Rabobank begint dit jaar met uitfasering van Rabo Scanner

De Rabobank heeft aangegeven later dit jaar te beginnen met de uitfasering van zijn zogenaamde Rabo Scanner, waarmee klanten onder meer overboekingen moeten goedkeuren door een kleurencode te scannen. Ook de Volksbank neemt dergelijke stappen.

De Rabobank bevestigt de beslissing tegenover De Telegraaf. De uitfasering vindt plaats gedurende een periode van een jaar. Bart Leurs van de Rabobank zegt tegen de krant dat 'het extra kastje voor de app niet meer de beste oplossing is voor een steeds groter deel van de klanten'. In plaats daarvan zouden er verschillende andere veilige alternatieven te bedenken zijn, zoals een vijfcijferige pincode, een vingerafdruk of gezichtsherkenning in combinatie met 'allerlei monitoringsmogelijkheden'.

Ook de Volksbank, waaronder SNS, de Regiobank en ASN vallen, zegt dit jaar afscheid te willen nemen van zijn variant die bekendstaat als de Digipas. Deze blijft wel beschikbaar voor klanten die geen mobiele telefoon hebben of de app niet willen gebruiken. ABN Amro zegt dat er nog geen 'concrete uitfaseringsplannen' zijn voor zijn e.dentifier. De Rabobank verving in 2014 zijn zogenaamde Random Reader door de huidige scanner met camera.

Door Sander van Voorst

Nieuwsredacteur

08-05-2018 • 09:06

493 Linkedin

Submitter: Rorymeijer

Reacties (493)

493
482
355
27
1
97
Wijzig sortering
Als ik een order van 3,50 bevestig met de app, met alleen een pincode, vind ik dat best.

Als ik 50.000 euro overmaak, naar een buitenlandse rekening, dan heb ik graag dat er een 2FA komt, dus niet alleen mobiel, maar ook via een pas/scanner/rsa generator of iets anders dat NIET op dezelfde hardware draait.

5 cijverige pincode is uiteraard niet veilger, die kan iemand net zo goed meelezen.
Wat ik alleen het manco vindt van de raboscanner is dat deze niet persoonsgebonden is, iedereen kan die jouw pincode heeft afgelezen en je pinpas heeft bemachtigd met een willekeurige raboscanner je helemaal plunderen.
Het idee is dat er 2 (van de 3) componenten zijn bij 2FA.
-iets wat je hebt (pinpas/app/smsontvanger),
-Iets wat je weet (pincode/wachtwoord)
-iets dat je bent (vingerafdruk/gezichtsherkenning).

De scanner is dus niet "iets wat je hebt", dat is de pinpas.

probleem is als je ALLE factoren onderbrengt in de mobiele app, er 1 kwetsbaar punt is, als de app gehackt wordt dan is je rekening leeg.

[Reactie gewijzigd door leuk_he op 8 mei 2018 13:54]

iets dat je bent (vingerafdruk/gezichtsherkenning)
Als jij thuis op je bank zit, dan is er voor het systeem helemaal geen verschil tussen factor 3 en factor 2. Een vingerafdruk, of een gezichtsscan die je thuis privé maakt is in de computer/telefoon gewoon een rijtje bits, en dus in pricipe niets beter dan een wachtwoord of pincode. Behalve dat ie langer is. Als datzelfde rijtje bits bij een fraudeur bekend is, dan kan hij die overal als 3e factor gebruiken om 'aan te tonen' dat hij jou is. Zonder dat er een nieuwe scan gemaakt hoeft te worden. Om als extra factor te kunnen gelden, moet er tevens een controle plaats hebben dat er ook inderdaad een scan van een echt, levend persoon gemaakt is. Thuis op de bank of aan de keukentafel gebeurt die controle niet, kán die eigenlijk ook niet gebeuren, en is die 3e factor dus niet anders dan een ingewikkeld wachtwoord.
Als de app gehackt wordt, wie is dan de schuldige. Moet RABO/ING/ elke bank dan alles terug betalen of had jij de app niet moeten gebruiken. Bij ING zitten ze te pushen om maar de app te gebruiken.
Je moet je houden aan de "uniforme Veiligheidsregels". Altijd up-to-date, firewall en antivirussoftware geïnstalleerd hebben e.d. Dingen die soms lastig te bewijzen zijn ;) Dan krijg je je geld terug. Wel eigen risico van een paar tientjes.
Ja, en je telefoon fabrikant die voor jou de updates "faked" dan? Dan "lijkt" je telefoon up-to-date, maar is dat niet.
https://winbuzzer.com/201...and-fooling-users-xcxwbn/
Dat wordt dan leuk met die toestellen van oa Samsung. Als je dan digitaal gerold wordt en ze komen erachter dat je foon niet up to date is dan kun je fluiten naar je geld.
Dat zijn er 3.
2 van de 3 is 2FA.
Wat dat betreft zit je met Apple wel goed, die App Store is een stuk strenger dan die van Android.

Rabobank heeft dat overigens deels zelf opgelost, de intelligentie zit niet in de app. De app is eigenlijk niet veel meer dan een schil rond een website (dat zie je ook, er worden regelmatig zaken gewijzigd zonder dat je een app update krijgt).
Om dat allemaal te beïnvloeden is aanzienlijk meer werk dan een app decompilen, aanpassen en uploaden. Hier moet je ook de hele omgeving erachter gaan bouwen.

Maar ook met dat in gedachten heb je zeker een punt hoor, alles op 1 apparaat is in principe niet de beste oplossing security-wise.
Dat is multi-factor auth (MFA): hebben, weten en zijn (zoals biometrie). 2FA is alleen hebben en weten, want het idee is dat je de authenticatie middelen kan overdragen aan iemand anders wat bij MFA doorgaans niet de bedoeling is.

De biometrie implementatie van de meeste smartphones is echter een convenience feature en beslist geen afscherming, want het is mogelijk om de vingerafdruk e.d. te omzeilen met een wachtwoord of pincode. Dan vervalt de persoonlijke factor en hoef je alleen nog maar iets te hebben (smartphone) en te weten (pin/ww).
Heb ik wel eens over geklaagd bij de Rabobank, jaren geleden. Dan krijg je van die reacties dat het systeem aan de strengste veiligheidseisen voldoet en nog nooit gekraakt is. Totaal irrelevant. Uiteindelijk zelf maar een tweede pasje aangevraagd en alleen die aan internetbankieren gekoppeld. Die ligt altijd thuis en voorkomt dat iemand die mijn pas rolt en pincode afkijkt ook mijn spaarrekening kan plunderen.
Heb ik wel eens over geklaagd bij de Rabobank, jaren geleden. Dan krijg je van die reacties dat het systeem aan de strengste veiligheidseisen voldoet en nog nooit gekraakt is. Totaal irrelevant.
Het is in zoverre relevant dat de Rabobank wettelijk opdraait voor een groot aantal varianten van misbruik. Phishing niet natuurlijk, maar spooktransacties zijn hun probleem.

De Rabobank is groot genoeg om de beveiliging te beschouwen als een economisch risisco. Fraudepreventie mag niet meer kosten dan dat het aan fraude bespaart. En als een bepaald systeem nooit gekraakt is, dan is elk duurder systeem dus simpelweg duurder maar niet beter.

Je idee om een gescheiden tweede rekening te hebben is niet slecht. Maar in de praktijk zijn storingen de meest gangbare reden dat je niet bij je geld kunt, en niet fraude. Dus open die tweede rekening bij een andere bank.
Het is in zoverre relevant dat de Rabobank wettelijk opdraait voor een groot aantal varianten van misbruik. Phishing niet natuurlijk, maar spooktransacties zijn hun probleem.
Sorry mar dit is naïef, een voormalige vriendin van mij werkte zelfs bij de rabobank, toen zij gescammed was via een een fake pin apparaat bij een tank station. Dat binnen 5 minuten duizenden euro's van haar rekening werden gehaald in duitsland luxemburg, belgie en frankrijk weerhield Rabo niet om het tot een rechtszaak te laten komen omdat zij: "haar pas niet altijd in het oog had gehouden" de defensie heeft natuurlijk gevraagd wanneer zij dan zou kunnen slapen. Maar er was wel een rechtszaak voor nodig.
banken doen altijd de rekensom: "op een rechtszaak laten aankomen of uitbetalen, wat is voor ons het voordeligst. dat de klant volkomen onterecht zijn geld kwijt is, is geen argument"
Klopt helemaal.

De Rabobank heeft een aantal jaren geleden zelfs bij Kassa op TV nog eens op kunnen komen draven om uit te leggen waarom zij de enige van de consumenten grootbanken in Nederland zijn, die moeilijk doen bij fraude-restitutie.

Zo moeilijk zelfs dat ze hun eigen klanten inderdaad zo goed als openlijk vijandig benaderden.
Misselijkmakend was dat gewoon...
Dat is slim gedacht. Ik denk dat ik je voorbeeld ga volgen. Soms wil ik wel eens op een andere locatie een betaling uitvoeren online maar dat weet ik toch wel van tevoren want dan moet ik ook de scanner meenemen, dan pak ik gelijk wel het internet-pasje.
Het internet pasje dat altijd thuis ligt? Dan wanneer je op vakantie ( in eigen land ) gaat, moet je dat pasje natuurlijk niet vergeten. Het lijkt mij daarom niet heel praktisch.

Was er maar ook gewoon een wachtwoord dat je zou moeten invullen naast de pincode. Dat zou het al een stuk veiliger maken. Bankierencode+vingerafdruk/gezichtsherkenning+echtwachtwoord lijkt me al een prima oplossing, niet?
Een pincode is toch ook een wachtwoord? Vingerafdrukken en andere lichamelijke kenmerken ben ik niet zo voor, in verband met privacy (alsof je dat hebt bij een bank...), maar het werkt wellicht wel. Het koppelen van een specifieke scanner aan overschrijvingen > 500 euro (zodat je die altijd thuis moet doen) is ook een leuke optie. Echter uiteindelijk is elk systeem redelijk kraakbaar, onhandig of beide.
Nee, zoals ik al zei, het internetpasje is dan altijd samen met de rabo-scanner. Dus er is geen verschil met de oude situatie qua meenemen van spullen.

De veiligheid komt vanuit het feit dat mijn normale bankpasje, waarmee ik contactloos betaal en pin, niet na gejat te zijn gebruikt kan worden om online geld mee over te maken. Als je erover nadenkt is dat heel slim.
Tweede pasje is dan wel weer extra kosten maken... (0,75/1,40 pm bij 2 vd 4 betaalpakketten)
Ja, het kost wel geld maar dat is alleen maar omdat de bank geen andere optie biedt. Meer een workaround zeg maar
Goede oplossing, dank voor het delen.

Zelf heb ik mijn spaargeld elders staan, dus geen risico wat dat betreft (en 'betere' rente, die van de Rabobank is bijna negatief tenslotte).
Rente spel je RDSA, maar ook op lopende rekeningen staat vermoedelijk (de 24e van de maand) genoeg geld om crackers blij te maken.
Nee :), bij binnenkomst van de salaris krijg ik automatisch een bericht en sluis ik alles gelijk door, staat er misschien net 20 minuten op.
Alle rabo rekeningen op de bankieren site zijn gekoppeld dus zodra je in kan loggen kannje bij al je rekenignen incl spaar rekening, ik heb 3 rekeningen in een lijst waarvan 1 spaar maar kan met mijn betaal pas alle kanten op geld overmaken.
Dus hoe die extra pas bij jou werkt geen idee.
Misschien nog een extra rekening geopend, die je gescheiden kan houden? Komt wel neer op 2 accounts dus extra kosten.
Dan zou het onder een andere naam moeten of zakelijk denk ik.
Anders koppeld de rabo het gewoon.
Wat ik alleen het manco vindt van de raboscanner is dat deze niet persoonsgebonden is, iedereen kan die jouw pincode heeft afgelezen en je pinpas heeft bemachtigd met een willekeurige raboscanner je helemaal plunderen.
Ja want alleen met je pas en pincode kunnen ze bij de pinautomaat geen geld opnemen |:(

Maar dat is geen manco, dat is een feature. Je kunt ook een reader/scanner van iemand anders gebruiken, je bankpas is het 2FA component niet de reader.

Met je Google/Microsoft/etc 2FA codes kan ook iedereen inloggen als ze de sleutel hebben waarmee de code gegenereerd wordt.

Ergens ligt er een grens tussen hetgeen nog werkbaar is en beveiliging. Ze kunnen je ook naar een bankfiliaal laten komen (kunnen ze die ook weer open laten :*) ) en daar op beveiligde hardware je pincode in laten toetsen, je ID bewijs physiek checken, je vingerafdruk nemen, een gezichts en iris scan controleren en je aan een kruisverhoor onderwerpen....super veilig, maar je wordt er wel ramgek van.
Ja want alleen met je pas en pincode kunnen ze bij de pinautomaat geen geld opnemen |:(
Jawel, maar een pinautomaat heeft ook een limiet. Die limiet heb je niet met de raboscanner. Het gaat dus vooral om het goedkeuren van grote transacties.
Met jouw handtekening kan ik ook hele grote overboekingen doen. Gewoon op papier. Die accepteren ze ook nog steeds.
haha ja, en als er iets niet veilig is dan is het wel de oude vertrouwde handtekening.
Ik kan me nog herinneren dat een familielid tot twee keer toe een bankoverboeking retour kreeg vanwege zijn eigen handtekening....en toen maar een huisgenoot liet tekenen...wat wel werd geaccepteerd 8)7
Maar dat is niet veel anders dan het altijd al geweest is toch? Als iemand de pas gegevens heeft en je pincode kunnen en konden ze altijd al geld opnemen en je rekening plunderen. Of zie ik iets over het hoofd?
Precies. Ik begrijp ook niet waarom dit nu ineens zo bijzonder is. In de praktijk komt het er nog steeds op neer dat het behoorlijk veilig is.

Als je dit niet genoeg vindt, kun je zelf je pasje in een kluis leggen, pinnen op openbare plaatsen zoals winkels en flappentappers vermijden etc. maar de meeste mensen zitten daar helemaal niet op te wachten.
Dan moeten ze dus al 3 items hebben om jouw te kunnen plunderen, ok 2 dan aangezien je een raboscanner zo kan regelen vermoedt ik.
Een (extra) RaboScanner kun je alleen kopen. Kost iets van 14-15 Euro. Dus zo even regelen is valt nog tegen...
Dan zit je bij de verkeerde vestiging, en anders even dreigen dat je naar de ing overetapt;)
Goed, zo werkt het ook met je telefoon. Om die te plunderen hebben ze alleen je pin en je telefoon nodig. Vervolgens klimmen ze je email/feesboek e.d. in. Volgens mij doe je al iets verkeerd op het moment dat iemand die twee dingen heeft. Afzijdig van geskimmed en/of beroofd worden, zie ik niet hoe iemand aan beide gaat komen.
Met die gedachte is een geldautomaat ook niet veilig. Ook alleen pin (iets wat je weet) en pas (iets wat je hebt) benodigd :D
Het is dan ook een 2FA systeem. Je pinpas heb je en je pincode weet je. Dat is beter dan enkel een vijfcijferige code.

[Reactie gewijzigd door Cilph op 8 mei 2018 10:27]

De raboscanner heeft een bankpas nodig. Om die te koppelen moet de pincode van die pas worden ingevoerd. Bij transacties moet ook het pasnummer worden ingevoerd.
En volgens mij is de pas zo persoonsgebonden als je bij een bank kan zijn. Bij een en/of rekening moet je de juiste pas in de raboscanner steken.

Bij de digipas van de volks/sns/asn bank is dat wat anders, die gelden als extra pas met een eigen nummer en eigen pincode, zonder gekoppelde bank-pas. Wel hebben wij bij de en/of rekening een eigen digipas ontvangen maar die zijn zo persoonlijk als dat het kastje ergens rondslingert.
Ik vind dat juist weer heel handig.
Ik heb namelijk ook een rekening bij de triodos bank en daar heb je dus een persoonlijke identifier.
Allemaal leuk en aardig, maar een raboscanner thuis en een raboscanner op het werk is een stuk makkelijker....

En je kan er een keertje 1 lenen van iemand als het nodig is.
Iemand die je pinpas heeft bemachtigd en je pincode heeft afgelezen kan ook gewoon naar een geldautomaat lopen en daar een goed bedrag buitmaken. Je pinpas is het persoonsgebonden onderdeel. Ja, het is een mogelijk scenario, maar wel vergezocht: je moet ergens een limiet zetten wat een aanvaardbaar risico is. Daarnaast zou je in een dergelijk geval ('pinpas kwijt') je pas meteen moeten blokkeren.

Verder vind ik het eerlijk gezegd wel handig dat de scanner niet persoonsgebonden is. Kan je altijd aan vrienden of collega's vragen of ze zo'n apparaat bij zich hebben mocht je het nodig hebben en je hem zelf niet bij je hebt.
Dat kan ook bij de pinautomaat. Heb je geen scanner voor nodig.

Maar het is natuurlijk aan jou om veilig met je pincode en zorgzaam met je pas om te gaan.
De kans dat zoiets dan gebeurt is klein (tenzij onder dwang)

[Reactie gewijzigd door gjmi op 8 mei 2018 16:57]

Ja dat kan ook bij een pinautomaat maar daar heb ik een daglimiet opstaan. Met de raboscanner kun je alles van alle gekoppelde raborekeningen halen.

De vele reacties van 2fa beveiliging ben ik het niet mee eens. Een camera die mijn pincode afleest (of software matig uitleest) en een scanner die mijn pas afleest is al voldoende.

Wanneer de Rabo ook een persoonsgebonden code generator heeft die ik op een andere locatie voor grote bedragen kan gebruiken voel ik mij al veiliger. Ik heb het opgelost door mijn spaargeld bij een andere bank te stallen. Een eventuele dief moet dan ook nog mijn inloggegevens zien te krijgen van die rekening. Het ergste wat dan kan gebeuren is dat mijn salaris van mijn Rabo eraf geboekt wordt. Overigens prima dat mensen hier gemak boven veiligheid stellen, maar ik wil als klant een keuze kunnen maken. Heb zelfs overal 2fa opzitten, ja kost moeite maar dat heb ik ervoor over

[Reactie gewijzigd door hydex op 8 mei 2018 22:15]

De grens mag voor de gemiddelde consument wel een stuk lager maar ik deel je zorg. Voor relatief kleine aankopen wil je helemaal niet met die scanner bezig zijn (mits het natuurlijk veilig is!). Maar voor relatief grote aankopen wil je juist zeker weten dat het veilig is door (minimaal) een tweetraps verificatie.
Dat os nu toch ook al?? Bedragen onder de 150 Hoef ik niet perse met de scanner goed te keuren.

Of bedragen die ik regelmatig overmaak zoals maandelijks m’n parkeer kaart.
jah, maar daar wil de Rabobank dus vanaf, want een pincode is toch veilig genoeg? 8)7
Pin code is redelijk veilig denk ik. Denk zelfs ong net zo veilig als die van de pin pas.

Kwetsbaarheid bij pinnen is mee kijken en je pas pikken. Bij je mobiel de software en mogelijke spyware.
Er is ook een schuldvraag. Want als er iemand mee kijkt bij het pinnen dan wordt je als persoon daarop aangekeken. Maar hoe zit dat met spyware waarvan je niet weet dat het mee kijkt op je telefoon?
Als je telefoon goed is dicht getimmerd, is de kans dat spyware meekijkt ontzettend klein.

Alle apperatuur waar je geldzaken doet, daar moet je zelf ook van weten dat jij alles hebt gedaan om dat soort dingen te voorkomen. iOS is al aardig dicht en ook op Android willen banken niet dat je hun app op een geroot toestel draait.
Als je telefoon goed is dicht getimmerd, is de kans dat spyware meekijkt ontzettend klein.
't is alleen zo jammer dat de kans dat je telefoon goed dichtgetimmerd is, zo klein is.
Zeker als het Android betreft.
Niet dat dat alles zegt, maar is zoiets ooit wel eens gebeurd bij Nederlandse banken? Lijkt me dat daar wel heel goed naar gekeken wordt door banken, voor er voor die oplossing gekozen wordt.
Als ik even Google vind ik dit artikel.
Volgens mij schuift de bank maar al te graag de schuld in jouw schoenen. Is je pincode afgekeken? Dan had je deze tijdens het invoeren beter moeten afschermen.
Even voor de duidelijkheid
1) Het artikel waar je naar linkt gaat over pinnen, niet over internetbankieren zoals het topic.
2) Het artikel gaat over fraude met gestolen of verloren pinpassen.

Kortom je pinpas is gestolen of verloren én blijkbaar wist men ook je PIN-code.

Ik vind banken alles behalve sympathiek maar ze hebben wel een punt dat, als de op die manier gepinde bedragen voor rekening van de bank komen, het wel heel makkelijk frauderen wordt. Je pint je rekening leeg, gooit je pasje weg en claimt dan dat je hem kwijt bent geraakt en dat een ander je PIN-code heeft afgekeken en dan zou de bank het moeten betalen? Ik denk dat de abonnementen van PIN-pasjes in dat geval heel duur gaan worden :P
pincode is single factor.
Juist door de pinpas te vereisen is een 2FA aktief gemaakt. Die wil ik eigenlijk wel blijven gebruiken bij bedragen boven de 50 euro.

De vraag is ook, gaat nu de extra security layer ook van de creditcard van de rabobank af?
Want ook daar heb ik de scanner nodig voor betalilngen.
Voor je creditcard is de scanner niet perse nodig. Vaak alleen bij Nederlandse aangesloten webwinkels.

Als ik op een US website een betalin wil doen. Dan heb ik die scanner echt niet nodig.
Dat wordt natuurlijk anders als er straks helemaal geen scanner meer nodig is. Enkel de 5-cijferige code lijkt mij nu niet afdoende beveiligd.
Weet ik niet. Eerste authenticatie is natuurlijk het unlocken van je telefoon.

Dan heb je nog een barierre om in je bankieren app te geraken. Dus je moet al 2 keer inloggen eer je in de bankieren app zit.
Daar is aan gedacht: er zijn limieten ingesteld, waardoor je niet zomaar grote bedragen kunt overmaken en zeker niet naar rekeningen waar je nog niet eerder mee te maken hebt gehad. Zie bijvoorbeeld: https://www.rabobank.nl/p...oeken-zonder-rabo-scanner.

En even technisch: je hebt in jouw voorbeeld toch al 2FA? Je hebt immers die specifieke telefoon nodig (= iets wat je hebt) en de bjbehorende pincode (= iets wat je weet).

Ben het overigens wel met je eens dat dit veiliger kan.
Als zowel de telefoon (iets wat je hebt) en de pincode over het zelfde apparaat gaan, en je niet zeker weet dat dit apparaat veilig is(je kunt de app sandboxen/hacken) , dan is het geen echte 2fa.

Nu komt met de raboscanner de pincode(die hoort bij de pinpas) nooit op je mobiel.
Toen ik de app voor de 1e keer instelde, stond naar onbekende derden standaard open. Die heb ik toen meteen dichtgezet zodat de scanner is vereist. Als ik mijn telefoon verlies, wil ik niet dat een app in verkeerde handen komt en ze slechts met het kraken van de code kunnen overmaken. Ook betalen met een creditcard bij een app staat standaard op niet bewaren. Ik ben dus niet blij met dit nieuws. Alleen een cijfercode is m.i. niet veilig.
Wat is veiliger? Je 4 cijferige pincode? Die kunnen mensen toch nog een stuk makkelijker meelezen op de grote tiptoetsen van die scanner, en t is nog eens een cijfer minder ook 8)7

[Reactie gewijzigd door unreal0 op 8 mei 2018 17:08]

Ik denk niet dat je 50.000 gaat overmaken via je mobiele telefoon, of wel? Een systeem wat de ING dan heeft is voor mij persoonlijk echt ideaal. Ik maak de betaling aan in Mijn ING en zodra ik deze wil versturen krijg ik een melding in de app waarna ik deze d.m.v. een pincode kan goedkeuren. Bij iDeal betalingen werkt dit met een QR code welke je scant vanuit de app en daarna ook weer d.m.v. je pincode goedkeurt.
Veel verschil is er niet tussen een telefoon en een pc met browser. Zou niet waarom je dat niet zou doen.
Ik vind de afhankelijkheid naar een smartphone niet fijn. Zo'n apparaat heeft al een up-time die veel lager ligt dan een pas (iedere dag moet je opladen). Heeft ook een veel hoger uitval percentage (na 2 jaar zijn al veel van die apparaten vervangen). Dat gaat toch een bak meer beheer kosten?

Al is de smartphone een middel (de echte koppeling is je SIM kaart), je kunt die SIM niet gebruiken als je telefoon het niet doet. Wel is uitfaseren van de reader een kostenverschuiving van de bank naar de klant zelf. Maar dat zul je vast niet terugzien in lagere bank kosten. Al met al krijg ik het gevoel dat onder het mom 'we gaan moderniseren' het toch een kostenreductie is (voor de bank). En de winstmarges in bankwezen zijn al belachelijk hoog t.o.v. bijv. maak-industrie en alle handwerklieden. De meeste bedrijven zijn al blij als ze 10% winstmarge hebben...

Daarnaast zal er nog lang een groep mensen zijn die geen smartphone hebben of niet willen gebruiken voor bankzaken. Uit oogpunt van veiligheid, niet zonder reden.
Zonder oproep te doen tot 'lastig vallen', is het wellicht wel handig deze kritiek ook bij de Rabobank zelf te plaatsen door ze op te bellen. Ik ga in ieder geval bellen met mijn lokale Rabobank, ben hier totaal niet blij mee. Ik gebruik mijn smartphone zo min mogelijk, omdat ik het orwelliaanse stuk plastiek niet vertrouw. Zeker niet om mijn bankzaken mee te doen.

EDIT: zojuist gebeld. De dame vertelde mij dat vooralsnog de klant de keuze blijft houden om via de "inloggen oude omgeving" de raboscanner te gebruiken. Van volledige uitfasering is dus vooralsnog niet van toepassing. De opmerking is wel als feedback naar management gestuurd.

[Reactie gewijzigd door Majestici op 8 mei 2018 12:39]

Die oude omgeving kan je wel vergeten, dat wordt gewoon de app layout maar dan als website. Ook ING heeft net de layout veranderd en dat is ook gewoon de app geworden op de website. Het resultaat is dus weg mooie compacte omgeving maar scroll je rot met grote witvelden en afbeeldingen (sowieso een klacht voor veel sites die vernieuwen om mobiel beter te werken maar de desktop/laptop gebruiker vergeten).

Heb zelf overigens liever helemaal geen bank apps op m'n telefoon. Ik geloof overigens best dat het net zo veilig werkt, de app zelf dan want je Android versie ligt al snel achter met updates. Maar ik vind het fijner om gewoon via de site te doen, scanner ligt toch bij pc.
Die oude omgeving kan je wel vergeten, dat wordt gewoon de app layout maar dan als website.
Yup. De oude omgeving van de Rabo is geloof ik gepland om tegen september dit jaar te vervallen, waarna enkel de nieuwe layout over zal blijven die van de app afkomstig zou zijn.
Ik ben er geen klant, dus melden heeft geen zin.
Ik houd van de combinatie...
Naar rekeningen die ik vaak gebruik, kan ik gewoon via de app en een pincode geld overboeken, dus lekker makkelijk, maar als ik geld moet overmaken naar een vreemde rekening, heb ik graag een dubbele authenticatie mét een fysiek device (pasje + scanner).
Ik vind dat wel super veilig. Ook iemand die mijn telefoon 'vindt' en het startscherm kan omzeilen (wat bij mij op zich niet zo moeilijk is), kan dan toch alleen maar naar bekende rekeningen geld overmaken.
Persoonlijk vind ik die scanner echt een onding. Zit zowel bij Rabo als ING en ING heeft het naar mijn idee een stuk gebruikersvriendelijk geregeld.
Zo onvoorstelbaar waar!

ING gehad in het verleden. Nog steeds blij dat ik er weg ben, maar die ASN digipas!
Arggggg wat een kakding zeg.
Ik ga zo even letterlijk een gat in de lucht springen, want hier verlang ik al zo lang naar!

En belangrijkste... Je wordt niet gedwongen, maar hebt gewoon de keuze.
Omdat je telefoon aan hett internet hangt. En mensen die niet zo lief zijn op het internet kunnen met wat slimme truckjes aan je bankgegevens komen. Vervolgens zie je dat je €50K armer bent geworden. Wat dan?

Bij je bank klagen dat je geld kwijt bent? Dan komt de bank met het oud vertrouwde ''u telefoon is niet goed beveiligd'' En wat dan?

Met de raboscanner heb je zekerheid, met een telefoon kan de bank 1001 smoesjes bedenken en zijn er 100001 manieren om op je bankaccount in te breken. Daarbij wil ik ook niet dat de Amerikaanse overheid of de CCP niet mijn gegevens weten.
en zijn er 100001 manieren om op je bankaccount in te breken.
Plak daar nog maar een nulletje achter. Volgens McAfee's Q1 2018 threat report zijn er ruim 20mil bekende uniek geidentificeerde stukken malware voor mobile OSes, waarvan ca. 12% bestaat uit banking trojans.

Ruim 2mil manieren om op je rekening in te breken, dus.

[Reactie gewijzigd door R4gnax op 8 mei 2018 21:52]

Dus...zou ik dan verwachten dat iedereen in mijn omgeving er last van heeft....

Ik ken niemand....

Zitten die criminelen te slapen? 2 miljoen manieren om aan gratis geld te komen. Dat is nog eens een business model.
Dus...zou ik dan verwachten dat iedereen in mijn omgeving er last van heeft....

Ik ken niemand....

Zitten die criminelen te slapen? 2 miljoen manieren om aan gratis geld te komen. Dat is nog eens een business model.
Het zijn natuurlijk grotendeels iteraties / varianten binnen een kleiner aantal families, waar telkens de aanval verschoven is om van andere nieuwere exploits gebruik te maken.

Maar het is toch best een indrukwekkend totaal. Niet waar?
Iteraties. Indrukwekkend?

Eerder volledig uit de lucht gegrepen.
Iteraties. Indrukwekkend?

Eerder volledig uit de lucht gegrepen.
Denk dat de cijfers van McAfee toch wel op degelijk onderzoek gestoeld zijn, hoor.

En dat er in de spanne van 2015 tot 2018 meer dan 2 miljoen verschillende smaakjes banking trojan geweest zijn die in het Android en iOS klimaat hebben rondgezwerfd; dat is toch best indrukwekkend, ja.
Dat geef ik toch aan: de afhankelijkheid naar een smartphone is m.i. onwenselijk.
Ik heb geen smartphone. Geen idee of Rabobank de raboreader blijft aanbieden voor diegenen die dit willen, maar het zou voor mij een reden zijn om een naar een andere bank te gaan mochten ze het compleet af willen schaffen.
Heel veel mensen, en zeker oudere, hebben geen smartphone. Dus om heel die scanner te verbannen gaat nog grote problemen geven.
Ach, veel ouderen hebben vaak wel een tablet. En geef ze eens ongelijk. Groter scherm, geen gepriegel met kleine cijfertjes. Ik vind de uitfasering een prima zaak. Eindelijk van die onvriendelijke scanner af. De cijfers op het display waren voor ouderen veel te klein om af te lezen, ja je kon overschakelen naar een random reader maar ook dat is niet ideaal. Wat dat betreft is bv. die 5-cijferige pincode een stuk eenvoudiger en efficiënter.
Ook bij ING wil men van de TAN lijst af. Wat daar het alternatief wordt, weet ik niet. Maar de kans is aanwezig dat je op termijn wel aan de smartphone moet... Op termijn is er geen bank meer waar je niet verplicht mee moet in de digitale wereld, helaas (in zeker opzicht, ik zie ook wel de voordelen, maar zeker ook de nadelen).
Wat is de bron van jouw verhaal?
Dat zal best, maar milieubelasting, stroomverbruik, up-time. Het scoort allemaal prima :-)
Maar bedoel je dat een app op je telefoon gebruiken vs een stuk papier, meer belastend is voor het milieu?

Ik heb echt letterlijk geen idee.
Want met die TAN codes moet je toch alsnog je telefoon of een PC aanslingeren om het ergens in te typen en de rest van het digitale proces in gang te zetten?
Ik ben het helemaal met je eens!

Banken horen de klanten te bedienen en ik ben bang dat er totaal geen onderzoek is gedaan naar het gebruik van de huidige scanner en wat voor impact het zal hebben als ze deze verwijderen. Hoe gaat men dat bij al die MKB bedrijven doen, waar meerdere mensen gebruik maken van de scanners.
Er is natuurlijk altijd wel een oplossing te verzinnen, maar ik zie toch liever iets van een product wat geen verbinding heeft met internet die de beveiliging op zich neemt. Men moet mee gaan in de tijd, maar dit is niet de oplossing.

Banken doen alles in de norm van vooruitgang, maar uiteindelijk draait het er alleen maar om de kosten te drukken en zorgen dat men nog meer winst kan binnen harken. Ik denk dat men nog wel op het nodige verzet kan rekenen.
Ik heb uiteindelijk, als klant van de Rabobank, meer problemen gehad met readers die leeg waren of die ik niet bij me had dan de uitvallende mobiel.
Het is eigenlijk net als de tan-codes op papier van de ING. Dat is ook lastig. Toen die per sms kwamen was je veel onafhankelijker.
Dat gaat toch een bak meer beheer kosten?
Hoe bedoel je dit? De bank beheert je mobiel toch niet?

En over het gebrek aan mobiele telefoon, denk je niet dat daar geen oplossing voor komt?
Hoe bedoel je dit? De bank beheert je mobiel toch niet?
De omloopsnelheid van telefoons c.q. SIMs is zeer waarschijnlijk een stuk hoger dan hoe lang een reader/scanner meegaat. Dat lijkt me een kostenpost voor de bank.
Hoezo? Jij hebt toch je mobiel/sim in jouw beheer, die koopt de bank niet voor je? Volgens mij scheelt het de bank veel omdat ze geen kastjes meer hoeven te kopen.
Maar wel moet de bank bij iedere SIM-wissel iets administreren. Veel vaker dan de kastjes wisselen. De prijs van die kastjes zal ook vrij laag zijn. Beheer loopt al snel in de papieren... Of dat opweegt tegen de besparing op het niet meer kopen van de kastjes weet ik niet. In het algemeen kost beheer meer dan aanschaf (dat is bijna ongeacht de aanschafprijs, omdat bij dure aanschaf ook de beheerders doorgaans meer moeten weten en dus duurder worden :-))
Bij ING doe je dat gewoon zelf in je Mijn ING omgeving. Of met de scanner op een al eerder geautoriseerd apparaat. Doet ING verder zelf vrij weinig mee.
Overigens niet per sim-wissel maar per apparaat/unieke installatie.
Het zal sowieso minder veilig worden dan dat het nu is. 2FA d.m.v. een code die buitenom gegenereerd wordt door de microcontroller in je bankpas, zonder verdere afhankelijkheden van welk (mogelijk onveilig) platform dan ook, waarom zou je dat willen vervangen? :{
Jammer Rabobank, ik kon die scanner altijd zo leuk gebruiken om jullie aan te prijzen :P

Als de bankpas geen factor meer is in mutaties op je rekening, is het m.i. niet veilig genoeg.

[Reactie gewijzigd door Sfynx op 8 mei 2018 09:42]

Ook wel fijn dat de Rabobank de scanner, welke naar mijn mening nog vrij nieuw is, nu alweer in de prullenbak gooit. Dan weet ik tenminste waarom ik ieder jaar meer moet gaan betalen aan bankkosten. Die hele overstap op de raboscanner is pure geldverspilling geweest als ze hem nu alweer uitfaseren. Alsof er tijdens de ontwikkeling van die scanner nog geen zicht was op de functionaliteiten van smartphones.
Ja, daar verbaasde ik mij ook al over. En ik denk dat er ook nog mensen zijn die de oude raboreader gebruiken. Als je op het inlogscherm komt, kun je namelijk nog steeds kiezen.
de scanner ontwikkeling heeft de Rabobank niet zo veel gekost. Het is een standaard Vasco scanner. Dezelfde scanner doet het overigens ook op je telefoon als app, alleen zonder de bankpas (alleen met pincode/fingerprint).
Het maakt mij niet veel uit hoe ze het gaan oplossen, zolang er maar een 2FA blijft bestaan. Dus pincode met bv Google authenticator zou prima zijn. Al moet ik zeggen dat dat bij de app weer onhandig is omdat beide op dezelfde telefoon draaien.
Komt nog eens bij - hoe ga je een 2FA opzetten voor klanten zonder smartphone? Straks eens ff bij de Rabo navragen wat er dan wel als vervanging aangeboden gaat worden - een app is leuk en aardig, maar van je klanten vereisen dat ze een smartphone hebben puur om te kunnen bankieren heb ik een probleem mee.
De rabo scanner wordt de komende tijd niet volledig uitgefaseerd, het wordt een optie.
De rabo scanner wordt de komende tijd niet volledig uitgefaseerd, het wordt een optie.
In september dit jaar gaat geloof ik de deur permanent dicht op de oude internet bankieren omgeving en krijg je de nieuwe 'eigenlijk-alleen-voor-smartphones'-draak door je strot geramd.

Laat zich raden dat op dat moment de Scanner ook buiten geschopt wordt.
Mijn idee ook... Wat ik graag zeker wil weten is welke transactie ik goedkeur. De rabo had tot nu toe het enige dat waterdicht is. Zonder scanner moet je dus maar vertrouwen wat er op je beeldscherm staat (als je pc gehacked is kunnen de transactie gegevens zoals rek.nr. en bedrag aangepast worden zonder dat je het door hebt).

Dat banking-malware bestaat en nu dus nog makkelijker wordt, is jammer.

Voor kleine bedragen zou ik idd wel zonder kunnen. Voor grotere bedragen boven 100 eur liever niet.
Zo lang niet duidelijk is wat ze gaan doen, kun je niet spreken over of het veiliger is of onveiliger.
Ze geven aan dat er veiligere methodes zijn dan een pasje, maar gaan niet in op welke ze gaan toepassen.
Ik denk zelf dat het een goede optie wordt. Als de klant zelf mag kiezen tussen die twee. Men vergeet eerder zijn scanner dan zijn mobiel. Ik heb wel vaak klanten aan de deur gehad die vooral door beperking van automaten mijn scanner vragen om over te maken. Dit vind ik dan wel minder veilig dan gewoon een 2FA van eigen mobiel te gebruiken. Een scanner vraagt om jouw pincode en kan gegevens van jouw rekening lezen. Een 2FA kan een groot voordeel zijn voor mensen die hun scanners vaak vergeten vooral als die direct in de rabo app kan worden geïmplementeerd bij telefoons met vingerprintlezer.
Ben ik de enige die het apparaatje prima vind?
Werkt snel, batterij gaat zeer lang mee. Je kunt instellen welke bedragen je via je app mag overmaken zonder het apparaat.
Eigenlijk vind ik het wel best zo :)
Je hebt geen creditcard van Rabobank gok ik. Ik had hiervoor een kaart via de ANWB en daar werden transacties goedgekeurd via de ICS/ANWB app (2FA). Dat was eenvoudig. Nu met de CC van de Rabobank MOET ik een scanner hebben om te kunnen betalen. Heel omslachtig en irritant.

'Vroeger' was het een stuk eenvoudiger met de oude reader, die kon je namelijk onbeperkt krijgen. Dus voor thuis, kantoor, 1 in de auto en 1 in de laptoptas. Dan heb je er altijd wel 1 bij je. Met de nieuwe reader krijg je er maar 1, dus moet je dat ding bijna 24/7 meezeulen als je regelmatig wilt kunnen betalen. Dat haalt alle voordelen van online/mobiel bankieren onderuit.

Ben er zelf voor om de grenzen meer op te rekken, bijvoorbeeld instelbaar tot max. € 10.000 zonder reader. Meer flexibiliteit. En voor de CC accorderen via de standaard app.
CC van de Rabo is een beetje random hoe het met betalen gaat. Soms reader nodig (meeste simpele websites) en soms niet (ali, amazon, de wat grote bedrijven dus)
Dit heeft inderdaad met 3D Secure te maken. Is de transactie 3D Secure dan dien je met een code of reader de transactie te accorderen, bij de Rabobank dus met de CC in de Rabo Reader en de bijbehorende PIN-code.

Je kunt dit vaak op de website al zien of dit nodig is als dit logo wordt getoond op de site van de webshop: https://goo.gl/images/WhBp6h

Als website eigenaar bepaal je of je een 'normale' transactie wil uitvoeren (die makkelijk betwistbaar is) of via 3D Secure die minder makkelijk betwistbaar is, aangezien de consument deze heeft geaccordeerd met een extra code en je als shop eigenaar dus gegarandeerd zaken doet met de eigenaar van de CC.

Voor 3D secure betaal je echter wel een kleine toeslag als webshop eigenaar, maar dan ben je wel 'bijna' zeker van je geld, wat met een normale CreditCard betaling zeker niet zo is.

Zonder 3D Secure kan je als webshop eigenaar zomaar zowel je geld als je goederen kwijt zijn mocht de transactie met een gestolen kaart worden betaald, of als de consument betwist omdat deze zegt nooit te hebben besteld maar toch vrolijk met je spulletjes aan de haal gaat.

Als consument heb je dus minder rechten als deze via 3D Secure is betaald.

Daarom zal je 3D Secure ook sneller bij kleine shops zien dan bij de grote. Voor een kleine shop is de schade bij gestolen CreditCard vele malen groter dan bij grote shops, daar zal de extra toeslag niet opwegen tegen het verlies van transacties met gestolen creditcards.

Eigenlijk is de CreditCard dus voor webshop eigenaren het slechts mogelijk betaalmethode en ook nog eens de duurste. Daarom moet je vaak een toeslag betalen als je hiermee wil betalen. Dus als je bij jou favoriete webshop wil bestellen kies dan liever voor iDeal dan voor CreditCard :)
Bij Ali en Amazon had je hem de eerste keer toch wel nodig? En dan wordt ie voor een bepaalde tijd gekoppeld.

Dat staat mij bij in ieder geval :)
Nee hoor. Vul gewoon de CC gegevens in die op CC staan en bestelling is gedaan. Geen enkel reader scanner pagina te zien.
Ik heb gewoon een paar keer mijn scanner als vermist opgegeven, nu heb ik er drie, da's voor mij een werkbaar aantal, niet één idd.

Overigens vind ik het prima dat i wordt uitgefaseerd, genoeg veilige alternatieven via de smartphone.
Ik weiger om fraude te plegen, sorry.

Mij is overigens verteld dat je dan alsnog een nieuwe moest betalen :)
Fraude is echt een groot woord voor dit m.i. als ik hem niet ziet liggen omdat i nog op mijn werkkamer ligt /in mijn tas zit ben ik hem ook kwijt 😊 nooit extra kosten voor gemaakt.
Daar ben ik denk ik te netjes voor ben ik bang :)

Het is graag of niet, zoals ik in een andere reactie al aangaf: het was voor mij reden om een hoop bankzaken weg te halen bij de Rabo.
Nee geen creditcard van Rabo :) ik kan mij voorstellen dat daarvoor bij elke transactie de reader nodig hebben irritant zal zijn.

Maar voor de overige betalingen, wie maakt er nou duizende euro's elke week over?
Sowieso als ik al grote bedragen zou overmaken, doe ik dat niet op een mobiel waarschijnlijk, doe ik dat wel, dan zou ik het wel fijn vinden dat er een extra controle op zit :)

Sinds ik de boel een beetje heb ingesteld heb ik op mijn mobiel nooit meer de reader nodig gehad voor allerlei betalingen.
Tijd om over te stappen naar een nieuwe bank dus..
Een bedrijf dat stelt dat een 5 cijferige pincode net zo veilig is als een random reader, onbegrijpelijk.

Natuurlijk is gebruiksgemak belangrijk, maar niet belangrijker dan de beveiliging,
en in mijn ogen is een reader daarvoor een goede compromis.

Voor mij ook een zorgwekkende ontwikkeling, de verschuiving naar het gebruik van de onveilige mobiele telefoon voor belangrijke zaken zoals de bank.

Wellicht ben ik een van de weinige maar de hele "app cultuur" waarbij voor elke scheet een app gemaakt moet worden maakt mij erg moe.

Helaas ben ik met het gebruik van mijn telefoon puur voor bellen en berichten waarschijnlijk in de minderheid.
Tja doe wel wat meer met mn telefoon dan alleen bellen en sms :P

Maar eens, tenzij rabo met een goede onderbouwing komt van alternatieve beveiliging is er volgens mij niets veiliger dan het kastje en is het puur een gevalletje kostenbesparing.

Biometre is wmb ontzettend link. Het is geen wachtwoord dat je (eenmaal bekend) kan wijzigen.

Ik vind de huidige inrichting prima. Reader voor transacties boven een ingesteld limiet, geen reader voor eronder (met nfc/app).
Nee jij bent niet de enige daarom is het ook vreemd dat ze hier mee komen.
Beetje een gek nieuwsbericht. De rabobank begint dus binnen een jaar met uitfaseren. "In plaats daarvan zouden er verschillende andere veilige alternatieven te bedenken zijn". Ik neem aan, dat als je iets binnen één jaar wil uitfaseren, je geen alternatieven gaat bedenken, maar alternatieven hebt. Ik zou graag willen weten welke alternatieven dit zijn.

Mijn ervaring is dat ICT projecten bij een bank, bijzonder lang duren, en met enige regelmaat falen...

[Reactie gewijzigd door deus4 op 8 mei 2018 10:45]

Misschien weten ze al wat ze gaan gebruiken, maar willen ze geen informatie verstrekken over welke vormen.
Of ze gaan met verschillende vormen klanten uitnodigen dit te testen.
Het lijkt me logisch dat uitfaseren niet begint voordat de vervanging er is.

Mocht t dus zwaar uitlopen. Dan wordt de vervanging uitgesteld. Het is een redelijk essentieel ding voor de Rabo, dat je kan inloggen en betalingen kan tekenen...
Ik ben blij met mijn RaboScanner, mag ik hem alsjeblieft houden? Lekker simpel ding, kaart erin, pincode en richten op het scherm.

Ik hoef geen App, ik doe mijn bankzaken gewoon thuis met een browser. Ik weet het: boring. maar ja.
Met een specifieke reden? Bankieren via mobiel bankieren is inherent veiliger en het aantal problemen ermee is ook veel lager dan internet bankieren.
Anoniem: 421923
@henkjobse8 mei 2018 09:20
waarom is mobiel bankieren veiliger? Het lijkt me juist onveiliger, aangezien het allang gebleken is dat smartphones niet zo veilig zijn als men dacht.
Je weet nooit welke app meeleest.
Combineer dat met het feit dat veel mensen blindelings verbinding maken met alle gratis wifi-netwerken die ze maar kunnen vinden in de trein of op het terras en vervolgens gaan internetbankieren en de clusterfuck is compleet.

[Reactie gewijzigd door Anoniem: 421923 op 8 mei 2018 09:21]

Banken hebben meer controle over de app, kunnen bepaalde dingen aan en uit zetten kunnen certificaten pinnen etc. Dat is niet per definitie veiliger, dat is natuurlijk afhankelijk van hoe de app werkt en is ingericht
Ze hebben inderdaad volle controle over de app, maar niet over de hardware waar het op draait, en de verbindingen naar zowel de user als de buitenwereld...
Maar, met een eigen website via een browser heb je dat ook niet toch?
Klopt, daarom is puur browser-only inloggen ook onveilig. Het idee van de scanner is dat je bewust een nieuwe code moet genereren met behulp van je offline system (je bankpas), en je in de scanner ook het bedrag ziet ter controle, zodat je hele computer gemanipuleerd kan zijn, maar er alsnog geen extra opdrachten in gesneaked kunnen worden zonder dat het opvalt.
Ja maar dat was het punt niet. Het ging er om of je een browser of app moest gebruiken en of dat nu in combinatie was met een Rabo Scanner of wat dan doet er niet toe.
Voor zover ik begrijp is het korte antwoord dus; "Ze zijn beide inherent onveilig, dus 2FA/MFA via een off-line apparaat is gewenst", en doet de Rabo Scanner (of een soortgelijke oplossing) er wel degelijk toe.
Maar niet over telefoons. Een telefoon word 100x vaker gejat of vergeten als een reader.

Daarnaast wil ik helemaal geen apps. Ik word doodmoe dat ik overal maar een app van moet installeren die vervolgens mijn accu leeg zuigen of me lastig vallen met dingen die me helemaal niet boeien.
95% doe ik nog lekker op de pc met meer overzicht en zonder irritaties en verplichtingen en dat blijft gewoon zo.
Als rabo dit door set heb ik na 30 jaar een andere bank. Ze zijn duurder geven minder rente en laatste plus puntje veiligheid is dan ook weg dus verdienen ze geen klant meer.

[Reactie gewijzigd door computerjunky op 8 mei 2018 12:35]

ja, ik ook. Ik heb er helemaal geen trek in als ik een keer mijn telefoon niet bij me heb ik geen betaling kan doen. Ik heb 3 random readers. 1 voor werk, 1 voor in mijn backpack en 1 voor thuis. Zo heb ik thuis altijd een reader en op mijn werk altijd een reader. Ook kun je readers van anderen lenen om je betaling te doen, de reader is, als je dat zo kunt zeggen, agnostisch. Als je je pinpas erin ptikt kun je elke reader gebruiken.
Ik geloof dat het puur over kosten en niet over veiligheid gaat. Ik vermoed dat ze een traject in zijn gegaan voor nieuwe readers en dat ze die kosten te hoog vinden. De raboreader vind ik echt goud.
Er zijn maatregelen die je in een app kunt nemen m het veiliger te maken:
- certificate pinning, zou dat mitm niet mogelijk is
- koppelen authorisatie aan IMEI nummer, zodat het op een ander device / andere sim niet werkt

[edit]
even ter verduidelijking, ik heb zelf Rabobank en wil ook niet van de Raboscanner af. Ik vind het een veilig idee om een apart, disconnected apparaat te hebben dat nodig is voor authorisatie van grote transacties. Het ging me meer even over het punt, dat je op mobiel extra beveiligingsmaatregelen kunt nemelijk, onafhankelijk van of je wel of niet een Raboscanner gebruikt ;)

[Reactie gewijzigd door borft op 8 mei 2018 10:33]

Anoniem: 421923
@borft8 mei 2018 09:42
klinkt op zich goed, maar dan nog heb ik liever nog andere mogelijkheden.
Wat nu als je telefoon wordt gestolen tijdens een vakantie? Dan heb je geen mogelijkheid om in te loggen op je bank met een ander toestel die je plaatselijk in de winkel koopt. Moet je verplicht de Rabobank bellen voor een oplossing.
Natuurlijk, als je geen RaboScanner heb lukt dat ook niet, maar je bent met een RaboScanner niet gebonden aan 1 scanner, je kan namelijk die van je buurman gebruiken (als je je pas nog hebt).

Teveel vastpinnen aan 1 apparaat vind ik juist minder handig :(

[Reactie gewijzigd door Anoniem: 421923 op 8 mei 2018 09:43]

En met je telefoon is ook je bankpas verdwenen want die zat in de hoes om de telefoon.
Anoniem: 421923
@Blokker_19998 mei 2018 13:16
in mijn geval dus niet :)
Ik heb mijn pasjes en telefoons altijd in verschillende broekzakken.
Ik houd er namelijk niet van om m'n bankpas bij m'n telefoon te hebben.

Ja, je ziet massa's mensen wel de pasjes in het flapje van de smartphone zitten, maar dat gaat mij niet gebeuren.
naja ook al zit het bij elkaar dan nog kunnen de dieven er niet bij als je je toestel beveiligd hebt met een vingerafdruk/pincode en als ze daar al doorheen komen moeten ze nog je bank app kraken aangezien die meestal ook beveiligd is met een code. en daar is tijd voor nodig , als je telefoon gejat is kun je em ook nog is op afstand wissen.
dus denk dat het wel losloopt . maar idd waarom zou je de reader weg willen hebben .
Anoniem: 426269
@borft8 mei 2018 09:54
Dat koppelen met IMEI nummer is niet meer heel handig als je je telefoon hebt verloren of wanneer hij is gestolen. Of nog erger, wanneer je moet meewerken met iemand die een mes in je zijkant port. :)

Ik bankier ook niet via mijn telefoon. Eenmalig een 5-cijferige pincode in hoeven voeren en daarna nooit meer iets hoeven doen voelt gewoon niet goed. Ik ga er wel even voor zitten achter mijn laptop of desktop PC, gewoon via de website in combinatie met mijn identifier of tan code.
- koppelen authorisatie aan IMEI nummer, zodat het op een ander device / andere sim niet werkt
Hoe verander ik op een veilige manier die autorisatie als ik niet meer de beschikking heb over mijn telefoon door wat voor incident dan ook? Niet met een Rabo Scanner natuurlijk, want daar willen ze van af, dus waarmee dan? Met mijn bankpas bij een geldautomaat, of moet ik persoonlijk langsgaan met mijn legitimatiebewijs? Dan mag ik hopen dat je überhaupt in Nederland bent. Elke andere manier buiten je bankpas/legitimatie om opent fraudemogelijkheden voor criminelen.
Bij ING is dit bijvoorbeeld al het geval. Je moet ieder nieuwe apparaat nog eens extra verifiëren via de browser en wat extra handelingen. Daarnaast is het zo dat de app niet alleen met een vingerafdruk werkt, maar ook nog eens met een extra 5 cijferige pincode.

Dus stel ze jatten mijn telefoon, dan moeten ze of mijn vingerafdruk en/of toegangscode hebben + de 5 cijferige pincode voor mijn internetbankieren.

Alhoewel het tegenwoordig ook mogelijk is om de betaling alleen met een vingerafdruk te doen (niet aan te raden).

Stel ze jatten mijn pinpas, dan hebben ze alleen mijn 4 cijferige pincode nodig. Lijkt me een stuk minder veilig eerlijk gezegd.
Combineer dat met het feit dat veel mensen blindelings verbinding maken met alle gratis wifi-netwerken die ze maar kunnen vinden in de trein of op het terras en vervolgens gaan internetbankieren en de clusterfuck is compleet.
Wacht even, zeg je nu dat TLS is gekraakt?
[...]
Wacht even, zeg je nu dat TLS is gekraakt?
Ooit gehoord van Man-in-The-Middle attack, en ja TLS 1.0 is gekraakt daarom schakelt iedereen over naar TLS 1.2/1.3.

Mobiel bankieren kan veiliger zijn dan online bankieren met een browser. Maar alles draait nog altijd om cyber hygiene. Er bestaan ook mobiele malware-varianten, slecht app-design, slechte configuratie van mobile banking app, onveilige wifi-netwerken, etc.

[Reactie gewijzigd door KeiFront op 8 mei 2018 09:53]

Al zitten er 100 man 'in the middle'. Hoe kunnen die de TLS 1.2 data tussen mij en de bank lezen?
Onveilige wifi verbindingen hebben 0 invloed op bankieren via de app.

Het enige echte gevaar is malware op de telefoon zelf.
Ik denk dat je best even inleest over mitm attacks of over mitm proxies, etc. Onveilige verbindingen hebben zeker invloed daarom worden ze onvelig genoemd ;). Er zijn meer gevaren dan malware alleen.

FYI ik werk in de security sector.

[Reactie gewijzigd door KeiFront op 8 mei 2018 14:35]

Zou je mij even op weg zou helpen met een artikel dat uitlegt hoe de volgende situatie kan voorkomen:
  • De app vraagt: 'https://mijn.ing.nl' op
  • De app krijgt data terug die niet van ing afkomstig is.
  • De app vindt dit geen probleem, ondanks de attacker niet in bezit is van de private key van het certificaat van mijn.ing.nl
Uiteraard mag hier van mij een mitm proxy tussen zitten.
Svane, eerste google link als ik op banking mitm zoek:

Banking Apps Found Vulnerable to MITM Attacks
https://threatpost.com/ba...e-to-mitm-attacks/129105/
http://www.valencynetwork...in-the-middle-attack.html
Beide links doorgelezen, al deze aanvallen vallen in de volgende categoriën:
  • Er wordt helemaal geen https gebruikt. Dan is MITM uiteraard schadelijk
  • De app vraagt de http versie van de site op. Zie hierboven, geen https
  • De aanvaller installeert een eigen CA op de telefoon (en de app doet niet aan certificate pinning). Met certificate pinning hoeft zelfs dit geen probleem te zijn
  • De app vraagt de https versie van de site op, maar controleert niet of het certificaat geldig is. Effectief gebruikt de app hier ook geen https
Mijn vraag staat nog steeds. Is er een methode om https verkeer af te luisteren of aan te passen als MITM?
Je lijkt hierboven te beweren van wel, maar dat zou inhouden dat a) https compleet gebroken is, en dat b) https compleet waardeloos is. Als er geen MITM is, heb je 't niet nodig, als er wel een MITM is, kan hij 't afluisteren/aanpassen.

[Reactie gewijzigd door svane op 8 mei 2018 17:36]

Bedankt voor de links, maar niet echt overtuigend.

https://threatpost.com/ba...e-to-mitm-attacks/129105/

Deze link gaat over apps die niet checken of het certificaat wel voor de goede host is uitgegeven. Dit is iets wat browsers en normale apps (zonder gapende security-gaten) gewoon doen.

In het geval in het artikel vraag de app https://mijn.ing.nl op, en accepteert een certificaat van https://evil-site.nl (omdat beide certificaten uitgegeven zijn door Entrust vind de app het goed). Effectief past de app gewoonweg geen https toe.

Dus ja........ https verkeer kan gekraakt worden in zeer specifieke gevallen bij apps die https 120% op de verkeerde manier gebruiken. Technisch misschien correct, maar je antwoord mijn vraag van 'hoe breek je in bij een kluis', met 'dat is makkelijk, loop door de deur heen die iemand open heeft gelaten'.

Is er ergens een voorbeeld waarbij de app/browser het certificaat wel checkt?

[Reactie gewijzigd door svane op 8 mei 2018 17:08]

Malware op een endpoint of het roekeloos accepteren van onvertrouwde certificaten is inderdaad een probleem en vereist opvoeding van de gebruiker, dat is bij de gemiddelde Windows PC alleen niet anders.
Webserverbeheerders kunnen afdwingen welke TLS versies en ciphers gebruikt kunnen worden, daar ben ik niet zo bang voor bij een bank. Tegen echte MitM aanvallen (dus niet iets wat op 1 van de endpoints gebeurt) is dat gewoon veilig.

Ik heb m'n telefoon trouwens zo ingesteld dat ik een ongeldig TLS certificaat niet eens kán accepteren, je zal versteld staan hoeveel wireless netwerken standaard aan certificate spoofing doen om hun meuk in je browser door te drukken :D
Malware op het endpoint is een gegeven. Daar werkt de rabo scanner prima tegen.

Het idee dat computers onkraakbaar worden door een goede opvoeding klopt niet. Software zal altijd kwetsbaarheden bevatten en die zullen altijd misbruikt worden.
Anoniem: 421923
@Sfynx8 mei 2018 09:34
alles is te kraken natuurlijk :P
het gaat me om het gegeven dat een enkele code op een mobiel apparaat genoeg is om binnen te komen.

Teveel mensen begrijpen de waarde van MFA helaas niet, haten een apart kastje en vinden dat internetbankieren dood moet want mobiel bankieren is toch prima en veel makkullukur? :(
Smartphones zijn niet zo veilig als men denkt. Maar er geldt het zelfde "argument" als voor bijv. Apple Macs.

Er zijn amper gevallen bekend van misbruik, de lekken die er zijn worden nooit echt misbruikt voor dit soort dingen

Op de PC zijn zo ongelooflijk veel meer virussen/spyware te vinden, dat een smartphone inderdaad "Veiliger" lijkt. In werkelijkheid is het niets veiliger, maar de kans dat je iets overkomt is kleiner.

[Reactie gewijzigd door WCA op 8 mei 2018 09:43]

Anoniem: 421923
@WCA8 mei 2018 09:47
mijn belangrijkste punt is dat hoe meer mensen gebruik maken van mobiele apparaten, hoe meer hackers zich erop zullen richten.

Windows was ook altijd zo lek als een mandje, omdat de hele wereld erop zat, en hackers zich er op richtten.
Mac was dan veel veiliger, omdat er minder voor gemaakt werd, maar ook die tijd is voorbij.

Hoe meer banken hun gebruikers dwingen richting de mobiele app, hoe meer hackers zich op de mobiele app gaan richten.

Liever opsplitsen.

PC's zijn zo veilig als de gebruiker zelf. Als je geen rare websites bezoekt, geen rare dingen download, de boel netjes up to date houdt, en misschien zelfs een aparte pc gebruikt alleen voor internetbankieren, dan is de kans klein dat er iets mis gaat.
Zeker in combinatie met 2FA of MFA.

Nu wordt iedereen richting een enkele app gedreven. Met 1-factor authentication.
En dat vind ik raar. Je maakt het hackers wel erg makkelijk: 1 doel om zich op te richten, en minder factoren.
Mijn comment gaat puur over hoe het nu is, en de reden waarom iemand zou kunnen denken dat een telefoon veiliger is om te bankieren. Dat is nu dan ook nog het geval.
Anoniem: 421923
@WCA8 mei 2018 09:51
wel als je m up to date houdt.
Een iPhone ofzo lijkt me dan nog redelijk veiliger, en dat zeg ik niet omdat ik een fanboi ben. iOS houdt zichzelf meer up to date dan de gemiddelde Android build.
Het voordeel van iets als stock Android zoals Nexus dat had is dat er vaker updates voor kwamen.
De gemiddelde burger heeft een Android phone van Samsung of Motorola die eens in de 10.000 jaar een update krijgt. En hoeveel mensen hebben een budget Android die gemiddeld 2 volledige versienummers achterloopt?

Dat is het apparaat waar mensen mee lopen: verouderd, en slecht geüpdatet.
En ik vind dat banken daar ook rekening mee moeten houden.
Ik krijg anders 2 maal per maand een update op mijn Android met meerdere safety updates. Sommige maanden zelfs vaker dan 2 maal.
Anoniem: 421923
@dafskienl8 mei 2018 10:45
dat klinkt goed. Het is echter wel eens anders geweest.
de gemiddelde Android build.
@dafskienl Je weet het ongetwijfeld zelf ook wel, maar met twee (of meer!) updates per maand is de ondersteuning van jouw Android apparaat natuurlijk van ongekend niveau vergeleken met wat de 'gemiddelde Android build' zal ervaren.

[Reactie gewijzigd door SirNobax op 8 mei 2018 10:56]

Op de PC zijn zo ongelooflijk veel meer virussen/spyware te vinden, dat een smartphone inderdaad "Veiliger" lijkt. In werkelijkheid is het niets veiliger, maar de kans dat je iets overkomt is kleiner.
Volgens mij is het al een jaar of 5 zo dat er meer malware voor mobiele apparaten worden gemaakt dan voor PC's
Bron? Ik betwijfel dat ten zeerste
Je kan zelf zoeken maar ik kan me wel herinneren dat bijvoorbeeld Kapersky in 2016 bijna 9 miljoen verschillende varianten van mobiele malware heeft gevonden.
https://securelist.com/mobile-malware-evolution-2016/77681/
Maar misschien vind jij dat niet 'ongelooflijk veel'
Tsja, als je de totale malware bekijkt, dan is dat maar een klein gedeelte. Daarnaast is er nogal een verschil tussen een appje dat een keer een paar dure nummers belt (geen hack, gewoon iets waar iemand toestemming voor geeft, alhoewel onbewust. Social engineering dus) en een stuk malware die je browsersessie kaapt en je rekening plundert.

Laten we het zo stellen, ik weet dat dit statistisch natuurlijk nog niet zo heel relevant zijn, maar het zijn mijn eigen bevindingen.

Tijdens mijn 4 jaar dat ik computerhulp aan huis gedaan heb, heb ik 0 gevallen gezien van Android Malware, waar iemand geld aan kwijt is geraakt, of belangrijke data gelekt heeft. In die zelfde 4 jaar was het zo dat ik bij zo goed als alle klanten wel malware op de PC tegenkwam, en ook regelmatig malware waar mensen geld aan kwijt zijn geweest. (Cryptolockers, keyloggers etc)

Dat is niet per se representatief op grote schaal, maar de doelgroep die we bedienden zat wel allerlei soorten mensen tussen: slim, dom, oud, jong. Op een PC is het makkelijker om malware te krijgen, op een mobiele telefoon moet je er bijna je best voor doen om het te krijgen. Simpelweg omdat er op een PC meer entreepunten zijn (vrij programma's installeren, elke gebruiker heeft standaard admin rechten).

[Reactie gewijzigd door WCA op 8 mei 2018 10:47]

Bron? Ik betwijfel dat ten zeerste
O.a. McAfee's Mobile Threat Report voor Q1 2018 laat zien dat mobile malware over de periode 2015 - 2018 verviervoudigd is tot een aantal rond de 20mil. unieke varianten. Grofweg 12% daarvan bestaat uit mobile banking trojans.

Het is nog steeds niets vergeleken met Windows malware, waar het totaal aantal rond de 500mil. hangt, maar waar de groei aan de desktop kant remt, klimt het op mobile gestaag verder.

Terwijl je op een desktop systeem nog redelijk beschermd bent met anti-virus producten, hebben de meeste mensen zoiets op hun telefoon niet draaien. Noch heeft de gemiddelde persoon überhaupt door dat ze op hun telefoon ook virussen of trojans kunnen krijgen; "want dat is toch alleen op de PC?"

[Reactie gewijzigd door R4gnax op 8 mei 2018 20:03]

Bij iOS draaien apps toch als sinds jaar en dag gesandboxd? Bij hedendaagse Android versies ook dacht ik. Natuurlijk is sandboxing ook niet 100% waterdicht.

Betreft wifi, tja thuis op de WIFI is veiliger, en imo is via 4g / mobiel netwerk nog veiliger.
Anoniem: 421923
@dennis_rsb8 mei 2018 09:54
Misschien, maar hoeveel mensen hebben Androids met de laatste versie?
Hoeveel mensen hebben nog een budget android die amper bij Lollipop aanbeland is?
En hoe zit het met de updatecyclus van de gemiddelde Samsung of Motorola?
Ik vind dat banken daar echt rekening mee moeten houden als ze zeggen dat het allemaal veiliger en beter is.
Ik zeg ook niet de laatste versie hè :) Ik zeg hedendaagse android. Ik meen mij te herinneren dat sandboxing vanaf android 5 of 6 is ingevoerd. Wel ben ik het eens dat banken rekening moeten houden met slecht gepatchte telefoons. Mensen kunnen daar immers niets aan doen. Mensen gaan geen nieuwe telefoon kopen omdat ie geen updates meer krijgt, mensen weten het vaak niet eens.

Sowieso lijkt mij een 5 cijferige code nog altijd onveiliger, of het nu op Windows/Linux/Mac OS is, of op een telefoon/tablet. Die Raboscanner werkt gewoon als een soort tweestaps verificatie. Ik vind hem prettig werken, en ook makkelijker dan voorheen de random reader.
waarom is mobiel bankieren veiliger? Het lijkt me juist onveiliger, aangezien het allang gebleken is dat smartphones niet zo veilig zijn als men dacht.
Je weet nooit welke app meeleest.
Combineer dat met het feit dat veel mensen blindelings verbinding maken met alle gratis wifi-netwerken die ze maar kunnen vinden in de trein of op het terras en vervolgens gaan internetbankieren en de clusterfuck is compleet.
Volgens mij snap je dan niet helemaal hoe end-to-end encryption werkt. Je kan prima veilige dingen doen op een onveilig netwerk, mits de locaties die je bezoekt dat ondersteunen. Uiteraard heeft een bank geen amateurwebsiteje waar je via http inlogt.
Volgens mij snap je dan niet helemaal hoe end-to-end encryption werkt. Je kan prima veilige dingen doen op een onveilig netwerk, mits de locaties die je bezoekt dat ondersteunen. Uiteraard heeft een bank geen amateurwebsiteje waar je via http inlogt.
Al is de verbinding nog zo goed beveiligd, als je endpoint gecompromiteerd is ben je alsnog de sjaak.
Draait er een deftige banking trojan op jouw telefoon omdat jij het grote ongeluk hebt gehad de verkeerde site te bezoeken of de verkeerde app uit de app store te downloaden, dan kan die van alles en nog wat uitvreten lang voor dat data over die beveiligde verbinding zal gaan.

Dat is waar het probleem zit.
Een goed 2FA middel moet air-gapped zijn; met geen mogelijkheid direct verbonden op andere systemen die het 2FA apparaat kunnen compromiteren.

Smartphones vallen per definitie100% af als geschikt 2FA middel.
Tan-codes per SMS naar een dumbphone is wss. nog veiliger.

In dat geval moet er namelijk een catcher in de buurt zitten om je SMSjes te onderscheppen. Wat een veel hogere drempel is dan een stuk malware vanuit iedere hoek van de wereld uit kunnen zetten naar een compleet andere plek op aarde en daarna rustig op resultaat kunnen wachten.

[Reactie gewijzigd door R4gnax op 8 mei 2018 20:09]

Ik reageerde met name op het laatste in het gequote bericht, het vreemde idee dat het mogelijk zou zijn om alles zomaar mee te lezen bij een onbeveiligd wifi-netwerk. Het hele internet is gebouwd op dat andere computers je verkeer doorsturen, dat beperkt zich niet niet tot in de trein. Als je end-to-end encryption gebruikt dan maakt dat dus geen ruk uit. Als je apparaat zelf lek is, tja dan is uiteraard niks wat je doet veilig.
Ik reageerde met name op het laatste in het gequote bericht, het vreemde idee dat het mogelijk zou zijn om alles zomaar mee te lezen bij een onbeveiligd wifi-netwerk. Het hele internet is gebouwd op dat andere computers je verkeer doorsturen, dat beperkt zich niet niet tot in de trein. Als je end-to-end encryption gebruikt dan maakt dat dus geen ruk uit. Als je apparaat zelf lek is, tja dan is uiteraard niks wat je doet veilig.
Het punt is dat jouw app wel helemaal end-to-end beschermd kan zijn; maar als een andere app dat niet is, of als een browser websites bezoekt die dat niet zijn; dan biedt dat als nog de mogelijkheid om malware lokaal op het systeem te krijgen.

En op dat moment haalt heel die end-to-end encryptie niets meer uit.
Het lijkt me juist onveiliger, aangezien het allang gebleken is dat smartphones niet zo veilig zijn als men dacht.
Je verwart 'smartphones' met 'Android'.
Anoniem: 421923
@Aaargh!8 mei 2018 10:02
iPhone is ook niet onaangetast hoor :)

https://www.iculture.nl/n...aarlijk-lek-in-iphone-os/

maar je kan natuurlijk gaan bagatelliseren. Ik geloof ook wel dat het met iOS beter gesteld is dan met de gemiddelde Android-versie, maar het gaat om het idee.
Dat is het beste wat je kon vinden ? Een 'potentieel' lek uit 2009 ? Ik zal snel m'n iPhone 3GS checken of ie wel veilig is :')
Anoniem: 421923
@Aaargh!8 mei 2018 10:05
ik heb niet eens naar de datum gekeken, gewoon de eerste hit die ik kreeg op 'iphone lek' ofzo :P
Het gaat om het idee.

Ik kan natuurlijk ook die iBoot-lek aandragen (ook al komt die eigenlijk uit 2015).
En iPhones hadden ook last van Spectre en Meltdown.

Laten we niet doen alsof iPhone ontastbaar is.
Beter dan de gemiddelde Android, ongetwijfeld, maar niet 100% veilig.

[Reactie gewijzigd door Anoniem: 421923 op 8 mei 2018 10:09]

Tuurlijk is niets 100% veilig, daar gaat het ook niet om. Wat belangrijk is is hoe je omgaat met beveiligingslekken, en dat doet Apple over het algemeen netjes. Toestellen worden lang ondersteund en geüpdatet.

Daarnaast is iOS in de basis gewoon veel veiliger dan Android. Op Android zijn er veel meer mogelijkheden voor apps om kwaad te doen, op iOS is dit allemaal dichtgetimmerd. Zeker in combinatie met het gebrek aan controle op de Play store is dit een enorm risico.

Gelukkig ziet Google ook in dat ze hier fout zitten en worden bij elke nieuwe versie van Android de mogelijkheden verder beperkt.
Hoezo is mobiel bankieren inherent veiliger?
Daaruit kan ik alleen vinden dat ze heel veel testen, professionele hackers in dienst hebben en actief mogelijke aanvalshoeken proberen te verzinnen en afsluiten (ook al zijn er nog geen hacks bekend).

Saillant detail:
Vanuit SNS voegen we hier aan toe dat onze mobiel bankieren app (mits het nieuwste OS op de smartphone draait) 100% veilig is.
(nadruk door mij toegevoegd).

Ik weet niet of de verschillende android-toestellen genoeg worden geüpdatet om je app veilig te noemen, laat staan "inherent veiliger" dan internetbankieren.
mits het nieuwste OS op de smartphone draait
En daarmee valt 95% van de Android telefoons af.
iOS 11.x is nu 76% (linkje)
Android 8.x is 4.6% (linje)
Misschien een stomme vraag, maar is een android versie die ouder is maar wel een actuele security patch heeft niet net zo veilig?
"mits het nieuwste OS op de smartphone draait"

Ik denk van niet, anders hadden ze deze opmerking wel weggelaten. Ze zijn zich aan het indekken om minder aansprakelijk te zijn voor schade daar omdat ze dus voor oudere OS het niet kunnen of willen garanderen.
En buiten dat, 100% veilig bestaat niet.
De sns reader is standaard al minder veilig dan de rabo scanner.
Bij de rabo scanner heb je meer gegevens nodig en daardoor is het veiliger.
Bulk facturen betalen via de app? ;D Je telefoon is niet geschikt voor zakelijk gebruik waar multi-tasking en/of meerdere schermen én een toetsenbord een pre zijn. Moet er niet aan denken om alle IBAN's eerst op te schrijven en/of één voor een te kopiëren en plakken ( uit de app gaan = afsluiten! ).

Nee.. bankieren via mobiel doe ik alleen als ik een pizza bestel >_>
uit de app gaan != afsluiten, in ieder geval bij ios zit er een delay op, zodat je heen en weer kunt switchen zonder opnieuw te moeten beginnen.
Ik hoef de Rabo app maar voor een fractie van een seconde op de achtergrond te zetten en ik moet weer opnieuw inloggen en ben dan ook de overboeking kwijt waar ik mee bezig was.

SNS app heeft tegenwoordig trouwens een check erin zitten dat je niet kunt inloggen als er apps aanstaan die over andere apps mogen tekenen.
in ios? of android?
ik kreeg een keer een update, en dan stond er geloof ik in een melding specifiek dat je niet opnieuw hoeft in te loggen na switchen van app, en dit gebruik ik ook regelmatig
Zit op Android ( MIUI ). Daar heb ik nog nooit een melding voorbij zien komen, dat terwijl 'true multitasking' toch al veel langer in Android dan iOS zit :/

Maarja.. heb het idee dat Rabobank en Android geen goeie match zijn. Destijds bij de introductie van de nieuwe app kon ik zeker een half jaar niet inloggen op dat log/brak ding. Wat een ongelooflijk brak stuk software was dat.

Edit:
Net nog eens getest... werkt verdomme ook nog :P Geen idee wanneer dat is doorgevoerd tho, nooit een melding voorbij zien komen :o

[Reactie gewijzigd door quintox op 8 mei 2018 14:53]

ik heb m eigenlijk nog niet zo vaak gebruikt in android, eigenlijk alleen toen nog in windows phone 8 en nu in ios, ik weet wel dat die voor android toen net zo bagger was als voor wp8 (die oude ui, met de oranje ui elementen nog)
Ik weet niet wanneer je dit voor het laatst hebt geprobeerd en op welk OS. Maar dit is al tijden niet meer het geval op iOS.
ik hoor dat ook altijd in die reclames dat mobiel bankieren veiliger is, maar waarom? je kunt inloggen met 1 code, en dan kun je alles doen, al helemaal als je dan geen raboscanner meer nodig bent boven een bepaalde grens.
Bij iOS in ieder geval is het een stuk lastiger om malware te installeren dan op je desktop / laptop, omdat in de App Store alleen door Apple goedgekeurde apps staan.

Verder zijn 'aanvullende controles' of hoe ze het ook noemen een niet te onderschatten factor. Zo liep ik bij de Rabo, toen dat een keer aan de hand was, tegen een betalingslimiet aan van x euro. Op de site werd op zijn zachtst gezegd de suggestie gewekt dat dit een daglimiet betrof (wat een vorm van beveiliging is) maar later bleek dat je gewoon zo vaak als je wilde die x euro over kon maken.. Tja.. dan scheelt het al als je dat onmogelijk maakt.

Het zou al een hoop schelen als de Rabo je zelf een daglimiet in laat bepalen. Nu is dat in ieder geval bij de 'goedkope' abonnementen voor zakelijke rekeningen niet het geval.
dat zal inderdaad al weer schelen qua veiligheid, dat is ook waarom ik me afvroeg waarom het veiliger was, als je met een simpele code in principe zoveel kan overmaken als je wilt.
Ja, alleen… vrijwel iedereen heeft een password/inlogcode dan wel vinger-afdruk of iets dergelijks als beveiliging op zijn telefoon. Welke (hopelijk) anders is dan de inlog-code van je Rabobank Internetbankieren. Kortom dan is het toch weer een tweevoudige identificatie, 2FA.
Is toch gewoon een andere vorm van internetbankieren? Alleen de formfactor is anders.

En dan hebben we het nog niets eens over alle apps die je telefoon uitlezen.........

[Reactie gewijzigd door Sandor_Clegane op 8 mei 2018 09:19]

Ik maak geen gebruik van mobiel bankieren, dat vertik ik. Ik doe ook geen internetbankieren op computers die ik niet ken en het liefst alleen internet bankieren via bekende WiFi netwerken (kantoor, thuis etc.).

Van mij mag de Rabo Scanner blijven, top ding, maar zal wel teveel kosten om die dingen gratis uit te delen.

[Reactie gewijzigd door FastFred op 8 mei 2018 10:49]

Via de browser op je desktop is 'relatief' onveilig. Via je mobieltje is veiliger, dus snap wel dat de focus daar ook wat meer naartoe gaat. Bovendien is je telefoon een vorm van 2FA. Maar begrijp wel dat het niet voor iedereen fijner is (ouderen bv).

Overigens bizar dat de Rabo nog met die scanners zit te rommelen. Iedereen zit de ING af te zeiken, en die heeft een van de betere apps van de 'grootbanken' :P
Je telefoon is een vorm van 2fa, maar de scanner ook. Pinpas + pincode.
Niet dus, iemand jat mijn vingerafdruk van een glas en kan zo de telefoon én bankapp in.

Schandalige zet dit! Denken echt alleen maar aan geld ipv veiligheid ;(
Waaruit blijkt dat deze zet is ingegeven door geldlust?
Omdat het een bank is, én ze hoeven minder te supporten.

Windows Mobile hebben ze er al uitgegooid. Dus alleen Android en iOS om te ondersteunen..
Iedere onderneming met gezond verstand zou Windows Mobile eruit mieteren. Gewoon een kosten-baten kwestie.
Kom op zeg, Microsoft heeft Windows Mobile er zelf ook uitgegooid. Dacht je dat banken e.d. het dan wel zouden blijven ondersteunen? Iets met een dood paard..
Het zal vast mogelijk zijn, maar als ze het zó op jou(w geld) gemunt hebben komen ze er toch wel aan.
Vroeger moesten ze je vinger afsnijden en aan je vrouw sturen voor losgeld, nu mag je hem houden. Prima lijkt me.
Daar heb ik nog niets van gehoord bij moderne scanners. Heb je daar een bron van?
True, maar een scanner heb je (althans niet iedereen denk ik) niet altijd bij je. Een telefoon over het algemeen wel, en je zou zelfs (denk ik) een 2e telefoon kunnen instellen. Scanner kapot = wachten op een nieuwe.
Leuk, een 2de telefoon om veilig te houden. Liever een scanner die enkel een agent is voor het echte veiligheidsmiddel: De fysieke pinpas.
bedoelde meer een 2e telefoon als in dat als je telefoon stuk is (net zo irritant als bij een scanner) je evt je oude foon uit de la kunt trekken. Ze moeten wel authenticated zijn voor gebruik met de apps afaik. Niet met 2 telefoons rondlopen :P

[Reactie gewijzigd door 2Dutch op 8 mei 2018 10:15]

Uit de la, achter een ruitje van een halve centimeter? Dan kan je beter met 2 telefoons rondlopen. Laat staan de kans dat die telefoon volgend jaar kwetsbaar is voor Spectreshockbleed 3 oid vanwege updatebeleid.
Wachten op een nieuwe? Ik ga naar de Rabobank en vraag om een nieuwe, sta ik een minuut later weer buiten met een nieuwe Rabo Scanner op zak.
Moet er wel een Rabo kantoor in de buurt zijn. Ze sluiten er steeds meer :+
Dit is nu al tweede keer dat er gezegd wordt dat een mobiel "veiliger" is zonder kwalificatie waarom. Leg eens uit.
Desktops worden meer getarget door cybercriminelen. Je moet inloggen met een username/ww en die cyberdieven willen daar maar wat graag aan komen om zo makkelijk je rekening leeg te trekken. Via je mobiel log je in de app in via bijvoorbeeld je vingerafdruk. Dit is een veiligere optie dan op een website.

Begrijp me niet verkeerd, ik snap dat een desktop rustiger/overzichtelijker werkt. En natuurlijk kun je daar ook allerlei inlogtrucs voor maken zodat dat veiliger wordt. Maar op de desktop loop je meer kans op allerlei malware/trojantroep.
Als ik lees wat de FB app alleen al verstuurt richting FB en wat voor malware er in de playstore stond, ben ik het niet helemaal met je eens.

En die Apps gebruiken ook allerlei libraries waarvan je maar moet geloven dat ze goed zijn, zie ik mijn Firefox toch sneller updaten dan de App van de bank om eerlijk te zijn.

Maar ik snap je punt, deze discussie is net zo lang als dat het breed is.
Alleen ING begrijpt de principes van MFA niet. Het mooie van de scanner is dat je een apart apparaat hebt dat je nodig hebt om the authoriseren. Bij ING gaat de SMS naar hetzelfde apparaat dat ook de transactie doet. Met andere woorden, je hebt alleen het wachtwoord nodig.
voor mensen of organisaties zonder mobiel zal er waarschijnlijk alternatieven blijven bestaan voorlopig. Zie je altijd bij dit soort overgangen. Bij ING kan/kon je ook nog lang met tancodes werken via SMS.
Het is niet dat ik geen mobiel heb, maar ik heb niet de Rabo app erop staan. Bankzaken doe ik niet op mijn mobiel. Je kan hem ook gewoon uitlenen zonder dat hij eerst voor jou geconfigureerd moet worden oid.

Luddites!
dit dus. Ik mijd bankieren op mobiel apparaat liefst zoveel mogelijk.
Ik ben echter wel fan van authenticator apps.

Nu halen ze een forse beveiligingsstap eruit en brengen ze het terug naar een enkele statische code.

Ongelooflijk dit.
Dat het apparaatje 'onhandig' is in de ogen van veel mensen begrijp ik, maar deze stap begrijp ik niet.
Waarom zou je je mobiel niet kunnen uitlenen als je er een bank app op hebt staan.. Die is toch ook alleen toegankelijk met een code die niet per definitie gelijk is aan de toegangscode van je telefoon? Maar buiten dat; de veiligste optie vind ik bankieren via een iOS device uiteraard met 2FA. Android vertrouw ik net zo min als een PC.
Anoniem: 421923
@Fido8 mei 2018 09:44
ik vermoed dat veel mensen gewoon dezelfde code gebruiken voor de app als voor het ontgrendelen van hun toestel, of voor alle andere apps met een vergrendeling.
Hij heeft het geloof ik over het uitlenen van de scanner, niet de telefoon
Apple vertrouw je wel maar android of een pc niet?
Tja dat slaat dus nergens op. Apple apps kunnen net zo goed data farmen en je pc is zo veilig als je handig ben met computers en android is even veilig als ios.
Bedrijven zijn allemaal hongerig naar date tegenwoordig zelfs als ze niet weten wat ze er mee moeten.

Pc plus de reader is de veiligste optie die er momenteel is!
Ik snap dus absoluut niet wat mensen onhandig vinden aan de Rabo Scanner, gebruik je 'm zelf ook? Vind het een fantastisch ding, werkt rete makkelijk.
Anoniem: 421923
@FastFred8 mei 2018 11:00
ik gebruik m inderdaad ook.
Werkt prima inderdaad.

Het is lastig als je het ding vergeet, maar dat is dan natuurlijk eigen schuld.
Altijd meenemen als je weet dat je soms extern wil betalen.
Het is dus voornamelijk een gebruikersfout, en geen probleem van de Scanner.
Het kan makkelijker.
Maar niet makkelijker en even veilig.

Het is niet perfect maar een 5 digit code is zeker geen alternatief.
Het is inderdaad niet echt onhandig. alleen wordt de schermruimte slecht benut en worden de codes onnodig klein weergegeven. Voor mensen met minder goed gezichtsvermogen kan dat problematisch zijn en dat was prima te voorkomen door een beter ontworpen UI.

Ik ben ook geen groot liefhebber van de trend dat het allemaal maar steeds 'makkelijker' moet. Dat gaat altijd hand in hand met minder goede veiligheid en/of privacy. Doe mij maar ietsje minder makkelijk maar wel goed beveiligd. Ik heb genoeg smartphones maar die gebruik ik bewust niet voor betaalfuncties omdat ik dat onvoldoende veilig en privacyvriendelijk vind.

Ik denk ook wel dat de kosten voor de Rabobank veel met deze keuze te maken zullen hebben ook al doen ze alsof 'de klant het wil' of 'het niet meer van deze tijd is' en dat soort praat. Die scanners zullen zo langzamerhand aan vervanging toe kunnen raken en ik denk dat de Rabobank die vervangingskosten vóór wil zijn door op de smartphones van mensen mee te liften die ze geen cent kost. Die hebben de klanten helemaal zelf betaald.

Maar ik zal de scanner ook gewoon blijven gebruiken. Geen behoefte aan smartphonebetalingen.
Precies dit is wat mij betreft de enige veilige optie om online te bankieren.
Vingerscanners en dat soort meuk is niet zo veilig als ze zeggen en ik wil er niet aan.
Dat is informatie die niemand van me krijgt.
Geen telefoon fabrikant, geen overheid en dus ook de bank niet!
En een 5 digit code is helemaal zo veilig niet als iemand je code weet ben je de sjaak. En als deze via je tel verstuurd word ben je weer verplicht een apparaat bij de hand te hebben dus kan je beter een reader gebruiken die ook nog eens meer info geeft over de betaling.

Kwestie van tijd voordat het fout gaat en mensen de dupe zijn van deze onzinnige onveilige move.
Ik geloof dat je het jezelf onnodig moeilijk maakt. Je denkt dat je nu veiliger bezig bent, maar ik durf te beweren dat juist het tegendeel waar is. Over 3G/4G ben je veel minder kwetsbaar dan over je vaste internetverbinding thuis.
Dat geloof ik dus niet, thuis heb ik een pihole en een adblocker, op mijn 4G verbinding niets van dat.
Ik zie het verband niet tussen een adblocker en een bank app?\

Deze opmerking zegt mij eigenlijk al meer dan genoeg, en geeft heel goed aan waarom jij denkt dat je veiliger bezig bent, terwijl dat dus totaal nergens op gebaseerd is.

[Reactie gewijzigd door B00st3r op 15 mei 2018 11:34]

Zelfs tancodes op papier is een mogelijkheid.
Het dig is meer dat stiekem de raboscanner best snel en fijn werkt.

Ik ben er blij mee (maar wel voor achter de kompjoeter).
Ik vind het juist erg omslachtig dat kastje. Heb al een tijdje ING, betalen met ideal, ff een QR code scannen en klaar. 5 sec werk. Met zo'n kastje ben je toch al gauw een minuut bezig als je geluk hebt, want 1 typ fout en je kunt opnieuw beginnen.
We hebben het nog steeds over de Rabo Scanner? Daar hoef je alleen maar je PINcode in te voeren op hele grote knoppen. Dat zijn 4 cijfers die je kunt dromen als het goed is, en je hebt maar 3 pogingen.

Ik ken je niet, maar als je daar al moeite mee hebt om goed in te voeren.... 8)7
nee hoor geen moeite, maar nog steeds omslachtig tov bijv ING
Pinpas d'r in, pincode invoeren, QR op je monitor scannen, even checken of bedrag en rekeningnummer klopt, op OK drukken, code van Scanner invoeren op computer, done. Ik zal het speciaal voor jou eens timen, maar veel meer dan 15 seconden zal het niet zijn.

[Reactie gewijzigd door FastFred op 8 mei 2018 11:03]

Heb jij het kastje+pas altijd bij je dan? Ik heb mijn smartphone toch altijd een stuk dichter bij me dan een rabo scanner.
Nee, heb ik niet, tenzij ik op vakantie ben. Maar daar ging dit niet over.
Het ging over de tijd en omslachtigheid en als je time moet je de tijd dat je dat apparaat zoekt, je pas pakt en alles weer weg legt er wel bij op tellen.
Betalingen doe ik vanachter mijn computer, daar ligt ie ook gewoon. Als je dat ding iedere keer moet zoeken dan moet je nodig eens gaan opruimen. Op m'n werk wil ik wel eens privé wat betalen als ik wat bestel op internet ofzo, maar dan is er vaak wel een collega die er een bij zich heeft en anders wacht ik tot ik thuis ben.
Opnieuw beginnen?

Op Rabo reader kiezen voor 'Nieuwe Scan', pincode opnieuw invoeren en klaar....

Overdrijven is natuurlijk ook een vak!
Het blijft onhandig vergeleken met de ING app.
Ik vind het echt een heerlijk ding. Bloedrete snel, werkt goed in het donker, en net zo veilig als een pinautomaat. Ik hoop dat ik het gewoon kan blijven gebruiken, een stuk prettiger dan op een mobiel klooien.
Ik ben een typische gebruiker die geen zin heeft steeds een kastje te moeten pakken als ik online wat bestel. Voor kleine bedragen zou ik daar graag mijn telefoon voor gebruiken. Maar zo lang de veiligheid in gevaar komt zonder dat kastje, dan sta ik toch liever even op om dat ding te pakken.
Veiliger dan een pin automaat die kan namelijk verbouwd zijn zonder dat je het weet. De scanner heb je zelf onderbeheer.

Dankzij de scanner kun je met een onveilig apparaat/netwerk toch nog veilig bankieren.
ik doe mijn bankzaken gewoon thuis met een browser. Ik weet het: boring. maar ja.
Ik ook maar dan zonder scanner, hoeveel handiger is dat ? Aanzienlijk veel handiger.
De scanner ligt op mijn bureau......
En als je bankzaken (om wat voor reden dan ook) zou willen doen terwijl je niet achter je bureau zit? Dat kan dus niet.

Een beetje terug naar de tijd dat je alleen kon bellen als je thuis was, want daar was je telefoon. Dat heb jij nu met dat kastje. Ouderwets.
Helemaal mee eens. Ik werk uitsluitend op laptops en het enige moment dat ik thuis aan een bureau zit, is als ik eens een dag thuiswerk.
Als ik bankzaken en/of administratie doe, zit ik 9 van de 10 keer op de bank of aan de eetkamertafel.
Je klinkt als mijn collega, ben je niet natuurlijk, want hij is een digibeet van het eerste uur die weigert mee te groeien. Die is niet te vinden op Tweakers. Neen, hij gebruikt nooit de pricewatch. Hij gebruikt Bol.com. Hij vind het dan ook maar "eng" om dingen via z'n telefoon te doen. Doet alles via de computer en weigert zelfs de app op z'n telefoon te zetten. Dan is hij de "controle" kwijt, aldus zijn woorden.

Nu heeft ie geen keuze meer.
On the internet no one knows you're a dog. Of de collega van Greymane!

Wel leuk dat je gelijk weggezet wordt als zijnde een luddite. :)
Elk computer probleem dat hij heeft op z'n laptop en/of PC kom ik aan te pas. Zowel werk gerelateerd als privé. Absoluut een digibeet van het eerste uur.
Die scanner is eigendom van de Rabo. Gek genoeg als je er 1 extra nodig hebt mag je ervoor betalen.
"u ontvangt uw vervangende Rabo Scanner binnen twee werkdagen, zonder extra kosten"

https://www.rabobank.nl/p...e-rabo-scanner-aanvragen/
Vervangen is gratis idem voor je kapotte pas, ik hebt het over extra. Je dient bij vervangen de oude retour te sturen. Bij de oude readers was dit wel gratis.

"Rabo Scanner aanvragen
Vraag een extra Rabo Scanner aan. U betaalt € 14,95 voor een extra Rabo Scanner. Deze kosten worden automatisch van uw rekening afgeschreven."

https://www.rabobank.nl/p...a-rabo-scanner-aanvragen/

[Reactie gewijzigd door RobbyTown op 8 mei 2018 16:25]

Thnx voor de info, die is nieuw voor mij.

Ik ben wel benieuwd wat ze doen als je deze kwijt bent.
Zouden ze dan alsnog 14,95 in rekening brengen?
Ben bang van wel. Want vervangen dan dien je het oude SN van de kapotte in te vullen en retour te doen. Bij kwijt moet je rabo bellen dan tikken ze denk ik gewoon 15 euro af. Heb 1 in het verleden proberen te ritselen via kantoor in de stad. Helaas kan alleen online/bellen naar de rabo.
Voor sommige features zou je de scanner nog nodig hebben.
Op nu.nl staat dat omdat er mensen mensen zijn zonder smartphone (vingerscan moet er ook maar op zitten) zal hij nog bruikbaar zijn.

...Dus er veranderd niet zo veel? De vraag is hoe lang je dat ding nog kan gaan gebruiken, een paar jaar? Ik hoop het maar want ik wil zo veel mogelijk tijd uit mijn Lumia melken en niet opeens een Android moeten halen om bij mijn geld te kunnen.
Zelfde mening toegedaan.

Maar ook terug naar de bankpas inlezen is voor mij prima.
Doe persé niet, heb ook géén smartfoon, aan vinger/gezichts-herkenning en meer van die onzin, dan zijn ze me kwijt als klant.
Misschien kan er een petitie worden gestart, want. deze kant lijken alle banken op te willen gaan.
Precies hier het zelfde, ben niet zo van een Telefoon gebruiken op me bank zaken te doen.
Precies, thuis en veilig met de scanner, zo hoort t ook, boring but safe!
ik ook niet. AAB e-dentifier en verder niks. Ruilen voor 5 cijfertjes of een telefoon app en een vingerafdruk? Nee dus!
Helemaal eens. En..
Waarom moet mijn bank mn vingerafdruk, biometrie hebben voor een transactie? Met het kastje blijft mn privacy bij mij.
Helemaal mee eens!

[Reactie gewijzigd door GlobalHawk op 8 mei 2018 22:39]

Eindelijk :) weg met dat onhandige apparaat. Veel andere banken kunnen hun systemen prima beveiligen zonder het gebruik van zo'n log apparaat.
jij plaatst gebruiksgemak hoger dan veiligheid?
Er bestaat zoiets als bankaansprakelijkheid (zo noem ik het even voor het gemak) Je hebt wellicht een eigen risico van €150 euro wanneer er ongeautoriseerde transacties plaatsvinden maar in meeste gevallen krijg je netjes je geld terug van de bank.

http://www.ejure.nl/2015/...an-het-internetbankieren/
Daar zit niemand op te wachten, het moet gewoon veilig blijven, dat je achteraf je geld terug krijgt lost het niet op..
Er bestaat zoiets als bankaansprakelijkheid (zo noem ik het even voor het gemak) Je hebt wellicht een eigen risico van €150 euro wanneer er ongeautoriseerde transacties plaatsvinden maar in meeste gevallen krijg je netjes je geld terug van de bank.

http://www.ejure.nl/2015/...an-het-internetbankieren/
Het maximale plateau van 150 EUR aansprakelijkheid voor de consument geldt niet als je hebt gehandeld in strijd met de algemene voorwaarden van de bank. Stuk voor stuk stellen ze daaronder dat jij je PC adequaat moet hebben beveiligd (dwz. up-to-date OS; anti-virus pakket; etc.) en dat je geen illegale of quasi-legale grijs-gebied zaken op jouw systeem mag hebben, of het voor die middelen ingezet
mag hebben,

In veel voorwaarden zal ook geregeld staan dat jij om je onschuld hierin te bewijzen, je systeem voor onderzoek aan de bank moet openstellen, zodat zij een expert kunnen inschakelen om het te laten.doorlichten.


Wel eens zoals 80% van Nederland een filmpje ge-torrent of uit nieuwsgroepen gehaald, of een crack gebruikt voor een stuk software? Helaas; dan ben je de sjaak.

[Reactie gewijzigd door R4gnax op 8 mei 2018 20:41]

Wtf. Waarom zou je in godsnaam je extra authentication factor willen uitfaseren?
Zo veilig is het niet hoor, in tegendeel...

Je hebt een bankpas en een pincode nodig, meer niet. Aan zo'n kastje kom je zo, de benodigde informatie staat op de pas en dan heb je enkel nog 4 cijfers nodig. Nou... wees blij dat dat ding een keer weg gaat. Je voert gewoon je wachtwoord voor je internetbankieromgeving in, in het openbaar! (Winkel, terras, geld uit de muur...)
de benodigde informatie staat op de pas
Waarbij de pas niet economisch rendabel te klonen of emuleren is, of op afstand is te misbruiken zonder fysieke toegang. De applicatie en de smartphone waarop die draait, integendeel...

[Reactie gewijzigd door The Zep Man op 8 mei 2018 09:18]

Je kunt de app extra beveiligen met een vingerafdruk. Lijk mij ook iets fysieks..
Nee, want wanneer je oude niet-beveiligde Android toestel (Lees: 99% van de toestellen) een goede malware te pakken heeft, is het afvangen van een vingerafdruk ook triviaal. Door het afvangen van data op je toestel, kunnen aanvallers dan je rekening plunderen.

Dit was volledig onmogelijk met de scanner. Je kreeg een betalingskenmerk in vorm van een QR op je scherm, en signeerde deze met de rabo scanner (die gebruik maakt van je bankpas en pin code). Ook al had een malware volledige controle over jouw toestel, was het gewoon NIET MOGELIJK om je rekening te plunderen. Enkel een betaling hijacken als je zelf niet opletten (bijv. bedrag en bank nr niet controleren op je scanner).

Onvoorstelbaar deze actie. Dit is echt een reden om een andere bank te zoeken...
Ja mooi, ik ben naar de Rabo gegaan omdat de ING met de TAN codes stopt.
Telefonisch nog navraag gedaan, ofwel deze plannen zijn gewoon verzwegen.
Welke bank blijft er nog over?

[Reactie gewijzigd door 119961 op 8 mei 2018 12:40]

Bij andere banken is het al een stuk normaler het met een app te doen.
Bij andere banken is het al een stuk normaler het met een app te doen.
En als iemand anders van een klif afspringt, spring jij er achterheen?

Feit is dat andere banken hun 2FA gewoon nooit zo goed dichtgetimmerd hebben gehad als de Rabobank. Dat is voor veel mensen ook juist het selling-point geweest om een Rabo-rekening te nemen.

Oh welll als ze de Random Scanner laten vallen en er niet iets voor terug komt wat van hetzelfde kaliber is heb ik in elk geval ook geen reden meer om er nog langer te blijven hangen. Dan verscheep ik alles naar een andere bank die hogere rentes geeft; betere service biedt en minder kosten in rekening brengt.
Want laten we wel wezen: op al die andere belangrijke fronten doet de Rabo het de laatste jaren behoorlijk ruk...
Je kunt de app extra beveiligen met een vingerafdruk. Lijk mij ook iets fysieks..
Die beveiliging kan je ook weer uitschakelen, mogelijk via malware.
Die vingerafdrukken laat ik om de seconde ergens achter...
Anoniem: 421923
@xFeverr8 mei 2018 09:17
het voorlopige alternatief is nog eenvoudiger: een 5-cijferige code (of een vingerafdruk).

Dus minder benodigdheden. Zelfs niet eens de pas, niet eens de pincode. Alleen de telefoon van de gebruiker, en ik durf te wedden dat veel mensen voor de app gewoon dezelfde code gebruiken als ze gebruiken om de smartphone te unlocken.
Anoniem: 421923
@HansvDr8 mei 2018 10:10
ik vind het prima hoor, maar de banken willen dat je de app gaat gebruiken.
Zijn het eens met andere klanten dat zo'n extra kastje maar lastig is.
Helaas is er geen rekening-nummerbehoud anders was ik ook al lang weg bij die Rabo-Boeven.
Overstappen naar een andere bank (en dus nieuw rekeningnummer) schijnt niet zo ingewikkeld te zijn, een vriend van me heeft het in een middagje gedaan en ik ben zelf ook van plan om zeer binnenkort over te stappen. Ik raad je aan om de algemene en bank-specifieke informatie op https://eerlijkegeldwijzer.nl/bankwijzer/overstappen/ eens te lezen.
Kun je je voorstellen hoe veel gemakkelijker je leven zou zijn als je niet overal tegenaan schopt?

I.p.v. te klagen kun je ook het heft in eigen hand nemen en overstappen. Ik heb het ook gedaan, van Rabo naar ING, omdat de app van ING stukken beter is en omdat ik ermee contactloos kan betalen. Dat kon de Rabo app niet. Ik weet dat dit het tegenovergestelde is van jouw verhaal, maar toch.
Het is bij mij gecombineerd met een zakelijke rekening. Dat is echt geen pretje om over te stappen.
Voor contactloos betalen bij ing heb je toch een aparte app nodig?
Ja, dat klopt. Zodat je telefoon weet welke dienst hij moet gebruiken als je met je telefoon contactloos wil betalen voor iets.
Anoniem: 421923
@Pathogen8 mei 2018 09:12
volgens de logica van de Rabobank is de app net zo veilig.
Dus alleen de vijf-cijferige code, vingerafdruk of gezichtsherkenning.
Zowel voor toegang tot de app als voor betalingen.
Aldus de Rabobank.

Ofwel Bart Leurs vertelt niet het hele verhaal, of hij kraamt onzin uit.
Dus alleen de vijf-cijferige code, vingerafdruk of gezichtsherkenning.
Geen van die methodes komen ook maar in de buurt van het beveiligingsniveau van een tweetraps authorisatie. Sterker nog, het zijn zo ongeveer de zwakste beveiligingsmethodes die bestaan. Het enige wat nog slechter is, is een swipe.
Ofwel Bart Leurs vertelt niet het hele verhaal, of hij kraamt onzin uit.
Helemaal mee eens.

Dit gaat echt een probleem worden zodra criminelen zich hier op gaan storten. Enige wat je dan nodig hebt is iemands bankrekeningnummer en (foto van) een vingerafdruk en je kunt de rekening plunderen.

De klant is dan de dupe van de slechte beveiligingsmentaliteit van de bank. Uiteindelijk zal een rechter de bank dan wel weer terugfluiten en verplichten de schade te vergoeden, maar dat kan lang duren en ondertussen zit de klant met de problemen.
de banken lijken alle extra beveiligingsstappen uit te willen faseren.
Lekker makkelijk via 1 app, met 1 code, en dan moet je als klant maar hopen dat het veilig blijft.
Alle extra stappen die we hadden en kregen worden nu afgebroken.

Je zou verwachten dat banken MFA zou toejuichen gezien ze volgens mij nog steeds honderden miljoenen verliezen aan fraude.
Maar blijkbaar is de oplossing van de banken het dwingen van klanten om de mobiele app te gebruiken.
ze zwichten voor het gebruiksgemak blijkbaar.
Op NU.nl ook genoeg reacties die het prachtig vinden dat dat stomme kastje eindelijk verdwijnt.
Veiligheid (MFA) vindt men maar lastig.
De gewone burger vindt een simpele code blijkbaar prima.
Nah, rabo trolls die alle tegenwind proberen te sussen, hier ook al :)
Of Nu.nl citeert hem niet goed. Zal ook niet de eerste keer zijn.
Omdat: 'het extra kastje voor de app niet meer de beste oplossing is voor een steeds groter deel van de klanten'.
Erg jammer. Ik voel me juist erg veilig met deze oplossing.
Dat gevoel is dus volledig ongegrond. De app van bijvoorbeeld ING is minstens zo veilig en veel praktischer.
De app van bijvoorbeeld ING is minstens zo veilig en veel praktischer.
Zolang je telefoon opgeladen is en je daar een werkende internetverbinding op hebt zeker?
Zo kun je overal wel problemen in zoeken. 'Zolang de stroom niet uitvalt in je huis zeker?' 'Zolang je PC niet stuk gaat zeker?' 'Zolang de ING niet failliet is zeker?'
'Zolang de stroom niet uitvalt in je huis zeker?' 'Zolang je PC niet stuk gaat zeker?' 'Zolang de ING niet failliet is zeker?'
Dat is dus allemaal geen probleem. Ik kan op elke computer (die ik genoeg vertouw) met een webbrowser en internet mn bankzaken afhandelen.
Geen opgeladen telefoon voor nodig, geen mobiel internetabbo voor nodig, en ook geen apparte app voor nodig.

Het gaat er mij vooral om dat je dan niet afhankelijk bent van een relatief kwetsbaar apparaat (kwetsbaar als in, hij kan vallen, kan gestolen worden, batterijen kunnen op zijn, mobiel bereik kan slecht zijn, etc).
Dit soort problemen doen zich bijvoorbeeld bijna niet voor op desktops.
Je spreekt jezelf tegen. Wat is de rabo scanner als het geen 'relatief kwetsbaar apparaat' is (volgens jouw definitie)?
Verder heeft iedereen thuis wifi, waarom heb je het over mobiel bereik?
Begrijp echt niets van deze argumentatie :?
Dit argument slaat kant nog wal. De rabo scanner is exclusief voor gebuik icm internetbankieren en online betalingen. Daar heb je dus per definitie ook internet en toegang tot stroom of een niet-lege batterij nodig.
Dat gevoel is dus volledig ongegrond. De app van bijvoorbeeld ING is minstens zo veilig en veel praktischer.
Een app op een smartphone; een met internet verbonden apparaat dat met malware* gecompromiteerd kan raken, is per definitie onmogelijk zo veilig als een 2FA dongle zoals de Rabo Scanner, waarvan gegerandeerd is dat deze nooit in directe verbinding staat met andere systemen.

*) Mobile banking trojans omvatten zo'n slordige 12% van de poel van 20mil+ varianten aan bij McAfee bekende mobile malware. Niet echt een aantal om te negeren.
ditto that.

Met name de vraag/bevestiging dat het echt dat bedrag is, echt die ontvanger is een enorme pre voor de raboscanner. Met frames, lettertypes etc valt teveel te rommelen voor de eenvoudige consument.
Zeker weer een paar eurootjes ergens te bezuinigen :( Een raboscanner app zou overigens ook de lading kunnen dekken ?
Een raboscanner app zou leuk zijn, ware het niet dat daar je pinpas niet in kan :(
net niet, dan draai ik nog altijd op dezelfde telefoon als waar ik de bankapp zelf draai. Het voordeel van dat kastje is net dat het totaal gescheiden is en vraagt om een bevestiging. Qua beveiliging was het dus heel netjes geregeld, maar men lijkt nu in te gaan geven op de userexperiencewensen (Die zich vrijwel altijd bijten met security).

Het kastje zelf was voor mij prima, je kunt een limiet instellen op je rekening tot hoeveel euro je zo kunt overschrijven en online aankopen pak je dat kastje erbij.
Ik irriteer me vooral aan de limiet van het draadloos betalen en het feit dat als daarbij een pincode moet opgeven vaak de betaalactie moet worden afgebroken en opnieuw moet worden geinitieerd door de kassamedewerker.
Deze limieten kan ik niet een stukje opschuiven of instellen.
contactloos betalen kon je toch ook tot ik dacht 250 euro opschuiven? (al gebruik ik het zelf niet, die chip is ooit gesneuveld en het voordeel wat het opleverde was zo klein dat ik al meer dan een jaar gewoon mijn pincode in geef :') )
contactloos betalen kon je toch ook tot ik dacht 250 euro opschuiven?
Nee
Toch zou je zeggen dat dit met NFC in je mobiel en op je pinpas wel te doen zou moeten zijn. Of zie ik dan iets belangrijks over het hoofd?
Ja, dat Apple koppig is. Laat staan het geklooi met veilige NFC. Dat hebben we bij de OV kaart gezien :P
Nee juist niet. De kracht van dit kastje is dus dat het niet aan het internet hangt. Dus kan er ook niet mee gesjoemeld worden. Een app als 2FA voor bankieren op je telefoon maakt het al geen 2FA meer. Aangezien het hetzelfde ding is.
Het is altijd even wennen, maar dit is echt een stap de goede kant uit voor zowel veiligheid als gebruiksgemak.

Ik bankier enkel nog op m'n telefoon met behulp van de vinger afdruk scanner en ik gebruik NFC betalen waar mogelijk. Hierdoor is de kans dat m'n pincode afgekeken kan worden erg klein.
Nou mijn vingerafdruk krijgen ze niet dus zo betalen word al geen oplossing. Een 5 digit code is niet veilig dus blijft er niet veel over.

Deze actie lijkt wel gepushed door gewone winkels die webwinkels dwars willen zitten want verder is het nergens goed voor.
Je vinger afdruk voor betalen zit enkel in je telefoon. De vinger afdruk data wordt niet naar de bank gestuurd.

Ik zou juist denken dat deze actie goed is voor webwinkels. Als ik iets online bestel op m'n telefoon kan m'n betaal app de Ideal betaling meteen verwerken. Hoe makkelijk wil je het hebben. Die mensen die enkel contact willen betalen omdat ze niet willen dat hun betaal gegevens door banken verkocht worden shoppen hoe dan ook niet in webwinkels.
Tja dat is een risico dat ik niet neem. Joe vaak hebben we de afgelopen 15 jaar gehoord dat data toch werd verzameld?
En voor ieder voorval die we gehoord hebben zijn er tig waar we niks van horen.

Met de scanner lan je online betalen met volledige veiligheid de alternatieven zijn gewoon niet zo veilig of hebben andere nadelen zoals de mogelijkheid dat ze je bio gegeven verzamelen.
Ik besteed liever 20 seconden op de reader.
Ik ga liever met m'n tijd mee zodat m'n geld niet gestolen wordt. Die vinger afdruk hebben ze toch al van m'n paspoort uitgelezen ;)
Heb een id kaart over een passpoort verkozen dus die hebben ze niet.
En vooruitgang voor het gemak is niet altijd vooruitgang.
Ik kan niet wachten op de eerste lege bank rekeningen omdat het toch niet zo veilig blijkt.
Zo veilig is het niet met de raboscanner. Als je een malafide browser plugin hebt, dan maak je zonder dat je het door hebt geld over naar een andere rekening.

Ik heb ooit eens een proof of of concept gebouwd, dat was echt schrikken.

[Reactie gewijzigd door CaptainCapslock op 8 mei 2018 09:48]

De Rabo scanner toont tegenwoordig welke bedrag je overmaakt en aan wie en daarop kan je akkoord geven
Dat is best veilig en niet beinvloedbaar door een browserplugin.

[Reactie gewijzigd door TWyk op 8 mei 2018 10:02]

Ze laten maar 1 transactie zien in het schermpje van de raboscanner, terwijl je er gewoon 10 tegelijk mee kan ondertekenen.

Bovendien kan je de naam en omschrijving hetzelfde laten, en alleen het rekeningnummer wijzigen. Dat valt helemaal niemand op, mits je het bankrekeningnummer vervangt door een nummer van dezelfde bank.

Je hoeft de raboscanner dus niet te beinvloeden met de browserplugin.

Doormiddel van localstorage liet ik in het transactieoverzicht ook gewoon de bedoelde transactie zien, door de foute transactie gewoon te vervangen.

[Reactie gewijzigd door CaptainCapslock op 8 mei 2018 10:31]

Ze laten maar 1 transactie zien in het schermpje van de raboscanner, terwijl je er gewoon 10 tegelijk mee kan ondertekenen
Het bedrag dat ze tonen is wel het totaalbedrag. Dat is dus niet evident om aan te passen.
Bovendien kan je de naam en omschrijving hetzelfde laten, en alleen het rekeningnummer wijzigen. Dat valt helemaal niemand op.
Dat zou als het goed is niet kunnen omdat er een controlegetal bij zit en als je de naam en/of omschrijving richting de scanner aanpast dan matched dat niet meer.
Ze tonen inderdaad het totaal bedrag, dus dat moet hetzelfde blijven. De naam en omschrijving kan je ook hetzelfde laten, want waarom zou je dat willen aanpassen?

Alleen het rekeningnummer waar het geld naartoe moet pas je aan met de plugin.

Vanaf de 2e transactie, welke je tegelijk ondertekent, kan je niet eens meer zien dat je geld aan het overmaken bent naar een andere rekening.

Als je bij de eerste transactie het doel rekeningnummer vervangt voor een bankrekeningnummer van dezelfde bank, valt het ook niet op. Want weinig mensen kennen tegenrekeningen uit hun hoofd.
Je kunt de rekeningen en bedragen niet zo maar veranderen veranderen want dan verandert matched het controle getal niet meer in de scanner.
En dat controlegetal is weer de basis voor het genereren van de bevestigingscode.
De bevestigingscode die gegenereerd wordt past dus bij de rekeningnummer en bedragen die de bank verstuurd heeft en die je op de scanner hebt bevestigd.
Je begrijpt de werking niet helemaal.

1. Pagina voor nieuwe transactie wordt geladen. Hierin staat een <input>, waarin je de tegenrekeing typt.
2. Plugin maakt een <input type="hidden"> aan. Deze krijgt de name van de oorspronkelijke input en heeft stiekem daarin mijn eigen rekeningnummer.
3. Plugin verandert name van input waar de gebruiker daadwerkelijk de tegenrekening intypt.
4. Gebruiker klikt op "direct verzenden". De rabobank ontvangt mijn rekeningnummer als tegenrekening. Ondertussen heeft de plugin opgeslagen waar de gebruiker het geld naar had willen overmaken.
5. Rabobank genereert een QR code die correct is voor de transactie.
6. Gebruiker ziet de transactie op zijn raboscanner en ondertekent. Het enige wat verandert is, is de tegenrekening. Dus stel hij of zij maakt iets over naar NL12ABNA12345678910, dan gaat het nu misschien naar NL14ABNA0987654321. Echter, omdat de gebruiker ziet dat het bedrag klopt, de naam klopt en NL ABNA er ook in voor komt, type je al snel je controle getal over zonder dat je merkt dat je geld naar iemand anders aan het overmaken bent.
Nee, jij begrijpt het niet.

De gebruiker voer 10,00 euro naar rekening NL12ABNA12345 (van Pietje)
De MITM aanvaller stuurt naar de bank 10,00 euro naar NL26ABNA56789 ( van Capslock)
De bank genereert een scancode met "10,00", "Capslock" en een controlegetal

Ofwel de aanvaller gebruikt die scancode en dan ziet de gebuiker 10,00 euro en "Capslock" als ontvanger op zijn scanner
Ofwel de aanvaller genereert een eigen scancode met "10,00" "Pietje" en het zelfde controle getal als de bank en dan keurt de scanner dat af
Ofwel de aanvaller genereert een eigen scancode met "10,00", "Pietje" en een correct eigen controle getal waarbij is uitgegaan van "10,00", "Capslock" (als hij/zij weet hoe) maar dan keurt de bank de bevestigingscode af.

[Reactie gewijzigd door TWyk op 8 mei 2018 11:19]

Nee, jij begrijpt het niet.
O-)
De gebruiker voer 10,00 euro naar rekening NL12ABNA12345 (van Pietje)
Dit klopt
De MITM aanvaller stuurt naar de bank 10,00 euro naar NL26ABNA56789 ( van Capslock)
Dit klopt deels. De ontvanger naam wordt niet meer geverifieerd, dus het ontvanger rekeningnummer is inderdaad NL26ABNA56789, maar de ontvangernaam blijft Pietje.

Op de scanner zie je alleen dit:
10,00 naar NL26ABNA56789

Klopt dit?

Nee - Ja
Edit:
Er wordt dus helemaal geen nieuwe code gegenereerd door de plugin. De code blijft gewoon door de bank gegenereerd en daar hoeft niets aan gewijzigd te worden.

Bovendien, stel nu dat we 3 transacties willen ondertekenen:
10 naar NL12ABNA12345 (van Pietje)
9 NL12ABNA12345 (van Pietje)
8 NL12ABNA12345 (van Pietje)

We vervangen nu stiekem het rekening nummer van de twee laagste transacties naar NL26ABNA56789. Dan toont je scanner dit:
Aantal: 3
Bedrag: 27,00

Klopt dit?

Nee - Ja

[Reactie gewijzigd door CaptainCapslock op 8 mei 2018 11:39]

Op de Raboscanner wordt getoond waar je het geld naar overmaakt. Als je dat niet controleert maar blind accepteert, dan ben je niet slim bezig. ;)
Ze laten maar een transactie zien in het schermpje van de raboscanner, terwijl je er gewoon 10 tegelijk mee kan ondertekenen.

Bovendien kan je de naam en omschrijving hetzelfde laten, en alleen het rekeningnummer wijzigen. Dat valt helemaal niemand op, mits je het bankrekeningnummer vervangt door een nummer van dezelfde bank.

[Reactie gewijzigd door CaptainCapslock op 8 mei 2018 10:31]

1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee