Knab laat alle betalingen bij internetbankieren uitvoeren met mobiele telefoon

Knab, een kleine Nederlandse bank, heeft het voor klanten mogelijk gemaakt om alle betalingen te bevestigen met de mobiele telefoon. Voor de identificatie van een transactie is vanaf nu geen cardreader meer nodig.

Volgens Robbert Bakker, de directeur van de bank, wilden klanten graag af van de cardreader. Hij zegt dat de nieuwe functionaliteit lang is getest, omdat de bank op het gebied van beveiliging 'geen enkele concessie' wilde doen.

Om een betaling te bevestigen kunnen klanten de Knab-app selecteren als bevestigingsmethode. Op de mobiele telefoon komt dan automatisch de transactie in beeld, die door de gebruiker kan worden gecontroleerd en bevestigd. Dat laatste kan met een pincode, de vingerafdrukscanner of via Face ID op iOS. Knab zegt dat de cardreader nog niet weg kan. Zo is het voorwerp bijvoorbeeld nog nodig om de Knab App te registreren.

Dinsdag maakte de grote Nederlandse bank ABN Amro bekend dat zijn klanten voor de meeste bankzaken ook geen cardreader meer nodig hebben. In plaats van het gebruik van de zogeheten e.dentifier kunnen klanten bij internetbankieren voortaan gebruik maken van de mobiele telefoon als alternatief voor de identificatie.

Knab mobiel bevestigen

Door Joris Jansen

Redacteur

Feedback • 19-12-2017 13:50 127

19-12-2017 • 13:50

127

Lees meer

ABN Amro zet mobiele telefoon in als alternatief voor e.dentifier
ABN Amro zet mobiele telefoon in als alternatief voor e.dentifier Nieuws van 19 december 2017
Criminelen voeren transacties uit via Google-advertentie met neploginpagina Knab
Criminelen voeren transacties uit via Google-advertentie met neploginpagina Knab Nieuws van 24 november 2017
Onderzoeker vindt opnieuw xss-kwetsbaarheden bij drie Nederlandse banken
Onderzoeker vindt opnieuw xss-kwetsbaarheden bij drie Nederlandse banken Nieuws van 26 augustus 2016
Knab laat klanten geld overmaken naar Facebook-contacten
Knab laat klanten geld overmaken naar Facebook-contacten Nieuws van 27 augustus 2014
Meer producten en artikelen
Smartphones Economie en maatschappij Bank Knab Nederland

Reacties (127)

-Moderatie-faq
127
125
80
7
0
29
Wijzig sortering

Sorteer op:

Weergave:
The_Worst 19 december 2017 14:02
omdat de bank op het gebied van beveiliging 'geen enkele consessie' wilde doen.
Maar ondertussen werden wel allemaal 3rd-party scripts ingeladen tijdens het internetbankieren. Wordt daar melding van gemaakt door een Tweaker dan wordt daar niet direct op gereageerd.

Ben overigens wel blij dat deze functionaliteit eindelijke beschikbaar is. Het is toch weer extra gemak. Als internet only bank liepen ze toch best wel achter. Ben blij dat ze nu eindelijk extra stappen zetten want dat was wel nodig.

Edit: bericht in verleden tijd geplaatst omdat het na 3 maanden opgelost is.

[Reactie gewijzigd door The_Worst op 24 juli 2024 02:03]

Verwijderd @The_Worst19 december 2017 14:34
Ook grandioos irritant is dat hun paswoorden uitermate beperkt zijn. Je mag kiezen uit zes, zeven door hun gekozen speciale karakters wat mijn paswoordalgoritme grondig verpest en ook initiatieven als LastPass dwingt onveiligere paswoorden te genereren. Ik heb er al een stuk of drie, vier keer over gemaild en iedere keer gaan ze "echt iets met mijn feedback doen." Ik ben dus al een tijdje op zoek naar een alternatief. Hun "hoge rente" is inmiddels gemiddeld, en behalve hun veel te dure prijs zijn ze niet heel bijzonder vind ik.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:03]

Croga @Verwijderd19 december 2017 15:37
Sinds wanneer zijn speciale tekens nodig om een veilig password te genereren? Letterlijk de grootste nonsense die men ooit verzonnen heeft..... Zeker als je toch een password generator gebruikt.

Zolang je nog passwords gebruikt in plaats van passphrases zou ik me helemaal niet druk maken om speciale tekens.
Verwijderd @Croga19 december 2017 16:09
Het probleem is dat mensen nu in een mentaliteit kunnen worden gebracht a la "Kut, ik kan die karakters niet gebruiken, mijn algoritme werkt niet. Nu moet ik een paswoord gebruiken dat ik makkelijk kan onthouden."

Ikzelf heb me er ook op betrapt. Mijn account op Tweakers was toentertijd beter beveiligd dan mijn spaargeld. Beperkingen zijn echt nooit een voordeel, en "het is nog steeds veilig" is het makkelijkste excuus om beveiliging niet te verbeteren. Er is technisch geen enkele reden waarom men niet gewoon alle karakters kan gebruiken.

Even snel met howsecureisyourpassword bekeken: een brute force op tien nummers, letters en hoofdletters duurt een maand. Als je speciale karakters toelaat is het 53 jaar. Daar is je toegevoegde veiligheid.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 02:03]

Croga @Verwijderd19 december 2017 16:53
Mijn wacht"zin" van twee woorden duurt 55 jaar. Dat is 12 kleine letters.

Ofwel: Speciale karakters toevoegen doet minder dan alle nummers en hoofdletters verwijderen en dan 2 tekens toevoegen.

Daarom hebben speciale karakters geen zin.
- Het maakt het lastiger je wachtwoord te onthouden
- Het is nauwelijks veiliger

Als iedereen passphrases zou gebruiken zouden er helemaal geen password tools (die ook inherent onveilig zijn) nodig zijn.
Mopperman @Croga19 december 2017 16:58
12 kleine letters offline kan in luttele seconden...

https://www.grc.com/haystack.htm
Croga @Mopperman19 december 2017 17:00
volgens https://howsecureismypassword.net/ niet. En dat was de site die bouncingballs aanhaalde.

Maar dat geeft niet. Mijn 15-letterige alternatief duurt volgens jouw site zo'n 1.18 miljoen eeuwen. Ik denk dat ik nogsteeds veilig ben. (niet dat ik dat met de 7 maanden voor de brute force van mijn initiele optie niet ben....)

[Reactie gewijzigd door Croga op 24 juli 2024 02:03]

KaiTak @Croga19 december 2017 21:47
Leuke site! Mijn password (eenzinaanelkaargetyped)

7 QUADRILLION YEARS

Hahaha
RumbleBelly @KaiTak20 december 2017 08:24
een reeks van 25x een '1' achter elkaar, 8 octillion years, ja zo'n reeks verzint ook niemand
Mopperman @Croga19 december 2017 17:32
De vraag is ook of die website betrouwbaar is, en goed berekend. Dat is met deze ook. Daarnaast gaan dit soort zaken uit van bruteforce, jou wacht’zin’ zal minder weerstand zijn tegen dictionary attacks
Croga @Mopperman19 december 2017 17:35
jou wacht’zin’ zal minder weerstand zijn tegen dictionary attacks
Dat is een hele gevaarlijke aanname.....
ari @Croga19 december 2017 21:47
En een correcte. Zo'n aanval gebruikt woorden die in het woordenboek voorkomen in plaats van alle mogelijke combinaties van karakters af te gaan.

Niet dat een wachtwoord van willekeurige karakters per definitie veilig is, maar zodra je echte woorden gaat gebruiken maak je je wachtwoord kwetsbaar voor die zogenaamde dictionary attacks.
Titusvh @Mopperman19 december 2017 22:00
12 kleine letters offline kan in luttele seconden...

https://www.grc.com/haystack.htm
Alleen als de aanvaller à priori al weet dat er al een kleine letters gebruikt worden immers dan zijn er maar 26 verschillende mogelijkheden per teken.
maar een aanvaller weet helemaal niet of jij alleen kleine letters gebruikt dus bij een bruteforce moet hij wel degelijk alle tekens in zijn aanval meenemen.
Crazy Harry @Titusvh19 december 2017 22:15
Je hoeft niet bepaald een goede hacker te zijn om te weten dat Croga enkel kleine letters gebruikt in zijn wachtwoord... ;)
Titusvh @Crazy Harry19 december 2017 22:20
Touché!
WhatsappHack
@Verwijderd19 december 2017 16:17
Beperkingen zijn ook een nadeel omdat je dan bij bruteforcen daar rekening mee kan houden en combinaties kan uitsluiten. Oh een karakter mag niet meer dan 2x voorkomen? Mooi! Dat scheelt weer rekenwerk. ;) Et cetera.

Minimale vereisten zijn wat dat betreft iets beter dan harde beperkingen.

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 02:03]

uiltje @Croga19 december 2017 16:08
Excuus, maar sinds wanneer zou je restricties willen opleggen op een wachtwoord? De wachtwoord hashes zoals PBKDF2 hebben zo goed als geen restricties (en anders hash je de wachtwoorden eerst). Ze opereren namelijk op bytes. Dus specificeer UTF-8 of tenminste Windows-1252 en kom maar op met die lastige passwords / passphrases.

Gaan we lekker die wachtwoord generatoren elke keer instellen naar de nukken van de desbetreffende site, met een achterlijke system admin die zijn eigen regeltjes verzint (of nog erger, security officer, want die weet het tenminste echt niet).

De sterkte van een wachtwoord gaat enorm snel omhoog per elk vreemd teken dat gebruikt kan worden; maar ik ben eens dat pass phrases vaak beter zijn. Die zijn echter minder makkelijk te genereren met de meeste wachtwoord generatoren. Dus ze moeten beiden gewoon worden toegestaan; en technisch is daar *niets* op tegen.

NB PBKDF2 is een behoorlijk dom algoritme in de zin dat een lang wachtwoord / passphrase niet goed werkt (WiFi, 63 character limit), beetje slecht voorbeeld, maar goed.
Croga @uiltje19 december 2017 16:57
- We gaan geen wachtwoord generatoren meer instellen. We gaan zorgen dat we ze niet nodig hebben door wachtwoorden te gebruiken die je kunt onthouden. Vele malen veiliger dan het gebruik van een tool.
- De sterkte van een wachtwoord gaat oneindig veel sneller omhoog door gewoon meer tekens te gebruiken.

Speciale tekens in wachtwoorden is al net zo belachelijk als periodiek je wachtwoord wijzigen. Wasse-neus beveiliging noemen we dat.
WormLord @Croga19 december 2017 17:47
Totdat je je realiseerd dat die speciale tekens eigenlijk niet zo speciaal zijn, maar gewoon dagelijks gebruikt worden in tekst. Want voor wachtwoorden/zinnen zijn tekens als een comma, punt of spatie al speciaal. En dan hebben we het nog niet eens over letters met accenten.

Dus ja, het afdwingen van het gebruik van speciale tekens is belachelijk. Met het niet toestaan daarvan is nog veel erger.
Yggdrasil @Croga19 december 2017 17:39
Het onthouden van een wachtzin is beter dan ergens noteren ja, maar nog steeds geen redelijke optie, zolang het onverstandig is om wachtwoorden te hergebruiken. Misschien alleen werkbaar voor mensen wiens accounts op één hand te tellen zijn.

Ik heb meer dan 450 accounts. Dan kan het onthouden van een wachtzin nog zo sterk zijn, 450 stuks onthouden lukt nooit en als ie ergens gestolen wordt ben ik de Sjaak.

Laat alsjeblieft die wachtwoordmanager een willekeurig wachtwoord/zin per site genereren en bewaren. Natuurlijk is die wachtwoordmanager beschermt met een wachtzin en 2FA.
RielN @Yggdrasil23 december 2017 10:16
Wel als je op een manier die alleen jij weet de site van die accounts slim verwerkt in je zin.

Zo onthoud ik met gemak 450 wachtwoordzinnen.

Ik heb in mijn hoofd namelijk alleen de kennis hoe ik het wachtwoord voor die site genereer.

En dan gebruik ik ook nog eens de + optie bij gmail als dat lukt om overal verzchillende adressen te hebben.

Meerwerk: nihil. Veiligheid: beste.

[Reactie gewijzigd door RielN op 24 juli 2024 02:03]

Yggdrasil @RielN4 januari 2018 23:38
Indrukwekkend dat dat voor jou werkt, maar ik word al kriegel van het idee. Sommige sites vereisen regelmatig een wachtwoordwijziging, sommigen worden gelekt en moet je veranderen, sommigen vereisen bepaalde speciale tekens of lengte, anderen juist weer niet te lang, etc. Sommige bedrijven of domeinen veranderen van naam.

Als je 450 zinnen moet onthouden dan moet het deel dat per site varieert enigszins voorspelbaar zijn: een variatie op de domeinnaam bijv.? Als je cleartext wachtzin achterhaald wordt bij een lek, hoe veilig zijn je andere sites dan nog? Om zoveel wachtzinnen te onthouden moet je ergens een compromis sluiten.

Ik hou het bij een wachtwoordmanager. Is ook een compromis, maar het geeft mij persoonlijk meer rust.
Chrono @Croga19 december 2017 16:05
Het werkt beide kanten op.
Ja, het is waar dat je ook met alleen letters en cijfers een goed wachtwoord kunt maken. Maar dat moet dan wel heel lang zijn.
Aan de andere kant, waarom blokkeert een site bepaalde tekens? Het enige wat er mee hoort te gebeuren is een hash bereken over de bytes en die te vergelijken met een andere waarde.
Wanneer een site bepaalde tekens niet accepteert krijg ik altijd het idee dat mijn wachtwoord niet gehashed wordt opgeslagen.
Croga @Chrono19 december 2017 16:59
Wat noem jij "heel lang"? Een wachtzin van 2 woorden met enkel kleine letters duurt 55 jaar om te brute-forcen. Vindt je dat lang? Ik gebruik namelijk graag wachtzinnen van 4 of 5 woorden. Is dat "heel lang"? Het is zonder enige twijfel veel eenvoudiger te onthouden dan een woord met hoofd/kleine letters, cijfers en leestekens. En daarmee dús veel veiliger.
Gropah @Croga19 december 2017 16:12
password is een term voor een key om in te loggen op een systeem. Dat kan zo lang zijn als je zelf wilt, langer dan passphrases.

Verder zorgen meer verschillende tekens er voor dat het bruteforcen van een password langer duurt omdat er meer mogelijkheden zijn, op dezelfde manier als dat een langer password dat doet.
mcDavid @Verwijderd19 december 2017 16:15
Sja als je wilt dat je geld op een veilige plek staat moet je niet bij KNAB wezen, dat bewijzen ze keer op keer.

Dat ze nu de 2FA volledig afschaffen door alléén met een telefoon al je bankzaken te kunnen doen zonder aanvullende (bijv. biometrische) authenticatie is nog verdere afbreuk van de toch al wankele security policies. Ik vraag me echt af hoever ze hierin door willen gaan en in hoeverre dat wettelijk toegestaan is? Als bank heb je toch ook een zekere verantwoordelijkheid om te zorgen dat het geld van je klanten veilig opgeborgen is?

Misschien kun je binnenkort ook je banksaldo checken door enkel je IBAN in te vullen bij KNAB?

[Reactie gewijzigd door mcDavid op 24 juli 2024 02:03]

mgizmo @Verwijderd19 december 2017 18:38
Hoe wil je gaan brute forcen op gebrek aan het bezit hebben van een password file? Ik heb het niet gecontroleerd, maar ik dacht dat Knab maar een aantal pogingen toestaat.
robertpNL @The_Worst19 december 2017 14:29
Je suggereert a.d.h. van een reactie van januari dit jaar (bijna een jaar geleden) dat ze nog steeds 3rd party scripts inladen. Maar Knab doet dit sinds april niet meer.

[Reactie gewijzigd door robertpNL op 24 juli 2024 02:03]

Brent @robertpNL19 december 2017 14:31
Bestaat zulk onderzoek ook voor anderen banken?
The_Worst @robertpNL19 december 2017 14:36
Je hebt gelijk, ik heb het bericht in verleden tijd geplaatst maar desondanks toch slecht dat ze pas na 3 maanden een oplossing hadden.
Tripple20 @The_Worst19 december 2017 14:37
Het inladen van scripts gebeurt niet meer! Uit het door jouw aangehaalde topic:
Ik heb eens even gekeken naar de resultaten. En die zijn nu veel beter. Ik log nu in via persoonlijk-beta.knab.nl en dit zijn de resultaten:

Alleen het domein van knab.nl wordt nog gebruikt !!!!! Pas bij het openen van de Help & Contact pagina wordt er gebruik gemaakt van inbenta.com

liveperson.net (chat)
lpsnmedia.net (= liveperson)
Het lijkt er op dat liveperson vervangen is door chat via inbenta

inbenta.com (search)
Alleen nog op de Help & Contact pagina's en nu ook voor chat via deze pagina.

google-analytics.com (analytics)
googletagmanager.com (analytics)
Ook google analytics zie ik niet meer terug.

Complimenten aan Knab.
In april is er een bèta geweest waarbij de third party scripts zijn verwijderd. Deze omgeving is nu al een aantal maanden de standaard omgeving bij Knab.

Er is dus wel op gereageerd en de scripts zijn verwijderd.
The_Worst @Tripple2019 december 2017 14:39
Klopt, heb daarom ook niet voor niks erin gezet dat daar niet direct op wordt gereageerd want 3 maanden is gewoon erg traag.

Heb het bericht ook voor de duidelijkheid maar even in verleden tijd neergezet.
mkools24 @The_Worst19 december 2017 14:42
Met KBC kan ik dit al 2 jaar ofzo, goh bijzonder :O

[Reactie gewijzigd door mkools24 op 24 juli 2024 02:03]

dakathefox @mkools2419 december 2017 16:10
KBC is dan ook al wel een stukje groter
BrianHD 19 december 2017 13:53
De ING heeft dit toch al langer?
iAR @BrianHD19 december 2017 13:56
Die ING had inderdaad nooit een kastje maar lijsten met TAN-nummers, dat werden later sms-berichten en nu kun je inderdaad betalingen (ook) met de app goedkeuren.
MiesvanderLippe @iAR19 december 2017 14:00
Gelukkig is SMS zo'n bewezen veilig protocol en worden die dingen niet standaard op je lockscreen getoond, dat zou wel vervelend zijn!
xFeverr @MiesvanderLippe19 december 2017 15:26
Volgens mij is zo'n randomreader/scanner/identifier waarbij je gebruik maakt van je eigen pas en die PIN-code juist veel onveiliger dan het systeem van ING. De kracht achter het inlogsysteem van ING is juist dat het volledig losgekoppeld is van de bankpas en de PIN-code. Intussen gebruik je gewoon de sleutel van je internetbankieren in de lokale supermarkt.

Als ik je pas heb en je PIN-code heb afgekeken (wat niet zo heel moeilijk is, we zijn allemaal mensen) heb ik alle gegevens die nodig zijn. Bij ING heb je een gebruikersnaam en wachtwoord nodig, die nooit in het openbaar ingevoerd worden, en ook nog eens een telefoon of de ouderwetse TAN-codelijst. Ga je mij niet vertellen dat zo'n identifier veiliger is, dus mooi niet.
borft @xFeverr19 december 2017 16:19
Bij de ING heb je helemaal geen username/password nodig in de app. en codes komen ook naar je telefoon. Dus feitelijk heb je alleen de telefoon nodig.
borft @MiesvanderLippe19 december 2017 14:50
jah, superveilig, met je mobiel betalen, en dan de code naar diezelfde mobiel sturen :) is niet echt MFA meer zo.

@WhatsappHack helemaal mee eens hoor :) Ik denk dat we soms de gemakzucht een beetje laten winnen van de veiligheid!

[Reactie gewijzigd door borft op 24 juli 2024 02:03]

Franckey @borft20 december 2017 00:47
jah, superveilig, met je mobiel betalen, en dan de code naar diezelfde mobiel sturen :) is niet echt MFA meer zo.
Misschien minder veilig, maar wel 2FA. Je moet tenslotte iets weten (pincode of wachtwoord) en iets hebben (de smartphone).
WhatsappHack
@borft19 december 2017 16:06
Nee een reader die je met USB aan je computer verbindt om automagisch te betalen is lekker veilig. :P (nieuws: Fraude mogelijk bij internetbankieren ABN Amro - update 2) Dan toch liever sms. Je kan overigens zelf bepalen welk nummer daarvoor gebruikt wordt, je kan t zo veilig maken als je zelf wil.

-edit-
Ja, dat komt omdat gebruiksvriendelijkheid doorslaat. Een compromis sluiten om iets werkbaar te maken is iets anders dan veiligheid sterk laten varen ten faveure van gebruiksvriendelijkheid - en daar moeten ze eens wat beter op letten. ;(

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 02:03]

Verwijderd @MiesvanderLippe19 december 2017 14:11
Dat ligt gewoon helemaal aan jezelf. Gevoelige informatie kun je, tenminste bij Android, afgeschermd laten tonen op het lockscreen. Ook het neerscrollen van de taskbar is zelf te bepalen. Mogelijk niet in alle skins van de verschillende fabrikanten, maar de optie is mogelijk in AOSP. En als je geen SMS wilt, dan is er tegenwoordig ook de app. Ben je met je verkeerde been uit bed gestapt of zo?
MiesvanderLippe @Verwijderd19 december 2017 17:16
standaard 😉
iAR @MiesvanderLippe19 december 2017 14:13
Gelukkig kun je als volstrekt onbekende niks met zo'n code. Want je moet tegelijkertijd ook ingelogd zijn en de betaling willen goedkeuren.
watercoolertje
@MiesvanderLippe19 december 2017 15:48
Gelukkig voor de gebruikers dat die gemak dan veel belangrijker vinden dan die promille extra kans op misbruik.

Ik heb die random readers nooit begrepen, zo vaak mensen horen bedelen om zn ding omdat ze die niet hadden op het moment dat ze hem nodig hadden.

Nee al was het risico 100x zo hoog bij een smsje zou het voor mij nog dubbel en dwars opwegen tegen de ongemakken van een ereader.

Ook op je pc betalen via je mobiel bij ING, werkt zo makkelijk dat ik elke maand geld te kort kom :Y)

[Reactie gewijzigd door watercoolertje op 24 juli 2024 02:03]

xoniq @iAR19 december 2017 14:03
En bekende adressen (waar meermaals naar is overgemaakt) zelfs met enkel een vingerafdruk. Onbekende betalingen moeten met de 5-cijferige pincode.
iAR @xoniq19 december 2017 14:12
Dat zijn betalingen in de app zelf inderdaad. Het gaat hier om betalingen via het web die je goedkeurt via de app.
Jeroenneman @iAR19 december 2017 15:04
Die kun je toch ook vanuit de app afhandelen?

QR code scannen en klaar. Zo gemakkelijk als bij de ING gaat het bij veel banken niet.
xoniq @Jeroenneman19 december 2017 18:51
Je hoeft al niet eens meer een QR code te scannen. Als ik op de website een betaling doe, krijg ik op m'n iPhone een push melding, daarop tappen, vingerafdruk en klaar.

Je kan inderdaad ook een IDEAL betaling van een website afhandelen via een QR code, maar een handmatig overboeking via de ING website zelf is zelfs de QR code voorbij.

[Reactie gewijzigd door xoniq op 24 juli 2024 02:03]

Jeroenneman @xoniq19 december 2017 20:06
Ik snap niet hoe je het "niet eens" kunt zijn met een feit.

Degene waar ik op reageer heeft het duidelijk over betalingen die je eerst op de PC initieert.

Dat je vanuit de ING app kunt overboeken is volgens mij redelijk oud nieuws ;)
xoniq @Jeroenneman19 december 2017 21:44
Bedoelde het meer als: "Je hoeft niet eens een QR code te scannen" :+ ik was het volledig met je eens verder :+ zal het even aanpassen.
BlckMohawk @iAR19 december 2017 14:51
Edit: sorry, verkeerd gelezen. Reactie maar verwijderd.

[Reactie gewijzigd door BlckMohawk op 24 juli 2024 02:03]

jorisjan @BrianHD19 december 2017 14:00
De ING heeft dit toch al langer?
al Zeker 10 jaar, geïntroduceerd door de Postbank, nog voor het samengaan met ING in 2007
84hannes @jorisjan19 december 2017 14:17
Dat was via SMS, ik neem aan dat Knab een systeem gebruikt dat wel veilig is (ontworpen met veiligheid in gedachte, niet te onderscheppen zoals sms, niet uit te lezen door andere apps etc.)
Amito @84hannes19 december 2017 14:28
Ik denk dat SMS veiliger is (zeker op 4G) dan een app op een gemiddelde Android telefoon. Voordeel van SMS is ook dat dit standaard functionaliteit is van alle mobiele OS'en en dat je dus niet hoeft om te kijken of je OS ondersteund wordt.
84hannes @Amito19 december 2017 20:30
Iedere vorm van veiligheid is een nadeel in gebruikersgemak. Een slot op de deur, een veiligheidscertificaat voor je website: kost allemaal tijd en geld. Maar dat is meestal geen reden om elke vorm van beveiliging weg te laten. En sms is nou eenmaal geen systeem dat ontwikkeld is voor gevoelige berichten.
nieuws: 'Banktransacties verifiëren via sms is zeer onveilig' - update
WhatsappHack
@84hannes20 december 2017 03:40
Ik geef de voorkeur aan de term "dagelijks iets meer werk" in plaats van "nadelig voor het gebruiksgemak". :P Ik bedoel... Als je sleutel gejat wordt of je hebt helemaal geen slot op de deur en je boel wordt leeggejat, dan is dat een stuk nadeliger voor de gebruikerservaring dan 5 seconden de tijd nemen om door de beveiligingscheck heen te komen. :D Wat dat betreft is beveiliging dus geen nadeel voor het gebruiksgemak, maar zelfs iets dat sterk bijdraagt aan een positieve gebruikservaring. Het enige probleem is dat mensen zich dat vaak pas realiseren als er iets mis is gegaan, ondanks dat ze gewaarschuwd worden. :+

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 02:03]

Amito @84hannes20 december 2017 10:42
Ik had dat nieuwsbericht gemist, maar deze blijkt ook in combinatie met Android malware te werken. Als je telefoon geïnfecteerd is lijkt de bankapplicatie mij ook niet veilig meer om te gebruiken.
84hannes @Amito20 december 2017 18:37
Het gaat er hier om dat Android gewoon een API heeft om sms uit te lezen. Je kunt er vanuit gaan dat een app voor internetbankieren géén officieel ondersteunde methode heeft om authenticatie af te vangen. Dit is dus veel minder dan een hack of virusinfectie, dit is gewoon een malafide wallpaper-app die net iets meer rechten nodig heeft dan zou moeten.
Arumes @84hannes20 december 2017 13:59
En iedere vorm van veiligheid is door domme gebruikers te omzeilen. Wat mij betreft is jouw gelinkte artikel daar een goed voorbeeld van. Voor gebruikers met een beetje gezond verstand is de methode uit dat artikel helemaal geen issue.
tinzarian @Amito19 december 2017 14:53
En waarom denk je dat dat veiliger is? Met de wildgroei aan SMS-apps lijkt mij de kans dat er daar niet zo frisse apps tussen zitten groter dan bij een app die van de bank is.
Martin.Air @84hannes19 december 2017 14:22
ING gebruikt nu al een tijdje (ongeveer een jaar uit mijn hoofd, wellicht zelfs langer) een QR code.

In tegenstelling tot de push berichten moet de gebruiker hier zelf actie bij ondernemen maar bevestigd dan dus via de App en niet meer via een SMS bericht.
mmniet @Martin.Air19 december 2017 14:44
Afgelopen weekend toen ik een betaling klaar had gezet via de website van ing zag ik dat die gewoon met een goedkeuren knop gaat. Blijkbaar is er een verschil tussen klaargezette betalingen goed keuren en ideal betalingen. Weet niet om welke het hier gaat, maar de QR voor ideal zal wel blijven bestaan omdat je dan het voordeel hebt niet te hoeven inloggen met je account gegeven van ing, maar gewoon via je app
xoniq @Martin.Air19 december 2017 18:52
ING doet via overboekingen vanaf hun website, ook een push melding op je telefoon, waarna je in de App beland om te bevestigen met een vingerafdruk. Geen QR meer nodig.
blade08 @BrianHD19 december 2017 13:55
Ing heeft zelfs nooit een aparte reader gehad, je kunt gewoon alles doen met je mobiel. Dit leest ook meer als reclame dan als nieuws.
xiphoid @blade0819 december 2017 14:03
ik dacht hetzelfde moet ik eerlijk zeggen. Maar ben blij voor ze: vooruitgang .. hopelijk hebben ze nauw met de devs samengewerkt en is het niet een framewo.. oh nvm ..
xFeverr @blade0819 december 2017 15:19
Jawel, ze hebben ooit zo'n identifier gehad. Ik heb hem hier in de la liggen. Maar dat komt nog uit de tijd dat Postbank apart was. Bovendien was de identifier persoonsgebonden, je pas moest er dus niet in.
watercoolertje
@xFeverr19 december 2017 15:39
Ik had alleen tan codes op papier en daarna via sms.
schmm 19 december 2017 13:52
BUNQ heeft dit toch ook al vanaf dag 1?

Wel een mooie aanpassing! Vindt de readers persoonlijk alleen maar lastig. Nu alleen de RaboBank nog :)

[Reactie gewijzigd door schmm op 24 juli 2024 02:03]

Martinusz @schmm19 december 2017 14:11
Bij Rabobank kun je ook zonder reader betalen hoor, je kunt zelf instellen tot welk bedrag :)
•Naar uw eigen rekening: maximaal € 50.000 per betaalopdracht tot € 100.000 per week (afgelopen 7 dagen).
•Naar een bekende rekening: tot maximaal € 2.000 per week (van zondag t/m zaterdag), daarna heeft u de Rabo Scanner nodig. Een 'bekende' rekening is een rekening waarnaar u in de laatste 15 maanden al eens geld heeft overgemaakt met uw Rabo Scanner of Random Reader Comfort.
•Naar een onbekende rekening: tot maximaal € 1.000 per week (afgelopen 7 dagen), indien u dit heeft ingesteld. Een 'onbekende' rekening is een rekening waarnaar u nog niet eerder geld heeft overgemaakt.
•Stel deze optie in via de app: ga naar 'Zelf regelen', ‘Betalen en passen’, kies voor 'Betalen zonder Rabo Scanner’ en stel het bedrag in.
•Bij het instellen van deze optie, of als u het maximumbedrag per week wilt verhogen, heeft u wel de Rabo Scanner nodig.

[Reactie gewijzigd door Martinusz op 24 juli 2024 02:03]

schmm @Martinusz19 december 2017 14:12
Klopt, maar als ik iDEAL op een website betaal via de PC heb ik een cardreader nodig. Bij BUNQ bijvoorbeeld even een code scannen met je telefoon en klaar.
Martinusz @schmm19 december 2017 14:15
Ah zo, dan wel inderdaad, verwacht wel dat ze dat ook nog anders gaan doen in de toekomst.
Moet zeggen dat ik zelf bijna alles via telefoon doen, dus loop zelden tegen het feit aan dat ik alsnog de reader nodig heb :)
schmm @Martinusz19 december 2017 14:17
Dat verwacht ik ook. Want ze moeten wel mee anders raken ze klanten kwijt.

Het zelfde dat de rabobank nu (stilletjes) een mogelijkheid in de app geschoven heeft om iDEAL requests te maken en te delen via whatsapp of andere kanalen
Verwijderd @schmm19 december 2017 14:59
Op een mobiel worden de iDeal betalingen via de App afgehandeld, en kan je idd ook met enkel een pincode betalen.
woekele @schmm19 december 2017 14:22
Ik besef elke keer hoe lui ik ben geworden als ik bij een online aankoop vloekend opsta van de bank om die verrekte cardreader te gaan zoeken. :+ Alsof het echt zoveel moeite is. Maarja, gemak dient de mens.

soms heb ik wel eens met Paypal betaald, ook al kostte dat 75 cent extra. Puur omdat ik dan zonder cardreader verder kon ;( ;(
schmm @woekele19 december 2017 14:24
Heel herkenbaar.

En ja, ik bestel steeds meer via de mobiel maar nog niet alle sites zijn mobiel vriendelijk en dan zit ik op zolder achter mijn pc en ligt mijn cardreader of mijn pas beneden. Nooit alle twee maar altijd een van de twee. :s

En ja, paypal is voor mij ook vaker een uitkomst geweest. Maar gemak dient de mens tegenwoordig.
Grrrrrene @schmm19 december 2017 14:47
Hahaha, herkenbaar dit. Ik heb altijd de raboscanner boven liggen als ik beneden een betaling probeer te doen en als ik boven achter de pc zit ligt de scanner toevallig net beneden 8)7 Ik heb al geregeld een euro o.i.d. meer betaalt om met Paypal te kunnen betalen :)
roches @Grrrrrene19 december 2017 15:55
Gewoon boven en beneden een reader neerleggen...
arnova @roches20 december 2017 07:47
Ja alleen een beetje jammer dat ze niet kosteloos meer extra readers verstrekken. En wil je er wel 1 dan kost dat, dacht ik, iets van 20 euro. Lekker klant(on)vriendelijk.
Crp @schmm19 december 2017 14:35
Dat kan ook bij SNS tot een ingesteld bedrag.
iAR @schmm19 december 2017 13:55
Bunq is enkel een app. Dus ja, die heeft het vanaf dag 1 maar de opzet is anders.
schmm @iAR19 december 2017 13:57
Opzet anders? Is toch gewoon een bank waar je betalingen kan doen en iDEAL en andere transacties met de app kan accoderen?
iAR @schmm19 december 2017 14:00
Klopt, maar je kunt ook niet anders. Je doet de betalingen enkel in de app. Er is geen website als alternatief. Dat is bij ABN, Knab en dergelijke wel. In de Rabobank app bevestig je je betalingen ook niet met de random reader.
Vol Braakzakje @iAR19 december 2017 14:09
Als je bij bunq met iDeal betaald bij een webshop, dan krijg je een re-direct naar de bunq site met een QR code, die code scan je met je mobiel. Op je mobiel geef je je vingerprint en je hebt betaald.

Dus het is niet enkel een app, het is ook als vervanger voor bv de random reader. En er is ook een desktop app voor de Mac
teek2 @Vol Braakzakje19 december 2017 14:13
Idd, dit is die app: https://together.bunq.com/topic/bunqdesktop-client
Is een electron app dus in principe platform onafhankelijk. Het werk met je Api keys en dus alleen met Bunq premium. Of, zoals hieronder genoemd, de github pagina: https://github.com/BunqCommunity/BunqDesktop

[Reactie gewijzigd door teek2 op 24 juli 2024 02:03]

Devaqto @teek219 december 2017 14:31
Misschien wel handig om te vermelden dat het om een onofficiele desktop app gaat, en omdat het hier over bankzaken gaat, vind ik die twee dingen niet goed samenvallen.

@iAmRenzo bedoelt dat bunq volledig gebaseerd is op een app, waar andere volledige banken de beschikking hebben tot een website en fysiek kantoor.
basst85 @Devaqto19 december 2017 15:54
Inderdaad een onofficiële app, maar ook open-source (zie GitHub pagina).
Dus al je security issues kunt vinden, dan kun je dat als issue melden of stuur een pull-request met de fix :)
WhatsappHack
@basst8519 december 2017 16:03
Opensource geeft geen extra veiligheid of garanties he. Met bankzaken zou ik toch liever geen onofficiële apps gebruiken, opensource of niet. De app van de bank hoeft ook niet veilig te zijn, maar dat is hun verantwoordelijkheid - bij t gebruik van third party spul is het je eigen probleem... En dat is met bankzaken toch ff een tikje gevoelig. :)

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 02:03]

teek2 @WhatsappHack19 december 2017 17:20
Ik snap je punt, je moet de dev vertrouwen idd. Maar alle bankwebsites gebruiken ook libre ssl, Apache/Nginx oid, en draaien op Linux. die moet je ook vertrouwen. Toegegeven, op die codebases staan iets meer oogballen.

[Reactie gewijzigd door teek2 op 24 juli 2024 02:03]

WhatsappHack
@teek219 december 2017 17:44
Dat, en je moet toch iets :) Het punt is meer dat “het is opensource” geen vals gevoel van veiligheid moet creëren. “Oooh het is opensource, zeg dat dan meteen! *klikt op install*” :P Nee want je loopt gewoon risico, zeker omdat het niet door de bank goedgekeurde software is. Dat soort projecten zijn geweldig hoor, daar niet van - maar ik zou wel ff goed nadenken over de risico’s alvorens een third-party app te gebruiken voor je bankzaken.
teek2 @WhatsappHack19 december 2017 18:10
Eens, ben ook wel benieuwd wat Bunq zou doen als jij door een frauduleuze app je api keys kwijt raakt... Nu is het wel zo dat je elk nieuw IP adres moet goedkeuren in de officiele app dus het gaat niet zomaar mis.
basst85 @WhatsappHack19 december 2017 18:18
Ik zeg ook niet dat het veilig is omdat het opensource is. Ik bedoel dat, als je het niet vertrouwd, je de source kan inzien/controleren.

En mocht je iets vinden, dan kun je dat op GitHub als issue melden.

P.s. De BunqDesktop applicatie verstuurd je API key niet naar derden, deze wordt lokaal en encrypted opgeslagen. En de applicatie communiceert direct met de bunq API :)
saeJ7Oxo 19 december 2017 13:58
Bunq heeft zelfs weer geen internetbankieren. Alles is alleen in de app :-)

— eigenlijk wat hierboven stond dus...

[Reactie gewijzigd door saeJ7Oxo op 24 juli 2024 02:03]

Luca @saeJ7Oxo19 december 2017 14:08
Die is er inmiddels, dan wel via een desktop client (ook Linux): deze wordt gebouwd door een groep enthousiastelingen die gebruik maken van de bunq API's. Je kan zelf meewerken omdat alles op GitHub staat.

In de Telegram groep zitten zelfs medewerkers van bunq zelf omdat ze toch wel erg geïnteresseerd zijn in het project en omdat het op dit moment toch ook wel veel belovend is.

[Reactie gewijzigd door Luca op 24 juli 2024 02:03]

Maverick2001 19 december 2017 14:08
Het is al een tijdje zo maar ze maken het nu pas officieel bekend lijkt het.
KNAB doet het goed met mijn app ontwikkeling al vind ik het uitblijven van een iPhone X optimalisatie wel zonde. De ING loopt met alles voorop en ook de ABN heeft inmiddels het licht gezien maar KNAB is een goede volger.

Edit: Face-ID identificatie (zoals in het artikel staat) is nog helemaal niet mogelijk.

[Reactie gewijzigd door Maverick2001 op 24 juli 2024 02:03]

bluewalk @Maverick200119 december 2017 15:01
FaceID is wel mogelijk, als de TouchID in de app al werkte, werkt FaceID ook.
Net even geprobeerd en ik kan inlogen en bevestigen met FaceID. Het ziet er alleen op de X niet uit qua scaling...
Maverick2001 @bluewalk19 december 2017 18:04
Ah dat wist ik niet. Ik ging er vanuit omdat je nog een pin nodig hebt voor het openen van de app je ook een pin moest gebruiken voor een bevestiging.
Verwijderd 19 december 2017 16:00
Hoe zit het als je een oude Android hebt (bijvoorbeeld met het Stagefright-lek)?
Als er ten gevolge daarvan geld ontvreemd wordt, krijg je dan een volledige vergoeding van de bank?
SampleUser @Verwijderd19 december 2017 16:10
Dan lijkt het me nalatigheid, _jij_ kiest ervoor om een oud toestel te gebruiken.
WhatsappHack
@SampleUser19 december 2017 16:12
Aan de andere kant kan je niet van de gemiddelde consument verwachten dat ze op de hoogte zijn van de problemen. Die weten niet eens wat “hun Android” draait. En nieuwsberichten over kwetsbaarheden in Android komen best vaak voor, voor veel mensen weten die echt niet welke versie kwetsbaar is, waarom (wat het probleem is) en daarnaast kunnen ze er vaak niets aan doen omdat de fabrikant ze compleet in de steek laat.

Je kan t ook omdraaien: de bank moet dan maar gewoon zorgen dat de app niet op kwetsbare Android-versies draait of deze functie uitschakelt. ;)
SampleUser @WhatsappHack19 december 2017 17:04
Nee, maar de gemiddelde consument kan ook niet direct zien of een iPhone op Marktplaats gestolen is. Die gemiddelde consument kan dan wel heling te lasten worden gelegd.

Misschien een verkeerde analogie, maar ik hoop dat je m'n punt snapt.
Verwijderd @SampleUser19 december 2017 17:21
Bij wie ligt -volgens de wetgever- de bewijslast, bij de bank of bij de rekeninghouder?
SampleUser @teek219 december 2017 19:15
Moet het gelijk weer zo passief-aggresief? ;)

Ik bedoelde dat het dan _objectief_ nalatig lijkt (IANAL), niet dat ik een authoriteit ben over wat nalatig is en wat niet.
teek2 @SampleUser19 december 2017 20:35
Hehe, sorry. Maar ik vind het de verantwoordelijkheid van de bank, die zouden kunnen zeggen "sorry, onveilig apparaat." Dat zou even pijn doen maar Android apparaat makers zullen erg snel anders gaan denken over seurity updates... zeker als mensen ineens zien dat de "dure" iPhone wel 5 jaar de bank app kan gebruiken.

Op dit moment kiezen banken ook bewust over de te ondersteunen encryptie, je kun in webserver zoals nginx gewoon een set encryptie standaarden aan en uitzetten maar hoe hoger je niveau hoe minder clients je kan serveren. ssllabs laat dat mooi zien, hier heb ik even rabobank.nl ingevoerd: https://www.ssllabs.com/s....nl&s=145.72.70.20&latest, je ziet dat ze het best goed doen, XP/IE8 hebben ze laten vallen, verder doen ze niet veel consessies maar er komt een punt dat ze wellicht wat Android versies laten vallen voor meer veiligheid.

[Reactie gewijzigd door teek2 op 24 juli 2024 02:03]

WhatsappHack
19 december 2017 14:04
Dit kan toch al maanden? Oo
Zowel voor iDeal als betalingsopdrachten. Altijd fijn gevonden aan ING en was blij dat KNAB er ook mee kwam. Misschien per ongeluk beta enrollment ofzo?
AibohphobiA BoB 19 december 2017 14:07
Jammer alleen dat ze als bank een e-mail sturen met een link om het te activeren.
Dat zou je m.i. niet moeten doen met al die phishing-mails.
mitch187 19 december 2017 14:11
Met de app hoefde je na het activeren van de app de random reader niet meer te gebruiken? Alleen bij het overmaken met de browser zonder de QR te gebruiken moest ik mijn random reader uit het stof trekken.

[Reactie gewijzigd door mitch187 op 24 juli 2024 02:03]

Petje72 19 december 2017 19:16
Wel handig inderdaad, weg met die ouderwetse readers.

KNAB wordt misschien gezien als kleine bank maar de eigenaar is AEGON, grote financiele speler :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq