Rabobank vervangt Random Reader door scanner met camera

De Rabobank gaat de Random Reader vanaf dit jaar uitfaseren. De authenticatiemethode van de bank moet plaatsmaken voor de Rabo Scanner. Dit is een nieuw apparaat met camera dat eind dit jaar uitgebracht gaat worden.

rabobank De vervanging van het authenticatiesysteem voor internetbankieren is nog niet officieel bekendgemaakt door de bank, maar Computerworld ontdekte dat het nieuwe systeem al beschreven wordt in de Algemene Voorwaarden terwijl de scanner ook al genoemd wordt op de site van de bank zelf: "De Rabo Scanner is de opvolger van de Random Reader. Naar verwachting wordt de Rabo Scanner eind 2014 geïntroduceerd. Meer informatie hierover volgt in 2014."

Uit de Algemene Voorwaarden zijn echter al meer details te halen. Klanten moeten hun bankpas in de Rabo Scanner stoppen en de kleurcode op het scherm van het apparaat dat ze gebruiken voor internetbankieren of Rabo Mobielbankieren, zoals een mobieltje, vervolgens scannen met de camera van de scanner. Daarop krijgen ze een inlog- en een signeercode. Klanten moeten alleen de signeercode invoeren als de betaalopdracht op het scherm van de scanner overeenkomt met de daadwerkelijk gewenste betaling. Verder staat in de voorwaarden dat de scanner op batterijen loopt.

In eerste instantie zullen de Random Reader en de Scanner naast elkaar te gebruiken zijn en de uitfasering van de reader zal enkele jaren in beslag nemen. Wanneer de Rabobank de Rabo Scanner officieel zal aankondigen is niet bekend.

IT-banen

Reacties (333)

alex3305 26 februari 2014 14:09

Mensen die zeggen dat smsjes onveiliger zijn dan een random reader weten volgens mij niet direct waarover ze praten. Beide zijn namelijk even veilig aangezien je toch werkt met two-way authentication. Als je namelijk de inloggegevens niet weet kun je niet inloggen en zonder extern apparaat kun je niet bankieren, of dit dan een mobiel met sms of een 'random reader' is maakt geen klap uit.

Dat je sms kunt onderscheppen, klopt. Maar daar heb je in de regel totaal niets aan. Aangezien de hacker dan nog steeds niet ingelogd is op de bankomgeving. Daarnaast zegt Rabobank zelf dus toch nog dat je het bedrag moet controleren, dus hier zie ik ook zo geen verschil. Wanneer het pas echt voor een hacker interessant wordt is als deze zowel de telefoon als de computer kan penetreren. Echter heb ik nog geen echte hack gezien die dit doet.

Een man-in-the-browser of man-in-the-middle attack is nogal altijd veel gemakkelijker, want je hoeft maar een apparaat te penetreren, sterker nog, dat hoeft niet eens een pc te zijn. Tezamen met phishing en social engineering zijn dit wel de meest gevaarlijke attacks om uit te voeren op een banksysteem. Niet het omzeilen of penetreren van de two-way authentication.

Overigens ben ik benieuwd hoe Rabobank dit met kleurcodes gaat afhandelen, aangezien beeldschermen (vooral op tablets en telefoons) dramatisch kunnen verschillen van elkaar. Persoonlijk denk ik eerder dat ze gebruik gaan maken van zoiets als Microsoft's Tag.

Dat ze dit dan niet via een mobieltje doen snap ik zeker om drie redenen. Ten eerste heeft niet iedereen een smartphone en zou een verplichte aankoop erg vervelend zijn voor bestaande klanten. Ten tweede kan een smartphone en een apparaat waarmee de transactie gedaan wordt op hetzelfde (wifi-)netwerk aanwezig zijn. Dit is dan wel weer een security issue, aangezien afluisteren en manipulatie dan veel gemakkelijker wordt. Ten derde wil Rabobank denk ik niet dat hun app dan reverse enginered wordt waardoor het algoritme bekend zou worden. Ook zouden jailbreaks en root-toegang roet in het eten kunnen gooien.

MadEgg @alex3305 • 26 februari 2014 14:45

Er is een groot verschil. Bij de Random Reader werk je met je pincode die persoonlijk en automatisch toegewezen is. Bij de ING werk je met een wachtwoord wat in de regel niet veel verder komt dan 'TanteTruus1972' en dus een veel lagere veiligheid biedt.

Bovendien verplicht je bij de Random Reader de gebruiker om een aan de rekening gekoppelde bankpas te hebben terwijl dit met de TAN-codes ook al niet nodig is.

Dus bij ING:
- inloggen kan vaak eenvoudig dankzij de lachwekkende wachtwoorden die veel mensen gebruiken
- TAN-code kan je eenvoudig bemachtigen doordat veel mensen hun telefoon overal en nergens laten slingeren

Bij de Rabobank:
- inloggen lukt niet zonder pas, random reader en pincode
- betalen lukt niet zonder pas, random reader, pincode en actieve bevestiging van het bedrag dat overgemaakt moet worden. Bij hoge bedragen wordt hier zelfs een deel van het rekeningnummer van de begunstigde nog in verwerkt ter extra controle.

Het lijkt mij wel duidelijk wat veiliger is.

alex3305 @MadEgg • 26 februari 2014 15:24

Ik snap je punt ook wel, maar helaas klopt je theorie niet. Zoals bij de ING zijn er ook legio mensen bij de Rabobank die hun pincode delen of in hun portemonnee of tas hebben zitten. Dat is vergelijkbaar met een gemakkelijk wachtwoord bij de ING. Tevens is de random reader geen extra beveiliging, want die zijn te gemakkelijk te krijgen.

Dus als je de beveiliging op een rijtje zet, dan kom je (momenteel) tot de huidige conclusie:
Rabobank: Pinpas, random-reader, pincode
ING: Gebruikersnaam/wachtwoord, mobiele telefoon

Je ziet dus dat wanneer je bij Rabobank de random-reader uit de vergelijking weghaalt, eigenlijk de beveiliging even veel factoren heeft. Dat je een wachtwoord misschien makkelijk kunt raden is waar, maar hoeveel mensen delen hun pincode wel niet (met partner, kinderen, ouders, etc.)? Allebei is het dus eigenlijk even veilig.

PhilipsFan @MadEgg • 26 februari 2014 15:15

Natuurlijk is de random reader of straks scanner veiliger. Maar het gaat niet om absolute veiligheid. Wat je je als bank moet afvragen is of de extra veiligheid opweegt tegen het verminderde gebruikersgemak.

Dat van de wachtwoorden is een goed punt, al kun je als bank tot op zekere hoogte afdwingen dat een wachtwoord een bepaalde moeilijkheidsgraad moet hebben. Maar dat is dan weer minder handig. En trouwens, 'TanteTruus1972' is voor de gemiddelde crimineel die verder niks van je weet best lastig om te raden.

Je andere punten hebben betrekking op situaties die nooit voor zullen komen. Mensen laten hun telefoon inderdaad slingeren, maar daarmee heb je nog geen wachtwoord. Als crimineel kun je een telefoon jatten, maar dan moet je nog achter de bijbehorende username/wachtwoord combinatie komen en dat is nog niet zo makkelijk. En als je een username/wachtwoordcombinatie hebt, dan is het ook niet makkelijk om de bijbehorende telefoon te bemachtigen.

Dat je de bankpas nodig bent lijkt een voordeel, maar in de meeste gevallen waarbij een telefoon wordt buitgemaakt (berovingen) heb je ook de bankpas. Het enige wat je dan nog mist is de pincode (rabo/andere banken) of het wachtwoord (ING). In beide gevallen kun je geen geld overboeken. In theorie is de random reader/scanner veiliger, in de praktijk zijn ze allebei veilig.

[Reactie gewijzigd door PhilipsFan op 24 juli 2024 17:51]

alex3305 @PhilipsFan • 26 februari 2014 15:28

Ik denk dat je vooral bedoelt dat de random reader veiliger lijkt op papier. Maar eigenlijk is het gewoon allebei even veilig. Zoals ik hieronder al zeg kun je voor elk pluspunt bij Rabobank een tegenargument bedenken, maar zo ook bij ING, ABN Amro, SNS, etc.

Een echt goed veiligheidssysteem zou pas zijn wanneer je three-way authentication zou hebben, maar dat gaat weer ten koste van de klantvriendelijkheid en is dus niet interessant. Een voorbeeld van three-way authentication zou een random reader (incl. pas), mobiele telefoon (sms) en logingegevens (gebruikersnaam en wachtwoord) zijn. Echter denk ik dat weinig mensen er zin in hebben om zoveel gegevens en apparaten mee te moeten sjouwen om gewoon te kunnen betalen.

Uiteindelijk kun je met de juiste aanvallen overigens toch aan alle gegevens komen of de transactie manipuleren. Dat betekend niet dat je het fraudeurs of dieven gemakkelijk wilt maken, maar two-way authentication zoals we nu gebruiken is eigenlijk veilig genoeg voor iedereen. De meeste gaten zitten namelijk nog steeds in berovingen en social engineering, en dat kun je niet zo gemakkelijk aanpakken.

Jasper Janssen @alex3305 • 26 februari 2014 19:18

pinpas+sms+login is nog steeds two factor, geen drie.

Something you know en something you have, namelijk. Dat er twee stuks something you have bij gemoeid zijn maakt het nog steeds niet meer dan two-factor.

hackerhater @alex3305 • 26 februari 2014 17:44

Het grote gevaar bij (android) smartphones zit erin als mensen 3-party installs aan hebben staan en de mobiel aan de pc hangen. Via de ontwikkeltools kan je vanaf de pc dan de mobiel automatisch besmetten zonder gebruikersinteractie. Geen notificatie, geen bevestiging van rechten, nada.
Dit is dezelfde ingang die voor de ontwikkeling van android apps wordt gebruikt om apps te testen.

De driver moet wel met beheerdersrechten gestart worden, maar als je de pc al besmet hebt is dat geen enkel probleem. Op deze manier heb je de login & het controle apparaat onder je controle

Señor Sjon @PhilipsFan • 26 februari 2014 17:13

Ik heb vorig jaar een aanval op mijn bankrekening overleefd, ondanks up-to-date van alles. Die is hier ook op tweakers gepost. Op die manier kunnen ze bij ING al op je rekening komen en een betaling klaarzetten. Dat is een stap verder dan ze bij banken met randomreaders komen. Gelukkig stond het bedrag wel in de TAN, dus ik verloor er geen geld mee, maar dan nog. Er zijn genoeg anderen die wel de sjaak zijn geweest.

Via allerhande bankapps is ook al een deel van de authorizatie weg en kan je zo tot 50-250 euro verliezen. Mind you, banken hebben net de voorwaarden aangepast om het eigen risico bij de klant te leggen.

Plopeye @alex3305 • 28 februari 2014 22:56

Sms is onveiliger dan een random reader. het mag dan 2 weg auth zijn maar wil je mij eens uitleggen hoe je de uitkomst van de randomreader zou kunnen onderscheppen?

sms onderscheppen is een stuk eenvoudiger en gebeurt ook!
Zeus en Zitmo bijvoorbeeld... (bedenk je dan dat dit 2010/2011 al een feit was... het is nu 2014 en de malware boeren hebben niet stil gezeten)

http://www.securelist.com...Mobile_Facts_and_Theories

Xanthorax

26 februari 2014 14:10

Deze dus http://www.vasco.com/prod...igipass/digipass_760.aspx

Yucko @Xanthorax • 26 februari 2014 14:21

volgens mij niet, want in deze hoef je je pas niet te schuiven .. en volgens het artikel is dat bij de Rabo Scanner wel het geval.

Het zal eerder zoiets zijn als deze: Digipass 836

The interface does not require any software or driver as the communication is established through a flashing pattern on the user’s PC (Javascript, Animated Gif or Adobe Flash) and the photo sensors of the DIGIPASS 836.

het ding heeft een 2-tal knoopcel batterijen als voeding die je als eindgebruiker kunt vervangen, dus je hoeft niet steeds een nieuwe reader te halen bij je Rabobank filliaal

replaceable batteries (dual 2032 battery cell)

[Reactie gewijzigd door Yucko op 24 juli 2024 17:51]

vide @Yucko • 26 februari 2014 14:28

Oh, die dingen. In België gebruikt KBC die al minstens een jaar.

Carrein @vide • 26 februari 2014 18:46

Meer info: https://www.kbc.be/PBL/CC...oice=b2c&secid=ucrcomfort

teun-v

26 februari 2014 14:22

Hoop dat het een apparaatje wordt als deze . In Duitsland erg normaal om met online banking te gebruiken. Het ding leest een code van het scherm waarna je ter ferificatie het bankrekening nummer en het bedrag op het apparaat te zien krijgt als het klopt ginereert het een tan code die je in vult in je online banking.

Edit: hier een filmpje

[Reactie gewijzigd door teun-v op 24 juli 2024 17:51]

wilcovanlier @teun-v • 26 februari 2014 21:32

Heb ook zo'n apparaat bij mijn Duitse bankrekening, helaas moet je vaak meerdere keren scannen voordat het apparaat de code op het scherm begrijpt.

Virtlink 26 februari 2014 17:30

Volgens mij is dit nieuwe Rabo Scanner-systeem makkelijker en veiliger dan het Random Reader systeem. Makkelijker omdat je hierbij alleen je pin in het apparaat en het resultaat in de browser hoeft te typen, terwijl bij de Random Reader je ook nog één of twee extra getallen moet overtypen in je reader.

Veiliger omdat je in feite een digitale handtekening maakt voor de transactie. De kleurencode bevat waarschijnlijk de belangrijkste transactie-informatie (dus bedragen en rekeningnummers), en is waarschijnlijk moeilijk na te maken. Door de code te scannen krijg je die transacties ook op het apparaat te zien (en dus kan je die informatie makkelijk verifiëren). Door je PIN in te toetsen zet je in feite een digitale handtekening voor die ene transactie. Dat resulteert in een uniek getal voor die transactie.

Zou een aanvaller (bijvoorbeeld een virus in je browser) een extra transactie toevoegen zonder de kleurcode te manipuleren, dan klopt de digitale handtekening die je met het apparaat zet niet met die de bank verwacht, en gaat het feest niet door.

Zou een aanvaller dan toch de transacties én de kleurcode kunnen manipuleren, dan verschijnt er dus het verkeerde bedrag op je apparaat, zelfs als het virus in je browser de extra transacties niet laat zien. Dat zal hopelijk de gebruiker opvallen, en opnieuw gaat het feest niet door.

88Weighed 26 februari 2014 21:29

Inmiddels heeft de Rabobank het zelf ook wereldkundig gemaakt: https://twitter.com/Rabobank/status/438760814590558209

http://www.rabobank.nl/pa...&utm_content=rabo_scanner

Bender 26 februari 2014 13:36

Ik heb liever dat ze eens stoppen met externe apparaten en met een apparaat gaan werken dat nagenoeg iedereen al heeft, een smartphone.

flipjevandejam @Bender • 26 februari 2014 13:38

QR-code van het scherm af scannen met je mobiel via de app ter validatie, goed idee!
Dit zou voor de verandering behoorlijk innovatief zijn.

CivLord

@flipjevandejam • 26 februari 2014 15:01

Dat zou inderdaad wat zijn.
Hier gaat het echter om een apart apparaatje waar je je bankpas in moet stoppen en de code van je beeldscherm moet scannen, waarna het zelf een code geeft die je moet overtypen op de pc of telefoon waarmee je aan het bankieren bent.

Op zich niet omslachtiger dan een randomreader (maar wel veel omslachtiger dan tancodes via SMS). Maar ik ben benieuwd hoe storingsgevoelig de scanner van het apparaatje is, hoe lang de batterijen meegaan en hoe groot het apparaat is. Daarnaast lijkt mij dat een apparaat met een scanner en een chip die de beeldbewerking aankan het apparaat duurder maken dan de huidige randomreader.

Ik vraag me trouwens af wat het scannen van een code van een scherm veiliger maakt dan het overtypen van een code van een scherm. Oké, de te scannen code kan heel veel ingewikkelder zijn dan een over te typen code, een ingewikkelde onbekende is niet veiliger dan een minder ingewikkelde onbekende wanneer je niet de kans krijgt om een code meerdere keren uit te proberen.
Ik vrees dat het nieuwe apparaat meer een gimmick is waarmee het grote publiek ten onrechte wordt wijsgemaakt dat Internetbankieren bij de Rabobank veiliger is.

Jasper Janssen @CivLord • 26 februari 2014 18:43

De cryptoconstructie is gewoon hetzelfde als nu met random reader, alleen nu is de input aan de crypto engine van de random reader door wat getalletjes in het toetsenbordje te tikken (en dat kunnen er dus niet teveel zijn want anders steigeren mensen) en wordt dus straks het scannen van een QR-achtige code (maar dan met kleur) van een scherm door middel van een cameraatje. Dat is gewoon een heel stuk *minder* omslachtig dan de huidige RR stijl.

Qua hardware moet je gaan denken aan de allersimpelste featurephone: 320x240 touchscreen schermpje, 640x480 front camera, iets in die orde. Dat zal duurder zijn om te maken dan de huidige random reader, maar binnen de 15 euro die die dingen volgens mij kosten kan dat prima, zeker in miljoenen-volume.

cire @Jasper Janssen • 26 februari 2014 19:27

De cryptoconstructie is gewoon hetzelfde als nu met random reader zeg je. Ik denk dat je geen gelijk hebt. Op dit moment type je een getal over van het scherm op de reader. Voor zover ik kan zien zit hier verder geen informatie in gecodeerd. Ik kan me voorstellen dat dit met de nieuwe reader wel het geval is. Dus dat je op de reader te zien krijgt dat je €100 gaat overmaken naar nr xyz. Daarmee is het wel degelijk veiliger gemaakt.

Jimster @CivLord • 26 februari 2014 21:59

Het grote verschil is dat mensen niet meer door criminelen gebeld kunnen worden om even een paar codes in te tikken in de Random Reader en deze codes telefonisch door te geven. Je moet je PC voor je hebben om een signeercode te kunnen genereren.

CivLord

@Jimster • 27 februari 2014 08:54

Mensen die daar nog op ingaan kun je ook vragen om naar een 'testsite' (bv. ReaderestRaboank.com) te gaan waar de afbeelding naar toe wordt doorgezonden en te vragen om met de testafschrijving van € 999,99 akkoord te gaan, die "echt, eerlijk waar niet van uw rekening wordt afgeschreven".

Hoe veiliger iets lijkt, des te minder bedacht veel mensen zijn op misbruik.

sickyb @CivLord • 26 februari 2014 16:56

Het wordt wel degelijk veiliger.

Een andere nieuwe functie is dat de Rabo Scanner een actieve terugkoppeling geeft over de transactie die wordt uitgevoerd
bron

Het gaat dus niet zozeer om een ingewikkeldere code dan wel dat er in die code meer informatie zit.

Het apparaat wat niet gekoppeld is aan de PC bevestigd zo onafhankelijk wat je aan het doen bent. (geld overmaken naar rekening die en die in Rusland ofzo)

[Reactie gewijzigd door sickyb op 24 juli 2024 17:51]

DarkFire1985 @flipjevandejam • 26 februari 2014 15:55

Bij de comdirect in Duitsland, waar ik dus gebruik van maak, kan je kiezen tussen een aantal validatie mogelijkheden.

Een daarvan is de nog zo oude TAN-code lijst maar daarnaast hebben ze sinds enige tijd de mogelijkheid tot phototan, een app die gekleurde QR-codes leest.
Op je computerscherm (of elk ander scherm uiteraard) verschijnt een QR-code in kleur en even je smartphone camera ervoor en de code verschijnt in de App. Deze voer je daarna uiteraard in je online banking.
Ideaal.

Overigens leg je uiteraard zelf vast welke smartphone deze codes mag lezen / genereren.

Zie ook: http://www.comdirect.de/cms/photo-tan.html

Soldaatje @flipjevandejam • 26 februari 2014 13:45

Zoiets zou je natuurlijk zelf kunnen maken met browser extensies die de code lezen en er een QR-code van maken, en een app op je telefoon die dat weer omzet in de code en plakt in de bankieren-app.

ATS @Soldaatje • 26 februari 2014 13:54

Hoe maak je via een browser extentie een app die een code op een extern apparaat leest? Doe dan gewoon direct OCR op die code in de reader... Maargoed, een QR code is natuurlijk veel makkelijker automatisch te lezen dan een code in normaal schrift, en integratie in een app is veel handiger dan externe toevoegingen gebruiken.

Ereaser @flipjevandejam • 26 februari 2014 13:40

Zou in ieder geval een stuk gemakkelijker zijn dan die codes steeds weer in te typen. (Twee keer zelfs als je wilt inloggen en vervolgens geld overmaken)
Heb er op zich niet zo'n probleem mee, maar het kan natuurlijk makkelijker.

trogdor @flipjevandejam • 26 februari 2014 14:16

Alleen heb je dan alsnog 2 devices nodig, een met een camera en een met een scherm.

Napalm @Bender • 26 februari 2014 13:38

Dat hoop ik dus niet. Ik vind een extra apparaat niet zo heel erg, ik kies voor veiligheid.
Voor een smartphone geldt dat daar heel veel mogelijkheden zijn om "vervelende" software te plaatsen.

Op de randomreader heb ik het gevoel dat daar minder mogelijkheden zijn om de boel aan te passen. Misschien is het subjectieve veiligheid maar laat me daar dan maar in geloven.

dmantione @Napalm • 26 februari 2014 20:13

De veiligheid van de randomreader zit 'm in het feit dat je je pinpas erin steekt. In de pinpas zit de geheime code waarmee inlogcodes gegenereerd worden en die pas is zo gemaakt dat die geheime code er niet eenvoudig uit is te lezen. De pinpas is ook de meest logische plaats om die code te bewaren: Als je kan pinnen kan je via de geldautomaat de rekening leeghalen, dus is het ook logisch dat als je pinpas hebt en pincode weet kunt internetbankieren.

Als je de functionaliteit van de randomreader in ander apparaat zoals een mobieltje zou inbouwen, dan zou het niet eenvoudig zijn om de geheime code geheim te houden. Als de geheime code eenmaal uit de telefoon ontvreemd is kan je zonder pincode inlogcodes gegereren en iemands rekening daarmee leegplunderen.

Het tancodesysteem van ING doet het op dit punt wel goed (geheime code om TAN-codes te genereren blijft bij de bank en kom je niet te weten), maar laat op andere punten steken vallen:

Het verzendkanaal van de SMS is niet erg beveiligd tegen afluisteren. Zendmasten die een groot gebied bestrijken is wat dit betreft vragen om problemen.
Omdat het niet doenlijk is voor elk wissewasje een SMS te sturen is er de login/wachtwoord bijbedacht en die zijn niet bepaald onfeilbaar.
Telefoons zijn een geliegd object onder dieven. Als het gelijk een toegang is tot een bankrekening is het feest compleet.
Telefoonnummers van mensen kunnen veranderen wat betekent dat er manieren moeten zijn om het te veranderen, dit zijn tevens zwakke punten.

Goldwing1973 @Napalm • 26 februari 2014 14:02

In het princiepe is het al nagenoeg onmogelijk om een verstopte transactie van meer dan €0,99 te doen via telebankieren van de Rabobank.
Bij het afronden van iedere transactie moet je als 2e controle getal altijd het te overboeken bedrag voor de komma invullen in de random reader (dus als je €123,45 moet overmaken is het 2e controlegetal 123)
Indien iemand een transactie verstopt dan klopt het bedrag voor de komma niet meer en valt het direct op.

Sissors @Goldwing1973 • 26 februari 2014 14:26

Behalve wanneer je die 1 euro (of meer) af haalt bij de andere transactie. Dan lukt het nog steeds prima om een transactie erbij te gooien.

Dit lijkt mij een prima idee. Het grote probleem blijft natuurlijk dat de gebruiker wel moet opletten, maar daar doe je weinig aan. Ik neem aan dat als je de code scant, hij op het schermpje laat zien welke betaalopdrachten je allemaal gaat doen en naar wie (met naam erbij). Dat is toch een stuk handiger dan enkel het totaalbedrag, en soms rekeningnummer van de grootste transactie in te voeren. Zo ben je in principe ongevoelig voor virussen op je PC, zolang de encryptie van die code niet gekraakt wordt. En dan ben je nog steeds niet slechter af dan nu.

cire @Goldwing1973 • 26 februari 2014 19:29

Je hebt gelijk, maar dan moet je je als gebruiker wel realiseren dat het 2e getal het bedrag is. Als de man-in-the-browser zegt, toets nu 2000 in, en jij doet dat, ben je alsnog het haasje...

CivLord

@Napalm • 26 februari 2014 15:10

Voor een smartphone geldt dat daar heel veel mogelijkheden zijn om "vervelende" software te plaatsen.

En dan nog. Dan weet de één of andere malware-verspreider in de Oeral dat jij net een bepaald bedrag hebt overgemaakt. Voor dat het gevaarlijk wordt moet diezelfde crimineel ook je PC geïnfecteerd hebben én weten dat telefoon en PC bij elkaar horen. In theorie zal het mogelijk zijn, maar het is te omslachtig om lonend te zijn.

GewoonWatSpulle @Bender • 26 februari 2014 13:37

Laat die telefoon van jou nou net het meest gestolen object ter wereld zijn.

Klanten moeten hun bankpas in de Rabo Scanner stoppen en de kleurcode op het scherm van het apparaat dat ze gebruiken voor internetbankieren of Rabo Mobielbankieren, zoals een mobieltje, vervolgens scannen met de camera van de scanner. Daarop krijgen ze een inlog- en een signeercode.

Dus veel meer gedoe voor nog steeds maar 2 codes?

[Reactie gewijzigd door GewoonWatSpulle op 24 juli 2024 17:51]

LOTG @GewoonWatSpulle • 26 februari 2014 13:42

Ik denk dat die kleurcode ook encrypted is en nu zie je dus het bedrag op je scanner, in plaats van je browser die gevoelig is voor mallware.

Het word dus een stuk lastiger om van die namaak sites te maken.

Verwijderd @LOTG • 26 februari 2014 13:57

En nu maar zien of mensen goede monitoren hebben. Ik zie ze vaak afgesteld op de meest idiote waarden, met forse kleur verschuivingen.

-Tom @Verwijderd • 26 februari 2014 14:22

Ik vermoed dat het scherm vooral kijkt naar de afwijkingen tussen de verschillende gebruikte kleuren. Die zal namelijk, in tegenstelling tot de daadwerkelijke kleuren, een stuk consistenter zijn. We hebben ten slotte niet allemaal een professionele monitor bij de computer staan

dennisdennis12 @-Tom • 26 februari 2014 16:49

het kan wel voor problemen zorgen, als een monitor 2 verschillende kleuren als dezelfde kleur laat zien

Kid Jansen @dennisdennis12 • 27 februari 2014 13:27

Ik denk dat het probleem eerder in de camera zal zitten van de scanner.

Je mag aannemen dat de gebruikte kleuren van de kleurcode uit RGB-combinaties bestaan die genoeg van elkaar verschillen om als verschillende kleuren te worden weergegeven op een monitor met een kleurbereik dat vergelijkbaar is met de sRGB kleurruimte of groter. Sterker nog, waarschijnlijk zal 60% al genoeg zijn, anders zouden ze alle gebruikers met low-end laptops uitsluiten (die vaak maar 45% NTSC schermen hebben).

Een veel groter probleem lijken mij de response curves van de camera. Beeldschermen worden gemaakt met onze ogen in gedachte. Als je twee gekalibreerde schermen met verschillende kleurruimtes naast elkaar zet en je geeft op allebei een afbeelding weer met een kleurbereik dat kleiner is dan het kleinste kleurbereik van de twee schermen, dan zullen die afbeeldingen er hetzelfde uit zien voor onze ogen, ondanks dat de spectrale distributie verschillend zal zijn voor die twee schermen. Dit effect heet metamerie (metamerism in het Engels).

Nou is het probleem dat het heel erg lastig is om kleurfilters te maken voor een beeldsensor die precies dezelfde response curves hebben als onze ogen. Zelfs referentie colorimeters van vele duizenden euro's kunnen dit niet, terwijl die juist zijn gemaakt om dit zo goed mogelijk te doen en helemaal geen fotoachtig beeld hoeven op te bouwen, maar alleen een egaal vlak te meten.

Het gevolg hiervan is dat de beeldsensor andere metamerie zal hebben dan onze ogen. Twee kleuren die door onze ogen als verschillend worden gezien kunnen door die beeldsensor dan wel als hetzelfde worden gezien. Dit viel me toevallig gisteren nog op toen ik iemand m'n setup wilde laten zien en met camera van telefoon foto maakte van Dell UltraSharp U2312HM en U2711 naast elkaar. Allebei gekalibreerd en foto die door beide schermen werd weergegeven zag er vrijwel hetzelfde uit. De camera van m'n telefoon zag echter een gigantisch verschil.

Uiteindelijk zal die code dus behoorlijk uitgebreid moeten zijn om fouten te voorkomen, aangezien er een redelijke tolerantie in zal moeten zitten om problemen met het eerder genoemde effect te voorkomen. Verder zal een behoorlijk deel van de code als kalibratie moeten dienen, want ik neem niet aan dat je kan selecteren vanaf welk apparaat je scant op die scanner. Of je zou iedere keer twee codes moeten scannen, de eerste als kalibratie en de tweede als echte code.

Jasper Janssen @dennisdennis12 • 26 februari 2014 18:34

Dan kan ie het niet lezen.. goed moment voor een nieuwe monitor

computerjunky @Jasper Janssen • 26 februari 2014 21:30

Ah fijn monitor defect en geeft alleen rood tinten weer... kan je je bestelling bij de webshob niet voltooien.

flamejim @computerjunky • 27 februari 2014 09:23

Om een nieuwe monitor te bestellen...

Verwijderd @Verwijderd • 26 februari 2014 14:10

Dat kan de software zelf calibreren.

Zo'n kleurcode is niks anders dan een barcode, met kleurtjes ipv dikke en dunne bars. Een barcode heeft enkele tientallen bars. Zo'n kleurcode heeft waarschijnlijk tientallen, zo niet honderden kleurtjes naast elkaar.

Wat je doet is simpel. Je begint je kleurcode eerst met een stuk of 10-20 vaste kleuren. Die altijd hetzelfde zijn. Je scan-software kijkt dan naar wat voor kleuren het binnen krijgt. Als je verkleuring ziet, dan hou je daar rekening mee bij het bekijken van de informatie/kleuren die je in de rest van de kleurcode ziet. Simpel, zou ik zeggen.

Maw, je kijkt niet naar de absolute kleuren, maar na de relatieve verschillen.

T.C @Verwijderd • 26 februari 2014 17:45

Dit lijkt wel iets op die 2D code van microsoft.
http://en.m.wikipedia.org/wiki/High_Capacity_Color_Barcode

Jasper Janssen @Verwijderd • 26 februari 2014 18:33

Basically gewoon QR code, maar dan zonder de artificiele "alles in zwart wit" limitatie.

miw @LOTG • 26 februari 2014 13:47

Een man in the browser attack gaat nog steeds prima met deze extra opgelegde handeling. Zie eerlijk gezegd het voordeel niet.

Verwijderd @miw • 26 februari 2014 14:12

Een man in the browser attack gaat nog steeds prima met deze extra opgelegde handeling.

Inderdaad. Beter zou zijn als het device ook een samenvatting van de transactie zou tonen, zoals ontvanger, en hoogte van het bedrag. Daarmee zou een MITB attack aangepakt kunnen worden.

Sissors @Verwijderd • 26 februari 2014 14:28

Van hoe het er nu staat, en wat ook logisch is, is dat dus precies wat dat device gaat doen, en juist op die manier een MitB aanval onmogelijk maken.

Uiteraard werkt dat enkel en alleen zolang de encryptie van die code niet gekraakt is, maar goed, dat zal niet zomaar gebeuren, en zelfs als het gebeurd ben je nog niet slechter af dan nu.

NKR @Sissors • 26 februari 2014 14:59

Ik lees uit het verhaal dat de encryptie asymmetrisch zal zijn, aangezien je je pasje in het apparaat moet stoppen. Mocht het gekraakt zijn is er 1 gebruiker gebruiker getroffen.

Mocht het algoritme niet kloppen en gekraakt zijn heb je natuurlijk een groter probleem.

Fjerpje @NKR • 26 februari 2014 19:06

Volgens mij hebben ze bij de Rabobank wel mensen die ook 'nadenken', voordat ze een apparaatje op de markt brengen. Zo simpel hacken als jij het omschrijft, gaat niet gebeuren.

jeanj @Fjerpje • 27 februari 2014 06:56

Toen ik meer als 10 jaar geleden telebankieren aanvroeg heb ik gevraag of het wel veilig was.

Ik kreeg als antwoord 1 regel terug dat het 100% veilig was, we weten nu wel beter. Toch had men daarover en over het antwoord nagedacht....

Ik kan me nog een incident herinneren dat je bij de aanvraag van tan code via de vaste lijn bij ing/postbank het telefoonnummer kon spoofen van je slachtoffer. Daar had men niet aan gedacht.... Terwijl men er vast over had nagedacht

Je kan nog zoveel nadenken, maar dat wil niet zeggen dat het veilig is....

Ik moet zeggen dat jouw vertrouwen in hen me wel ontroerd....

Fjerpje @jeanj • 27 februari 2014 20:23

Tuurlijk heb ik vertrouwen in hen, want hun it-governance is best goed. Mocht er iets gebeuren dan zijn zij verantwoordelijk, dus waarom zou ik me zorgen maken?

Daarnaast leren ze bij de Rabobank zo nu en dan ook nog wel eens iets en dan met name van wat er in het verleden is voorgevallen. Ook die zaken die jij opnoemt zijn ze volgens mij best wel van bewust gezien het feit het om de veiligheid van best een paar centen gaat. Maakt dat dan het volgende systeem 100% veilig? Nee, maar dan kan je IT-beveiliging in het algemeen wel ter discussie stellen, want IT is nooit 100% veilig. IT is slechts zo veilig totdat het tegendeel bewezen is. Het gaat er meer om wat een bank kan en wil vergoeden als het tegendeel bewezen wordt.

Ik moet zeggen dat jij dan wel snel ontroerd bent..

[Reactie gewijzigd door Fjerpje op 24 juli 2024 17:51]

Marcoevich @miw • 26 februari 2014 13:50

bedoel je niet man-in-the-middle attack?

BasRR @Marcoevich • 26 februari 2014 13:57

Man-in-the-browser is een stuk logischer in deze situatie. Bij dit soort aanvallen word de browser geïnfecteerd. De verbindingen buiten de browser om zijn dan niet geïnfecteerd in tegenstelling tot een mitm attack.

sickyb @Marcoevich • 26 februari 2014 15:15

Man in the browser is een vorm van man in the middle.

Mavamaarten @Marcoevich • 26 februari 2014 13:58

Nee hoor, man-in-the-browser bestaat wel degelijk. http://nl.wikipedia.org/wiki/Man-in-the-browser

Haas_nl @Mavamaarten • 26 februari 2014 22:01

Ben blij dat ik meestal alleen vrouwen in de browser heb

Nijn @miw • 26 februari 2014 14:03

Nee. De kleurcoce is daadwerkelijk encrypted. Zonder de sleutel zal dat dus niet gaan.

Overigens was dit nieuws al een tijdje op GoT bekend.

Jiriki @miw • 26 februari 2014 17:49

Nee, want dan staat er dus op de scanner een hele andere transactie dan op het scherm. Gemakkelijker te herkennen dus, ander bedrag en rekening? Dan is er iets mis.

gertrudi @LOTG • 26 februari 2014 14:25

Eerst was de code die uit de random reader kwam alleen gebaseerd op je bankpas.
En nu dus en op je bankpas en op een kleurcode. Lijkt me toch een stuk moeilijker om te kraken.

YopY @gertrudi • 26 februari 2014 16:19

Nouja, bankpas en de code(s) die je volgens de website in moest vullen. Die codes zijn nu vervangen met een kleurcode, die waarschijnlijk veel meer bits kan bevatten.

Geomaris @LOTG • 26 februari 2014 14:58

Wel weer een behoorlijke technologische oplossing. Kan dit niet eenvoudiger.
Ben benieuwd ook kleurenblinden (5 tot 10% van de Nederlandse mannen!) hier goed mee uit de voeten kunnen, die zien immers ook niet exact wat wordt getoond.

[Reactie gewijzigd door Geomaris op 24 juli 2024 17:51]

LOTG @Geomaris • 26 februari 2014 15:01

Want? Jij hoeft toch niet die kleuren te kunnen zien, alleen je scanner. Wat jij wel moet kunnen zien is de getalletjes die op je scanner komen te staan.

YGDRASSIL

@Geomaris • 26 februari 2014 15:02

Ook kleurenblind kun je prima iets voor een scanner houden. Die kijkt naar de kleuren, dat hoef je zelf niet te doen

DennusB @GewoonWatSpulle • 26 februari 2014 14:02

Bij ING werkt het anders prima met de tancodes. Zou nooit meer zo'n k*t reader willen. Ideaal op je smartphone.

TDeK @DennusB • 26 februari 2014 14:16

Mee eens, maar je moet je eens inlezen in de gigantische security issues die in vrijwel elke baseband chip zitten. Ik ben niet bekend met een praktische real-world exploit, maar als die er komt dan heeft ING wel een gigantisch probleem (en wie is dan aansprakelijk)? Zo'n token is makkelijker te swappen dan een private device (never trust the client).

CivLord

@TDeK • 26 februari 2014 14:37

Klopt. Net als je browsersessie met je bank is in theorie ook de SMS met tancode te onderscheppen. Maar dan moeten ze wel gericht jouw PC én telefoon tegelijk manipuleren. Dat redden ze niet met een phishing mail of geïnfecteerde browser.

Ze kunnen in theorie op straat alle authenticatie SMS-jes onderscheppen die ING-gebruikers in die straat ontvangen en ze kunnen met phishingmails van sommige willekeurige ING-gebruikers inloggegens loskrijgen, maar ze kunnen die nooit met elkaar matchen. Daarnaast hangt iedereen meteen bij de bank aan de lijn wanneer ze geheel onverwachts een SMS met een tancode ontvangen terwijl ze niet aan het bankieren zijn.

Herko_ter_Horst

@CivLord • 26 februari 2014 16:07

Helaas heeft de ING dit op zich prima werkende systeem vern**kt door het mogelijk te maken via dezelfde telefoon als waar de TANs op binnenkomen, een nieuwe gebruikersnaam en wachtwoord aan te vragen.

Het afkijken van de (niet als geheim te beschouwen) pasgegevens (staan op elke kassbon) en gebruikersnaam i.c.m. het stelen van de telefoon leidt er dus toe dat de gebruiker de controle over zijn account verliest.

Zie ook: nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update

CivLord

@Herko_ter_Horst • 26 februari 2014 16:54

Maar door met mijn gestolen telefoon te zwaaien gaat de ING geen nieuwe gebruikersnaam en wachtwoord sturen.
Om een wachtwoord op te vragen heb je nog steeds een gebruikersnaam nodig en een gebruikersnaam kun je wel opvragen, maar deze wordt niet per SMS verstuurd.

Je kunt natuurlijk altijd een hele rits telefoons jatten, kijken of de voormalige bezitters toevalliog via de ING bankieren en of ze zo weinig fantasie hebben dat hun gebruikersnaam gewoon hun eigen naam is. Maar dan kun je met veel minder moeite en risico een paar honderdduizend mailtjes versturen met het vriendelijke verzoek om je de gebruikersnaam en wachtwoord te geven. Daar wordt ook nog steeds op gereageerd.

Herko_ter_Horst

@CivLord • 26 februari 2014 17:05

Het systeem is niet op grote schaal te misbruiken, maar wel op individuele basis. De gebruikersnaam is eenvoudig af te kijken (want: niet geheim) of inderdaad in veel gevallen gewoon te raden (eigen naam of rekeningnummer). Dit is simpelweg niet veilig.

sickyb @CivLord • 26 februari 2014 16:52

totdat je beseft dat er een browser en internet access en dus toegang tot internetbakieren op telefoons zit.

TAN-codes -> het meest gebruikvriendelijk
TAN-codes -> het minst veilig.

Tijger @sickyb • 26 februari 2014 17:43

TAN codes kan je ook nog steeds gewoon per post krijgen ipv via SMS.

dmantione @Tijger • 26 februari 2014 19:57

Die papieren codes zijn ook echt superveilig hoor.

Tijger @dmantione • 26 februari 2014 22:53

Noem eens een reden waarom ze niet veilig zouden zijn?

dmantione @Tijger • 27 februari 2014 07:57

Het verliezen van een TAN-code per SMS is niet zo'n probleem, het verliezen van een papieren lijst wel, want daar staan ook de toekomstige codes op.

Patrick_st @CivLord • 26 februari 2014 18:49

Google weet welke laptop ik gebruik en welke telefoon ik gebruik.
Microsoft zou dit ook kunnen weten omdat ik op beide apparaten inlog om mail te kunnen lezen. Ik ben geen Apple gebruiker/bezitter maar aan de hand van iCloud e.d. is de link tussen computer en telefoon ook wel te leggen.

Het is wellicht niet makkelijk maar er gaat veel geld om in de malware industrie. Voor een goede hacker is het best te doen om gericht een sms naar een bepaalde telefoon te sturen ipv willekeurig een bericht naar een hele straat te sturen.

TweakerPas @DennusB • 26 februari 2014 16:27

Laat dat nu ook net het meest onveilig systeem zijn van allemaal....

Je logt eenmaal je inlog + wachtwoord gegevens op je telefoon en vervolgens lekker je tancode smsjes onderscheppen. En voila een volledig geautomatiseerd geld overmaak systeem....

Mobiele telefoon + betalingen is gewoon not done!
De telefoon wordt gewoon voor teveel toepassingen gebruikt waardoor het risico op problemen alleen maar groter wordt.

1 uniek apparaat alleen voor de betalingen is en zal ten alle tijden altijd beter zijn t.o.v. een multi apparaat zoals je telefoon.

@Verderf hieronder
Stel je stelt het in tot 25 Euro, dan kun je alsnog een x aantal boekingen doen van 25 Euro. Of kun je het aantal boekingen per dag ook limiteren?

@DennusB,
Dat je iets niet in het nieuws ziet, wil niet zeggen dat het niet gebeurd.
Het is namelijk al weleens gebeurd. Ik ken binnen mijn kennissenkring i.i.g. een 2-tal mensen die de dupe zijn geweest door dit soort praktijken. Dat zijn aanzich niet heel veel mensen, maar het geeft i.i.g. aan dat het zondermeer mogelijk is.

@Tijger
Ik heb het over het gebruik met TAN via SMS en in dit geval ING via de smartphone...

[Reactie gewijzigd door TweakerPas op 24 juli 2024 17:51]

Tijger @TweakerPas • 26 februari 2014 17:44

En nogmaals, je bent in het geheel niet verplicht om SMS te gebruiken, ik gebruik gewoon papieren TAN codes.

SuperDre @Tijger • 26 februari 2014 22:39

klopt, totdat je een paar keer je wachtwoord verkeerd hebt getypt en je telkens 5 dagen minimaal moet wachten voor een nieuw wachtwoord EN je deze alleen kunt ophalen bij de dichtsbijzijnde afhalpunt die bij mij natuurlijk alleen overdagopen is als ik aan het werk ben.. dus nu ben ik dan toch maar overgestapt helaas op mobiel zodat ik mijn wachtwoord binnen een paar minuten kan aanvragen....

Tijger @SuperDre • 26 februari 2014 22:52

Ik snap de relevantie van jouw reactie niet helemaal, ik heb de mobiele app ook maar blijf de papieren TAN codes gebruiken.

SuperDre @Tijger • 27 februari 2014 20:38

uhh.. het gaat niet om de mobiele app, het gaat over tan-codes via sms, eenmaal over kun je niets meer met de papieren TAN-codes.

Verderf @TweakerPas • 26 februari 2014 16:31

Gelukkig is deze functie dan ook in te stellen tot een X bedrag, bijv tot 25 euro.

Jasper Janssen @TweakerPas • 26 februari 2014 18:38

Waarom zou je in vredesnaam op je telefoon inloggen op je mijn ing? En dan moet jouw telefoon ook nog eens volledig compromised zijn terwijl jij hem nog in gebruik had.

De kans op zoiets is echt heel heel erg klein.

Telefoon plus een reguliere internetverbinding is daarentegen heel veel veiliger dan random reader achtige methodes.

sschalkwijk @TweakerPas • 26 februari 2014 19:12

Ligt eraan hoe je het bekijkt. Het systeem van de Rabobank is individueel ook heel gemakkelijk te misbruiken. Steel de pasgegevens en de pincode. Bij elke andere bank kan je hiermee alleen een maximum pinnen per dag, maar bij de Rabobank
vraag een Random Reader of het nieuwe systeem en je hebt onbeperkte toegang. Dat de Random Reader voor iedereen hetzelfde is, maakt het hele systeem zwak. Ik zie dit niet veranderen bij deze nieuwe methode.

Bij een gebruikersnaam en wachtwoord + sms verificatie moeten ze nog altijd meer werk verrichten om een individueel zijn rekening leeg te plukken.

DennusB @TweakerPas • 26 februari 2014 16:35

Heb je ooit wel eens in het nieuws gezien dat dit in is fout gegaan? Ik niet.

Verwijderd @DennusB • 26 februari 2014 14:35

Rabobank app werkt ook zonder random reader wijsneus

sickyb @Verwijderd • 26 februari 2014 18:06

Met de App kun je maar beperkt geld overmaken (de bedragen kun je zelf instellen).
Met App zonder reader kun je.

tot bedrag [x] overmaken naar onbekende rekeningen
tot bedrag [y] overmaken naar rekeningen waar je in de afgelopen 15 maanden overboekingen naar hebt gedaan.
boven bedrag [x] en overboeken naar een onbekende rekening heb je toch de reader nodig
boven bedrag [y] naar een bekende rekening toch de reader nodig.

0 < [x] < [y]

DennusB @Verwijderd • 26 februari 2014 15:15

De app ja, de website niet. Wijsneus.

Bender @GewoonWatSpulle • 26 februari 2014 15:52

Meer gestolen lijkt me logisch, er zijn er ook meer van. Daarnaast bied het ook meer qua functionaliteit.
Het is tegelijkertijd ook het object wat mensen het meest bij zich hebben vermoed ik zo.

Maar het gaat vooral om gebruiksgemak, ik geloof niet dat er middels de SMS methode van ING nou zo veel meer fraude daardoor komt.

watercoolertje

Betalingsverkeer

@GewoonWatSpulle • 26 februari 2014 13:48

Laat die telefoon van jou nou net het meest gestolen object ter wereld zijn.

edit: tweakers en humor, geweldige combo

[Reactie gewijzigd door watercoolertje op 24 juli 2024 17:51]

Ultraman Moderator VB @Bender • 26 februari 2014 20:09

Ik ben juist blij dat ze niet de smartphone vereisen.

A. die dingen worden vaak gestolen.
B. zijn nou niet bepaald het toonbeeld van security
C. zijn niet simpel
D. je krijgt een platform lock-in (bv. enkel Android en iOS ondersteuning) waardoor je met bv. een BlackBerry, Windows Phone, Sailfish, Tizen, Ubuntu, FirefoxOS, etc zonder internetbankieren komt te zitten.
E. de banken zullen eisen gaan stellen dat je bepaalde beveiligingssoftware moet gebruiken, zoals men nu eigenlijk al voor PCs voorschrijft.

Slecht idee wat mij betreft.

Bender @Ultraman • 27 februari 2014 09:21

A. die dingen worden vaak gestolen.
- Je eigen verantwoordelijkheid

B. zijn nou niet bepaald het toonbeeld van security
- Kun je dit onderbouwen

C. zijn niet simpel
- Dat ligt aan de appmaker

D. je krijgt een platform lock-in (bv. enkel Android en iOS ondersteuning) waardoor je met bv. een BlackBerry, Windows Phone, Sailfish, Tizen, Ubuntu, FirefoxOS, etc zonder internetbankieren komt te zitten.
- Niemand beweerd dat het uitsluitend Smartphone moet zijn

E. de banken zullen eisen gaan stellen dat je bepaalde beveiligingssoftware moet gebruiken, zoals men nu eigenlijk al voor PCs voorschrijft.
- Waarom, doet de ING momenteel ook niet. En voorschrijven mogen ze toch best, zoals je aangeeft dat doen ze voor PC's ook. Wat is het argument nu?

Ultraman Moderator VB @Bender • 27 februari 2014 09:57

• - Je eigen verantwoordelijkheid

Kan wel kloppen en dit geldt natuurlijk ook voor je portemonnee. Loop je wel mooi op straat met precies de twee ingrediënten die je nodig hebt om te kunnen internetbankieren, dat maakt het wel heel interessant.
Terwijl je nu een relatief goedkoop los apparaatje gebruikt, welke op zichzelf voor een dief totaal niet interessant is en ik ook nooit mee de straat op neem.
Jat je nu mijn smartphone, dan heb je een smartphone van een paar honderd euro.
Mocht de bank alles met de smartphone gaan doen, dan zal men zeker trachten ook je portemonnee er bij te jatten en dan wordt het gevaar dat men je hele bankrekeningen kan plunderen een reëel.

B. zijn nou niet bepaald het toonbeeld van security
- Kun je dit onderbouwen

Natuurlijk, ik had niet verwacht dat dit nodig was gezien de vele vormen van malware en privacy gerelateerde issues in hedendaagse Android en iOS telefoons.
Er is ontzettend veel over te vinden. Ik zal mij nu even limiteren tot Android artikelen op Tweakers.net. Daarmee lijkt mij de toon voldoende gezet om de aanname te staven, en zo niet dan kan ik nog veel meer dingen opduiken.
nieuws: Android 4.4 bevat gevaarlijke bug in cryptografische handtekening - update
nieuws: 'Android-malware treft half miljoen Chinezen'
nieuws: Malware voor Android bestuurt toestel via sms
nieuws: Ook Android-apps kunnen gemakkelijk gebruikersfoto's uploaden
nieuws: HTC One X ook vatbaar voor bug die telefoons laat resetten
En nog eentje speciaal over een bankieren app die ik tegen kwam:
nieuws: Mobielbankieren-app ING controleerde ssl-certificaat bank niet - update

C. zijn niet simpel
- Dat ligt aan de appmaker

Ik doel hier niet op een specifieke app of appmaker, noch begrijp ik wat je precies bedoeld.
Waar ik op doel is dat smartphones complexe apparaten zijn. Het is een apparaat welke zich in een groot aantal verschillende toestanden, teveel om door een mens te kunnen worden overzien. Zelfs al zou je specialiseren op 1 model, dan nog is het onmogelijk om het ding te overzien omdat elke gebruiker van dat specifieke type er weer op een andere manier mee omgaat en er andere apps op heeft staan. Het is een complex apparaat en dan ook nog eens een waar je al security expert en programmeur nooit volledige controle over hebt.
Terwijl een los apparaatje, zoals een Random Reader van de Rabobank, relatief "simpel" is wat het aantal logische toestanden. En waar een zekere controle op uit te oefenen is omdat de gebruiker er niets aan kan wijzigen.
Vanuit beveiligingsoogpunt kun je dan garanties geven en dat is met geldzaken tamelijk essentieel in mijn ogen.

- Niemand beweerd dat het uitsluitend Smartphone moet zijn

Ik reageer op jouw reactie. Waarin jij aangeeft dat banken juist eens gebruik zouden moeten maken van een apparaat welke iedereen al in bezit heeft, en dan noem jij specifiek de smartphone. Quote: Ik heb liever dat ze eens stoppen met externe apparaten en met een apparaat gaan werken dat nagenoeg iedereen al heeft, een smartphone.
Daar reageer ik op en probeer ik aan te geven waarom dat, in mijn ogen, een slecht idee is.

- Waarom, doet de ING momenteel ook niet. En voorschrijven mogen ze toch best, zoals je aangeeft dat doen ze voor PC's ook. Wat is het argument nu?

Dat je risico vrijheid te verliezen.
Dit is op dit moment nog geen probleem en het betreft nu enkel nog aanbevelingen.
Zie o.a.: https://www.security.nl/p...ls+voor+internetbankieren

Het is mogelijk dat men in de toekomst besluit een dergelijk beleid toe te spitsen door nauwekeurigere eisen te gaan stellen. Bijvoorbeeld dat jij een bepaald beveiligingsproduct of een goedgekeurde uit de lijst van beveiligingsproducten moet draaien op je smartphone en/of PC, voordat je mag internetbankieren of maar enige vorm van ondersteuning en garantie krijgt. De bank gaat in zo'n geval mee bepalen wat jij op je smartphone/PC moet hebben staan, en dat gaat mij te ver.
Toegegeven, dit is nu niet aan de orde en dit argument mag je wat mij betreft negeren in verdere discussie.

[Reactie gewijzigd door Ultraman op 24 juli 2024 17:51]

Bender @Ultraman • 27 februari 2014 10:48

Je begrijpt dat met je argumenten internetbankieren ook afgeschaft moet worden, he

Ultraman Moderator VB @Bender • 27 februari 2014 11:31

Niet noodzakelijk. Het is een afweging van risico.
Je hebt nu een apparaatje van lage complexiteit, buiten de directe invloedsfeer van malware, welke de authenticatie regelt.
Natuurlijk dien je de daadwerkelijke interface (PC/smartphone/tablet/e.d.) ook van zo goed mogelijke beveiliging te voorzien, daar zit een stukje eigen verantwoordelijkheid en die is ook niet echt weg te nemen.
Maar het is in ieder geval niet mogelijk het apparaat welke verantwoordelijk is voor de authenticatie zomaar te manipuleren. Waar dat met een smartphone als authenticatie apparaat wel een reëel risico wordt, en een te groot risico als je het mij vraagt.

[Reactie gewijzigd door Ultraman op 24 juli 2024 17:51]

maquis @Bender • 26 februari 2014 13:42

helemaal mee eens. Als die stomme extra kastjes. Maar begrijp het wel. Rabobank kiest voor veiligheid, en dit is inderdaad veiliger.

Alleen vind ik dat je ook gebruikersgemak hier in moet afwegen. En dat is natuurlijk, door dat je voor elke transactie een extra kastje nodig hebt, hier dus niet in mee genomen......

CivLord

@maquis • 26 februari 2014 15:32

Het probleem met een kastje is dat je het altijd bij je moet hebben wanneer je van internetbankiern gebruik wilt maken. En dat het zoek kan raken.
Wanneer je het bij je PC hebt liggen heb je er onderweg (of op je werk etc.) niets aan, wanneer je het in je jaszak hebt zitten is het kwetsbaar voor stoten en moet je het pakken wanneer je op je PC wilt bankieren (waarna je het vergeet terug in je jaszak te stoppen en je de volgende keer misgrijpt).

PsychoMantis_NL @CivLord • 26 februari 2014 19:17

Wat is er zó gigantisch belangrijk dat jij 24/7 je random reader bij je moet hebben dan?

Iedere rekening die je krijgt heeft een betaaltermijn van "x" dagen, dus als je de random reader vanmiddag niet in je jas had zitten toen je ging werken, dan maak je die rekening toch vanavond over als je weer thuis bent?

Ook je argument "Als het zoek is" vind ik niet echt een steekhoudend argument. Je kunt prima langs de bank rijden om een nieuw kastje te halen, of aan de balie de betaling doen (al dan niet per acceptgiro). Het wordt vervelender als je je pasje kwijt bent. Gewoon zuinig op je spullen zijn dus

CivLord

@PsychoMantis_NL • 26 februari 2014 21:03

Ik bedoel niet dat ik het 24/7 bij me moet hebben. Alleen dat ik het bij me moet hebben wanneer ik bv. een iDeal betaling wil doen. Dat kan op onverwachte momenten en onverwachte plaatsen zijn.
Afgelopen zomer zat ik bv met een paar anderen ergens buiten. Het werd gezellig. Ik besloot pizza's te laten bezorgen. Ik had niet genoeg contant geld, dus ik was blij dat ik bij de ING zat, zodat ik een tancode per SMS gestuurd kreeg bij een iDeal betaling.

PsychoMantis_NL @CivLord • 26 februari 2014 23:13

Valt iets voor te zeggen, maar op zo'n moment denk ik dat je met (voor het gemak) 5 man genoeg contant geld bij elkaar moet kunnen harken om de bezorger cash af te rekenen of als dat niet gaat dan loop je even langs de automaat/pint een paar tientjes bij de kroeg waar je zit?

Iets op marktplaats gezien? Als je zegt dat je de reader niet bij je hebt maar over 3 uur betaalt als je thuis bent dan is dat normaal gesproken geen probleem...

M.a.w. en zonder je aan te vallen, hoe vaak denk je dat ik denk - en ja ik heb rabo - "verdomme had ik nu maar ING gehad, dan kreeg ik die code per SMS.." Wat als je telefoon leeg is?

Je kunt het zo moeilijk maken als je zelf wilt en voor alles is wel een oplossing te vinden

CivLord

@PsychoMantis_NL • 27 februari 2014 10:23

hoe vaak denk je dat ik denk - en ja ik heb rabo - "verdomme had ik nu maar ING gehad, dan kreeg ik die code per SMS.."

Nooit, denk ik. Wanneer je de mogelijkheid niet hebt zit het ook niet in je systeem om er aan te denken, dan denk je automatisch in andere oplossingen, zoals je zelf al schreef, het delen van de koste of geld pinnen bij een automaat. Of bestellen bij een pizzakoerier met een mobiele pinautomaat.

Ik ben erg blij met mijn oplossing van kunnen betalen met een SMS-code. En zo lang ik sommigen wel hoor roepen dat het zo onveilig is, maar niemand daar het bewijs voor kan leveren, blijf ik er blij mee.

Zer0 @maquis • 26 februari 2014 13:48

Gebruikersvriendelijkheid zal zeker meegewogen hebben, alleen kun je simpel stellen dat hoe gebruikersvriendelijker je het maakt, hoe onveiliger het is.

maquis @Zer0 • 26 februari 2014 16:44

dat stel je te simpel. de factor complexiteit kan hier ook rustig in meer genomen worden. Je kunt iets heel gebruikersvriendelijk op de achterkant maken, terwijl het op de achtergrond super complex is, ten behoeve van de veiligheid.

ok ff hypothetisch.

Stel dat je een persoonlijker pinner (grote kerel, dikke spierballen, nemen we van af nu PPer) hebt die jouw pincode bewaard met zijn leven, en 100% te vertrouwen is. Dan is het voor de gebruiker, die zijn pincode laat intypen door de PPer, reuze eenvoudig. Je geeft je PPer een mep en hij typt je pincode in. Niet meer onthouden, niet meer bewaren. Alleen maar meppen.

Nu is is dit voor die Pper een stuk ingewikkelder. Hij moet zich fysiek wapenen tegen het gemep, hij moet de pincode onthouden. hij moet 24 uur binnen 5 minuten klaar kunnen staan, om zijn service te kunnen leveren. Kortom. Super complex.

Maar van af de gebruikers kant is dus Pinnen super simpel, en mega veilig.

Conclusie: jij doet een aanname, die dus niet klopt

Zer0 @maquis • 26 februari 2014 16:48

Tot een bevallige jonge blonde dame jouw PP'er verleid en hij naast dat hij jouw bont en blauw slaat ook je rekening plundert. Jouw voorbeeld is leuk, maar geeft ook een duidelijk een single-point of failure/weakness. Het is super makkelijk, tot je PP'er "gehackt" wordt.

watercoolertje

Betalingsverkeer

@Zer0 • 26 februari 2014 13:58

Ja precies en gezien ik nooit 1000den euros op mijn ING rekening heb staan (sparen doe ik bij money you, die enkel kan overschrijven naar mijn ING rekening), is dat gemak alle risico's waard!

R4gnax @maquis • 26 februari 2014 13:51

Als een extra kastje het verschil maakt tussen veilig een tientje naar je vriend overmaken of mogelijk €10.000 zonder herroeping naar meneer de crimineel in Oost-Europa, dan hoef ik daar toch niet erg lang over na te denken hoor.

Het hele two-factor authentication gebeuren staat of valt nou eenmaal met het feit dat de tweede factor niet te compromiteren moet zijn zonder directe toegang...

watercoolertje

Betalingsverkeer

@R4gnax • 26 februari 2014 13:59

Het hele two-factor authentication gebeuren staat of valt nou eenmaal met het feit dat de tweede factor niet te compromiteren moet zijn zonder directe toegang...

Oke mijn huidige tancode is 356331 succes met mijn rekening plunderen.

Of bedoel je dat BEIDE factoren gecomprimeerd gecompromitteerd moesten worden

edit: thanks analogworm

[Reactie gewijzigd door watercoolertje op 24 juli 2024 17:51]

xFeverr @watercoolertje • 26 februari 2014 16:23

Toevoeging: er verschijnt een volgnummer op je scherm die je kan contoleren in je smsje, tezamen met het af te schrijven bedrag, die je ook kan controleren. Stel jij hebt mallware op ME pc gezet waarmee je het totaalbedrag anders laat zien dan dat deze in werkelijkheid is, dan zie ik nog direct in het smsje dat er iets niet klopt. Dan, als iemand mijn smsje meeleest kan deze er nog helemaal niks mee, want die moet mijn banksessie op de Computer ook hebben...
als iemand geld probeert over te maken omdat deze me inlogcode heeft, dan krijg ik ook een smsje... Ben je gelijk gewaarschuwd

Jasper Janssen @xFeverr • 26 februari 2014 18:52

In feite wordt rabobank met deze nieuwe Reader eindelijk net zo veilig als de ING al 10 jaar is.

R4gnax @Jasper Janssen • 27 februari 2014 13:24

SMS is zo lek als een vergiet, dus extra authenticatietokens op die manier verstrekken is lang zo veilig niet.

Bij de huidige Rabobank random reader wordt altijd gevraagd om de cijfers voor de komma van het over te boeken bedrag in te vullen als onderdeel v/h genereren van een single-use signing code. Bij hoge bedragen zitten daar ook nog cijfers van de rekening van begunstigde in.

Aangenomen dat de cryptografie overeind blijft is het dan niet mogelijk voor een gecompromiteerde client PC om met de gegevens te gaan rommelen. Je moet immers de uiteindelijke signing code uit laten rekenen op een los kastje wat op geen enkele manier met andere hardware of software in aanraking komt. De reader zelf is zelfs behoorlijk tamper-proof. Schijnbaar werkt deze met een tijdsgevoelig algoritme en het circuit met de interne batterij wordt verbroken als je het ding (normaal) open probeert te maken.

Maar goed, je hebt in zoverre gelijk dat wanneer de Rabo van de huidige reader afstapt, ze inderdaad eindelijk ook afglijden naar de slechtbeveiligde positie van de andere banken, waar nog van te onderscheppen TAN nummers gebruik gemaakt wordt of van readers die niet geisoleerd gehouden worden.

[Reactie gewijzigd door R4gnax op 24 juli 2024 17:51]

analogworm @watercoolertje • 26 februari 2014 14:18

Beide factoren comprimeren, kan je daar winrar voor gebruiken?

of bedoel je toevallig gecompromitteerd?

Blokker_1999

Economie en maatschappij
Betalingsverkeer

@Bender • 26 februari 2014 13:53

En dan gaat men weer klagen over het feit dat een app niet werkt op een telefoon die geroot is. Of dan kan de bank gaan beargumenteren dat het niet veilig is omdat vele telefoons te gebruiken zijn zonder dat een ontgrendelingscode moet ingegeven worden op het moment dat je hem uit slaapstand haalt.

Het voordeel op gebied van veiligheid met deze lezers is net dat je zowel iets moet weten als ook dient te hebben. Je moet je pincode weten en je moet je kaart+lezer/scanner hebben.

Jeroenneman @Blokker_1999 • 26 februari 2014 14:25

Je telefoon moet authorized zijn via je normale inlogmanier. Daarnaast moet je bij iedere overboeking weer je pincode intoetsen. Vanaf de app kan ik maximaal 250 euro overmaken.

Dat is mij het gemak gewoon waard. Telefoon gejat? Inloggen thuis en authorisatie intrekken.

T.C @Jeroenneman • 26 februari 2014 18:17

Dan kan ik verschillende malen 250 euro overmaken.

Jasper Janssen @T.C • 26 februari 2014 18:53

Als je niet alleen mijn telefoon jat maar ook mijn pincode van de app weet *en* de pincode om hem te unlocken.

Jasper Janssen @Blokker_1999 • 26 februari 2014 18:53

Je moet je kaart hebben. Die scanners zijn allemaal hetzelfde en die hoef je dus niet te hebben -- je kan ook die van de buurman hebben.

LOTG @Bender • 26 februari 2014 13:39

Dat apparaat wat met het internet verbonden is en onherroepelijk gevoelig is voor mallware? Ja, ik zie niet wat daar mis kan gaan. Vooral op Android waar de niet zo geinformeerde gebruiker apps toegang kan geven tot het complete systeem.

Afweging tussen gebruikersvriendelijkheid en veiligheid. Zelfde met TAN codes. Niet echt een veilig systeem. Net als SMS authorisatie, sommige apps kunnen smsjes eruit vissen voor de gebruiker ze krijgt.

Artimunor @LOTG • 26 februari 2014 13:58

Niet alleen apps kunnen dat maar je kan de SMS ook uit de ether oppikken.
Je hebt voor een paar honderd euro een antenne die alle SMSen uit de omgeving kan oppikken.

Ik heb om die reden ook geen online bankieren bij de ING, maar daarvoor speciaal naar Rabo gegaan vanwege de random reader (enige relatief veilige oplossing tot op heden imho)

CivLord

@Artimunor • 26 februari 2014 15:25

Ook tancodes per SMS zijn volstrekt veilig.
Een eventuele afluisteraar heeft geen enkele manier om te weten bij welke internetbankieren-sessie de SMS hoort.

Artimunor @CivLord • 26 februari 2014 15:38

Tenzij je malware op de PC van de buurman hebt staan, geinstalleerd door gewoon zn WPA2 wifi te bruutforcen en de slecht beveiligde PCs over te nemen.
Dan is tijd de factor die de internet-bankier-sessie aan de SMS verbind.
Dan kan je een simpel botje bouwen die het gewoon volautomatisch exploit.

Dat wil zeggen dat zou je kunnen doen als je een gewetensloze klootzak zou zijn.
De echte tweaker zet een text bestandje op zijn desktop met "P.C. beter beveiligen" en disabled vervolgens de wifi in de router.

[Reactie gewijzigd door Artimunor op 24 juli 2024 17:51]

T.C @Artimunor • 26 februari 2014 18:07

De echte tweaker zet een text bestandje op zijn desktop met "P.C. beter beveiligen" en disabled vervolgens de wifi in de router.

Na zijn bureaublad in het Hello-kitty thema te zetten natuurlijk

On-topic
Het is op dit moment nog niet toegepast, maar in theorie kan het wel.
Zeker met het mobiele bankieren, hoeven ze nog maar 1 device te hacken.

revertive @Artimunor • 26 februari 2014 14:58

Je kan bij ING ook gewoon de codes op papier krijgen, dan zijn ze niet uit de ether te vissen. Alleen dan moet je tancodes meenemen als je ergens anders wat wilt overmaken, maar bij Rabo moet je je reader meenemen.

cire @revertive • 26 februari 2014 19:30

Je kunt ook de reader van iemand anders gebruiken...

Madrox @Artimunor • 26 februari 2014 14:52

En wat ga je dan doen met die smsjes ? Die tancode, daar kan je anscich nml. bar weinig mee.

Cilph @Bender • 26 februari 2014 14:00

Hoe wil jij je smartcard in een smartphone stoppen? Je smartcard heeft hier het encryptievermogen.

Nakebod

@Cilph • 26 februari 2014 14:26

In hoeft natuurlijk niet per se, je zou ook iets kunnen bedenken met een techniek zoals NFC.
Alleen dat gaat waarschijnlijk nog wel wat jaren duren voordat iedere telefoon dat heeft, als Apple dat al ooit gaat ondersteunen dan.

Svardskampe @Nakebod • 26 februari 2014 15:11

Dan mogen ze de functie dat je 25 euro kan pinnen zonder pincode wel eerst uit de mogelijkheid halen voor bankkaarten met een RFID. Ik heb speciaal een bankkaart aangevraagd zonder vanwege deze ronduit belachelijke "feature" om met een open bankrekening te lopen op straat.

dmantione @Svardskampe • 26 februari 2014 20:30

Dan ben je niet de enige

Cilph @Nakebod • 26 februari 2014 14:36

Dat zou natuurlijk kunnen. Goed bedacht.

cytherea @Bender • 26 februari 2014 13:39

nagenoeg ja, niet iedereen (zoals ik) heeft een smartphone. En ik heb meer vertrouwen in een los apparaat dan een apparaat met internetverbinding om codes te genereren.

PuzzleSolver @cytherea • 26 februari 2014 14:07

Dan is in jouw geval de SMS die de ING stuurt ook veilig aangezien er geen apps op kunnen draaien die dat afluisteren. Of heb je ook geen mobiele telefoon?

MadEgg @PuzzleSolver • 26 februari 2014 14:30

Ook ik heb geen smartphone, en zeker geen ING. Ik ben dolgelukkig met de Random Reader. De Random Reader heb ik vaker bij me dan mijn telefoon. En het mooie is, als mijn telefoon leeg is, doet mijn random reader het nog steeds en anders kan ik ook altijd nog de random reader van mijn collega's, mijn vrouw, mijn vader, een willekeurig persoon op straat of de random reader die bij de Rabobank ligt gebruiken, ze werken allemaal hetzelfde.

De TAN-codes van de ING vind ik maar onveilig, ik heb er namelijk de pincode van mijn bankpas niet bij nodig en dat biedt dus niet de scheiding van verantwoordelijkheden die ik juist zo waardeer van de random reader. Bovendien heb je bij de ING ook geen veilige authenticatie nodig om in te loggen, maar een wachtwoord met alle bekende veiligheidsrisico's van dien.

Ik weet niet zo goed wat ik moet denken van deze scanner. Het lijkt mij er niet eenvoudiger op worden, hoe lastig is het nu helemaal om de codes over te typen? Ik ben er in ieder geval bang voor dat het scannen lastiger en foutgevoeliger wordt dan de huidige methode, bovendien zal de camera waarschijnlijk een stuk meer energie verbruiken dan een random reader en dus vaker een nieuwe batterij / vervanging nodig hebben. Ik zie in ieder geval niet in wat het voordeel boven de huidige situatie is.

Madrox @MadEgg • 26 februari 2014 14:55

Niet je pincode nodig zeg je, wat aangeeft dat je er helemaal geen kaas van gegeten hebt. Je hebt zowiezo je inlogcode en wachtwoord nodig. Daarna, na bevestiging van het bedrag, krijg je pas een tancode.

Gebruik het al tientallen jaren en er is bij mij nog nooit misbuik van gemaakt.
Het feit dat de pincode van je bankpas niet gebruikt word verhoogt juist de scheiding tussen beide middelen.

[Reactie gewijzigd door Madrox op 24 juli 2024 17:51]

MadEgg @Madrox • 26 februari 2014 15:04

Je zegt het toch zelf al? Je inlogcode en wachtwoord. Geen pincode dus. Met pincode bedoel ik de pincode op je bankpas, niet een (zelfgekozen) wachtwoord voor internetbankieren.

Ik wil een scheiding tussen mijn mobiele telefoon en mijn betalingsverkeer, niet een scheiding tussen mijn betalingsverkeer (mobiel bankieren) en mijn betalingsverkeer (mijn bankpas).

Fijn voor je dat er nog nooit misbruik van is gemaakt bij jou. Dat betekent niet dat de methode daardoor veilig is.

petervdveen @MadEgg • 26 februari 2014 15:22

Mijn inlogcode is lastiger dan mijn pincode hoor.
Ik heb een inlognaam van 8 karakters, cijfers en letters.
Deze heb ik niet zelf gekozen. Veel veiliger dus dan een pincode.
Er zijn duizenden mensen in nederland met dezelfde pincode als mij ;-)

Mijn inlognaam is uniek.

Daarnaast heb je geen smartphone nodig om een smsje te ontvangen hoor ;-)

dmantione @petervdveen • 26 februari 2014 20:21

Dat het lastig te raden is, is niet genoeg. Virusje... keylogger op je PC en je bent je geheime codes zo kwijt. Een randomreader of e-dentifier heeft als voordeel dat hij altijd te vertrouwen is: De software is er door de bank opgezet en je kunt erop vertrouwen dat die niet gemanipuleerd is, omdat je het apparaat bijv. niet aan het internet hangt. Daardoor kun je je pincode veilig intoetsen.

[Reactie gewijzigd door dmantione op 24 juli 2024 17:51]

Madrox @MadEgg • 26 februari 2014 15:07

Dat betekent wel dat het iig niet zo onveilig is als doet laten geloven. Wat ik bedoel te zeggen is dat er meer nodig is dan alleen de tancode, dat haal ik nml. niet uit je tekst.

Inlognaam en wachtwoord, zullen ze toch moeten inbreken/ondersvheppen en dan nog, de tancodes zijn transactiegebonden. Zie totaal geen voordeel dat je dan ook nog je pinpas moet gebruiken. Eerder een nadeel, want juist met de pinpas code valt makkelijk geld te jatten.

[Reactie gewijzigd door Madrox op 24 juli 2024 17:51]

Jasper Janssen @MadEgg • 26 februari 2014 18:49

Het punt met tancodes en ING internetbankieren is dat je hele pas er niet bij nodig is. En dus ook niet je pincode.

Daarvan wordt het niet onveilig.

Bij random reader wordt Something you know (inlogcodes internetbankieren) gecombineerd met Something you have (pinpas) en een tweede stuk Something you know (pincode). Bij ING wordt Something you know (inlogcodes internetbankieren) gecombineerd met Something you have in de vorm van Some service you have access to (je telefoonnummer).

Die methodes van aanpak zijn niet fundamenteel verschillend in veiligheid.

dmantione @Jasper Janssen • 26 februari 2014 20:27

Je bericht krijgt niet meer overtuigingskracht als je er een hoop Engels tussen smijt hoor.

Ze zijn uiteraard niet gek bij ING en hebben er goed over nagedacht. Maar er zitten toch de nodige enge dingen in het systeem die voortkomen uit het gebruik van infrastructuur die niet 100% vertrouwd geacht kan worden.

Zer0 @Bender • 26 februari 2014 14:27

Als je de two-factor authenticatie via je telefoon af laat handelen betekent dat je de telefoon niet meer kunt gebruiken om veilig te bankieren. Beide functies op één device is simpelweg vragen om problemen.

Jasper Janssen @Zer0 • 26 februari 2014 18:55

Nogal wiedes ja, maar waarom zou je dat ook willen doen?

Voor op je telefoon is de app, niet de telebankierwebsite. En die app doet two factor auth dmv een pincode op de app + dat het jouw telefoon moet zijn.

Zer0 @Jasper Janssen • 26 februari 2014 19:51

En die app doet two factor auth dmv een pincode op de app + dat het jouw telefoon moet zijn.

En dat is exact het probleem, als iemand controle heeft over je telefoon hebben ze dus gelijk controle over je rekening.

EzMe @Bender • 26 februari 2014 15:50

Helaas is het nog steeds niet mogelijk om een pinpas in je telefoon te stoppen

Overigens wil je de two way factor handhaven, juist vanwege security overwegingen. Security en gebruikersgemak gaan helaas niet hand in hand. In de IT wordt er altijd onderscheid gemaakt tussen de volgende drie zaken: wie je bent (biometrisch security), wat je hebt (de Random Reader of Rabo Scanner) en wat je weet (je pincode). Deze drie tegelijk zou het meest veilige zijn maar ook het meest gebruiksvriendelijke. Mogelijk dat de Rabobank daarom voor twee opties heeft gekozen.

Jasper Janssen @EzMe • 26 februari 2014 18:57

Who you are is gewoon niet te gebruiken. Biometrische identificatie is inherent onveilig. Two factor authentication is dus *altijd* something you have en something you know, eigenlijk nooit who you are.

(en wat je hebt is in dit geval btw niet de random reader, maar de pinpas. Al die random readers zijn identiek en tellen dus niet als iets dat je moet hebben.)

EzMe @Jasper Janssen • 4 maart 2014 12:22

Who you are is gewoon niet te gebruiken. Biometrische identificatie is inherent onveilig. Two factor authentication is dus *altijd* something you have en something you know, eigenlijk nooit who you are.

Eensch

(en wat je hebt is in dit geval btw niet de random reader, maar de pinpas. Al die random readers zijn identiek en tellen dus niet als iets dat je moet hebben.)

Eensch

Mr_gadget @Bender • 26 februari 2014 17:34

Ik heb liever een dedicated apparaat waar de bank zeker van is dat het veilig is. En als het niet zo is dat het de verantwoordelijkheid is van de bank en niet van mij

Mijn telefoon is geroot dus ik ga daar niet mijn pincode op invoeren. Dan heb ik liever een 'domme' reader zonder eigen internet verbinding

Jasper Janssen @Mr_gadget • 26 februari 2014 18:58

Als het niet zo is is het jouw probleem, de bank zal namelijk *stellen* dat het veilig is ongeacht of dat zo is of niet.

proatjeboksem @Bender • 26 februari 2014 13:49

Ik denk dat jij eens wat vaker naar buiten moet

Mijn pa heeft nog een antieke nokia 6310 en zo zijn er vast nog wel veeeeeel meer 60+ ers die geen smartphone hebben.

Yde @Bender • 26 februari 2014 14:46

Beste Bender,
Ik denk dat dit een beetje heel erg veel te kort door de bocht is.
Niet iedereen heeft een smartphone, en niet iedereen die er wel één heeft,
wil hiermee internetbankieren (ik val in de laatste categorie)
De manier hoe Rabo het doet, bevalt mij prima en als ze dat via een ander apparaat willen doen,
ook goed, zoalng het maar zo veilig mogelijk is.
En voor zover ik het kan beoordelen, is de smartphone methode lang niet zo veilig als met de Random Reader of opvolgers hiervan.
Maar wees vrij om te gebruiken dat wat jij het liefste hebt, maar bepaal dat niet voor anderen.

Verwijderd @Bender • 26 februari 2014 17:23

Laat ze vooral met externe apparaten blijven werken. En niet luisteren naar mensen die gemak boven veiligheid stellen.

Jiriki @Bender • 26 februari 2014 17:54

Ik gok dat dat de volgende stap is, tot een bepaald bedrag. Je bankpas kan namelijk niet in je telefoon, dus echt heel veilig is het nog steeds niet.

mae-t.net @Bender • 26 februari 2014 17:55

Denkfout. Om veilig te zijn moet je niet op 1 apparaat vertrouwen; als dat gejat of gehackt wordt is je bankrekening snel leeg.

Proxy @Bender • 27 februari 2014 08:23

Nagenoeg misschien, maar ik heb geen smartphone hoor, ik ga echt niet eentje aanschaffen alleen voor internetbankieren. Dus als het later verplicht is, dan stop ik met internetbankieren.

hitmaan212 @Bender • 27 februari 2014 10:43

Eeen smartphone heeft nog niet iedereen. Dit idee gaat dus nog niet op. Vooral voor mensen die wat ouder zijn is een smartphone nutteloos en begrijpen ze het nog niet. Mensen willen bellen met een telefoon. De dingen die er nu op zittten is voor veel mensen nog nutteloos, vooral als ze hem niet nodig hebben op het werk.

Bender @hitmaan212 • 27 februari 2014 10:47

Dan ga je er ook van uit dat ze geen alternatief blijven eten

Enai @Bender • 26 februari 2014 13:46

"Nagenoeg iedereen"

Neen dus.

iAR @Bender • 26 februari 2014 16:27

Helemaal mee eens, desnoods via een TAN-systeem zoals de ING.

Ik merk dat ik de website van de Rabobank nooit meer gebruiken, juist vanwege een apparaatje dat in een la ligt te stoffen. Via de app kan ik alles tot 250 euro gewoon overboeken met een code.

Ik ga echt geen gekleurde discolichten invullen ofzo...

- peter -

26 februari 2014 13:36

Ik snap niet dat ze niet overstappen op het systeem van ING: gewoon een sms'je met de code en klaar is kees. Altijd bij de hand, nooit gedoe. Het is een van de redenen waarom ik niet overgestapt ben naar een andere bank.

Kecin

@- peter - • 26 februari 2014 13:54

Sms is onpraktisch. Wat als je abonnement wijzigt en je vergeet je nummer te wijzigen bij de bank. Dan mag je naar de vestiging om dat te laten veranderen of online een wijzigingsformulier in te vullen. Vervolgens krijg je een aangetekende brief waarvoor je vrij moet nemen omdat je neem ik aan ook gewoon werk/school hebt. In die tussentijd kan je niet bij je rekening.

Rabobank doet het goed door met een extern apparaat te werken. Daarnaast kan je tegenwoordig in hun App ook overboekingen doen naar externe rekeningen zonder Random Reader (mits je dit zelf aanzet, hiervoor moet je de app installeren en toevoegen via de Randomreader aan je rekeningnummer, vervolgens bij de optie zelf nog een signeercode invullen via de Randomreader. Er is een limiet van 250 euro per overboeking ik dacht per week). Je app is beveiligd met een separaat 5 cijferige sleutel. Op je telefoon heb je over het algemeen ook een lockcode. Zo heb ik dus al 3 tussenmomenten: Men moet mijn telefoon bemachtigen, vervolgens mijn toegangscode van de telefoon weten, en dan nog de toegangscode van mijn Rabo Mobiel app. In het ergste geval ben ik dan maximaal 250 euro kwijt (relatief laag risico dus).

Het vervelende van de ING is bijvoorbeeld dat mijn telefoon nog wel eens leeg is (of geen bereik heeft). Wanneer je een Iphone wil opstarten dan moet die eerst een paar minuten aan de lader liggen voordat die opstart (hij moet een minimaal batterijniveau hebben voor een clean-boot). Wanneer je telefoon dan leeg is bij de ING kan een overboeking vrij lang duren waardoor de verstuurde SMS alweer achterhaald is.

Daarnaast zoals hier aangegeven kan je relatief goedkoop/makkelijk een sms onderscheppen. Zie ook:
http://www.spyphones.nl/gsm-afluisteren-gsm-spy/
https://www.security.nl/posting/376243/
http://androidworld.nl/ni...eveiligingscodes-van-ing/
etc...

Een fysiek apparaat (dat overigens kapot gaat wanneer je het uit elkaar haalt, dit heb ik eens zeer voorzichtig geprobeerd) lijkt me dus wel wenselijk wanneer je zuinig bent op je bankgegevens. Zo moet je dus het rekeningnummer hebben (dat kan bijna iedereen van je onderscheppen, tel maar eens hoeveel automatische incasso's je hebt o.a.), maar ook een pincode en maximaal 3 pogingen (bruteforcen is daardoor niet handig/mogelijk) tot inloggen.

[Reactie gewijzigd door Kecin op 24 juli 2024 17:51]

Myrdhin

@Kecin • 26 februari 2014 14:21

Ik vind de SMS juist heel praktisch want mijn telefoon heb ik eigenlijk altijd wel bij me. Een lijst met TAN codes (wat al helemaal niet handig is om zo bij je te hebben) of een random reader niet.

Het argument van dat je telefoon leeg is is eigenlijk net zoiets dat je ook je random reader kan vergeten mee te nemen. En als je een overboeking moet doen check dan eerst even of je de SMS kan ontvangen.

SMSjes onderscheppen heb je ook niet veel aan want daarna moeten ze nog steeds bij je transactie weten te komen die je op dat moment open hebt staan op je laptop. Leuk als je de SMSjes kan blokkeren, dan vraag ik een nieuwe op want die dingen komen normaal binnen 10 sec. binnen. Krijg ik niets dan breek ik de transactie af want dan is er iets gaande (storing etc).

Daarnaast weet de ING blijkbaar als er iets gebeurt met je SIM kaart want telkens als ik een SIM kaart wissel doe dan krijg ik een SMSje van ING dat het versturen van TAN codes voor 48 uur geblokkeerd is. Vervelend misschien, maar er is dus wel nagedacht over de beveiliging.

(Ik vind het dan ook wel weer interessant om te weten hoe de ING weet dat mijn SIM kaart is gewisseld, blijkbaar is er een connectie tussen de providers en de ING)

Mastermind

@Myrdhin • 26 februari 2014 14:35

Weet je zeker dat je geen spyware op je PC of telefoon hebt staan dan?

Zonee, dan kan een simpele verborgen keylogger je username en wachtwoord doorsturen naar de criminelen.

Ook SMS-jes met je TAN-code worden naar de server geupload via een app die SMS-leestoestemming heeft (Apps van Go, Whatsapp enz.) en ze kunnen gewoon bij je rekening komen en transacties uitvoeren, omdat al jouw sms-jes geupload kunnen worden op een smartphone.

Myrdhin

@Mastermind • 26 februari 2014 18:02

Zonee, dan kan een simpele verborgen keylogger je username en wachtwoord doorsturen naar de criminelen.

Dat risico loop je altijd maar je kan er wel wat tegen doen door regelmatig controles uit te voeren. Al zal dat nooit 100% garantie kunnen geven.

Ook SMS-jes met je TAN-code worden naar de server geupload via een app die SMS-leestoestemming heeft (Apps van Go, Whatsapp enz.) en ze kunnen gewoon bij je rekening komen en transacties uitvoeren, omdat al jouw sms-jes geupload kunnen worden op een smartphone.

En wat doen ze dan? Een nieuwe transactie maken en proberen het smsje te onderscheppen? Dan moeten ze wel verdomd snel zijn.

Daarnaast kan dat met een random reader net zo goed.. Als ze toch al op je PC zitten kunnen ze ook op het moment dat jij een transactie doet, die onderscheppen, een eigen transactie injecteren, de code die je dan in de random reader moet stoppen terugsturen naar jou met je eigen transactie, jij bent je van niets bewust en typt de code van de random reader in en het resultaat wordt door de hacker weer opgevangen waarnaar ze hun eigen transactie inschieten.

Als ze eenmaal op je PC zijn heeft een random reader ook geen nut meer, geloof me.. En ja, dit scenario is erg lastig uit te voeren maar niet onmogelijk.

Wat mooi is is dat met de nieuwe methode je dit enigszins tegen werkt omdat na het scannen de transactie op het scanapparaat staat en als die afwijkt er iets in pluis is.

[Reactie gewijzigd door Myrdhin op 24 juli 2024 17:51]

Verwijderd @Myrdhin • 26 februari 2014 18:29

Bij Rabo moet je tegenwoordig altijd het te overmaken bedrag als laatste nummer invullen.

Jasper Janssen @Verwijderd • 26 februari 2014 19:03

En weten mensen dat ook? Dat die cijfers het bedrag is? Vraagt de random reader "bedrag:" of "code2:"?

gnu @Jasper Janssen • 26 februari 2014 19:43

hij vraagt code2, maar op de website van de rabobank wordt altijd duidelijk aangegeven dat dit het bedrag is en dat je dat nog moet controleren.

soundblast @Jasper Janssen • 26 februari 2014 20:06

Ja want dat wordt aangegeven in het scherm van waaruit je de betaling doet

Hydra @- peter - • 26 februari 2014 13:41

Omdat het systeem inherent onveilig is: deze SMS communicatie is vrij simpel te onderscheppen.

PuzzleSolver @Hydra • 26 februari 2014 14:02

deze SMS communicatie is vrij simpel te onderscheppen.

Niet echt vrij simpel, maar er zijn technisch gezien mogelijkheden. Je moet dan wel in de buurt van deze persoon zijn om de mast af te luisteren of een app. op z'n smartphone hebben draaien. Ik vind de combinatie met een bankieren app die op diezelfde telefoon draait veel gevaarlijker.

Een hacker moet eerst ook nog inloggen op je telebankier site of een "man in the middle attack" uitvoeren (die opvalt omdat het certificaat niet geldig is, geen groen slotje of verkeerde url in balk). Als ze dat al kunnen dan wordt meestal een extra betaling aan een bestaande betaling toegevoegd in de hoop dat jij het bedrag niet controleert. Dit is dan ook al eerder gebeurt bij de rabobank

http://www.crimesite.nl/n...-klanten-slachtoffer-hack

Oftewel het systeem is alleen veilig als de gebruikers goed opletten.

Ik vind een extra apparaat dan ook irritant, dat betekent nl. dat ik iDeal ook niet kan gebruiken als ik ergens ben en het apparaat niet bij me heb. Een telefoon heb ik wel altijd bij me.

Hydra @PuzzleSolver • 26 februari 2014 14:13

"Vrij simpel" in de zin dat zowel de GSM basisstation 'hack' als het gebruik van malware op een smartphone al tijden geleden aangetoond is.

Natuurlijk moeten gebruikers ook alert blijven: maar die Rabobank crack was iets dat je gewoon door kon hebben (je moest opeens 'signeren' in plaats van 'inloggen'); dat SMS onderschept wordt merk je hoe dan ook niet.

Wesley.K @Hydra • 26 februari 2014 13:46

Al zou je het sms'je onderscheppen. Dan heb je er alsnog geen ene donder aan. Die code is namelijk alleen geldig voor de betreffende transactie. De crimineel zou dan ook het email adres plus het wachtwoord van de ing website nodig hebben om een transactie te voltooien.
Mocht je overigens je telefoonnummer willen wijzigen van je acount dan zul je met je paspoort/id naar een kantoor van de ING moeten om een wijziging aan te brengen. Dit gaat niet via de website.
Als dit systeem zo onveilig is. Waarom wordt het dan nog steeds gebruikt?

gnu @Wesley.K • 26 februari 2014 14:07

Omdat het wel makkelijk is. Het systeem is behoorlijk onveilig omdat alles op 1 apparaat kan gebeuren.

Als je malware op je telefoon hebt, en deze heeft al je gebruikersnaam en wachtwoord onderschept, dan kan deze ook de smsjes die je ontvangt onderscheppen en direct doorsturen naar een derde partij. Ze kunnen dus gewoon rustig op de ing site inloggen, een bedrag overmaken en krijgen de tan gewoon doorgestuurd. Weg veiligheid.

> Als dit systeem zo onveilig is. Waarom wordt het dan nog steeds gebruikt?

Omdat gemak voor veel mensen belangrijker is dan veiligheid? - peter - geeft zelfs aan dat dit de reden is dat hij bij de bank is gebleven. Als de ING dit aanpast is er goede kans dat meer mensen dit denken, oftewel, het onveilige systeem van ING levert geld op. De economie is de drijfveer achter bijna alle grote beslissingen. Als je je afvraagt waarom iets is, hoef je je alleen maar af te vragen hoe dit winst oplevert.

CivLord

@gnu • 26 februari 2014 15:41

Maar als het dan zo onveilig is, waarom wordt het dan niet op grote schaal misbruikt?
Op alle mogelijke manieren worden gegevens aan bankklanten ontfutseld en fraude gepleegd. Maar een systeem waar zo'n gapend beveiligingsgat in zit wordt gewoon genegeerd? Nee, natuurlijk niet. Het theoretisch beveiligingsgat is in de praktijk gewoon potdicht, ondanks dat velen geprobeerd zullen hebben om er misbruik van te maken.

Herko_ter_Horst

@CivLord • 26 februari 2014 16:15

De enige redding voor het systeem is dat het niet op grote schaal misbruikt kan worden, omdat je wel de telefoon van de gebruiker nodig hebt. Die moet je dus jatten of de communicatie ervan onderscheppen. En dat gaat (gelukkig) niet zo makkelijk op grote schaal.

Dus het beveiligingsgat staat gewoon open.

CivLord

@Herko_ter_Horst • 26 februari 2014 16:44

Wat je dus zegt is dat er een beveiligingsprobleem is dat niet misbruikt kan worden. Dan is er dus géén beveiligingsprobleem.

Wanneer mijn telefoon gejat wordt is dat erg vervelend voor mij, maar zonder mijn gebruikersnaam en wachtwoord kan niemand daarmee mijn bankrekening plunderen. Nog afgezien van het feit dat ze heel snel zouden moeten zijn voordat ik mijn nummer zou laten blokkeren.

gnu @CivLord • 26 februari 2014 19:41

Dat er nog geen malware voor Android is die precies zo te werk gaat betekend niet dat het systeem veilig is.

Theoretische zwakheden in systemen zijn reden genoeg om dat systeem af te schrijven.

De pinpas + pincode combi (iets wat je hebt + iets wat je weet) blijkt uit de praktijk (in ieder geval sinds het pinnen met chip) behoorlijk veilig te zijn. Het wordt al jaren gebruikt en er is nog geen simpele aanval op gekomen, waarom zou je dan een ander systeem gaan gebruiken?

computerjunky @gnu • 26 februari 2014 21:14

Precies ik heb nu de reader en de batt is na 7 jaar bijna op dus ik ga nog ff snel een nieuwe halen dan kan ik weer 7 jaar voort.

Ik WEIGER een systeem te gebruiken dat geen pincode +pas nodig heeft.

Als dit system me niks lijkt en het word me opgedrongen zeg ik en mijn bankrekening en mijn spaar rekening open verkas ik naar een andere bank met een random reader systeem.

Ik vind al die NFC en andere betaalopties veel te gevarlijk zeker als je geen pinzode nodig heb.

Zeker nu rabobank zijn voorwaarden veranderd heeft en je zelf verantwoordelijk word gehouden voor eventuele schade.

Lekker makkenlijk van de rabobank voorwaarden wijzigen en dan een nog onbewezen betaalmethoden invoeren.

Ik wil niet betalen zonder pas en pincode en wil al helemaal niet verantwoordelijk zijn voor de schade terwijl het me opgedrongen word.

Dus ik betaal met pas en pincode en random reader en als dat niet meer mogelijk is ga ik lekker over op cash of paypall die wel je veiligheid garandeerd,

petervdveen @gnu • 26 februari 2014 15:29

Alles op hetzelfde apparaat doen is inderdaad niet handig, maar dat maakt het systeem opzich niet onveilig.

gnu @petervdveen • 26 februari 2014 19:37

Wel onveiliger dan een system waar bij het losse systemen zijn, zeker als 1 van die systemen niet aan een netwerk gekoppeld is.

Herko_ter_Horst

@Wesley.K • 26 februari 2014 16:14

Mocht je overigens je telefoonnummer willen wijzigen van je acount dan zul je met je paspoort/id naar een kantoor van de ING moeten om een wijziging aan te brengen. Dit gaat niet via de website.

Fout. Je kunt gewoon via de website het telefoonnummer wijzigen, als je via het oude nummer nog TAN codes kunt ontvangen. Bovendien kun je via diezelfde telefoon het wachtwoord en de gebuikersnaam wijzigen (met een TAN code en wat niet-geheime gegevens).

Als dit systeem zo onveilig is. Waarom wordt het dan nog steeds gebruikt?

Omdat mensen er niet over nadenken. Als je telefoon gejat wordt, ben je gewoon de sjaak met het systeem van ING. Maar ja, daar gaat niemand van uit.

sys64738 Moderator F&V @Wesley.K • 26 februari 2014 14:01

Als dit systeem zo onveilig is. Waarom wordt het dan nog steeds gebruikt?

Omdat het een stuk goedkoper is dan random readers of andere tokens uit te delen.

Verwijderd @sys64738 • 26 februari 2014 14:37

Banken zijn over het algemeen goed in het berekenen van risico's en de kosten daarvan. Als ING van mening is dat de kosten door fraude (want daar draait de bank voor op) lager zijn dan die voor het uitgeven van random readers, prima toch? Het hele sms-systeem is nog eens gebruiksvriendelijker ook.

Ik snap eerlijk gezegd niet voor welk probleem de Rabo Reader een oplossing is. Het enige probleem dat ik hoor van anderen is dat ze hun random reader kwijt/vergeten zijn, maar in het nieuwe systeem zit je nog steeds vast aan een extern apparaat.

computerjunky @Verwijderd • 26 februari 2014 21:40

Tja ik zie persoonlijk ook het nut van dit nieuwe apparaat niet maargoed.
Het oude apparaat is goed en niet aan je persoon gelinked en dus kan je ook die van andere gebruiken.
En het is er niks minder veilig door.

Als dit nieuwe systeem aan je bank gekoppeld is MOET je dus je eigen device meenemen wat het dus minder gebruiks vriendelijk maakt en niks veiliger...

mae-t.net @sys64738 • 26 februari 2014 17:57

Goedkoper, handzamer en veiliger. Wat wil je nog meer?

Van alle (terechte) kritiekpunten die je op de ING zou kunnen hebben, is dit er juist geen van. Doen ze eindelijk eens wat goed, wordt het niet begrepen.

Hydra @Wesley.K • 26 februari 2014 14:05

Wat betreft mail/wachtwoord: dit is natuurlijk enorm simpel te onderscheppen, daar gebruiken ze trojans voor.

De reden dat de Rabobank / ABN voor een apart kastje zijn gegaan is omdat deze op geen enkele mogelijke manier extern uit te lezen zijn en daardoor inherent een stukj veiliger zijn dan een aan een netwerk verbonden systeem dat af te luisteren is en bovendien niet eens versleuteld.

Daarnaast zijn veel smartphones sowieso gevoelig voor malware; dus als je malware op de smartphone van de gebruiker + op zijn computer weet te krijgen kun je vrijwel alles doen. Probeer maar eens malware op een rabo reader te krijgen

Wat betreft "waarom het nog steeds gebruikt wordt": ING heeft hier destijds voor gekozen; het is een groot log bedrijf en hierin andere keuzes maken is gewoon enorm duur. Het is gebaseerd op systemen die al 'in place' waren lang voordat internetbankieren bestond.

petervdveen @Hydra • 26 februari 2014 15:30

Je krijgt het wachtwoord nooit via de email, maar (apart van de gebruikersnaam en bevestigings code) via de post!

hackerhater @petervdveen • 26 februari 2014 17:23

So?
Keyloger op de pc en wachten tot de gebruiker op de ING-site inlogd?

mae-t.net @hackerhater • 26 februari 2014 17:59

En dan kunnen ze in je rekening kijken. Dat kon ook uitstekend zonder keylogger met alleen screencapture (zoals bij alle banken). Het verschil ontstaat als je een transactie wilt vervalsen. Dat is bij de ING in principe lastiger / door de gebruiker makkelijker te spotten vanwege authorisatie over een volledig onafhankelijk medium met feedback.

Een transactie onderscheppen vereist immers dat ze niet alleen je PC maar ook je sms-verkeer of telefoon onder volledige controle hebben en weten dat die PC en telefoon bijelkaar horen. Veel te veel werk voor een gemiddelde hacker, die maakt liever een (rabo-)phishingsite.

[Reactie gewijzigd door mae-t.net op 24 juli 2024 17:51]

hackerhater @mae-t.net • 26 februari 2014 18:43

Zie mijn reactie verderop. Het is helaas enorm simpel als die telefoon android draait en de eigenaar 3-party heeft aangezet voor illigale downloads.

Sjnieboon @Wesley.K • 26 februari 2014 13:55

Waarom wordt Windows XP nog steeds gebruikt....?

computerjunky @Wesley.K • 26 februari 2014 21:38

De crimineel zou dan ook het email adres plus het wachtwoord van de ing website nodig hebben om een transactie te voltooien

En laat dit nou net het onveiligste deel van het hele systeem zijn dat te keyloggen is of eventueel uit databases te vissen is.

Mastermind

@- peter - • 26 februari 2014 13:40

Dit heeft security-issues, zo kunnen apps (bijv. Telegram) je SMS-jes uitlezen en dus je TAN-code. SMS is niet meer veilig.

Pikkemans @Mastermind • 26 februari 2014 13:45

Met de TAN-code zelf kun je weer niks. Die is gekoppeld aan de transactie (exacte bedrag).

Het word gevaarlijk als het smsje een ander bedrag weergeeft dan de overboeking die je wilt gaan doen. Dan ben je de sjaak en dat is het zwakke punt. Controleer je altijd de inhoud van je smsje (bedrag juist? actie juist?) dan is het veilig als een mofo.

analogworm @Pikkemans • 26 februari 2014 14:23

Het punt wat mastermind maakt is dat een sms al vrij simpel te onderscheppen is. Dat betekent dat er nog slechts 1 factor (van de two factor authentication) overwonnen moet worden. Ofwel de sessie met de bank moet nog overgenomen worden et voila.. En eigenlijk kan dat ook al met phishing..

Dat in tegenstelling tot de rabobank waarbij beide factors nog overwonnen moeten worden door criminelen.

petervdveen @analogworm • 26 februari 2014 15:27

Je kunt het ook anders stellen.
Als je die reader kunt kraken hoef je enkel nog maar het rekening-nummer te weten :-)

Voor ing heb ik een inlognaam, wachtwoord én een tan-code.

Om dat allemaal op de juiste tijd te onderscheppen lijkt mij schier onmogelijk.

hackerhater @petervdveen • 26 februari 2014 17:19

Wat heb je aan alleen die reader?
Je hebt de reader + pinpas + pincode nodig om te kunnen inloggen.

Betreffende dat onderscheppen :
mallware op de (windows) pc => mobiel wordt eraan gekoppeld => mallware op mobiel dat sms-jes onderschept.
You're owned, daag geld.

[Reactie gewijzigd door hackerhater op 24 juli 2024 17:51]

PsychoMantis_NL @petervdveen • 26 februari 2014 23:23

Want je gebruikersnaam en wachtwoord wijzig jij na iedere sessie?

xFeverr @analogworm • 26 februari 2014 16:43

Dan zeg je de sms service op en kan je bij de bank om een papier waarop je tancodes staan... Wanneer die op zijn moet je om een nieuwe. Dus dan kan je die veilig opbergen

om het nog gekker te maken: je zou ze zelfs uit je hoofd kunnen leren en ze verbranden...

Hydra @Mastermind • 26 februari 2014 14:09

SMS is al heel lang niet meer veilig. Jaren geleden zijn op hackerconferenties al proefopstellingen aangetoond van GSM basisstations die zich voordeden als normaal station en al het verkeer afluisterbaar maakten.

SMS is nooit bedoeld voor beveiligde gegevens en zoals de andere onderdelen van SS7 eenvoudig te onderscheppen.

Jasper Janssen @Hydra • 26 februari 2014 18:59

Laat de veiligheid van het systeem met tancodes nou helemaal niks te maken hebben met of die SMS onderschept wordt of niet.

dmantione @Jasper Janssen • 26 februari 2014 20:36

Niet mee eens. Als je iemands PC weet te hacken heb je de eerste factor overwonnen (login/wachtwoord zijn zo gelogd als de browser ze al niet vonthoudt), met het onderscheppen van SMS'jes overwin je de tweede factor -> bankrekening leeggeplunderd.

mae-t.net @Mastermind • 26 februari 2014 17:56

Het wordt pas onveilig als je bankiert op je telefoon. Als je op je computer of tablet bankiert en via je telefoon SMS binnenkrijgt is het systeem juist veel veiliger dan systemen die uitsluitend via 1 device werken.

Diabolical @- peter - • 26 februari 2014 14:07

Onder andere hierom niet: http://www.automatisering...de-kan-eigelijk-niet-meer

TAN codes zijn al een lange tijd niet veilig meer. Het is echter nogal kostbaar om een ander systeem te implementeren en zolang de kosten van misbruik niet opwegen tegen deze hoge kosten zal men er ook niet veel aan veranderen.

Verwijderd @Diabolical • 26 februari 2014 15:19

TAN lijst + eigen offset systeem = sterk genoeg om hackers af te weren, kost een stuk minder geld, is makkelijker mee te nemen (en met encryptie ook redelijk veilig in de cloud op te slagen), gaat niet stuk, en hoeft ook niet om de zoveel jaar vervangen te worden door weer nóg een ingewikkelder systeem, Alleen phishing / malware op het systeem dat transacties loopt toe te voegen maar de webpagina wel zo aanpast dat het nog steeds lijkt alsof het jouw transactie is helpt het niet zo veel tegen, dus transactie details nog even via mobiel.

CivLord

@Diabolical • 26 februari 2014 15:59

Van alle bveveiligingslekken waar geld mee verdiend (gestolen) kan worden wordt onmiddelijk gebruik gemaakt. Wanneer tancodes per SMS werkelijk zo onveilig zijn, waar is het massale misbruik dan?

De ING hoeft geen ander systeem te implementeren om een randomreader te gaan gebruiken. Een deel van de klanten (vooral de zakelijke klanten) gebruikt al een randomreader. Het enige dat ze hoeven te doen is die methode voor iedereen in te stellen op de website en iedereen een kastje toe te sturen. Dat gaat natuurlijk niet gratis, maar het zal al snel opwegen tegen de kosten van misbruik en de kosten van twee systemen naast elkaar in de lucht houdene en het versturen van de SMSjes..

ATS @- peter - • 26 februari 2014 13:58

Dat systeem werkt prima als je een ander apparaat gebruikt dan die telefoon om de daadwerkelijke transactie mee te doen. Dan moet je namelijk als aanvaller twee onafhankelijke kanalen tegelijk en gecoordineerd controleren. Gebruik je alleen die telefoon voor de transactie, dan is het systeem vrijwel waardeloos. Bij geld overmaken vanuit de ING app gebruik je dan ook geen TAN codes.

[Reactie gewijzigd door ATS op 24 juli 2024 17:51]

RobbieB 26 februari 2014 13:36

Dus je werkt nog steeds met een extra apparaat. Ik zie hier het praktische nut dan niet meer van.

Mobiele betalingen tot €250 kunnen nu al zonder reader gebeuren in de Apps van de Rabobank. Alleen op de computer gaat dit niet. Maar als je die dan kan verifiëren met een foto van je telefoon zou het prima zijn. Helaas dus nog steeds omslachtig...

miw @RobbieB • 26 februari 2014 13:56

Het grote probleem voor banken is dat ze niet op de integriteit van de PC van de klant kunnen vertrouwen. Door met die rare apparaten te werken lossen ze een deel van dat probleem op, maar alleen voor inloggen en transacties ondertekenen. Als de PC niet te vertrouwen is, dan kan er natuurlijk nog steeds een verborgen transactie geauthoriseerd worden. Daar gaat ook een kleuren scannertje niet tegen helpen.
Het enige alternatief is om het extra apparaat alle e-banking zaken te laten uitvoeren. Een simpele bank-only tablet zou best mogelijk zijn. Volgens mij kan de bank dat ook nog betalen uit de veel lagere fraude kosten.

CivLord

@miw • 26 februari 2014 16:05

Ja leuk, dan moet je altijd een tablet meeslepen. En de onveilige PC moet dan nog steeds de iDeal transacties verwerken. Ik maak maar zelden bedragen over vanaf de site van de Bank (maar dan op heel onvoorspelbare momenten), ik gebruik vaker iDeal betalingen vanuit webshops. (De meeste terugkomende betalingen gaan via automatische incassi.)

Jasper Janssen @miw • 26 februari 2014 19:07

Uh, nee, het compromitteren van alleen de PC is met het random reader/scanner systeem *niet* genoeg om foute transacties in te voeren.

computerjunky @miw • 26 februari 2014 21:23

Al heb je alle spyware/malware en keyloggers van de wereld op je pc je rabo betaling via de random reader is gewoon veilig om meerdere redenen.

-je moet op je random reader een pincode invoeren die vervolgens een signeer of inlog code geeft
-de inlog of signeercode werkt alleen met de code die jij gekregen heb voor de betaling die je wil doen voor het bestelde product en deze code is niet meer dan 1x te gebruiken.
-en je code is gelinked aan het daarbij behorende bedrag afgerond op euros

Dus ten eerste heb je al geen pincode om een signeercode te genereren.
Ten tweede zijn de codes die je spyware gezien heeft maar eenmalig te gebruiken voor het bijbehorende bedrag op dat tijdsvak.
Het is dus gewoon compleet nutteloos om deze info te loggen omdat je er simpelweg niks mee kan.

Neem world of warcraft de key generator daar is ook nog nooit gekraakt en dat is een simpeler apparaat dat geen invoer van jou nodig heeft en geen onvoer van wow zelf.
Dus geen pincode en geen bedrag en geen producte/bestellings code en toch 100% veilig.

EnigmaNL @RobbieB • 26 februari 2014 13:45

Omdat een extra apparaat gewoon nog steeds de veiligste methode is. Mobieltjes zijn niet te vertrouwen en worden zeer regelmatig gejat.

Brammos85 @EnigmaNL • 26 februari 2014 14:36

Und? Dan moet iemand dus én mijn telefoon hebben, ik moet hem nog niet geblokkeerd hebben, én ze moeten beschikken over mijn username bij ING, én mijn wachtwoord. Ik gok dat het wel goed gaat komen.

overigens: alsof die random reader niet gejat kan worden, zelfde idee. Feit blijft dat je nu altijd een extra apparaat mee dient te nemen om te kunnen internetbankieren. Iemand die echt wenst te verdedigen dat dit handig is?

hackerhater @Brammos85 • 26 februari 2014 17:28

Dan jatten ze die reader. En?
Dat apparaat is niet persoonsgebonden hoor. Zonder je pinpas en pincode doet ie nada.

Dat je een apparaatje moet meenemen (of diegene waar je bent moet ook bij de rabo zitten) is inderdaad een minpunt, maar je hebt het hier over de toegang tot je spaar en betaalrekeningen!

analogworm @EnigmaNL • 26 februari 2014 14:31

Mwah, ik vertrouw toch wel redelijk op mijn mobieltje. Pincode er op en mijn WP8 is gelijk geencrypt. Enige is dat die pincode vaak ingetikt moet worden in het bijzijn van anderen.

Verwijderd @RobbieB • 26 februari 2014 13:47

Dus je werkt nog steeds met een extra apparaat. Ik zie hier het praktische nut dan niet meer van.
Mobiele betalingen tot €250 kunnen nu al zonder reader gebeuren in de Apps van de Rabobank. Alleen op de computer gaat dit niet.

Niet helemaal. Als je Windows 8 draait en de Rabobank app installeert kun je ook overboeken tot een bepaald bedrag zonder dat je daarvoor een random reader nodig hebt.

Yggdrasil

@Verwijderd • 26 februari 2014 14:07

Klopt, maar als op je PC een webshop je doorstuurt naar de iDeal betaalpagina dan moet je altijd met je Random Reader bevestigen omdat dit niet via de 'Modern' app wordt afgehandeld. Als je op je smartphone naar een iDeal betaalpagina gaat krijg je de keuze om de betaling via de app te doen en kun je voor kleine bedragen de bevestiging overslaan. Ik vind dit ideaal.

In dit voorbeeld zie je hoe dat er in je smartphone-browser uit ziet: http://www.iphoneclub.nl/...alen-met-iDeal-iPhone.png

Ik zou graag de optie hebben om de webshop order te plaatsen op mijn PC, maar de iDeal betaling (tot het ingestelde maximumbedrag) uit te voeren via de smartphone app. Dit zou met een QR-code, of met de in dit artikel genoemde scanner makkelijk kunnen. Deze wens is bij de Rabobank bekend en ik hoop dat ze die mogelijkheid snel toevoegen.

Danner001 26 februari 2014 13:37

Ik vraag me af of dit geen problemen met zich meebrengt op bijvoorbeeld monitors met slechte kwaliteit. Want wat ik ervan begrijp moet je een plaatje(kleurcode) scannen op je scherm, en er kan veel verschil in kleurweergave zitten.

RGAT @Danner001 • 26 februari 2014 13:41

Ik neem aan dat het wel aardig wat contrast heeft, zoals de qr-code vaak zwart-wit is.

Hydra @Danner001 • 26 februari 2014 13:43

Vermoedelijk gebruiken ze slechts een paar primaire secundaire kleuren, geen honderden schakeringen, zoals de tags van Microsoft: http://notixtech.com/sites/default/files/microsoft-tag.jpg

horizon1978 @Danner001 • 26 februari 2014 13:43

Of ze laten via hun website (per apparaat) een calibratie scherm lopen zodat de scanner weet wat voor brakke

monitor je wel niet hebt,.

Seal64 @Danner001 • 26 februari 2014 16:24

Je kunt natuurlijk een soort van QR-code bedenken waar niet alleen maar de daadwerkelijke code in zit, maar ook een balkje eronder waarin alle kleuren die gebruikt kunnen worden, in een vaste volgorde zijn gezet en dus ook meteen meegescand wordt. Built-in referentie op die manier…

seoinage8 26 februari 2014 13:40

De random reader hoef je niet altijd bij je te hebben, gezien je voor de mobiel bankieren de random reader niet nodig hebt. Je kunt er dus voor kiezen alleen thuis te internet bankieren en onderweg via de app. Dan is het niet nodig het extra externe apparaatje altijd bij je te dragen.

Wailing_Banshee

@seoinage8 • 26 februari 2014 13:46

Ik kan niet op mijn werk pc iets kopen en dan zonder random reader betalen.

Persoonlijk hoef ik dit ding niet. Het kost je batterijen (ze zeggen niet voor niets dat je die zelf moeten vervangen, dus ze zullen ook niet zo heel erg lang mee gaan) en de procedure vind ik maar erg omslachtig...

Kecin

@Wailing_Banshee • 26 februari 2014 14:01

De randomreader werkt ook op batterijen. Wanneer het apparaat 'op' is kan je gewoon een nieuwe bestellen (voor niets) via de Rabobank of ophalen in de vestiging. Je kan het batterijverbruik/status checken van de Random Reader door zonder pas op menu of i te drukken. Dan krijg je een menu te zien met informatie over jouw reader.

Wailing_Banshee

@Kecin • 26 februari 2014 14:19

Ja klopt, en die nieuwe randomreader krijg je dan gratis mee. In dit geval moet je zelf de batterijen vervangen en ik trek daar mijn eigen conclusies uit...

Seal64 @Wailing_Banshee • 26 februari 2014 16:25

Wel handiger als je ineens zonder prik zit. Niet iedereen kan zo maar even naar de bank om een nieuwe te gaan halen, maar elke supermarkt verkoopt batterijen of je stopt er oplaadbare in...

harrytasker @Kecin • 26 februari 2014 19:15

mmm zonder pas doet de reader niks, ook niet als ik op i of menu druk, moet toch echt een pas insteken voordat er iets gebeurt!

mashell @Kecin • 26 februari 2014 21:21

Je kan het batterijverbruik/status checken van de Random Reader door zonder pas op menu of i te drukken.

Dan zullen mijn beide random readers wel leeg zijn want dat wat je beschrijft doet helemaal niks.

Cilph @Wailing_Banshee • 26 februari 2014 14:19

Random Reader kun je de batterijen niet van vervangen zonder bruut geweld en beveiligingsmaatregelen. Mijn vorige ging dan ook zes jaar lang mee en ik kon per post gratis een nieuwe laten bezorgen binnen 3 dagen.

[Reactie gewijzigd door Cilph op 24 juli 2024 17:51]

Awesomo4k @Wailing_Banshee • 26 februari 2014 14:18

Kost Batterijen $_/-\o_$

Verwijderd @seoinage8 • 26 februari 2014 13:53

Dat zou inhouden dat je thuis ook zonder een random reader zou kunnen of dat mobiel bankieren nu zeer onveilig is.

Wailing_Banshee

@Verwijderd • 26 februari 2014 14:22

Ik snap dat mobiel bankieren niet, in combinatie met betalen via ideal. Voor ideal heb ik altijd een random reader nodig, of ik nou mobiel bankier of niet....

Met de ING kan ik op elke locatie met ideal mee betalen, zolang ik mijn telefoon maar bij me heb. Dat is me met de Rabobank nog niet gelukt (aangezien de randomreader thuis ligt).

Yggdrasil

@Wailing_Banshee • 26 februari 2014 15:21

Als ik in mijn iPhone browser een iDeal betaling start krijg ik de optie om de betaling te doen via de Rabobank app. Dan heb ik geen random reader nodig, zolang het bedrag onder de limiet blijft die ik in de app heb ingesteld (max €250, eenmalig te bevestigen met RR).

Dat maakt de app juist zo handig voor betalingen onderweg. Plaats order bij webshop, kies betalen via iDeal, klik op betalen via app, bevestig betaling, done.

Wailing_Banshee

@Yggdrasil • 26 februari 2014 15:43

Maar daar heb ik het niet over. Ik heb het over betalen op een pc. En daar heb ik nog echt een randomreader nodig. (mijn telefoon gebruiken voor het kopen bij een webshop zie ik mezelf nooit doen, ik heb liever een wat groter scherm...)

Op dit item kan niet meer gereageerd worden.

Rabobank vervangt Random Reader door scanner met camera

Lees meer

IT-banen

Reacties (333)

Sorteer op:

Weergave: