ABN Amro laat Android- en iOS-gebruikers bij bankapp inloggen met vingerafdruk

ABN Amro heeft bekendgemaakt dat zijn klanten vanaf dinsdag met hun vingerafdruk bij de mobiele bankapp kunnen inloggen. Dit geldt voor zowel Android- als iOS-gebruikers; die laatste kunnen inloggen met Touch ID.

ABN Dankzij inloggen met de vingerafdruk moeten gebruikers sneller hun bankzaken kunnen regelen, aldus ABN Amro. Zo is het onder andere mogelijk om op die manier in te loggen, overboekingen te doen, iDeal-betalingen uit te voeren en instellingen te wijzigen. Deze vorm van authenticatie komt in de plaats van de identificatiecode die gebruikers eerst moesten invoeren. Het gebruik van de functie is optioneel. Om van het inloggen met vingerafdruk gebruik te maken is minimaal iOS 9 of Android 6.0 vereist.

De bank heeft daarnaast enkele aanvullende veranderingen aan de app doorgevoerd. Zo kunnen gebruikers een betaalpas deblokkeren en hun persoonlijke informatie aanpassen, bijvoorbeeld een e-mailadres. Naast ABN Amro bieden ook andere banken de mogelijkheid om met een vingerafdruk in te loggen. Zo introduceerde de Rabobank deze functie begin november voor iOS-gebruikers en biedt ING, naast Bunq, de mogelijkheid aan voor beide platforms.

Reacties (114)

MaxTheKing 13 december 2016 10:18

Even tussendoor, je kunt de functie *niet* gebruiken als je toestel geroot is.

Recklezz @MaxTheKing • 14 december 2016 07:40

Geen fingerprint login voor moi dan. Ook goed, die pincode login werkt prima.

MaxTheKing @Recklezz • 14 december 2016 22:33

Heb gewoon de root files verwijderd, fingerprint werkt nu prima!

Recklezz @MaxTheKing • 15 december 2016 18:41

Root files verwijderd? Unrooted bedoel je of?

MaxTheKing @Recklezz • 15 december 2016 22:56

Ja, zo kun je het ook zeggen ja. Simpelweg /system/bin/su & /system/xbin/su verwijderd.

uberhoogy 13 december 2016 09:38

Ik ben erg sceptisch als het aankomt op het gebruikt van iris scanner of vingerafdrukken. Ik vind het geen fijn idee dat zo'n bedrijf mijn vingerafdruk heeft opgeslagen, en als je vingerafdruk is gehacked of gekopieerd op wat dan ook dan ben je dus flink de zak.

Nee op mijn BlackBerry PRIV zit geen vingerafdruk scanner en ik mis het voor geen cent. BlackBerry Picture Password is velen malen veiliger.

Koppensneller @uberhoogy • 13 december 2016 12:31

Zo werk dat ook niet. De vingerafdrukken staan opgslagen op je telefoon, en de app krijgt alleen een 'ja' of 'nee' terug van de validatiemodule van iOS of Android. Weinig om je zorgen over te maken, wat dat betreft.

AFGPoro 12 december 2016 16:01

best slim. dit is zowat het veiligste om momenteel je telefoon etc mee te beveiligen voor tegen diefstal

Menesis @AFGPoro • 12 december 2016 16:02

En de slechtste manier als je buiten bewustzijn (of sterk onder invloed) bent of je vingerafdruk gekopieerd is

[Reactie gewijzigd door Menesis op 23 juli 2024 05:46]

Wubinator @Menesis • 12 december 2016 16:05

Daarom kan je er bij ING voor kiezen om wel in te loggen met je vingerafdruk, maar dat je bij overschrijvingen alsnog de code in moet voeren.

Vraag me af of dat in de ABN app ook opgenomen is. Want dat vind ik wel een veiligere optie juist vanwege het scenario dat je beschrijft

Coffee @Wubinator • 12 december 2016 16:11

Ik vraag me sterk af hoe vaak zoiets zou gebeuren. In veel van dit soort situaties denk ik dat FPS (niet frames-per-seconde) identificatie voldoende moet zijn. Eventueel zou je voor de uitzonderingen als bank iets van een kleine verzekering in je maandelijkse rekeningkosten kunnen opnemen.

Maar goed, we moeten natuurlijk verder werken naar zo wel een veiliger als een makkelijker levensstijl in het algemeen (ben ik echt van mening), en dan iets als een code niet echt gebruiksvriendelijk.

Toevoeging op mijn eerste zin: Met 'zoiets' bedoel een geval waarin de vingerprint van een persoon gekopieerd wordt. Wellicht dat het in de toekomst makkelijker is, maar op dit moment moet er enorm veel moeite gedaan worden om potentieel weinig geld te verdienen. Je hebt een super hoge resolutie foto nodig van iemands vinger, en moet deze vervolgens op een siliconen/polymeer printen met een punt dichtheid van (uit mijn hoofd) een 2400 dpi.

[Reactie gewijzigd door Coffee op 23 juli 2024 05:46]

tss68nl @Coffee • 12 december 2016 21:12

Albert Heijn heeft geëxperimenteerd met betalen met vingerafdruk, en binnen twee weken was het systeem gekraakt. Uit een artikel waarom AH FPS heeft gestaakt:

"Het kopiëren van een vingerafdruk is relatief eenvoudig. Een vingerafdruk op een verpakking of een glas is daarvoor al voldoende.

Artikel hier te lezen onder andere: http://webwereld.nl/secur...drukbetaling-albert-heijn

Ik zal niet zeggen dat alle vingerafdrukscanners hetzelfde zijn, maar het heeft er alle schijn van dat ze heel makkelijk om de tuin te leiden zijn. 2400dpi lijkt mij zeer sterk, als in de praktijk een afdruk op een glas of verpakking genoeg is.

Ik denk dus dat het heel makkelijk zal gebeuren. Daarnaast zal het nieuwe roofovervallen triggeren. Je slaat iemand suf of knockout, en maakt middels de afdruk even wat geld over. Alleen FPS is echt heel gevaarlijk.

[Reactie gewijzigd door tss68nl op 23 juli 2024 05:46]

ikwilwp8 @tss68nl • 12 december 2016 22:25

Een vingerafdruk op glas of een verpakking is, wanneer goed gezet, van de hoogste resolutie haalbaar. Het is een analoge afdruk, deze kan worden gescand met de benodigde resolutie.

tss68nl @ikwilwp8 • 13 december 2016 00:17

Een analoge afdruk is nooit perfect door variaties in de richting waarin de vinger op het oppervlak wordt gerold/geschoven. Daarnaast hebben vingerafdrukscanners niet eens een dergelijk hoge scanresolutie.

Het is dus onzinnig om met 2400 dpi te scannen, maar het mag natuurlijk wel

Een scanner maakt er daarna toch een nagenoeg zwart-wit (posterized) interpretatie van om vervolgens de richting/lussen/patronen in het lijnenspel te beoordelen. Of er een onderdeeltje van die lijn dan net 0.001 cm dunner of dikker was (want daar praten we over), zal voor de patroonherkenning zeer weinig uit maken.

Step @Wubinator • 12 december 2016 16:14

Dit moet je nu ook bij de ABN Amro app al. Bij inloggen moet je de code gebruiken, maar bij overschrijvingen of aanpassingen ook!

Ze moeten dus gewoon niet zorgen dat je overal je vingerafdruk kunt gebruiken.

bartvb

@Step • 13 december 2016 08:44

Bij inloggen gebruik je de code (of vingerafdruk dus). Bij overschrijvingen gebruik je de code (of vingerafdruk?) zolang de transactie minder is dan je daglimiet en je kan instellen dat die daglimiet alleen geldt voor rekeningen waarnaar je de afgelopen 18 maanden geld hebt overgemaakt. Zodra je boven de daglimiet komt (of het een onbekende rekening is) heb je gewoon de e.dentifier en je bankpas nodig.

Ik neem aan dat je je vingerafdruk kan gebruiken in plaats van de 5-cijferige pincode die je nu gebruikt voor inloggen en kleine transacties.

BarendB @Menesis • 12 december 2016 16:23

Ik maak me nog meer zorgen over het feit dat als iemand er in slaagt om een digitale representatie van je vingerafdruk te bemachtigen, dat je dan dus nooit meer veilig bent. Je kan niet effe een andere vingerafdruk nemen

Het geheel is momenteel wel aardig beveiligd, op de meeste telefoons althans, alhoewel op sommige oudere android toestellen de data gewoon opvraagbaar was. Maar het is wel een scary idee.

DigitalExorcist @BarendB • 12 december 2016 16:26

Mwah. Als ik voor mezelf spreek, ik heb 10 vingers die ik kan rouleren in TouchID en Apple bewaart de fingerprints niet online maar in een prima veilige chip in hun telefoons zelf. De kans dat die ontvreemd of gehackt worden zijn niet zo bar groot. Ja, m'n telefoon kan gejat worden, maar ook dat is praktisch niet interessant meer tegenwoordig met alle beveiliging die erop zit.

Cergorach @DigitalExorcist • 12 december 2016 19:16

En al die vingers staan allemaal op de buitenkant van je telefoon, uit te lezen hoe je wil. Ze zitten op de deurknop van je buitendeur, je auto, de trap leuning, etc.

DigitalExorcist @Cergorach • 12 december 2016 22:29

Ja, samen met die van nog -tig andere mensen, dus hoe gaat die boef specifiek mijn vingerafdruk daaruit filteren?

tss68nl @DigitalExorcist • 13 december 2016 00:27

Op mijn telefoon staan alleen mijn afdrukken? Ook haal ik wekelijks een vochtig doekje over m'n telefoon, toetsenbord, muis etc. Dus dan wordt de kans nóg kleiner dat er eens een print van een ander tussen zit.

Eigenlijk is het heel raar, dat je een slot op een telefoon maakt, maar dat de sleutel overal op de telefoon staat

En dan nu zeker je bankapp ook koppelen op je iPhone vingerafdruk? Ik mag hopen dat het activeren van de afdruk in de app, wel via je bankpas en identifier oid gaat, of achter de reguliere code van de app. (anders zetten ze hem zo aan, al heb je em uit staan

)

Of iPhones worden zéér gewild binnenkort

DigitalExorcist @tss68nl • 13 december 2016 07:49

Mja. Mijn foon wordt ook wel eens door m'n vrouw en kinderen gebruikt. Niet vaak, maar wel regelmatig genoeg. Bovendien heb ik een nogal 'texturen' hoesje eromheen zitten, lijkt me érg lastig om daar een bruikbare print vanaf te halen.

Ja, m'n bank app heb ik gekoppeld aan m'n TouchID inderdaad. Weet niet meer precies hoe ik dat geactiveerd heb, volgens mij met de 'normale' code die je al moest ingeven in de app. Maar ik kan de app openen en dan moet ik al een vingerprintscan doen om in de gegevens te komen. Voor overboekingen net zo, scan nodig. En volgens mij, maar dat heb ik nog niet geprobeerd, moet ik de paslezer gebruiken voor bedragen hoger dan m'n ingestelde limiet.

Bovendien, als ik m'n foon herstart of langer dan 48 uur niet gebruikt heb (highly unlikely....) heb je alsnog een pincode nodig om TouchID te unlocken. Ook na een reboot is dat nodig.

Koffie @tss68nl • 13 december 2016 08:06

Geen idee hoe het bij iphone zit, maar als je een vingerscan als inlogmethode op een Android toetsel hebt, moet je na een reboot altijd eerst met je code/wachtwoord inloggen.

DigitalExorcist @Koffie • 13 december 2016 09:12

iPhone ook. Bovendien, na 5 foute TouchID scans heb je alsnog een 6-cijferige pincode nodig.

Volgens Apple heb je in de volgende scenario's een pin nodig om TouchID te 'activeren':

• Het apparaat is net aangezet of herstart.

• Het apparaat is gedurende meer dan 48 uur niet ontgrendeld geweest.

• Het apparaat is de afgelopen zes dagen niet met de toegangscode ontgrendeld en is de afgelopen acht uur niet met Touch ID ontgrendeld.

• Het apparaat heeft een opdracht voor ontgrendeling op afstand ontvangen.

• Er zijn vijf mislukte pogingen gedaan om het apparaat met een vingerafdruk te ontgrendelen.

• Er worden nieuwe vingers voor Touch ID ingesteld of geregistreerd.

(Bron: https://www.apple.com/nl/...cs/iOS_Security_Guide.pdf )

tss68nl @Koffie • 13 december 2016 09:45

Reboot? Als ik een telefoon steel, dan hang ik hem toch gewoon even op tijd aan de lader?

BarendB @DigitalExorcist • 12 december 2016 16:36

True, je hebt nog wel een paar 'reserve vingers'

maar dat 'prima veilig', tja .. ik houd het liever op 'vooralsnog veilig' (voor zover we weten)

[Reactie gewijzigd door BarendB op 23 juli 2024 05:46]

Cerberus_tm

@BarendB • 13 december 2016 02:36

En met vingers bedoel je, andere lichaamsdelen?

rboerdijk @BarendB • 12 december 2016 21:48

Je bedoelt de overheid? Die vingerafdrukken afneemt bij het maken van een paspoort?
Die database wordt nu wel bijzonder interessant voor criminelen.

Godjira @rboerdijk • 12 december 2016 23:54

Zo'n database zou (nog) niet mogen bestaan.
nieuws: Hof: overheid mag vingerafdrukken niet centraal opslaan

rboerdijk @Godjira • 13 december 2016 09:16

Interessant, ik wist niet dat ze het niet centraal mochten opslaan.
Dus decentraal mag wel (ieder gemeentehuis z'n eigen database? ).

En uiteraard staat het op het paspoort zelf, dus dan wordt diefstal daarvan weer interessant.

DigitalExorcist @Menesis • 12 december 2016 16:13

Als je buiten bewustzijn bent hoef je ook geen geld over te maken, en sterk onder invloed ben je nog altijd zélf bij.

...

Ok, dat buiten bewustzijn geldt niet als je door iemand ánders buiten bewustzijn bent geraakt

Menesis @DigitalExorcist • 12 december 2016 18:46

Een collega heeft ooit zwaar onder invloed geld voor anderen gepint en die zijn er toen mee vandoor gegaan. Zoiets kan nog makkelijker gebeuren als je helemaal niet hoeft na te denken (vingerafdruk).

Cergorach @Menesis • 12 december 2016 19:18

De kans is vrij groot dat als je zover heen bent, je pincode niet meer in kan voeren.

Verwijderd @Menesis • 12 december 2016 20:55

Misschien maar goed ook, kan hij in ieder geval niet meer dronken worden!

DigitalExorcist @Menesis • 12 december 2016 22:27

Nog steeds kies je er volledig zelf voor om dronken of stoned te worden.

Tralapo @DigitalExorcist • 12 december 2016 16:21

Z'n punt zal dan ook vooral zijn dat iemand ánders dan gemakkelijk je geld kan stelen als je buiten bewustzijn bent door je hand te pakken, daar waar dat met een code niet kan.

nelizmastr @Tralapo • 12 december 2016 18:05

Iets met hoedjes van aluminium. Als dat werkelijk een zorg is, zou je beter je centen kunnen opnemen en in je matras kunnen verstoppen

tss68nl @nelizmastr • 13 december 2016 00:33

En straks verbaasd zijn als bijvoorbeeld Bulgaren hebben ontdekt dat ze voor iedere wurggreep naast een fietspad langs de bossen €750 euro rijker kunnen zijn

HerrPino @Menesis • 12 december 2016 16:35

Ik mag aannemen/hopen dat de eerste keer dat je naar een rekening geld overmaakt dat je daarvoor sowieso ook de reader nodig hebt (zoals dat nu ook moet met de 5-cijferige code)... of dat dat iig in te stellen is (en de standaard instelling).

[Reactie gewijzigd door HerrPino op 23 juli 2024 05:46]

ATS @HerrPino • 12 december 2016 18:46

ING heeft geen reader...

ASS-Ware @HerrPino • 13 december 2016 12:29

Ik mag aannemen/hopen dat de eerste keer dat je naar een rekening geld overmaakt dat je daarvoor sowieso ook de reader nodig hebt (zoals dat nu ook moet met de 5-cijferige code)... of dat dat iig in te stellen is (en de standaard instelling).

Dat kun je al een tijdje zelf instellen in de app.

Pat-Juh @Menesis • 12 december 2016 16:11

Het is zo veilig als de zwakste schakel

. In dit geval de scanner en het niet gebruiken van andere biometrische data... Het kopieëren van een afdruk is een eitje evenals het aflezen van welke code je hebt in gedrukt (mits ze daar echt op uit zijn). Persoonlijk zou ik een combinatie willen instellen: Inloggen met TouchID vind ik oké maar het verzenden van een opdracht heeft nog een code nodig (zo kan deze ook niet per ongeluk verzonden worden).

klonic @Menesis • 12 december 2016 16:31

Je kan de optie natuurlijk gewoon uitschakelen. Of slechts 1 vinger registreren, na 3 foute pogingen wordt de functie geblokkeerd binnen de iOS app van ING. Met 1 vinger moet met dan gokken welke vinger je gebriukt, (ik zou de rechter wijsvinger, duim en middelvinger prgokken, gebruik je een andere vinger dan is de kans dat iemand die vinger raadt vrij klein. Dan zijn alleen bekenden nog een probeem (die dus de vinger niet hoeven te raden omdat ze het weten).

Over mensen die mijn vingerafdruk kopieeren maak ik me vooralsnog geen zorgen. Als je vingerafdruk echt zo belangrijk is kan iemand ook je vinger/hand/arm amputeren, maar ook daar maak ik me geen zorgen over ;-)

andreetje @Menesis • 12 december 2016 17:31

Voor het kopiëren van een vingerafdruk hoef je niet dronken te zijn.

En als je buiten bewustzijn bent, heb je aanvullende problemen.

blorf @AFGPoro • 12 december 2016 16:19

Een illusie, als je het mij vraagt. Eenmaal gescand is een vingerafdruk of irisscan slechts een reeks bits... Het gaat pas zinvol worden als de scan-hardware per toestel unieke kenmerken genereert, niet inzichtelijk is via software of externe apparatuur, en het toestel daadwerkelijk gelinkt is aan een persoon die zich reeds eerder waterdicht gelegitimeerd heeft.

Xerxes249 @blorf • 12 december 2016 18:34

dit is ongeveer precies hoe iOS het doet in combinatie met oa rabobank

Manke @AFGPoro • 12 december 2016 18:39

Als die terrorist in de VS zijn vingerafdruk ipv een passcode had gebruikt, had er misschien niks gekraakt hoeven worden.

Blue-eagle 12 december 2016 16:16

Eindelijk! Ik weet dat de bouwer van de app het al tijden lang klaar heeft liggen, maar dat ABN er gewoon niet aan wilde omdat het niet veilig genoeg zou zijn. Ik ben benieuwd wat ze over de streep heeft getrokken. Vermoedelijk het feit dat veel mensen zoals ikzelf naar ING gingen omdat die gewoon veel verder zijn op alle vlakken.

bonyuri @Blue-eagle • 12 december 2016 16:18

Je zult ongetwijfeld toch nog altijd je reader nodig hebben om opdrachten te verzenden, dus zo gevaarlijk is het ook weer niet...

DigitalExorcist @bonyuri • 12 december 2016 16:26

Bij de Rabobank niet

ik kan redelijk vrij geld overmaken. Hoewel ik nog niet echt boven m'n ingestelde limiet ben gekomen eerlijk gezegd.

ZpAz

@DigitalExorcist • 12 december 2016 17:05

Volgens mij is het bij de Rabobank zo dat als je eerder eens geld naar een rekening hebt overgemaakt dat hij er niet om vraagt, maar bij een nieuwe rekening wel.

Greetoz

@ZpAz • 12 december 2016 17:21

Bij de ABN kan je een limiet instellen om zelfs naar onbekende rekeningen zonder reader geld over te maken.

ArmEagle

@DigitalExorcist • 12 december 2016 17:05

Op de telefoon kun je geld overmaken zonder te ondertekenen wanneer je eerder al geld naar die rekening hebt overgemaakt. Daarmee gaf je aan die doelrekening te vertrouwen.

Ik heb eigenlijk geen idee of je altijd ondertekenen aan kunt zetten.

ASNNetworks @bonyuri • 12 december 2016 16:24

De reader is allang niet meer nodig om betalingen te doen hoor. Je kan instellen dat je het zonder de reader mag, en dan heb je de app nodig en een code die je zelf instelt. Je kan zelf kiezen hoeveel je maximaal mag overmaken zonder reader. Ook kan je dit activeren om te sturen naar rekeningen die je niet hebt opgenomen in je adressenlijst. Uiteraard staat alles standaard uit en is alles dus geheel optioneel in hoeverre je geen reader wil gebruiken.

outlandos @Blue-eagle • 12 december 2016 16:47

Op welk vlak is ING dan zoveel verder? Ik ben klant bij beide maar in mijn optiek hebben beide banken hun pro's en con's op dit gebied.

.pointer @outlandos • 12 december 2016 17:41

Op dit vlak, op vlak van draadloze pinbetalingen doen met je telefoon.
Ik heb zelf ING en moet zeggen dat ze de technologische verwachtingen mijn inziens vooruit lopen.

japborst @.pointer • 12 december 2016 17:52

Behalve dat je bij ING moet betalen voor draadloos betalen via je telefoon, bij ABN is dit gewoon gratis

Moet wel toegeven dat deze app er pas sinds kort is -> https://play.google.com/s....abnamro.nl.mobile.wallet

.pointer @japborst • 12 december 2016 18:04

Dat klopt, al is het eerste half jaar gratis.

Overigens, ING kwam hier volgens mij vorig jaar al mee (30 nov 2015), dus dat vind ik wel een verschil. Al werkt het volgens mij wel alleen met Android.

Rabo ook maar dan maar onder specifieke voorwaarden volgens mij.

RebelwaClue @.pointer • 12 december 2016 18:06

Het zal ook niet naar de iPhone komen, vermoed ik zo, aangezien Apple de NFC chip niet vrijgeeft voor apps. Dus een bank app zal onder iOS niet de NFC kunnen gebruiken voor draadloos betalingen.

Xerxes249 @RebelwaClue • 12 december 2016 18:40

Nope, ze zullen Apple Pay moeten gaan supporten maar ze zijn bang dat ze hun winstgevende business verliezen op die manier

ATS @Xerxes249 • 12 december 2016 18:54

Het duurt niet lang meer voor de banken gedwongen worden. Dan is het afgelopen met de gesloten bolwerken, en moeten ze API's beschikbaar gaan stellen voor het benaderen van de betaalgegevens en het uitvoeren van betalingen. Dan zal je zien alternatieve oplossingen snel zullen gaan ontstaan. Als de banken zelf niet vooruit willen, dan zullen andere spelers die rol gaan pakken.

sympa @ATS • 12 december 2016 19:51

Er zijn nu best veel banken om uit te kiezen. Als je Apple het voor het zeggen geeft is er niks meer te kiezen.
Bednek ook dat zowel Apple als Google 30% marge nemen op verkopen in hun winkel... omdat er geen concurrentie is.

ATS @sympa • 12 december 2016 20:03

Het was geen vage verwachting of hoop ik uitsprak, maar gewoon aankomende regelgeving: PSD2.

RebelwaClue @sympa • 12 december 2016 20:12

Alleen neemt Apple geen 30% als het om draadloos betalen gaat. Al vraag ik me af of Apple dat zal moeten open gooien uiteindelijk. In Australie hebben de banken ook al ruzie met Apple omdat ze hun NFC niet willen open gooien.

Firefly III @Blue-eagle • 12 december 2016 17:32

En heb je ook een bron? Want welke app-bouwer bouwt dit gratis in, zonder dat de klant er aan wil? Ik wil ook wel zo'n developer. Lekker goedkoop!

japborst @Firefly III • 12 december 2016 17:53

Grote kans dat er een proof-of-concept moest komen zodat de opdrachtgever kan evalueren hoe dit in de praktijk werkt en user tests uitvoeren.

Reneger @Blue-eagle • 12 december 2016 16:25

Ik vermoed dat het een en ander anders geïmplementeerd is dan de initiële oplossing die door de bouwer geopperd is. Die was ook enigszins discutabel mbt security. Ga mij er verder niet over uitlaten

Pepper92 12 december 2016 16:21

die laatste kunnen inloggen met Touch ID

Verhelder mij, wat is precies het verschil tussen touch ID en vingerafdruk, behalve de door apple bedachte term?

Verwijderd @Pepper92 • 12 december 2016 16:37

Net als Retina een term van Apple voor hoge resolutie schermen is, is Touch ID een term voor de vingerafdruktechniek van Apple. Ik weet niet in hoeverre deze verschilt met die van Android. Maar is gewoon een term.

DigitalExorcist @Verwijderd • 12 december 2016 16:50

Mja zoals eerder gezegd heeft Apple daar een dedicated chip voor, de 'secure enclave', die de vingerafdrukken opslaat. Deze is érg lastig te kraken, sterker nog, je kan vaak geen onderdelen van je iPhone verwisselen zónder dat deze secure enclave stopt met werken, of dat TouchID het zelf niet meer doet. Die 'secure enclave' kan alleen door het OS worden uitgelezen voor zover ik weet en niet door apps zelf benaderd worden en staat los van de rest van de hardware.

Firefly III @DigitalExorcist • 12 december 2016 17:30

Dat geldt ook voor Android.

Xerxes249 @Firefly III • 12 december 2016 18:38

Nee dat is implementatie-afhankelijk bij android, lang niet alle phones hebben een dedicated chip hiervoor:

"That said, different manufacturers used very different… everything. From fingerprint scanner technology to authentication API, each of the many OEMs were inventing their own wheel, some of them square. No wonder this led to a number of security breaches. As an example, devices like HTC One Max and Samsung Galaxy S5 were susceptible to fingerprint data storage vulnerability that allowed the attacker to extract fingerprint data from device storage. HTX One Max was particularly sweet, storing the fingerprint image in an uncompressed, unencrypted and unprotected bitmap at /data/dbgraw.bmp. Developers didn’t bother assigning this files permissions other than 0666 (world readable), meaning that any process, even without root privileges, could easily read and extract fingerprints."

Source: https://blog.elcomsoft.com/2016/06/fingerprint-unlock-security-ios-vs-google-android-part-ii/

DigitalExorcist @Xerxes249 • 12 december 2016 22:26

Goeiemorgen zeg, dan maakt HTC er écht een potje van....

tss68nl @DigitalExorcist • 13 december 2016 00:37

Handig de secure enclave zo lastig te kraken is. Maar de sleutel staat overal op het toestel 'geprint'.

DigitalExorcist @tss68nl • 13 december 2016 07:50

Niet echt; ik heb er een leren hoesje omheen die wat 'texture' heeft. Tamelijk onmogelijk om daar een bruikbare print van af te halen die goed genoeg is voor TouchID

EDIT: bovendien heb je óók een toegangscode (6 cijfers geloof ik) nodig als je 5x een 'onjuiste' TouchID print hebt gescand.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 05:46]

DigitalExorcist @Pepper92 • 12 december 2016 16:34

Waarschijnlijk omdat Android daar niet één sluitend framework voor heeft? (Geen retorische vraag). Apple koppelt TouchID aan allerhande zaken waardoor je maar één keer op één plek een vingerprint hoeft in te stellen en die in verschillende apps kan gebruiken. Weet niet of Android dat ook doet.

Pimorez @DigitalExorcist • 12 december 2016 16:40

Tegenwoordig wel. Ik heb de update nog niet binnen maar bij andere apps wordt gewoon gebruik gemaakt van de vingerafdrukken die je op je telefoon instelt.

DigitalExorcist @Pimorez • 12 december 2016 16:48

Het zou onlogisch zijn als het niet zo was, maar ik wist niet precies hoe ver Android daarmee zou zijn

Niettemin vertrouw ik liever op de Secure Enclave van Apple in dit geval dan de wispelturigheid van Android en alles wat elke ontwikkelaar daarmee zou kunnen uitspoken. Zie het spyware-verhaal van die Chinese fabrikanten ...

icratox @DigitalExorcist • 12 december 2016 16:36

Tegenwoordig sinds Android 6 wel.

Verwijderd 12 december 2016 16:24

Hoe weet ABN eigenlijk dat de vingerafdruk klopt, als deze alleen lokaal wordt opgeslagen? Er moet toch een vorm van controle zijn.

n8n @Verwijderd • 12 december 2016 16:34

De app vraagt de telefoon om een vingerafdruk-verificatie, de telefoon vraagt jou om je vingerafdruk en na je vinger te checken krijgt de app alleen een seintje of er een positieve match is.

Verwijderd @Verwijderd • 12 december 2016 16:38

Sinds iOS 8 kunnen apps van derde partijen gebruik maken van de Touch ID sensor in de iPhone. En volgens mij wordt deze opgeslagen in de Secure Enclave in een co-processor van de iPhone.

Verwijderd 12 december 2016 16:10

Eindelijk. Ondertussen hebben heel wat banken deze functie in hun app ingebouwd. Ben wel blij dat ze de tijd hebben genomen zodat het tot in de puntjes verzorgd js( hoop ik). Heb zelf nooit klachten gehad over ABN AMRO. Zorgt toch weer voor een stukje extra veiligheid maar ook een stuk sneller geld overmaken. En vooral handigheid! Heb ondertussen twee apparaten met vingerafdruk. Hopelijk wordt dit ook doorgevoerd naar de MacBook Pro's met touch id.

crazyx @Verwijderd • 12 december 2016 16:20

Een stuk onveiliger wil je bedoelen. Fingerprints zijn op sommige smartphones wel erg gemakkelijk te spoofen.

http://neurogadget.net/20...?client=ms-android-huawei

Killing Time @crazyx • 12 december 2016 16:55

De kans dat iemand een fingerprint spooft bestaat misschien (hoewel je als gebruiker zelf het risico neemt door zo'n telefoon te kopen) maar de kans dat iemand over mijn schouder de code afleest is ook best aanwezig.
Met een fatsoenlijke telefoon ga je er dus alleen maar op vooruit.

kozue @Killing Time • 12 december 2016 17:25

Iemand kan jouw vingerafdruk spoofen buiten jouw medeweten om, terwijl je voor het aflezen van een code toch echt die code ergens in moet tikken waar die afgelezen kan worden. Ik typ zelf nooit mijn code in op plekken waar mogelijk mensen of camera's mee kunnen kijken.

Killing Time @kozue • 12 december 2016 17:55

Een vingerafdruk die goed genoeg is om mee te spoofen heb je niet zomaar, en zelfs dan heb je altijd nog het toestel nodig.
Los daarvan: verstandig dat je zo voorzichtig bent met je code, maar de meeste mensen zijn dat niet. Voor die mensen is dit een fijne optie om te hebben. Als jij een vingerafdruk niet vertrouwt kan je natuurlijk nog steeds je code gebruiken.

tienuien 12 december 2016 16:22

Persoonlijk ben ik niet zo'n fan van dit soort beveiligingen. Een wachtwoord kan ik nog wijzigen, maar mijn vinger afdruk of gezicht gaat wat moeilijker.

Volgens dit artikel is het al helemaal niet veilig:
http://hackaday.com/2015/...gerprints-secure-nothing/

DigitalExorcist @tienuien • 12 december 2016 16:35

Een huis-tuin-en-keukenboef gaat écht niet met een super telelens foto's van je maken in een goed verlichte ruimte terwijl je misschien toevallig je hand opsteekt om vervolgens in Photoshop de contouren van je vingers te scannen in de hoop er een zichtbare afdruk van te maken, die vervolgens in koper etsen en met lijm reproduceren, die vervolgens volspuiten met grafietspray om de juiste geleiding te waarborgen om zo een paar tientjes van je bankrekening te plunderen. Nadat 'ie je telefoon fysiek ook al gejat heeft natuurlijk.

Niettemin, de beste beveiliging blijft een combinatie van
A ) Wat je hebt (paslezer, smartcard, 'druppel', token..)
B ) Wat je weet (wachtwoord, secret question, pincode...)
C) Wat je bent (vingerprint, irisscan)

Maar ja. Het moet wel werkbaar blijven natuurlijk.

EDIT:

Bovendien moet je een iPhone, als deze 48 uur niet unlocked is geweest of herstart is, alsnog een pincode ingeven om TouchID te 'heractiveren'. Dus tenzij die huis-tuin-en-keukenboef binnen 48 uur een replica maakt van je vingerafdruk moet ie óók je pincode ontfutselt hebben.

Dan is het óók nog de vraag of je foon 48 uur lang op de batterij kan blijven werken zonder op te laden

anders heb je óók die pincode nodig.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 05:46]

biglia 12 december 2016 16:25

Dankzij inloggen met de vingerafdruk moeten gebruikers sneller hun bankzaken kunnen regelen, aldus ABN Amro.

Waarom maken ze bankieren via smartphone zo eenvoudig. Je hebt hiervoor slechts een identificatiecode nodig, terwijl je via je desktop pc zo'n "Random Reader" nodig hebt. Bankieren via smartphone lijkt qua veiligheid op bankieren via pc begin jaren 2000.

sympa @biglia • 12 december 2016 19:59

In de installatie van de app zelf zit ook nog wel een 'geheim'. En dat is op een (niet-geroote) telefoon wat moeilijker te stelen dan dat iemand de toetsaanslagen van een PC afluistert.

Jboy1991 12 december 2016 16:40

Het zal ook wel handig zijn dat de app de random reader kan vervangen. Moet regelmatig dat ding zoeken (ik ben een beetje chaotisch ) maar heb altijd Mn telefoon bij de hand.

Veel iDeal aankopen doe ik via de pc of laptop. Maar heb dan altijd Mn bankpas en random reader nodig helaas

Maar goed. Eindelijk vingerafdruk scanner. Wanneer komt de update uit?

papitjulo @Jboy1991 • 12 december 2016 16:51

Heb je toevallig ook een iPad in gebruik?
Afhankelijk van de prijs kan ik met iDeal betalen d.m.v. mijn ABN AMRO app, er word dan gevraagd of ik via de app wil betalen ja of nee, als het aankoopbedrag onder mijn maximum ingesteld limiet is heb ik geen reader nodig, enkel een verificatiecode.
Wellicht iets voor jou?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (114)

Sorteer op:

Weergave: