Ég er hjá Arion. Þegar ég skrái mig inn með rafrænum skilríkjum þarf ég líka að slá inn kóða sem ég fæ í sms-i.

[rostungurinn77]

Ótrúlegt að það hafi ekkert verið gert í þessu - og nú er Landsbankinn búinn að taka PIN númer af reikningum svo nú þarf bara eina innskráningu til að tæma alla reikninga.

Landsbankinn er með sms staðfestingu ef t.d. ip tala er skrýtin og ef þú ert búinn að virkja auðkenningu með fingrafari þá ertu krafinn um að staðfesta greiðslu, gildir ekki um allar færslur endilega.

Myndi ætla að það væri skynsamlegra en pin ef lífauðkennið er bundið við eitt tæki.

[olihar]

Svo í framhaldinu af þessu þá er 2 sem ég hef í mörg ár beðið Íslandsbanka um fyrir aukið öryggi.

Senda notification úr appinu í hvert skipti sem kort er notað (Þetta er ekki hægt segja þeir) Bara sumar færslur á kredit korti senda út SMS.(Ég vil notification úr appinu ekki SMS heldur)
Bjóða upp á virtual kredit kort. (Þetta er ekki hægt segja þeir)

Ég nota Revolut töluvert útaf þessu þar sem þeir bjóða upp á Virtual kort.

[russi]

Kómiskt að segja að ekki sé hægt að nota Virtual Kort… kortið sem þú ert með í síma og úri eru nákvæmlega það.

Svo annað, að samþykkja kortagreiðslur… Afhverju er þetta ekki fært inní app eða allavega gefa möguleikann á því. Það væri allavega skrefinu öruggara en að samþykkja SMS dulbúið sem rafræn auðkenning.

Fannst það persónulega alveg last-century múv að þegar 3D Secure var hætt að það skyldi vera fært af einu SMS platformi yfir á annað. Benti mínum banka á það að þetta move væri skammtimalausn þar sem þessi skilríki munu hætta fljótlega. Það er nefnilega bara tímaspursmál þar til símaframleiðendur bjóði bara uppa eSIM sem möguleika

[olihar]

Kómiskt að segja að ekki sé hægt að nota Virtual Kort… kortið sem þú ert með í síma og úri eru nákvæmlega það.

Svo annað, að samþykkja kortagreiðslur… Afhverju er þetta ekki fært inní app eða allavega gefa möguleikann á því. Það væri allavega skrefinu öruggara en að samþykkja SMS dulbúið sem rafræn auðkenning.

Fannst það persónulega alveg last-century múv að þegar 3D Secure var hætt að það skyldi vera fært af einu SMS platformi yfir á annað. Benti mínum banka á það að þetta move væri skammtimalausn þar sem þessi skilríki munu hætta fljótlega. Það er nefnilega bara tímaspursmál þar til símaframleiðendur bjóði bara uppa eSIM sem möguleika

Einmitt, það væri svo auðvelt að henda i virtual single eða X times use kort.

Nákvæmlega, það væri svo mikið meira öryggi að samþykkja greiðslur á kredit kortum beint í appinu, það væri þá hægt að fast samþykkja það sem maður notar aftur og aftur, t.d. Krónuna, Bónus, etc. (Greenlista)

Það á að banna SMS sem authentication leið.

[natti]

Senda notification úr appinu í hvert skipti sem kort er notað (Þetta er ekki hægt segja þeir) [...]
Bjóða upp á virtual kredit kort. (Þetta er ekki hægt segja þeir)

Ég veit svosem ekki við hvern þú hefur talað, en það má alveg segja að þetta sé bæði rétt og rangt.
"það er ekki hægt" = "við erum ekki með þessa þjónustu í boði"

Ef þú spyrð þjónustfulltrúann þinn hvort hún/hann geti virkjað svona virkni fyrir þig, og þú fengið virtual kort, og viðkomandi svarar þér "nei það er ekki hægt", þá er alveg rétt.
Viðkomandi aðili getur ekki gert þetta fyrir þig, enda er þetta ekki spurning um hvort að tæknin bjóði upp á þetta, heldur hvort að þessi þjónusta sé í boði til einstaklinga hjá þessum banka.

Hvað tæknina varðar, þá er hvorutveggja auðvitað hægt, og sumar lausnir fyrir fyrirtæki ganga út á þetta.
(t.d. https://kardio.is/ )

En það er auðvitað ekki þjónustufulltrúans hlutverk að ræða hvað tæknin býður upp á, þau eru bundin af hvaða þjónustu bankinn er með.

[olihar]

Senda notification úr appinu í hvert skipti sem kort er notað (Þetta er ekki hægt segja þeir) [...]
Bjóða upp á virtual kredit kort. (Þetta er ekki hægt segja þeir)

Ég veit svosem ekki við hvern þú hefur talað, en það má alveg segja að þetta sé bæði rétt og rangt.
"það er ekki hægt" = "við erum ekki með þessa þjónustu í boði"

Ef þú spyrð þjónustfulltrúann þinn hvort hún/hann geti virkjað svona virkni fyrir þig, og þú fengið virtual kort, og viðkomandi svarar þér "nei það er ekki hægt", þá er alveg rétt.
Viðkomandi aðili getur ekki gert þetta fyrir þig, enda er þetta ekki spurning um hvort að tæknin bjóði upp á þetta, heldur hvort að þessi þjónusta sé í boði til einstaklinga hjá þessum banka.

Hvað tæknina varðar, þá er hvorutveggja auðvitað hægt, og sumar lausnir fyrir fyrirtæki ganga út á þetta.
(t.d. https://kardio.is/ )

En það er auðvitað ekki þjónustufulltrúans hlutverk að ræða hvað tæknin býður upp á, þau eru bundin af hvaða þjónustu bankinn er með.

Nei nei ég var Kominn mikið lengra en til venjulegs þjónustu fulltrúa. Enda var ég með aðrar öryggis athugasemdir með appið.

En það var bara nei nei nei. Enda engin samkeppni þegar kemur að þessum öruggismálum hjá bönkunum. Það verður að fara að gera eitthvað og fljótt Það er verið að stela hægri vinstri og alltaf meira og meira.

[falcon1]

Og núna liggur auðkenningarkerfið niðri!!! Ég kemst ekki í peningana mína nema það sem ég er með í reiðuféi.

[olihar]

Og núna liggur auðkenningarkerfið niðri!!! Ég kemst ekki í peningana mína nema það sem ég er með í reiðuféi.

Þú í raun kemst ekki í neitt.

[Revenant]

Og núna liggur auðkenningarkerfið niðri!!! Ég kemst ekki í peningana mína nema það sem ég er með í reiðuféi.

Þú í raun kemst ekki í neitt.

Auðkennisappið virkar eðlilega. Getur verið með það á sama tíma og SMS skilríkin, þarft bara vegabréf til að skrá þig.