Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 171 reacties

De Rabobank-applicatie voor iOS krijgt ondersteuning voor Touch ID, de vingerafdrukscanner op iPhones en iPads. Hoewel eerdere communicatie deed vermoeden dat de bank het gebruik van de scanner zou verplichten, claimt de bank nu dat het een optie is en geen verplichting.

Gebruikers kunnen Touch ID instellen om alleen in te loggen of ervoor kiezen om in te loggen en betalingsopdrachten te ondertekenen. Dat kan alleen op apparaten met iOS 9 of hoger. Daarbij gaat het om de iPhone 5s, iPhone 6-serie, iPhone 6s-serie en iPhone SE, net als sommige nieuwe iPads. Oudere apparaten hebben geen vingerafdrukscanner en blijven dus standaard de vijfcijferige toegangscode gebruiken.

Rabobank zegt dat, in tegenstelling tot wat een brief van de bank deed vermoeden, Touch ID niet verplicht is op apparaten die de vingerafdrukscanner hebben. Het is slechts een optie voor wie daar gebruik van wil maken. In de voorwaarden voor het gebruik van een vingerafdrukscanner stelt de bank dat gebruik alleen is toegestaan zolang geen vingerafdrukken van anderen op het apparaat geregistreerd staan. Gebruikers zijn zelf verantwoordelijk hiervoor.

Touch ID-ondersteuning staat bij veel gebruikers al lang op het lijstje van gewilde features van de Rabobank-app. Toen de bank vorig jaar een geheel vernieuwde app introduceerde, zat de functie er niet in. Een woordvoerder bevestigd tegenover Tweakers dat de functie 'medio september' in de vorm van een update toegevoegd zal worden.

Moderatie-faq Wijzig weergave

Reacties (171)

Alhoewel ik geen iOS en/of iPhone heb vind ik de eis nogal belachelijk. Ik had liever gezien dat het optioneel is. Ik zie niet in waarom de gebruiker zijn vingerafdruk, of andere gegevens, zou willen achterlaten bij een bank.

Edit:
Ik word terecht gewezen op het feit dat het nu optioneel zou zijn. Echter heeft Rabobank gisteren zelf gecommuniceerd dat het niet uit te zetten zou zijn:

https://twitter.com/Rabobank/status/768429808619556864

Dat de vingerafdruk voor nu niet uit te lezen/te hacken is klinkt super. Dat de bank er bij kan lijkt mij ook sterk inderdaad. Ik ging er vanuit dat de verificatie via de rabobank zou lopen. Toch zou ik nooit mijn vingerafdruk gebruiken voor dit soort zaken. Over een jaar kan alles anders zijn.

[Reactie gewijzigd door Tarabass op 25 augustus 2016 13:31]

De sensor is veel te klein om een bruikbare vingerafdruk te maken. Het principe maakt gebruik van een aantal herkenningspunten in je afdruk en zet dit om in een hash. Apple, de Rabobank of de NSA hebben je vingerafdruk daarmee niet in hun database zitten, maar hoogstens de hash die niet terug te herleiden is naar een afdruk.
Daarnaast is het mogelijk dat verschillende afdrukken tot dezelfde hash leiden. Het systeem gaat uit van zeldzaamheid en dat de kans dat een willekeurige andere persoon een positieve identificatie ondergaat vrij klein maar niet nul is. Vergelijk het met de pincode. Er zijn miljoenen gebruikers, maar toch maar 10.000 pincodes. Er is dus een kans van 1 op 10.000 dat een ander met jouw pasje probleemloos geld kan pinnen. Bij de vingerafdrukscanner is die kans wel kleiner. Hoeveel precies weet ik niet.
De hash staat daarnaast niet opgeslagen in een database, maar in een secure enclave op het toestel zelf. Dat is ook de reden waarom je elke keer je vngers opnieuw moet registreren als je een iCloud backup terug zet.
Theoretisch klopt dat, maar in deze tijd weet je maar nooit waar die hash overal terechtkomt. Niets en niemand is op dat gebied nog te vertrouwen.
Onzin. Experts weten heus wel wat wel en niet veilig is.
Dat riep men voor Snowden ook.
Wat ik bedoelde is dat wanneer Apple zegt dat die hash (of andere gevoelige data) alleen op de telefoon bewaard wordt, ik dat niet zomaar meer geloof.
Cisco netwerkapparatuur werd ook tientallen jaren als goed beveiligd beschouwd, totdat bleek dat de apparatuur backdoors bevat voor de Amerikaanse geheime diensten.
Dat het principe veilig is, geloof ik graag. Ik houd echter de mogelijkheid open dat die hash tóch niet alleen op de telefoon wordt opgeslagen. Niet door een hack, maar "by design".
Alstu:

http://pastebin.com/0r2fyACR

Hier heb ik even een stuk code geplaatst. Dit kleine stukje code doet het aanvragen van een vingerafdruk (het verzoek om de vinger erop te leggen) tot aan het bevestigen dat de vinger succesvol is gescanned.

Meer doet een app niet. Die vraagt wat, en krijgt enkel een ja of nee terug.
Hebben ze daar nou 2 jaar over gedaan? :P
Zal wel iets uitgebreider liggen dan dit, echter is dit de standaard basis van iOS om enkel een vingerafdruk te valideren.
Een iPhone handelt de verificatie van de vingerafdruk af binnen de Secure Enclave. De bank (of welke app dan ook) zal nooit de vingerafdruk krijgen. Zelfs Apple kan er niet bij, zeggen ze.
Het is niet de vingerafdruk die in de Secure Enclave zit maar de hash van de vingerafdruk.
De vingerafdruk staat dus alleen op je Home button ;)
Het is niet verplicht zoals in het artikel vermeld staat, en laat niets achter bij je bank. De opslag van TouchID is op je telefoon, niet bij de bank.
Ik neem aan dat je weet hoe de Touch ID werkt en dat er geen vingerafdruk doorgestuurd wordt naar Apple of de Rabobank. Zoniet, lees je in: http://www.iculture.nl/ni...-nieuw-beveilingsrapport/ en pas daarna je comment aan.
"pas daarna je comment aan". 8)7
Yes... Aanvankelijk stond er zoiets als "Waarom zou je je vingerafdrukken willen delen met je bank?" en dat is natuurlijk quatsch. Het punt is dat er echter altijd mensen zijn die dat soort uitspraken voor waar aannemen en daar zit 'm het risico in. Dan kun je het beter maar direct de kop indrukken.

Bovendien staat iemand niet langer meer voor lul.
A: Het is optioneel
B: De vingerafdruk gegevens staan op het iOS apparaat in een secure enclave.

Get your facts straight!
Vingerafdrukauthenticatie gebeurt lokaal op de telefoon.
Eindelijk! Wat mij betreft is de vingerscanner net zo veilig/veiliger dan het 5 cijferige wachtwoord.

Paypal heeft deze ondersteuning al een tijdje en dat maakt de app fijn om te gebruiken

Nu nog even wachten op de Android versie
Inderdaad. heel veilig. Want als iemand je vingerafdruk namaakt met een siliconenvingertop vernader je heel makkelijk je eigen vingerafdruk. Toch?
Ik weet niet hoe de vingerafdrukscanner op Android werkt, maar op iOS gaat het zo ongeveer:

App vraagt aan vingerafdrukscanner om te authenticeren
<gebruiker legt vinger op scanner>
Scanner bevestigd dat het om een bekende vinger gaat
Scanner geeft door aan App dat het OK is (mits bekende vinger)
App laat je door

Je vingerafdruk wordt volledig lokaal, op een bij de bank bekend device, geauthenticeert. Het is inderdaad te doen om een vingerafdruk van iemand te kopieren, en met wat handigheidjes zou je die zelfs kunnen kopieren op een soort virtuele huid.

Dan nog geldt dat de bank-app alleen maar op jouw persoonlijke device jou zal laten inloggen. De betreffende kwaadwillende moet dus:

1. Mijn vingerafdruk kunnen kopieren
2. Mijn telefoon in bezit hebben (want mijn unieke telefoon ID staat geregistreerd bij de bank)
3. De pincode van mijn telefoon hebben
en Volgens Mij in het geval van ING (niet helemaal zeker):
4. Mijn Mijn-ING-app-pincode hebben als hij een transactie wil doen naar een rekeningnummer waar ik nog nooit mee wat hebt gedaan.

En al die zaken moeten dus geregeld zijn voordat ik er achter kom dat dat mijn telefoon is gestolen en ik de ING dus kan bellen dat ze m'n mijn-ING-app moeten blokkeren, of dat ik dat zelf doe via de site.

In theorie heb je dus helemaal gelijk, maar in de praktijk zal het niet echt rendabel zijn om daar je core-business te maken :) Ik denk dat als iemand zoveel moeite wil doen om per se van mij te stelen, dat hij/zij beter een dolk op m'n keel kan zetten en mij te dwingen.
Hier een stukje relevante code (in Swift) over hoe de Touch-ID controle plaats vind, meer is het niet, iOS doet de rest, dus de app kan er verder niks mee buiten een 'ja', 'nee' of 'niet beschikbaar' terug krijgen:

// EDIT //

Code ziet er niet uit; even geplaatst op Pastebin:

http://pastebin.com/0r2fyACR

[Reactie gewijzigd door xoniq op 25 augustus 2016 13:38]

Dat kan, maar is het eenvoudig? https://blog.lookout.com/...till-think-it-is-awesome/

Daar komt nog bij, ten eerste kun je met de Rabo app nog geen betalingen doen, dus zelfs als iemand de moeite doet om een vingerafdruk na te maken, dan kan die er nog niet veel mee doen. En zelfs als het lukt een betaling te maken, dan zijn betalingen via de app beperkt tot op z'n hoogst een paar honderd euro. Als je dan een belletje naar je bank doet is die ook weer ongedaan gemaakt.
Mijn ervaring is dat een betaling (los van automatisch incasso en creditcard), niet teruggedraaid kan worden. Hij wordt namelijk direct verwerkt.
Klopt inderdaad. Maar als je slachtoffer bent van fraude, dan vergoed de bank in 999 van de 1000 gevallen de schade
Betalingen met de Rabobank app kan al best lang, je kan zelf een limiet instellen hoeveel per week je kan overmaken, naar bekende rekeningnummers geldt deze limiet zelfs helemaal niet dacht ik.
Ja zo ken ik er nog 1

Wat als iemand door de vinger vlekken op je scherm van de telefoon jou code kan bemachtigen.

Als je zo gaat denken kun je beter niet bankieren via je mobiel
Tja, iets wat je elk moment van de dag laat rondslingeren en wat eenvoudig na te maken is is dan ook geen wachtwoord maar een 'username'.
En een code hebben die uit 3 unieke cijfers bestaat, dus je weet 3 cijfers, maar niet welke dubbel is en in welke volgorde. Ik wens u heel veel succes.

Daarnaast; je typt ook nog op je telefoon waardoor je al andere afwijkingen hebt qua vinger vlekken.
Op zich wel, maar schumi1986 heeft wel een punt dat een vijfcijferige code ook niet echt je-van-het is. Als er gewoon om de toestelcode gevraagd zou worden, dan zou het wat zijn (want ik heb gewoon een lang, volledig random password op mijn iPhone).

De vraag is echter of TouchID de Rabo Scanner vervangt. Ik hoop toch zeker van niet en dat TouchID alleen gebruikt kan worden om de applicatie te ontgrendelen maar niet om grote bedragen over te maken of naar mensen waar je recent geen geld naar overgemaakt hebt.
Bij de oude app, moest je een pincode aanmaken om in de app in te loggen.
Je kon vervolgens naar bekende rekeningen je betalingen authoriseren met je pincode (tot een max van 1000¤ per week)
Voor ideal betalingen en betalingsoprdachten naar niet bekende rekeningen kon je ervoor kiezen dit ook toe te staan en ook een maximaal bedrag opgeven.

Ik denk dat de vingerafdruk in dit geval simpelweg de pincode gaat vervangen. Dus als je boven je ingestelde maximum komt binnen een week, gaat hij vanzelf om de scanner vragen.
Het is een stuk lastiger om een siliconenvingertop te maken dan even over het schoudertje mee kijken en de code bekijken.

Met jouw denkwijze kunnen wij beter helemaal geen code er op doen, omdat alles toch te kraken is.
Ik denk dat het afkijken van een pincode een stuk gemakkelijker is dan een siliconen kopie maken van een vingerafdruk.
En hoe reeel is het dat mensen hier last van hebben? Touch ID zit al sinds 2013 op iphones, zijn er sindsdien voorvallen geweest waarbij mensen gehacked waren dmv siliconen vingertoppen?

Elk slot heeft zijn zwakte, maar je moet wel reeel blijven over de gevaren.
Dat is toch vooral een theoretische mogelijkheid. Om te beginnen moet je al in de nabijheid van het slachtoffer zijn geweest wat de pakkans vergroot. Dan moet je een goede vingerafdruk zien te vinden (op een glas of zo), en moet je het toestel stelen. En dan moet je nog hopen dat er een leuk bedrag op de bankrekening staat anders is al het werk voor niks geweest.

Er zijn honderden manieren die veel makkelijker zijn om iemand te beroven....

[Reactie gewijzigd door GJvdZ op 25 augustus 2016 14:58]

En hoe werkt dit dan? Het is toch niet meer dan een web-app? Zie: https://bankieren.raboban...nl/pre-login?qsl_reqcnt=1
Je kan wel een native component maken en die exposen aan de JavaScript runtime. Moet je wel weer alsnog specifieke code toevoegen om die toestellen af te handelen. Dus na een tijdje zit je 'single code base' vol met uitzonderings regels en wordt het een onoverzichtelijke teringzooi.

Dit soort webapps combineert echt de nadelen van een native app met de nadelen van een website.

[Reactie gewijzigd door Aaargh! op 25 augustus 2016 12:53]

Is dat zo? Het web deel blijft in theorie gewoon single base zonder uitzonderingen voor specifieke toestellen. Als je de architectuur netjes op orde hebt zal Javascript controleren of bepaalde API's worden aangeboden aan de native kant en die pas aanroepen als dat het geval is.
Het native deel zal vervolgens inderdaad platform specifiek zijn, maar dat is bij een normale native applicatie net zo goed het geval. Voor de native platformen onderhoud je vervolgens aparte omgevingen.
Het gaat waarschijnlijk inderdaad om een platform-specifiek stukje code. Aangezien Rabobank gebruik maakt van Cordova zal er een (wellicht zelfgemaakte) Cordova-plugin gebruik worden. Een voorbeeld daarvan is https://github.com/EddyVerbruggen/cordova-plugin-touch-id, van deze zelfde plugin wordt ook gebruik gemaakt binnenin Ionic apps: http://ionicframework.com/docs/v2/native/touchid/.
Ik ben het helemaal met je eens. Je hoeft nu slecht een klein deel platform afhankelijk te programmeren. Namelijk de cordova plugin. (Die vaak al door iemand anders is ontwikkeld) Deze plugin biedt meestal ondersteuning voor verschillende platforms. (iOS,android,windows,etc). Zo'n hybrid apps voelt misschien niet zo snel aan als een native app, maar dat verschil zal volgens mij steeds minder groot worden. De frameworks zoals platform7, ionic, etc zijn sterk bezig met de snelheid te optimaliseren. Naar mijn mening zou de rabo app sneller kunnen zijn als ze minder gebruik maken van die non standaard layout en simpelweg de material design look zouden gebruiken. (maar dat is een andere discussie)
Ik ben het helemaal met je eens. Je hoeft nu slecht een klein deel platform afhankelijk te programmeren. Namelijk de cordova plugin.
Uiteraard niet. Met alleen de plugin ben je er niet, die exposed een API richting het JS en die gaat een andere code-pad in afhankelijk van wel/geen vingerafdruk scanner.
We gaan wel even erg offtopic, maar ik zie werkelijk waar niet in waarom je hybrid app voor ieder platform andere code zou moeten hebben. Want dat is wat jij zegt. Lees dit eerst even:
https://github.com/mjwhea...esscallback-errorcallback

Door simpelweg vanuit je hybrid app het volgende javascript uit te voeren:
FingerprintAuth.isAvailable(isAvailableSuccess, isAvailableError);
Weet je of er een scanner is.
Dit geldt voor ieder platform waarvoor de plugin ondersteuning biedt.
Indien niet aanwezig, gebruik dan de inlogmethode die je al had (pin/wachtwoord)
Indien wel aanwezig gebruik dan de vingerafdruk handling.
Het code-pad zoals jij die noemt is voor iOS hetzelfde als voor Android.
Natuurlijk komt er platform onafhankelijke code bij die de vingerafdrukscanner afhandelt. Maar die code is minimaal en ik herhaal voor alle platformen exact hetzelfde.
Jij gaat er van uit dat elke API voor iOS en Android identiek is, en dat is in de praktijk niet zo. (Bron: heb ooit een cross-platform mobile development platform ontwikkeld).

Heel veel device-specifieke API's matchen totaal niet met elkaar en zijn niet terug te brengen tot 1 universele API. Gevolg: je hele 'platform onafhankelijke' codebase staat vol met platform-specifieke code.
Dit verklaart een hoop.
Bron: heb ooit een cross-platform mobile development platform ontwikkeld
Jij gaat er van uit dat elke API voor iOS en Android identiek is
Lees aub eerst even iets over Cordova voordat je deze onwaarheden schrijft.

https://en.wikipedia.org/wiki/Apache_Cordova
Apache Cordova enables software programmers to build applications for mobile devices using CSS3, HTML5, and JavaScript instead of relying on platform-specific APIs like those in Android, iOS, or Windows Phone.[5]
Ik heb het je nu echt geprobeerd uit te leggen. Als je het nu nog niet snapt, dan hoop ik dat iemand anders dit wel kan uitleggen.

[Reactie gewijzigd door sir_huxley op 25 augustus 2016 15:23]

Cordova legt een abstractielaag over de onderliggende iOS/Android API's heen, da's leuk en aardig maar werkt niet 100% want abstracties lekken altijd.

Er zijn veel API's waar Android parameter X,Y en Z vraag en iOS parameters X, Y en Q. en dan kan je geen universele API maken. Voor simpele UI elementen (knopje, tekstveld, etc) werkt meestal prima, maar als je complexere dingen probeert loop je tegen problemen aan.

Om een voorbeeld te noemen: als je een kaart wilt weergeven op Android moet je hier een Google-maps API key bij opgeven, voor iOS heb je dit niet nodig. Vervelender is dat je op Android maar 1 kaart per Activity kan laten zien. Op iOS is die beperking er niet. Dus als je een universeel maps component wilt maken. dan heb je een probleem want de onderliggende native componenten zijn gewoon te verschillend.
Websites kunnen touch id ook gebruiken voor betalingen
Klopt maar dat werkt meer met Apple Pay.
Via bijvoorbeeld phonegap/cordova
zie https://github.com/mjwhea...-android-fingerprint-auth

Hiermee kun je toegang krijgen tot phone API's die je normale browser niet heeft.
Hier is meer leesvoer: https://cordova.apache.org/docs/en/latest/guide/overview/
Vond de verplichting al best raar, hoe zit je met oudere iOS toestellen die geen vingerscanner hebben? Ergens wel blij dat ik de oude versie nog heb op WM, kan maar niet wennen aan die nieuwe layout.
Er staat toch ook bij "op apparaten die de vingerafdrukscanner hebben"? Dus op oudere apparaten zou het sowieso niet verplicht zijn.

Alsnog fijn, ik gebruik geen TouchID maar mijn telefoon heeft het wel, dus zou er niet graag toe verplicht worden in de Rabobank app.
En weer een app waarbij de iOS versie wordt voorgetrokken t.o.v. de Android versie. Er zijn toch meer Android gebruikers lijkt mij, waarom blijft dit nog steeds gebeuren dan ? is die ontwikkel omgeving van iOS zoveel beter ?

edit: ik snap de moderatie hier echt niet, waarom is mijn reactie offtopic/irrelevant ?

[Reactie gewijzigd door TTLCrazy op 25 augustus 2016 21:13]

Ligt vooral aan de eenheid binnen iOS, 1 API, die zeker werkt. Bij android heeft samsung in het begin zelf een vingerafdrukscanner uitgebracht (met eigen api's). Het is pas sinds een jaar ofzo (denk ik) dat google echt een algemene api binnen Android heeft.
+lang niet zoveel Android-telefoons hebben een vingerafdrukscanners tov álle iOS-apparaten die verkocht werden de laatste 3 jaar...
Blijft toch opvallen dat de Rabobank erg achterloopt. Ik heb meerdere apps die de standaard api in android Marshmallow gebruiken (ING app, password saver, Nine Exchange, Paypal).
Ook moet ik zeggen dat de interface niet lekker werkt, maar dat is een ander probleem.
Een slecht werkende interface zou ik niet graag "voorop lopen" willen noemen. Als iets nog niet goed werkt moet je het niet op de markt brengen. Je kunt beter iets op de markt brengen met minder functionaliteit, maar wat er is doet het perfect, dan veel functionaliteit die het net niet is.
Er zijn toch meer Android gebruikers lijkt mij, waarom blijft dit nog steeds gebeuren dan ?
Omdat er weinig Android gebruikers zijn met een fingerprint scanner. Als Apple iets nieuws invoert zit het op al hun apparaten vanaf dat moment, op Android zit het alleen op een handjevol high-end toestellen en dat is maar een HEEL klein marktaandeel. Het overgrote deel v/d Android gebruikers loopt met een low-budget mobiel die toevallig bij hun abbo zat.
is die ontwikkel omgeving van iOS zoveel beter ?
Dat ook. In mijn ervaring duurt Android development ongeveer 2 a 3 keer langer dan een vergelijkbare app op iOS.
De kwaliteit en veiligheid van de Android vingerafdrukscanners wisselt nogal. Zie bijv. http://www.androidcentral...ingerprint-sensors-ranked voor een al wat ouder overzicht van de verschillende modellen. Het is bij Apple veel voorspelbaarder, beter uitgewerkt, en makkelijker te implementeren.
Bij Apple is het implementeren van deze functionaliteit vrij eenvoudig. Er is één type interface Touch ID, de security is out-of-the-box uitstekend. Dit is ongetwijfeld niet zo op het Android platform, er zullen half-brakke vinger sensoren zijn die onveilig zijn, verschillende interfaces. Oftewel, veel meer werk.
Onzin. Er is gewoon een API voor vanaf Android 6: https://developer.android...t/FingerprintManager.html

De implementatie zou dus exact hetzelfde kunnen zoals bij iOS. Ze hoeven amper rekening te houden met allerlei devices, dat doet de API wel. En nadat je bent ingelogd is verder toch alles webkit.

Oh.. en de update staat nog niet in de store? Ik krijg in ieder geval niet de mogelijkheid om te updaten.

[Reactie gewijzigd door trix0r op 25 augustus 2016 13:14]

Onzin. Er is gewoon een API voor vanaf Android 6
En het overgrote deel van de android devices draait niet versie 6...
Daar kan je je heel erg in vergissen, vooral in Nederland zie ik dat het afhankelijk is van de doelgroep.

Bij onze telco / retail apps zie ik dat het aandeel van Android 6 tussen de 50-60% ligt en dat van Android 5 rond de 30%. Waarbij voornamelijk het aandeel Samsung zo rond de 70% zit.

Wat betreft vingerafdruksensoren ligt het meer hardware-matig: veel toestellen worden er gewoonweg niet mee uitgerust en hoeft het niet per se aan de software te liggen.
Natuurlijk zal het per land en doelgroep verschillen, maar in het algemeen heeft Marshmellow maar 15,2% van de gebruikte toestellen bereikt.
Aandeel specifiek voor een app is een lastige, bouw een app die nieuwe API's van 6 nodig heeft en je aandeel is opeens 100% :P
(https://developer.android.com/about/dashboards/index.html)
Marktaandeel van Android 6 was in mei 7,5%. Hoe ga je aan een doorsnee gebruiker uitleggen dat het niet werkt ondanks dat er op zijn Android 5 toestel een vingerafdrukscanner zit? Dan kan de customer service afdeling van de bank wel verdubbelen (of de communicatieafdeling omdat heel veel mensen tegenwoordig eerst gaan kankeren op social media voordat ze na gaan denken).
sterker nog.
Android bestaat niet uit 1 configuratie maar uit honderden.
Het ontwikkelen en testen zal daarom meer tijd in beslag nemen. Je moet er toch voor zorgen dat Android toestel A die een veilige sensor heeft mag gebruiken. Maar Android toestel B met een slechte sensor moet weren.
Zijn er Android toestellen met een slechte implementatie? Zo ja, welke toestellen betreft dit?
maakt niet uit, ze zullen toch getest moeten worden. Het gaat hier niet om toegang tot je cd collectie. maar om je bank gegevens. Waar bij somige niets op de bank hebben staan en andere duizenende of tien duizenden euro's

Wat bij een programeer bugje zo netjes iemand die je telefoon vind even geld kan overmaken..

Beter safe than sorry!!

[Reactie gewijzigd door To_Tall op 25 augustus 2016 14:31]

Om eens een vergelijking te maken: als ik een auto koop, laat ik geen typegoedkeuring doen. Ook al gaat het niet slechts om bankgegevens of de cd-collectie, maar om echte mensenlevens.

Het is dus onzin (afgezien dat het praktisch onmogelijk is) om de vingerafdrukscanner van elk mogelijk type telefoon te gaan testen.

Kortom, pure stemmingmakerij.
Die typegoedkeuring is dan ook al gedaan. Daarom hoef jij het niet te doen. Maar aangezien zoiets niet bestaat voor Android telefoons moet de app-bouwer (zeker in dit geval) dat doen.

Bij Apple weet je dat de vingerafdruk hash is opgeslagen in de Secure Enclave. Ik neem aan dat dit bij Android ook gedaan wordt, maar hoe zeker weet je dat, zeker met het oog op steeds meer Chinese toestellen die mensen zelf importeren.
Lijkt me toch wel raadzaam om iets eerst goed getest te hebben eer dat je soortgelijke functie gaat implemeteren.

Dus ja.. Komt misschien ooit/binnenkort wel. Maar blijkbaar is de rabobank nog niet overtuigd dat de vingerafdruk scanner op de android toestellen al klaar is in gebruik op hun applicatie..

Bij apple is het eco systeem uniform en bij android nog steeds niet waarbij elke fabrikant zelf een sensor kan plaatsen en zijn vereisten kan stellen. Ik neem aan dat jij ook een veilig doortest systeem wil hebben voor je bankzaken gaat regelen op je telefoon.

Misschien heeft de rabobank al wel de applicatie klaar. Maar willen ze deze nog niet inzetten en kijken hoe het bij de iOS toestelen gaat. of ontwikkelen ze eerst een iOS versie en daarna pas een android versie.,. geen idee. Ik zou de rabobank even bellen als ik jou was.
Iets wat me vanavond nog te binnen schoot :-)

Elke auto met een europeese kenteken. Zelfs de modellen die een kleinbeetje zijn aangepast. Worden getest getest en verongelukt. Om zo alle resultaten voor veiligheid, prestatie en comfort te testen.

Dus ja elke auto krijgt een typegoedkeuring. Dat wordt door de fabrikant/ontwikelaar gedaan. Ook de ondersteunden producten in de auto worden door en door getest.. Elke batch airbags zal ook steekproeven worden gedaan om er zeker van te zijn dat ze correct functioneren zoals afgesproken.

Met gegevens zoals je vingerafdruk opgeslagen op je telefoon wil de ontwikkelaar die de afdruk gaat gebruiken goed getest hebben zeker als het over gegevens gaan zoals je bank gegevens.

Een kleine fout kan al betekenen dat de bank buiten jouw schuld geld verliest... dan zullen geen centen zijn maar kunnen miljoenen bedragen..
Je bent erg theoretisch. Ik heb nog nooit gehoord dat bijvoorbeeld ING - die al langer de vingerafdrukscanner gebruikt - Android of Apple telefoons uitsluit.
zou kunnen. toch zal elke bank zijn eigen implementatie moeten uitvoeren en testen en er zeker van zijn dat zij een functie toevoegen die beveiligd genoeg is om uit te rollen.

Indien zij niet zeker zijn dat een functie helemaal af is. of ze hier nou te lang mee hebben gewacht met ontwikkelen daargelaten.. moet je het niet uitbrengen. punt ;-)

Daarnaast wordt de app in opdracht ontwikkelde door een bedrijf. en een ander bedrijf voert audits uit om te check of ze naar afspraak en security goed ontwikkelen.
en de testen zullen ook onder audits worden uitgevoerd. gezien het hier om privacy en gevoelige financiële informatie bevat..

Of alle android toestellen het nou wel of niet voor elkaar hebben en veilig genoeg zijn is aan de bank te bepalen en niet aan ons.
Je kunt niet van een bank verwachten dat deze alle mogelijke telefoons (met ook nog allemaal verschillende versies OS er op!) gaat testen.
Zo gaat een caravanbouwer niet alle auto's testen waar een trekhaak op zit. Klopt de gewichtsklasse, dan moet het lukken.
Ik ben begin vorig jaar (toen ze die iOS5-look app nog hadden) overgestapt van Rabobank naar ING, met als deelreden de app. De ING heeft altijd de laatste snufjes, toen de smartwatches net uitkwamen kon je met de ING app al je saldo checken, je kan al een half jaar betalen met je mobiel via NFC, etcetera. ING heeft een enorm goede Android- en iOS-app. Rabobank is echt ouderwets in mijn ogen, dat je anno 2016 nog steeds een extra kastje nodig hebt om te betalen met iDeal is gewoon van de zotte.

Het is trouwens echt slecht dat dit nu pas komt in mijn ogen, TouchID is er echt al jaren.

[Reactie gewijzigd door Gerjannn op 25 augustus 2016 19:13]

De ING heeft altijd de laatste snufjes, toen de smartwatches net uitkwamen kon je met de ING app al je saldo checken, je kan al een half jaar betalen met je mobiel via NFC, etcetera. ING heeft een enorm goede Android- en iOS-app.
Dat is natuurlijk allemaal wel als het systeem niet weer eens plat ligt :)
Rabobank is echt ouderwets in mijn ogen, dat je anno 2016 nog steeds een extra kastje nodig hebt om te betalen met iDeal is gewoon van de zotte.
Two-factor authentication wordt overal ingevoerd en bejubeld, maar een goede two-factor bij een bank is zot?
Wacht, TouchID bestaat al sinds September 2013 toch?

En bijna drie (!) jaar later brengt de Rabobank een app update uit met support?
Chapeau, dan verdien je toch wel een prijs voor achter de feiten aanlopen. 8)7
Ik wacht al sinds 2012 op nfc ondersteuning om te betalen met mijn telefoon in supermarkt e.d.
Tja, ik hoef geen vage custom app voor NFC, laat de rabo maar gewoon ondersteuning bieden voor Apple Pay.
Is eigenlijk Apple pay ook niet een "vage custom App" voor de dienst betalen als je al een Maestro bankpas hebt? Sinds er contactloos betalen is zijn als de NFC en telefoon betaalsystemen wat mij betreft overbodig.
Contactloos betalen via Apple Pay is veel veiliger - en anoniemer - dan het contactloze betalen met de bankpas via NFC.

[Reactie gewijzigd door Frank-L op 25 augustus 2016 20:34]

Behalve voor een Nexus toestel.. Dat begrijp ik niet helemaal :/
Ik vind het, met het oog op de steeds vaker gemelde hacks op allerlei systemen, wel een lekker idee als een bank niet meteen overal de nieuwste technologie gebruikt, maar de kat even uit de boom kijkt.
Als blijkt dat de scanner eenvoudig te spoofen is, is het minder vervelend dat je Farmville bloemkolen gestolen worden dan dat je bankrekening geplunderd wordt.
Jij doet nu alsof elke nieuwe ontwikkeling eng is en dat je daar moet afwachten. Dat is niet zo. Ik zal de laatste zijn om te beweren dat je niet goed moet kijken naar de veiligheid, alleen bij Touch ID was het vanaf het begin af aan duidelijk dat je eigenlijk geen enkel risico loopt omdat je vingerafdruk op een secure enclave zit opgeslagen die zelfs fysiek is afgescheiden van de rest van het toestel. Nagenoeg onmogelijk te hacken. Als je daar een expert naar laat kijken, kom je daar gauw genoeg achter. Om alsnog een slag om de arm te houden, kan je ervoor kiezen om betalingen niet via Touch ID te laten lopen zodat in het allerergste geval alleen informatie blootstelt waar vervolgens niks mee gedaan kan worden. Als je alles bij elkaar optelt, kom je dus tot de conclusie dat je het probleemloos toe kan passen. ING doet dat bijvoorbeeld wel, die weten wat de juiste balans is tussen gebruiksgemak en risico.
Het kan nog altijd slechter.
De ABN AMRO app is nou ook niet echt een hoog staaltje software. Ik hoor regelmatig andere bank apps functies toevoegen waarvan ik denk... Die wil ik ook, net als dit touchid. Heb er al verschillende malen om gevraagd bij de bank. Maar tot op heden nog niks.

Het is jammer dan je niet makkelijk kan wisselen van bank, anders had ik dat zeker gedaan. En dan natuurlijk niet alleen vanwege een app :-)
Je kunt volgens mij juist wel makkelijk wisselen van bank.

Nieuwe rekening openen, geld overmaken, oude rekening sluiten, klaar.
En wat van alle abonnementen die worden afgeschreven? De hypotheek, loon en alle andere zaken die met je bankrekening samen gaan?
Die kun je toch aanpassen?

Even naar HR lopen, hypotheek kun je toch hopelijk bellen of mailen met de vraag om voortaan vanaf rekening x ipv y af te schrijven, en een verzekeraar kun je óf mailen, óf online regelen.

Been there, done that.
Je hebt bij iedere bank hiervoor de overstapservice dat maakt het overstappen erg gemakkelijk en de meeste incassanten verwerken de wijziging automatisch na een bericht van deze dienst.

[Reactie gewijzigd door :murb: op 25 augustus 2016 14:24]

Die wist ik nog niet eigenlijk. Maar al met al zit ik toch wel soort van vast aan mijn bank. Mijn hypotheek heeft bijvoorbeeld een 0,2% korting omdat ik een betaalrekening heb (waar het loon op binnen moet komen).
Maar als het echt allemaal zo makkelijk zou gaan dan zouden vast meer mensen sneller overstappen en zouden banken meer met elkaar concurreren.

Al met al ik hoop gewoon dat mijn bank ook een beetje met de tijd mee gaat ;-)
Daarom is het handig om 2 bankrekeningen te hebben.
1 voor de automatische betalingen + spaarrekening
1 voor alle niet-automatische betalingen (winkels, webshops ed)
Dit zorgt ook voor risicospreiding, en zelfs als bij 1 bank het betalingsverkeer niet werkt heb je nog een backup en kun je alsnog betalen
Gewoon de overstapservice gebruiken die elke bank aanbied. 1 formulier invullen en alles gaat vanzelf. Dus ook de automatische incasso's van gas huur of wat dan ook.

Ben zelf een half jaar overgestapt van de rabobank naar Knab, privé en zakelijke was super simpel. Had ik al veel eerder moeten doen 😅
Ik snap best dat een bank niet direct op de "band wagon" springt en een net geïntroduceerde techniek van een andere partij gaat ondersteunen. Het zijn toch bankgegevens...
De ING doet dit overduidelijk wel en heeft een meer dan prima app (gebruik ze beide). Die van de ING is overduidelijk veel sneller omdat het gewoon een native app is ipv een webapp.
Ik zeg ook nergens dat de ING-app geen prima app is. Het een staat het ander niet in de weg. Ik zeg alleen dat ik best begrijp dat een bank behoudend te werk gaat als het om toegang tot hun app gaat. Het gebeurt nog best vaak (ook met Apple) dat een nieuwe techniek wat bugs betreft die in de eerste maanden / het eerste jaar aan het licht komen. Als zo'n bug ervoor zorgt dat iedereen toegang tot jouw bankgegevens krijgt, is dat best zuur.
Maar ook bij de ING app zat het er niet meteen in 2013 al in. Dat was ook pas sinds dit jaar (hooguit eind 2015) Dus wat dat betreft klopt het niet helemaal wat je zegt.

Overigens vind ik het geen ramp als de banken qua techniek achter de feiten aan lopen hoor. Leuk dat de vingerafdrukscanner er al zo lang is.. maar er was destijds nog helemaal niet bewezen hoe veilig zoiets is. Dat zal nu wel zo zijn vermoed ik dat het daarom nu pas gebruikt wordt in dergelijke apps.
Better safe than sorry!
Uuh, TouchID werd vrijwel direct nadat het zich had bewezen geintroduceerd bij de ING app. Dit was rond medio 2014 en dus niet eind 2015 zoals jij suggereert.
Het ziet er naar uit dat we er beide een paar maanden naast zitten. Ik dacht echt eind 2015 maar dat was dus al in juli.

maart 2015: http://www.iculture.nl/nieuws/ing-bankieren-touch-id-update/

juli 2015: http://www.iculture.nl/ni...ning-touch-id-betalingen/
Euhm dat was toch in maart zoals je zelf zegt?
Je hebt gelijk! 😉
Niet direct is iets heel anders dan 3 jaar.

ING regelde het na 5 maanden toen iOS8 het mogelijk maakte om externe apps te valideren door TouchID. Rabobank heeft het daarna nog meer dan een jaar links laten liggen.

Ik moet nog steeds lachen als ik zie dat vrienden nog steeds met een random reader lopen klooien als we samen BBQen of naar een evenement gaan. Random what?

ING app, code intoetsen, geld overmaken, bevestigen met code, done. Kost misschien een halve minuut. En aangezien de ING wel vaker dit soort features snel op orde heeft, lijkt het me niet dat ze er veel verlies door lijden.
Uh.. Rabobank app: code intoetsen, geld overmaken, done.
Uiteraard wel alleen voor bekende rekeningen.
Nee hoor, ook onbekende rekeningen, tot een bepaald maximum (wat je zelf kunt instellen).

Gisteren nog wat 'afgerekend' bij iemand aan de deur, wat ik op marktplaats gekocht heb. Ik was vergeten langs de geldautomaat te gaan. ff rekeningnummer vragen en ter plekke overmaken. Seconde later staat het op diegene z'n rekening.
Dat laatste werkt alleen zo snel als jullie beiden dezelfde bank hebben...

Anders duurt het - zoals altijd - minimaal één werkdag.
Reactie hier op:
"als ik zie dat vrienden nog steeds met een random reader lopen klooien als we samen BBQen of naar een evenement gaan. Random what?"

en ook van @YopY:
"De Rabobank app is veiliger omdat het two-factor authentication verplicht stelt voor sowieso betalingen via de app, maar dat is gewoon onhandig en nodigt niet uit tot gebruiken."


Klopt niet helemaal.
Je kan zelf instellen tot welk bedrag je geen two-factor authentication nodig hebt. En dus geen Rabo Scanner (opvolger random reader) nodig hebt. Maar alleen je eigen code.
Daarnaast kan je altijd geld overmaken naar bekende (waar je al eerder geld naar hebt overgemaakt) met alleen je code.
Ook pas sinds de allerlaatste update, daarvoor was het gebruik van de Random Reader echt wel verplicht. Volgens mij zijn zelfs daardoor een paar vrienden overgestapt van bank (want laten we wel wezen, waarom zou je loyaal zijn aan een plek waar je slechts wat nulletjes of eentjes hebt staan, die je in een week kan overzetten naar een andere aanbieder).
Ik heb het even voor je opgezocht. Dit kan dus al sinds september 2013.
nieuws: Rabobank-app kan nu betalen zonder Random Reader

Dit was nog de oude app.


Hier info van de rabobank zelf, over het instellen en de limieten:
https://www.rabobank.nl/p...eken-zonder-rabo-scanner/
Klopt naar bekende rekeningnummers!
Dus naar nieuwe kun je gewoon de reader er weer bij pakken.
Niet als je het hebt ingesteld. Quote van die Rabobank link:
"Naar een onbekende rekening (rekening waarnaar u nog niet eerder geld heeft overgemaakt): tot maximaal ¤ 250 per week (afgelopen 7 dagen), indien u dit heeft ingesteld."
Wat @Plenkske zegt klopt. Dit geldt echt al jaren zo. Nagenoeg vanaf de eerste app. (Let op de 1000 euro limiet hieronder is default lager ingesteld.)

Veilig betalen met toegangscode of Rabo Scanner

Wilt u geld overmaken? Zonder Rabo Scanner kunt u naar eigen rekeningen maximaal ¤ 50.000 per betaalopdracht tot ¤ 100.000 per week overmaken. Voor bekende rekeningen kunt u tot ¤ 1.000 overmaken met alleen uw toegangscode. U gebruikt de Rabo Scanner:
bij rekeningnummers waarnaar u nooit eerder geld heeft overgemaakt
bij rekeningnummers waarnaar u in de afgelopen 15 maanden geen geld heeft overgemaakt
als u de afgelopen week meer dan ¤ 1.000 heeft overgemaakt zonder Rabo Scanner
https://www.rabobank.nl/p...pps/rabo-mobielbankieren/
Deze reactie mag weg, zie mijn andere.

[Reactie gewijzigd door Plenkske op 25 augustus 2016 14:50]

dat klopt echt niet. Overmaken naar een 'onbekende' rekening kan al sinds een jaar of twee, drie. Dat kun je allemaal zelf instellen.

Over je andere punt: inderdaad, net als je energieleverancier of belboer. Zelfde soort dienstverlening. Er is niet heel veel meer verschil tussen de bank diensten..
En daarnaast heb je altijd je telefoon nog beveiligd met een PIN code. Dus voordat je uberhaupt al in de bankierapp zit moet je al een code weten.
Daar heeft het niets mee te maken, ze dachten aan een -single app voor alle platformen-workflow en dat werkt niet.
Risk / reward analyse; de ING had al veel eerder gekeken naar de implementatie van Touch ID (zie https://www.apple.com/eur...cs/iOS_Security_Guide.pdf), de risico's afgewogen (vingerafdruk is identificatie, geen authenticatie; hoe erg is het als iemand gegevens kan bekijken), op basis daarvan wat limitaties ingesteld (max X bedrag overschrijven via de app), en vervolgens kijken wat er gebeurt.

Tot nu toe zijn er nog geen berichten dat een bank-app gehacked is of dat er veel geld mee verloren is. Veilig genoeg, dus.

De Rabobank app is veiliger omdat het two-factor authentication verplicht stelt voor sowieso betalingen via de app, maar dat is gewoon onhandig en nodigt niet uit tot gebruiken.
Tot nu toe zijn er nog geen berichten dat een bank-app gehacked is of dat er veel geld mee verloren is. Veilig genoeg, dus.
Dat achteraf blijkt dat iets goed was, wil niet zeggen dat het goed is om vooraf niet goed na te denken (ik beweer niet dat ING dat doet!). Achteraf is altijd makkelijk praten. Ik kan mijn werk ook 10x sneller doen door soms een risicootje te nemen. Achteraf concluderen dat het ik goed gehandeld heb, omdat er niks fout is gegaan, is dan een foute conclusie. Of iets concreter: als ik zonder te kijken op een gelijkwaardige kruising rechtdoor ga en er gebeurt niks (omdat er niemand van rechts kwam), wil dat niet zeggen dat ik iets goed heb gedaan.

Kijk, een kleine 3 jaar is erg lang om te wachten met implementeren, dat geef ik ook wel toe, maar ik vind niet dat het 3 jaar geleden al had moeten worden geïntroduceerd. Daar wilde ik vooral op reageren.
De Rabobank app is veiliger omdat het two-factor authentication verplicht stelt voor sowieso betalingen via de app, maar dat is gewoon onhandig en nodigt niet uit tot gebruiken.
Dat is zoals hierboven al aangehaald wordt niet waar. 2-factor authenticatie heb je alleen nodig voor grote bedragen naar nog niet eerder (of iig niet recent) gebruikte rekeningen. Tussen vrienden kun je prima kleine bedragen overmaken, sinds een tijdje ook zonder dat je dat al eerder hebt gedaan. Ik neem aan dat zo'n BBQ geen 200 euro kost ;)

[Reactie gewijzigd door Grrrrrene op 25 augustus 2016 14:43]

Direct <---> 3 jaren wachten. Dat is m.i. nogal een breed spectrum. Nu ben ik geen ontwikkelaar voor iOS maar ik lees overal dat dit relatief eenvoudig is te realiseren middels het aanroepen van eenn API @ iOS. Hier heeft de Rabobank gewoon de boot gemist maar dat vind ik niet verwonderlijk; hun hele app gebeuren vind ik al jaren een grote faal. Ook die nieuwe app werkt nog steeds niet lekker, langzaam, bloated interface, statische content neemt onevenredig veel schermruimte in beslag, interactieve dingen waar ik niet op zit te wachten, en zo kan ik nog wel even doorgaan. :X
Ik ben zelfs blij dat ze niet meteen 'het nieuwste' willen hebben maar eerst kijken of het daadwerkelijk veilig is! (ervan uitgaande dat veiligheid de reden was natuurlijk, want dat moet prio nummer 1 zijn in mijn ogen)
Ik kan me best voorstellen dat ze eerst fiks hebben nagedacht over het feit dat je dus van meerder personen in principe een vingerafdruk kan instellen. Hoe zou je dat namelijk af kunnen vangen? Ik denk namelijk gewoon niet. Vandaar ook dat de gebruiker zelf verantwoordelijk is en bij fraude ben je dus gewoon net zo hard de lul/onverzekerd als dat je windows XP gebruikt zonder virusscanner. De nieuwe voorwaarden stellen namelijk dat je een up to date OS met voldoende veiligheidsmaatregelen (up to date virusscanner) moet hebben.
Kan me ook niet voorstellen dat in de app geen waarschuwing staat.

In de UK gaan ze stap verder daarin:
Britse banken hebben klanten gewaarschuwd die de vingerafdrukken van meerdere personen op hun iPhone willen registreren, want in dit geval kan er worden bepaald om bij fraude of misbruik de schade niet te vergoeden. Volgens de voorwaarden (pdf) van de banken is er namelijk sprake van nalatigheid.
Bron: https://www.security.nl/p...druk+één+persoon+bevatten
En bijna drie (!) jaar later brengt de Rabobank een app update uit met support?
Nee, dat is een misverstand, de Rabobank heeft geen app. Ze hebben een mobiele website die net doet alsof ie een app is.
De ABN-AMRO heeft het helaas ook nog niet. Best jammer ;(
Heb je wel eens de Windows phone rabo app gezien dan. Over achterlopen gesproken haha
Geld overmaken. Check
Saldo controleren. Check

Missende overbodige zooi. Check
Vanuit een webshop direct betalen in je app zonder die vervelende scanner- unchecked .
Het is niet alleen overbodige zooi tbh..
Dus als je via een webshop met ideal wil betalen en je drukt op de knop "naar Ideal betalen" dan vraagt ie of je in de browser wil of via de rabobank app . Zoals bij mijn android phone wel het geval is? Mijn 950xl doet dit echt niet namelijk
Geen idee, ik bedoelde dat die functionaliteit voor mij overbodig is.
Telt dat niet voor elke app binnen Windows Phone?
Ik kan me herinneren dat een oudere versie van de app dit al had.
Met update naar deze nieuwe Layout is dit verwijderd.
Dat werd tijd! Een stap in de goede richting Rabobank.
Jammer dat ze niet direct in de Android app de vingerafdrukscanner ondersteunen.
Bijvoorbeeld de bunq app heeft het al, werkt wel fijn!
De oude app had geen Touch ID. (was reactie op mikevanwanrooij)

[Reactie gewijzigd door wowzie op 25 augustus 2016 12:38]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True