PayPal: wachtwoorden verdwijnen binnen tien jaar

Binnen tien jaar zijn wachtwoorden niet meer de standaard voor authenticatie op internet. Dat voorspelt de hoofdontwikkelaar van PayPal in een interview met Tweakers. "Als we over tien jaar nog wachtwoorden gebruiken, is er iets goed misgegaan."

PayPal "Wachtwoorden verdwijnen in het komende decennium", zegt PayPal-hoofdontwikkelaar John Lunn in een interview met Tweakers. "Waarschijnlijk sneller, maar sowieso binnen de komende tien jaar." Lunn spreekt donderdag op de conferentie van The Next Web in Amsterdam. "Als gebruikersnamen en wachtwoorden tegen die tijd nog worden gebruikt, is er iets grondig misgegaan."

Welk mechanisme kan worden ingezet om gebruikersnamen en wachtwoorden definitief te vervangen, weet Lunn nog niet. "Dat kan het scannen van vingerafdrukken zijn, al werkt dat op dit moment nog niet feilloos", zegt hij. "Of stemherkenning, al zitten daar ook haken en ogen aan, bijvoorbeeld als iemand ziek is. Wie weet gaan we wel een technologie gebruiken voor authenticatie die we nu nog niet eens kunnen voorzien", zegt hij. Op de Galaxy S5 laat PayPal gebruikers betalingen al via de vingerafdrukscanner authenticeren.

PayPal werkt samen met een aantal andere bedrijven, waaronder Google, Microsoft en Samsung samen in een alliantie die wachtwoorden wil 'uitbannen'. De FIDO Alliance ontwikkelt onder andere specificaties om wachtwoordloze identificatie op verschillende platformen compatibel te maken. De vingerafdruklezer op de Galaxy S5 voldoet aan die specificaties. Grote afwezige binnen de alliantie is Apple.

Een van de manieren die bedrijven gebruiken om wachtwoorden in de tussentijd betrouwbaarder te maken, is het gebruiken van two-factor-authenticatie. Daarbij moet de gebruiker naast het wachtwoord ook een unieke code intypen, die bijvoorbeeld door een app is gegenereerd of via sms wordt verstuurd. PayPal biedt dat aan, maar verplicht dat niet, in tegenstelling tot de Nederlandse banken.

Dat gaat niet veranderen, zegt Lunn. "Klanten moeten dat zelf kunnen bepalen", zegt hij. Als het PayPal-account van klanten wordt geplunderd, wordt de schade bovendien vergoed, benadrukt hij. "Two-factor-authenticatie is niet gebruikersvriendelijk. In plaats daarvan proberen we klanten te beschermen op de achtergrond, bijvoorbeeld via algoritmes die fraude opsporen."

Lees meer

IT Banen

Reacties (201)

MAher
23 april 2014 18:42

Paypal bied geen 2-factor aan, behalve via een (duur) hardware code-generator. Dit is het antwoord wat ik in Januari van Paypal kreeg op de vraag waarom ik dit niet met mijn mobiel kan doen:

PayPal is constantly working to expand and improve our services for our customers. Unfortunately, 2-factor verification is not yet available in your market. We hope to be expanding our capabilities to include more countries and regions, however, due to the complexities of global finance, we cannot give a timeframe for this expansion.

However as we have received this request from a number of customers, I have escalated your request for this feature to the relevant department to be hopefully made available in Finland, and the rest of Europe.

bbr
@MAher • 23 april 2014 18:52

Blizzard kan het, dus paypal moet het ook wel lukken denk ik zo.

* (Android) https://play.google.com/s...tails?id=com.blizzard.bma
* (iOS) https://itunes.apple.com/...nticator/id306862897?mt=8
* (BlackBerry) http://appworld.blackberr...1/?lang=en&countrycode=NL
* (Windows phone) http://www.windowsphone.c...a2-e011-986b-78e7d1fa76f8

En als je geen smartphone heb, kan je altijd via BlueStacks de Android app op je PC werkend krijgen.

[Reactie gewijzigd door bbr op 23 april 2014 18:53]

MAher
@bbr • 23 april 2014 19:05

https://www.paypal.com/us...ecurityKey-outside&bn_r=o

Dit is wat ze zelf aanbieden. Ik kan je vertellen dat mobile phone niet gaat lukken, zie ook bovenstaande mail van Paypal. Google Authenticator e.d. is niet werkend te krijgen.

There is no fee to use your mobile phone as your PayPal Security Key. Standard text messaging rates apply when you receive a security code by SMS. Check with your mobile provider for details.
The credit-card size PayPal Security Key costs $29.95, and there's no monthly service fee or additional cost. Replacement keys are the same price
Helaas werkt mobiel dus niet, stuurt je verder naar de Paypal Security Key.

Speleding
@MAher • 24 april 2014 15:22

Als je op die link doorklikt krijg je een melding over "Not available". Het werkt waarschijnlijk alleen in de VS.

90710
@bbr • 23 april 2014 19:13

Je kan ze ook zo kopen:

http://www.nedgame.nl/pc-...authenticator/1914638000/

Random IT Man
@bbr • 23 april 2014 19:54

Hah inderdaad. De beveiliging van je Level 90 Paladin is beter dan je levensonderhoud. =P

Avathar
@bbr • 24 april 2014 02:30

ja ok dus je krijgt een eenmalig password??!!?? het verschil? het is een password...dat je eenmalig als extra password moet invullen..... ok ok niet een password... TWEE PASSWORDS:P
dus als ik je password weet en een andere authenticater heb... kans is groot dat ik er alsnog inkom (ze hebben ook stand alone authenticators)

loki504
@Avathar • 24 april 2014 08:26

je kan niet met elke authenticater op elk willekeurig account gebruiken. ze zijn per serie nummber aan je account gekoppelt. dus als jij en mijn password en mijn smarthphone wil jatten om mijn wow account te stippen ga je gang. (krijg het toch terug van blizzard).

het enige wat werkt is een http://en.wikipedia.org/wiki/Man-in-the-middle_attack

en ja het is al gebeurt bij mensen.

Oxidda
@bbr • 24 april 2014 10:51

Blizzard met zijn case insensitve passwords zou ik niet toevertrouwen op security

SaiBork
@MAher • 23 april 2014 19:42

Hier in de UK kan je PayPal gewoon met two-factor gebruiken. Dit maakt dan gebruik van Symantec VIP on android. https://play.google.com/s...id=com.verisign.mvip.main

Enai
@MAher • 24 april 2014 10:13

De Finnen zullen je dankbaar zijn!

TMDC
@MAher • 24 april 2014 10:21

Wow, jij kreeg een nuttig antwoord van Paypal? Dat is an sich al een nieuwsbericht waard.

kritischelezer
23 april 2014 20:07

Apart dat we allelemaal focussen op de invoer van de gebruiker, terwijl juist daar de zwakke schakel zit.

Een electronisch fingerprint is veel beter, elk device welk je gebruikt heeft een unieke fingerprint (is niet IP gebonden), je zal met het uitlezen van deze fingerprint een site kunnen ¨inloggen¨ zonder te hoeven inloggen. Maar probleem is dat het apparaat waarmee je inlogt dan weer beveiligd dient te zijn. Anders kan iedereen dat apparaat gebruiken om toegang te krijgen, zonder de eigenaar.

Dus het zal een combinatie worden, electronische fingerprint en een bewijs dat je het apparaat gebruikt als eigenaar in dat profiel.

In een stem zitten ontzettend veel combinaties, echter dit is op te nemen door iemand in de buurt en dat valt af.
Vingerprint is uniek, maar is ook vrij eenvoudig buit te maken of met een ¨nep vinger¨ te omzeilen (afdruk).
Dan ga ik voor een oogscanner, het is een stuk lastiger om dat te pakken te krijgen, zonder dat je dat zelf merkt.

[Reactie gewijzigd door kritischelezer op 23 april 2014 20:33]

Anoniem: 382732
@kritischelezer • 23 april 2014 21:08

Dan ga ik voor een oogscanner, het is een stuk lastiger om dat te pakken te krijgen, zonder dat je dat zelf merkt.

Valt denk ik wel mee hoor. Maak een oogscanner-skimmer en je legt iedere iris vast. Print dat op een contactlens en voilà.

kritischelezer
@Anoniem: 382732 • 23 april 2014 21:17

dan heb je je de iris informatie, maar nog niet het daarmee beveiligde device.

Op het moment dat je het device en de irisinformatie in een unieke code kan samen brengen, dat die alleen werkt voor dat apparaat, kun je met die info nog niets doen.

[Reactie gewijzigd door kritischelezer op 23 april 2014 21:18]

gekkie
23 april 2014 19:29

Probleem met biometrische gegevens is weer dat het niet (makkelijk) te veranderen is. Als er ook maar iets in de keten die de hash van m'n irisscan vingerafdruk of whatever laat faken .. dan ben ik de sjaak ... token revoken gaat niet echt ... plopt u uw oogbal er maar uit meneer ..

Ik wil graag de combinatie houden van iets wat ik heb .. en iets wat ik weet, eventueel in veelvoud en verschillende vormen. En dat wat ik heb lijkt me buitengewoon onhandig als dat puur een lichamelijk kenmerk is en het moet zeker niet in de plaats komen van iets wat ik weet.

Dacht dat men de les wel geleerd had van de CCC die de vingerafdrukken van een duitse minister van z'n wijnglas had gevist.

computerjunky
23 april 2014 19:09

Ik geloof er HELEMAAL niks van.
Ik ben nog altijd niet overtuigd van vingerafdrukken en andere meuk en al helemaal niet van de veiligheid ervan.
Er is gewoon geen betere optie dan een wachtwoord.

[Reactie gewijzigd door computerjunky op 23 april 2014 19:09]

Armin
@computerjunky • 23 april 2014 21:03

Aanvullend, het grote probleem van wachtwoorden is dat je ze moet opslaan en dat daar het lekken van plaatsvindt. Vingerafdrukken zijn onder de motorkap nog steeds een rij getallen die opgeslagen worden. Die kunnen nog steeds lekken of onversleuteld worden etc.

Echter het probleem is wel dat een 128 tekens lang wachtwoord niet te onthouden is, waar een vingerafdruk al snel vele kB aan unieke data geeft. Brute force en hash-reversal zijn dan moeilijker. Ook voorkom je eindelijk dat mensen wachtwoorden als 123456 gebruiken.

Aan de andere kant is dat soort aanvallen slechts een miniem deel van de huidige aanvallen. Een slecht beveiligde database of gestolen session-cookie is veel voorkomender, en wordt niet voorkomen met vingerafrukken etc. Zelfs een wachtwoord als 123456 is met een goede unieke salt en modern (dus niet MD5) hash algorithm bijna onmogelijk te kraken, zélfs met die slimme methoden die hackers gebruiken met lookup tabellen en dictionairy.

Plus natuurlijk dat een wachtwoord annoniem is, waar een biometrisch ID dat niet is. Ik weet niet of ik PayPal bjvoorbeeld wel vertrouw met zulke gegevens. Natuurlijk zal men ongetwijfeld een afgeleide maken van die gegevens, net zoals men een hash maakt van wachtwoorden, maar toch. En laat staan die leuke webblog ...

Mijn biometrische vingerafdruk is bijvoorbeeld niet iets dat ik als wachtwoord wil gebruiken, maar wat ik juist met een wachtwoord wil beschermen ...

Enai
@Armin • 24 april 2014 10:30

DitIsEenWachtwoordDatEnormLangZijnEnTochEenvoudigTeOnthoudenInclusiefSplefoutEnGrammaticafoutTegenWoordenboekaanvallen

Ronnerd
@Enai • 24 april 2014 11:32

En ook dat is een slecht wachtwoord.

De XKCD strip is niet alleen gelezen door mensen die het stripje grappig vinden, maar ook door mensen die inspiratie hebben opgedaan om hun bruteforce aanvallen uit te breiden met deze techniek.

Enai
@Ronnerd • 24 april 2014 12:52

Vandaar de spelfout. Een zin is niet moeilijk te kraken, maar een zin met een willekeurige spelfout is dat wel.

Ik vermoed wel inderdaad dat krakers hun wachtwoordenlijst hebben uitgebreid met "correct horse battery staple".

Ronnerd
@Enai • 24 april 2014 14:25

correct horse battery staple kan idd ook bij het lijsttje van "don't even use that as a password!"

Een willekeurige spelfout is in ieder geval al veiliger dan "123456", maar ook daar zijn redelijk makkelijk tooltjes voor te schrijven om van bestaande woorden er ook een zooitje van achter elkaar te plakken waarvan er één of meerdere een letter heeft omgedraaid of mist.. Het wordt er al wel lastiger op gemaakt voor een attacker, maar ook dit soort attacks gaan me niet verbazen als die er al zijn.

En ongeacht hoe sterk je denkt dat je wachtwoord is, het blijft altijd maar gissen op welke manier de betreffende service jouw wachtwoord opslaat. Weet jij welke hashing algoritme een willekeurige site waar jij je registreerd gebruikt? Google? Facebook? Twitter? Mijn Ziggo? Tweakers? Ik weet het niet, en wat mij betreft mag dat net als de privacy regels die een site hanteert ook opgenomen worden op de site welke techniek(en) er gebruikt worden om jouw sterk gekozen wachtwoord veilig te houden.

Overigens vind ik dat Bruce Sneijer altijd wel goede artikelen en advies heeft mbt wachtwoorden.

https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html

Armin
@Enai • 24 april 2014 18:09

En dat wachtwoord

1) is te lang voor de meeste websites

2) wordt geweigert omdat het geen tekens bevat

3) en is minder veilig dan je denkt omdat het een patroon bevat

Hackers gebruiken al lang geen woordenboek aanvallen meer, maar werken met patronen. Dit patroon (inclusief de spelfout) is een klassieker.

Overigens is het niet zo belangrijk. Een lang en complex wachtwoord is kansloos bij een zwakke hash, geen of niet random salt of gewoon geheel onversleutelde lekken. Helaas zijn die heel voorkomend.

Andersom als ik een wachtwoord 123456 heb, maar de sysadmin een unieke lange salt en goede moderne hash gebruikte, kun jij dagen rekenen met je cluster en nog steeds niets vinden. Helaas zijn dat soort sysadmins zeldzaam ...

Ik bedoel dat niet als neem dus maar een zwak wachtwoord, maar de discussie van lang vs korte wachtwoorden is enkel relevant bij het kraken van gelekte databases, en de hash/salt/etc zijn dan minstens net zo belangrijk.

[Reactie gewijzigd door Armin op 24 april 2014 18:10]

Enai
@Armin • 25 april 2014 10:07

Het patroon van een gewone zin is een klassieker, maar als je er een spelfout in smokkelt en die is niet al te evident (vervang een E door een Z bijvoorbeeld) dan moet de kraker toch alle mogelijke spelfouten testen. De kans is groot dat hij tegen dan allang iemand anders gevonden heeft om te kraken.

Armin
@Enai • 25 april 2014 18:56

Daar heb je absoluut gelijk in. Tijd is de sleutel hier. Wanneer een hacker een bepaald % gehaald heeft zal die meestal opgeven, of in ieder geval eerst die andere wachtwoorden gaan misbruiken. Daardoor wordt het lek ontdekt, en wordt jij verwittigd.

Echter omdat naar schatting 10-15% van de lekken *nooit* ontdekt wordt zelfs jaren na dato, is dit nog steeds niet foolproof. Hackers zullen bovendien ook na het lek gedicht is, nog maandenlang proberen die database verder te kraken om zo hun kraak-technieken verder te perfectioneren.

Mijn punt was dan ook vooral dat jouw zeer lange zin (die vrijwel nooit geaccepteerd wordt) is desondanks 'maar' effectief 20 tekens is. Jij beseft dat waarschijnlijk, maar velen denk ik niet. En de spelfout die jij daar maakte is een hele triviale. Natuurlijk kun je die dan elders maken, maar punt is elk patroon dat jij bedenkt, bedenken altijd onafhankelijk duizenden anderen ook. En dus komen ze in de patroon-databases van hackers.

Jij weet namelijk niet wat andere mensen als password gebruiken, maar hackers weten dat wel.

Een echt random 20 tekens password is dan dus beter dan jouw lange zin, al is per definitie er altijd een kans dat een echt random password per ongeluk een patroon bevat

Nu maakt dat met jouw lengte geen bal uit want dat kraakt waarschijnlijk inderdaad niemand, maar omdat dat soort lengtes meestal niet mogen, is er het risico dat iemand een kortere zin gaat gebruiken, en dan effectief een zwak wachtwoord gebruikt.

Anoniem: 382732
@computerjunky • 23 april 2014 21:04

Of je hebt een gebrek aan innovatief denkvermogen.... (ik weet het zelf ook niet hoor, maar er zijn genoeg mensen die al jaren verder denken dan de meeste van ons). Het gaat fout als je echte innovaties gaat bedenken op basis van technologie die we nu hebben. Dan beperk je enorm toekomstige mogelijkheden.

computerjunky
@Anoniem: 382732 • 23 april 2014 21:28

Ik heb gewoon het idee dat sommige mensen dingen willen veranderen om het maar te veranderen en daar hebben we helemaal niks aan.
Een verandering kan best goed zijn maar dat moet jet wel beter zijn en geen nadelen hebben en dat is met iris scans en vingerafdrukken en stemherkenning nou eenmaal niet het geval.

Een password werkt nog altijd het beste.
Ik ben helemaal voor een ander systeem omdat ik knetter word van alle 80 passwords die ik maar dien te onthouden maar eerder genoemde 3 opties zijn wat mij betreft geen optie.

Martinspire
@computerjunky • 24 april 2014 08:22

Het is niet zozeer het veranderen om te veranderen, maar het veranderen omdat er een manier kan zijn die gewoon beter is. Als je daar nooit een poging voor doet, zul je ook nooit verbetering zien. Nou kun je content zijn met de huidige manier, maar dan mis je de mogelijke voordelen van een verbetering.

Als we jou gedachtegang zouden hanteren, dan zouden we ook nooit verder komen dan paardrijden, zwaardvechten, constante overstromingen, dood gaan aan smerige ziektes, etc.

computerjunky
@Martinspire • 24 april 2014 15:33

Vind je vergelijking een beetje kortaf en onjuist en je weet mijn gedachtegang helemaal niet!
Ik zie graag een alternatief omdat er nog 2 nadelen aan huidige wachtwoorden zitten (het in moeten vullen en bijbehorende keyloggers en het moeten onthouden van al die wachtwoorden) maar ik zie simpelweg de oplossing niet.
bio gegevens zijn geen alternatief omdat die meer na dan voordelen hebben.

Voor andere dingen kan ik zat alternatieven en verbeteringen bedenken voor wachtwoorden niet.
Zo kan in theorie een camera sensor met illuminated backlight niet alleen fotos opslaan maar ook weergeven als de techniek daar ver genoeg voor is. De sensor bestaat immers uit pixels en de backlight kunnen micro ledjes worden.
Op die manier kan ik zat bedenken maar een alternatief voor wachtwoorden is er gewoon nog niet en ik kan er geen bedenken.

[Reactie gewijzigd door computerjunky op 24 april 2014 15:35]

Enai
@Anoniem: 382732 • 24 april 2014 10:33

Telefoonfabrikanten denken dat innovatie gelijk staat aan idiote gimmicks.

Samsung "We hebben een vingerafdruksensor in onze S5 gegooid, laten we er nu iets mee proberen doen" en PayPal "Samsung heeft ons voorgesteld om reclame voor ons te maken met de S5" zijn echt niet representatief voor de toekomst van de mensheid.

Als Samsung echt geloofde in de vingerafdruksensor as authenticatie, dan zouden ze die in álle toestellen inbouwen om zo snel mogelijk een kritische massa te bereiken. Dit doen ze niet.

[Reactie gewijzigd door Enai op 24 april 2014 10:34]

bbr
23 april 2014 18:40

Vingerafdruk en stemherkenning zal het niet gaan worden.
Ook al heeft apple een vingerafdruk scanner nu in de nieuwe iphone (thanks BeefHazard)

Irisscan lijkt me voor de toekomst wel een goede mogelijkheid - vooral voor smartphones, die hebben tegenwoordig allemaal een camera aan de voorkant en worden steeds beter en hogere kwaliteit. Ook al heeft samsung dat voorlopig uitgesteld...

Persoonlijk word ik ook wel goed gek van al die wachtwoorden, het is gewoon ook niet handig, en niet veilig - mensen worden lui en gebruiken hetzelfde wachtwoord of een variant hiervan bij meerdere sites, en als je er een stuk of 50 heb die WEL uniek zijn,. moet je die toch echt ergens opschrijven of opslaan, wat OOK weer niet veilig is. Je ogen heb je altijd, overal, en die kunnen veel moeilijker "gekopieerd" worden dan mythbusters heeft laten zien voor zelfs de hoogste kwaliteit vinger afdruk scanners.

[Reactie gewijzigd door bbr op 23 april 2014 18:49]

Xieoxer
@bbr • 23 april 2014 18:56

Ik denk juist wel dat een vingerafdruk de toekomst zal gaan worden, omdat je nu al ziet hoe goed het werkt op een iPhone. Het klopt inderdaad dat de scanner is gekraakt, maar je moet er ontzettend veel moeite doen om het voor elkaar te krijgen. Zo is het vereist dat je een complete vingerafdruk hebt van die persoon en de juiste vinger natuurlijk. Apple heeft er een beveiliging ingebouwd dat na 3x 5x een foute poging sowieso de wachtwoord moet worden ingevuld en na een reboot geld dit ook. Ook heeft Apple er een beveiliging ingebouwd als je iPhone meer dan 48 uur niet gebruikt, dan moet je ook een wachtwoord invoeren en zal Touch ID niet werken.

EDIT:
Ik dacht dat het 3x keer was, maar het is inderdaad pas bij 5 keer.
Hieronder een uitgebreide link van Apple, in dit artikel legt Apple uit hoe Apple Touch ID heeft beveiligd. http://support.apple.com/...locale=en_US&locale=en_US

[Reactie gewijzigd door Xieoxer op 23 april 2014 19:29]

Gé Brander

@Xieoxer • 23 april 2014 19:47

Je vingerafdruk laat je overall achter. Of ga jij voortaan met handschoenen lopen en die doe je alleen uit als je je apparaat wilt unlocken? Een vingerafdruk is zo onveilig als wat! Als iemand het glas dat je vast hebt gehad gebruikt om je vingerafdruk te kopieren (is makkelijk zat te doen voor iemand die het wil) dan ben je de sjaak.

Oh, en wat doe je als je gecompromiteerd bent? Een nieuwe vingerafdruk aan laten meten?

Mensen die denken dat een vingerafdruk veilig is zijn gewoon onwetend. Geeft niets, er moet gewoon eerlijk over geinformeerd worden.

[Reactie gewijzigd door Gé Brander op 23 april 2014 19:50]

kimborntobewild
@Gé Brander • 24 april 2014 03:01

Mensen die denken dat een vingerafdruk veilig is zijn gewoon onwetend. Geeft niets, er moet gewoon eerlijk over geinformeerd worden.

Geeft wel, want velen denken nog steeds dat het veilig(er) is. En gebruiken het dus inmiddels ook daadwerkelijk.

aval0ne
@Gé Brander • 24 april 2014 07:52

Met de vingerafdruk die je achterlaat op een voorwerp kan je geen iPhone unlocken!

loki504
@aval0ne • 24 april 2014 08:13

en dat geloof jij zelf?

https://www.youtube.com/watch?v=7sphAJFj9qA

tuurlijk een verouderd systeem. maar zelf de simpele kopier op papier manier werkt daar. en er is zelf een aflevering waar ze bij mythbuster de fingerprint op een varkenstong hadden gebrand en er een warm water systeem door hadden gedaan om zo een kluis te kraken. en dan zal een iphone scaner het tegen houden?

aval0ne
@loki504 • 24 april 2014 10:15

Ja. Moest de iphone scanner dit niet doen had je in ieder geval al honderden filmpjes op internet zien staan. Wel vandaag de dag is niemand daar al in geslaagd.

loki504
@aval0ne • 24 april 2014 10:39

https://www.youtube.com/watch?v=baio0qUj2Lk

kosten mij nog 5 min. tenzij we het hebben over een andere iphone

aval0ne
@loki504 • 24 april 2014 15:35

proficiat, u bewijst net mijn punt. Met een vingerafdruk die je achterlaat op een voorwerp gaat het dus niet.

loki504
@aval0ne • 24 april 2014 16:54

https://www.youtube.com/watch?v=geTgSzrKYdc

there you go

sprankel
@Xieoxer • 23 april 2014 19:47

"Zo is het vereist dat je een complete vingerafdruk hebt van die persoon en de juiste vinger natuurlijk"
Vingerafdruk klinkt veiliger maar dat is het eigenlijk niet. Als mijn wachtwoord gelekt is dan kan ik het aanpassen. Maar wat ga je doen als je vingerafdrukken op straat liggen? Je vingers verminken om zo een nieuwe vingerafdruk te krijgen?
En als iedereen vingerafdrukken begint te gebruiken zal het niet lang duren tegen dat vingerafdrukken databanken op de zwarte markt belanden.
Vingerafdrukken is absoluut niet de oplossing, beter nog, dat zou het probleem alleen maar erger maken.

En ik voorspel dat wachtwoorden binnen 10 jaar nog zeker en vast zullen bestaan.

Karmos
@Xieoxer • 23 april 2014 19:10

Dat denk jij: als ik 3 keer een verkeerde vinger scan, verschuift hij naar het wachtwoordvenster maar als ik dan de juiste vinger gebruik (dus na die 3 keer): ben ik binnen

Johan tb
@Karmos • 23 april 2014 19:17

Niet alleen dat maar er zijn mensen die geen vingerafdrukken hebben of zoals bij mijn moeder door leeftijd de vingeafdruk sterk is vervaagd (dat was lachen voor de vingerafdrukken voor het paspoort)

bbr
@Johan tb • 23 april 2014 20:29

Of zelfs mensen met brandwonden aan hun handen.

Cergorach

Marktontwikkelingen

@bbr • 23 april 2014 20:50

Heck, de vingeafdrukscanner op m'n oude Asus B1000 vertikte het al als ik twee uur had liggen weken in een heet bad. De technology is vast een heel stuk vooruit, maar ik vind het nog steeds geen ideale oplossing voor zaken die ik echt veilig wil hebben. Bank opdrachten worden nog steeds oldschool dmv. een externe token/pas combi gedaan, geen gehannes met mobiel betalen. Voor m'n Battle.net account doe ik daar een stuk minder moeilijk mee, gewoon token op mijn iPhone. Aan m'n Paypal account hangt een credit card, die is verzekerd tegen diefstal/ongewenste betalingen, dus daar hangt alleen een userid/ww combi aan. Een iDeal/bankoverschrijving heeft niet dergelijke beschermingen, waardoor ik er een stuk voorzichtiger mee ben.

Toff
@Johan tb • 24 april 2014 00:03

Niet alleen dat maar er zijn mensen die geen vingerafdrukken hebben of zoals bij mijn moeder door leeftijd de vingeafdruk sterk is vervaagd (dat was lachen voor de vingerafdrukken voor het paspoort)

Mag ik vragen hoe oud jouw moeder is (eventueel via DM)? Ben zelf niet meer een der jongsten, maar mijn vingerafdrukken zijn AFAIK nog net zo stevig als ooit.

Johan tb
@Toff • 7 mei 2014 17:55

in de 80

pvduijn
@Karmos • 23 april 2014 19:15

Je moet je code pas invoeren nadat je vijf keer een verkeerde vinger heb gescand, probeer het maar.

Xieoxer
@Karmos • 23 april 2014 19:21

Ik dacht dat het 3x keer was, maar het is blijkbaar 5x te zijn. Na aanleiding van deze gegevens heb ik mijn bericht aangepast. Bedankt voor de tip!

fantafriday
@Xieoxer • 23 april 2014 19:28

Ja maar als je die moeite 1x doet en 1 vingerscanner zou hacken bij de albertheijn stroomt het geld binnen gezien iedereen dan met zijn vinger betaalt

blouweKip
@Xieoxer • 23 april 2014 22:10

En wat dan als je helemaal geen vingerafdruk wilt afstaan aan al die organisaties? (die bijna zonder uitzondering hebben aangetoond NIET met persoonlijke gegevens om te kunnen gaan).

Floor
@Xieoxer • 24 april 2014 09:21

Vingerafdruk scannen werkt zolang een persoon gezond is. Bij iemand die bijvoorbeeld een chemo behandeling krijgt (of andere medicijnen) daar kan de vingerafdruk een stuk vager van worden. Ik weet dat daarom vingerafdrukken niet gebruikt kunnen worden om patiënten te verifiëren. Verificatie is noodzakelijk maar gebeurd nu handmatig (iemand verkeerd bestralen kan dodelijk zijn).
Vingerafdruk scannen is vooralsnog niet geschikt, daarbij sluit ik me volledig aan bij PuzzleSolver 23 april 2014 20:10 hierboven.

Het is inderdaad erg voorbarig om te zeggen dat wachtwoorden over 10 jaar niet meer bestaan. Ik denk dat je met zekerheid kan zeggen dat wachtwoorden alleen over 10 jaar niet meer voldoende bescherming bieden en dat het systeem verbeterd moet worden (en dat is een opendeur).

mstevy78
@bbr • 23 april 2014 18:44

Zat ik ook al aan te denken...iris of gezichtsscan. De rest misschien toch inderdaad niet zo makkelijk.
Maar je zult toch vaak een optie hebben dat als het niet lukt je alsnog een code of ww invoert.
Dus ik kan niet wachten op de komende 10 jaar wat het allemaal te bieden heeft

Vooral Ironman 8 lijkt me wel wat.

Umbrah
@mstevy78 • 23 april 2014 18:52

Gezichtherkenning zit al in Android, maar dat wordt bewust als "lage" beveiliging aangegeven in het OS -- het is namelijk een 2D camera die geen onderscheid maakt tussen een fotootje van iemand en "het echte werk". Tevens werkt het in het donker niet helemaal perfect.

Microsoft heeft het in hun OS-en ook ingebakken dmv. Kinect2, wat al een stuk verder gaat. Het herkent ook hartslag, maar zelfs dat is niet 100% feilloos...

Ik denk dat we het eerder in de combinatie zullen zien; 3D + biometrische gezichtherkenning EN iris/vinger/DNA/voiceprint... in een of andere combo.

PuzzleSolver
@Umbrah • 23 april 2014 20:10

Welke combo ook, ik zit niet te wachten op authenticatie met dingen die ik niet kan veranderen. Hierboven wordt al genoemd dat mensen overal hetzelfde wachtwoord gebruiken. Je vingerafdruk, DNA, iris en voiceprint zijn altijd hetzelfde. Dit betekent als bedrijf A en B dezelfde biometrische data gebruiken dat de data die de scan oplevert gedupliceerd kan worden en misbruikt. Ja er wordt misschien wel een hash over de lijn gestuurd maar ergens zal de originele data verwerkt worden, vergelijk het met een keylogger die je wachtwoord afluistert. Maar je DNA vingerafdruk etc. kan je niet echt makkelijk wijzigen.

Zeggen dat wachtwoorden binnen 10 jaar niet meer nodig zijn zonder dat je met een veilig alternatief komt is dan ook vreemd. Een wachtwoord zit als het goed is alleen in jouw brein, heb je altijd bij je en een brein is nog niet te hacken. En mocht deze bij het scannen typen afgeluisterd wordt dan kun je gewoon een nieuwe bedenken.

[Reactie gewijzigd door PuzzleSolver op 23 april 2014 20:11]

Cergorach

Marktontwikkelingen

@PuzzleSolver • 23 april 2014 20:44

Dat niet alleen, maar een userid en ww zit in je hoofd (als je het goed doet en niet op een post-it op het scherm), die andere voorbeelden zijn externe kenmerken die vrij makkelijk te kopiëren zijn. Want het is en blijft uiteindelijk data die over die internet lijn gaat. Je zou dus dmv. een extra smartphone de vingerafdruk, DNA, iris en voiceprint kunnen opnemen en de data opslaan, als je vervolgens toegang wil gewoon die opgeslagen data doorsturen.

Een keycard zou ook nooit het enige toegangsmiddel mogen zijn van een beveiligingssysteem, die is veel te makkelijk te stelen/kopieren. Altijd in combinatie met een pincode gebruiken.

damanseb
@PuzzleSolver • 23 april 2014 21:04

Kan ook gebruikt worden om een keyring met fatsoenlijk api te decrypten..
Dan heeft elke instantie nog wel zijn user/wachtwoord combo alleen zul je die zelf niet direct gebruiken..

In dat opzicht zou ik dan ook liever een universele api/standaard zien voor keyrings..
Een keyring die je kan plaatsen op een gecertificeerde device naar eigen keuze zoals een telefoon, usbstick, rfid chip in je handpalm, whatever..
Zolang als er maar een api is die de benodigde gegevens eruit kan vissen want die auto-type functies zoals in bijvoorbeeld keypass heb ik het niet zo op en werken vaak alleen in browsers..

Anoniem: 26306
@damanseb • 24 april 2014 00:16

Het echte wachtwoord moet ook nooit je apparaat verlaten. Ik ben het overigens helemaal met je eens. Ik pleit ook al een tijd voor authenticatie via BYOD. Het communicatieprotocol moet aan een standaard voldoen, voor de rest moet je lekker over onveilige netwerken (zoals NFC of Wifi) kunnen authenticeren middels een veilig protocol.

Een waarbij je bijvoorbeeld een challenge krijgt die je moet signen. Of waarvoor je een ticket moet uitgeven. Iets waaruit blijkt dat jij iets weet. Daarvoor hoef je geen wachtwoord naar een server te sturen. Je public key zou voldoende moeten zijn. Die mag gewoon op een server staan, zeker als je er per applicatie een kunt genereren.

Het is belachelijk dat je bij het pinnen je pas in een vreemd apparaat stopt, vervolgens je pincode op datzelfde apparaat intikt. Ik wil mijn telefoon langs een apparaat kunnen swipen om vervolgens de transactie op mijn telefoon te kunnen bevestigen, waarna ik nogmaals swipe om de gesignede bevestiging terug te geven aan de kassa.

Het is belachelijk dat je een wachtwoord moet genereren voor een webapplicatie. Tik hier uw wachtwoord? Nee, laat mij maar iets signen waarmee ik kan laten zien dat ik het ben.

Mentalist
@Anoniem: 26306 • 24 april 2014 07:46

Het is belachelijk dat je bij het pinnen je pas in een vreemd apparaat stopt, vervolgens je pincode op datzelfde apparaat intikt. Ik wil mijn telefoon langs een apparaat kunnen swipen om vervolgens de transactie op mijn telefoon te kunnen bevestigen, waarna ik nogmaals swipe om de gesignede bevestiging terug te geven aan de kassa.

Maar op een telefoon kan je malware installeren en die zou ervoor kunnen zorgen dat je een hele andere betaling zou signeren dan je op het scherm ziet. (al zou dit eerder een mogelijk probleem zijn bij internetbankieren, maar linksom of rechtsom, de private key op je telefoon kan door malware gegapt worden)

Verder ben ik het absoluut met je eens. Ik had Zaken waar ik eens dieper op in wil gaan..: Ending the password madness with PGP/GPG. al geschreven voor ik jouw reactie las, een gevalletje GMTA vrees ik.

[Reactie gewijzigd door Mentalist op 24 april 2014 07:47]

moreasy
@PuzzleSolver • 24 april 2014 09:56

Welke combo ook, ik zit niet te wachten op authenticatie met dingen die ik niet kan veranderen. Hierboven wordt al genoemd dat mensen overal hetzelfde wachtwoord gebruiken. Je vingerafdruk, DNA, iris en voiceprint zijn altijd hetzelfde.

Zeer scherpe analyse van het probleem, ik heb het volledig met je eens.
Een Post-IT op je monitor plakken is bovendien nog veiliger, omdat dit nooit en te nimmer op afstand is uit te lezen...

fantafriday
@Umbrah • 23 april 2014 19:27

En hij kijkt niet naar zeer veel punten met een pasfoto kom je er al langs maar als ze het verder ontwijkelen kan het iets worden

Enai
@Umbrah • 24 april 2014 10:05

Het authenticatiesysteem van de toekomst moet zowel werken in een internetkiosk, op een smartphone, een desktop-pc, een wearable, in het donker, in de auto, in de trein etc etc etc, moet overweg kunnen met multiuseraccounts en mag niet meer dan vijf seconden in beslag nemen.

Als je de mensen vertelt "jaah, je moet een 3D-camera kopen om je mail te kunnen checken" dan gaan de mensen hun middenvinger opsteken en naar de concurrentie stappen.

endemion
@Umbrah • 24 april 2014 17:02

Er is een groot verschil tussen het herkennen van een gezicht en het herkennen van een uniek gezicht. Dat laatste staat nog heel erg in de kinderschoenen en is ook erg makkelijk te manipuleren door bv bepaalde zwarte lijnen op je gezicht te tekenen.

Ik denk niet dat het wachtwoord of wachtzin verdwijnt. Al die andere opties zijn relatief eenvoudig na te bootsen. Om een wachtwoord te achterhalen blijft in het meest serieuze geval van geheimhouding marteling over en ook dat werkt niet altijd. Een hersendownload is nog verre toekomst muziek. Misschien dat we tegen die tijd dit soort beveiligingen niet meer nodig hebben en er gewoon gelijkheid (begint met een gegarandeerd basisinkomen voor iedereen) voor iedereen geld en er dus geen goede reden is om te stelen ed. Fingers crossed.

No Brakes
@endemion • 24 april 2014 20:00

Je bedoelt gelijk in de zin dat er nog maar één ID is, die iedereen deelt?

endemion
@No Brakes • 26 april 2014 19:15

Dat zou net zoiets zijn als dat iedereen dezelfde naam zou hebben, dat lijkt me niet praktisch. Ik bedoel meer dat mensen de deur niet op slot hoeven te doen als ze van huis gaan en er dus op kunnen vertrouwen dat daar geen misbruik van gemaakt wordt. Die deur kan net zo goed digitaal zijn. Wanneer er daadwerkelijke gelijkheid heerst zal men ook sterk achter het motto staan: doe een ander niet aan wat je jezelf ook niet toewenst.

BeefHazard
@bbr • 23 april 2014 18:42

Ja, die hebben ze

sfranken
@bbr • 23 april 2014 19:26

Een irisscan is ook niet alles. Mijn vriendin heeft een oogafwijking waardoor haar pupillen altijd 100% open staan (http://en.wikipedia.org/wiki/Aniridia ). Voor haar zou een irisscan niet eens kunnen.

[Reactie gewijzigd door sfranken op 23 april 2014 19:26]

Anoniem: 463297
@bbr • 23 april 2014 19:50

ik vraag me af of een IRIS scan gaat werken.
Ik heb geen aparaat waarmee ik dat kan doen. Ik wil ook niet dat me dat verplicht wordt. Nee, ik heb geen smartphone en zit daar ook niet op te wachten. Als er een aparaat los bij mijn PC geleverd wordt, vind ik het prima. Maar ik ga er niet voor betalen.

freaky
@Anoniem: 463297 • 23 april 2014 21:03

Toen ze auto's beter beveiligde trokken ze mensen er gewoon bij het stoplicht uit met een vuurwapen tegen hun hoofd.

Voor mij geen biometrische authenticatie - ik hou m'n lichaamsdelen liever zelf. Of het werkt of niet zal me een biet zijn. Daarnaast ben ik er ook nog op tegen om die gegevens uberhaupt af te geven aan derden (heb ze niet eens aan de overheid gegeven en ja m'n vingerafdruk is zo van een glas gevist iris wordt wat lastiger).

bbr
@Anoniem: 463297 • 23 april 2014 20:03

Mijn Dell monitor heeft ook een webcam camera bovenin zitten.
Als dat meer mainstream word - wellicht over 10 jaar, wie zal het zeggen?

Anoniem: 382732
@bbr • 23 april 2014 21:00

Toch denk ik dat een gemiddelde vingerafdrukscanner veiliger is dan een gemiddeld wachtwoord.

loki504
@Anoniem: 382732 • 24 april 2014 08:17

ja maar het ww kan je zelf kiezen. dat is een overwegen van hoe vaak type ik hem in tegen de waarden die er achter zit.. vingerafdrukscanner is teven ook niet makkelijk te veranderen.

mcourteaux
@bbr • 23 april 2014 20:04

Dan wordt een kwalitatieve en HD foto genoeg om iemands oog mee te vervalsen.

Enai
@mcourteaux • 24 april 2014 10:09

En dan ben je brildrager, liefst nog met een bifocaal of lachspiegelglas. Ojee.

SuperDre
@bbr • 23 april 2014 21:33

Vergis je niet hoor, iris scanners en gezicht scanners zijn zelfs nog 'redelijk' makkelijk te bedotten.. En tja, er zal toch altijd een input moeten zijn, en tussen de input en het uiteindelijke doel kan men altijd wel een man-in-the-middle-attack uitvoeren..

Enuh, wat doe je als je je oog beschadigd hebt?

Emphast

@SuperDre • 24 april 2014 09:03

Wat doe je als je hersentrauma opgelopen hebt en je password vergeten bent?
PW-recovery. Iets gelijkaardig zal dan wel voorzien worden bij vingerafdruk/irisscan

Avathar
@bbr • 24 april 2014 02:26

Er is geen alternatief voor passwords. Iris scan... gewoon lenzen printen. vingerafdrukken? gewoon afdruk printen. DNA? kan je genereren, nu nog heel duur maar wordt steeds goedkoper.
En denk maar niet dat de complexiteit van de iris een probleem wordt, om het goedkoper te maken zal de scan een lage resolutie hebben.
Dat is wel de modus operandig van bedrijven: schijnveiligheid, en dan wel pleiten om zwakheden in het systeem tot staatsgeheim te laten verklaren... of zoals in het geval van skimmen... de schade op je klanten te verhalen.
ik gebruik dezelfde passwords voor hetzelfde risico niveau. dus ja voor 50 crapsites gebruik ik hetzelfde simpele password. voor kritieke diensten een veel sterker en uniek password.

? ?
@bbr • 24 april 2014 09:56

Het probleem is dat je je dna, vingerafdruk, stem, iris of om het even welk fysisch kenmerk, niet zomaar even kunt veranderen.

Dat maakt dat iemand je fysisch kenmerk kan dupliceren en van dan altijd toegang heeft tot je geheimen. Lijkt me niet erg slim...

Dit risico zou verkleind kunnen worden door trusted computing devices waar niet aan geprutst kan worden. Zo'n trusted device zou het onmogelijk maken om een iris na te bootsen d.m.v. bv. een print. Maar we weten allemaal dat elk device gemanipuleerd kan worden...

Een wachtwoord is een geheim dat je wel kan veranderen als het al gecompromitteerd is.

Het enige dat we tot nu toe fout doen is hetzelfde wachtwoord gebruiken voor meerdere toepassingen. Verander het gewoon. Je hebt "één bakje" met een masterwachtwoord.
Typ je dat masterwachtwoord in op "het bakje" tesamen met "tweakers.net", dan wordt een wachtwoord getoond of gegenereerd. Eventueel met sleutels zodat de andere partij zeker kan zijn over jouw identiteit.

Idealiter is er een air-gap tussen de computer en het bakje. Eventueel met een display en de computer kan met de camera dan een qr-code of via OCR het wachtwoord uitlezen om te gebruiken.

100% safe 100% gebruiksvriendelijk

Kleine opmerking: behalve voor mijn bankzaken en mijn email mogen jullie gerust al mijn 'wachtwoorden' voor al die andere sites hebben. Veel plezier ermee, interesseert mij weinig.

bigbadbull
@bbr • 24 april 2014 10:06

Irisscan lijkt me voor de toekomst wel een goede mogelijkheid - vooral voor smartphones, die hebben tegenwoordig allemaal een camera aan de voorkant en worden steeds beter en hogere kwaliteit.

Moet je eens proberen te gebruiken als brildrager met onstpiegelende en verkleurende glazen.
werkt dus ook niet goed.

Greppelzwerver
23 april 2014 18:44

De dag dat ik mijn vingerafdruk aan mijn telefoon moet laten zien is de dag dat ik mijn telefoon wegdoe. Te idioot voor woorden dit, wachtwoorden zijn gewoon veilig als je er bewust mee omgaat. Als je anno 2014 nog steeds '1234' of 'wachtwoord' gebruikt als wachtwoord verdien je het mischien een beetje om gekraakt te worden.

280562
@Greppelzwerver • 23 april 2014 18:53

Wachtwoorden zijn reusable. Dat is een zwakte. Een foutje, en je bent je account kwijt.

Authenticatie hoort niet met reusable wachtwoorden te gaan.
Authenticatie hoort een challenge/response element te bevatten.
Two-step of drie-step authenticatie is helemaal mooi.

Ik ben zelf nogal gecharmeerd door de beveliging van mijn Rabobank account. 100x beter dan wat de ING (vroeger?) deed. Authenticatie als je inlogt. En nogmaals als je een transactie doet.

25 Jaar geleden las ik over Kerberos.
https://en.wikipedia.org/wiki/Kerberos_%28protocol%29
Ik vraag me af waarom er nog steeds geen opvolger is van Kerberos, met de nieuwste technologie, steun van een hoop bedrijven, versies voor alle OSs, en makkelijke configuratie. Zoiets zou er al jaren moeten zijn.

Ik houd me al jaren niet meer bezig met standaarden (zoals de IETF). Maar het begint er op te lijken dat standards-bodies gewoonweg niet meer nieuwe technologie kunnen introduceren. Enkel opzichzelf-staande commerciele bedrijven kunnen ergens in een hoekje van het Internet iets nieuws bouwen. En dan krijg je situaties met vendor-lock, geen concurrentie, geen innovatie, Non Invented Here syndrome, etc.

Vayra
@280562 • 24 april 2014 09:34

ING werkt met een papieren TAN lijst, dat is hartstikke veilig tenzij je die op je raam plakt ofzo. Niet afhankelijk dus van een apparaatje dat kapot kan gaan, waarop een code moet worden ingevoerd. Hoe vaak ik niet heb gezien dat mensen zo'n authenticator niet bij zich hebben of kwijt zijn

Wil je op andere plekken bankieren en transacties accorderen dan zet je SMS Tan codes aan, een keuze dus of je dat risico wil nemen.

[Reactie gewijzigd door Vayra op 24 april 2014 09:36]

Martinspire
@280562 • 24 april 2014 08:18

Je bent de eerste die ik hoor die de methode van Rabobank fijn vindt. Nee doe mij die van de ING maar. Geen stom apparaatje nodig.

Anoniem: 526466
23 april 2014 19:01

Wat mij stoort aan authenticering via iris/vinger/(dna?) scan
wat als ze dit paswoord ooit tepakken krijgen? Het is er geen die je even kan aanpassen nadat er een lek in een bepaalde software is blootgesteld of servers worden gekraakt..
En ze kunnen dit dan gebruiken voor alle services die dit vereisen

filenox
@Anoniem: 526466 • 23 april 2014 19:13

Dit kan gehashed worden, net zoals ze nu met wachtwoorden doen.
Als site x is gekraakt hebben ze enkel je wachtwoord in die bepaalde hashvorm, met die hash kan je niet inloggen op site y, waarbij je hetzelfde wachtwoord gebruikt. Deze uitspraak is natuurlijk alleen geldig indien de hash-functie sterk genoeg is en er gebruik wordt gemaakt van een salt.

Er zijn nu natuurlijk ook voldoende websites die hun wachtwoorden niet hashen. Bij het authenticeren met iris/vinger/dna/...-scan is het kan misschien ook de norm zijn dat je een hash + salt van je iris/vinger/dna-bestand gebruikt ipv het authentieke bestand.

[Reactie gewijzigd door filenox op 23 april 2014 19:18]

SinergyX

@filenox • 23 april 2014 19:36

Maar uiteindelijk moet je iris/vinger/whatever toch een bit/byte string worden, een opbouw van een plaatje, een algoritme op bepaalde punten van je vinger, noem het maar op, het moet uiteindelijk wel 'iets leesbaars' worden.

Natuurlijk kan je de dbase wel kraken, maar dat is inderdaad salted/hashed, maar wat als ik realtime mee kijk met de 'camera' dmv een trojan? Dan heb ik 'raw data' van jouw vinger/iris/DNA, wat ik dan toch naar elke vorm kan bouwen?

Mythbusters heeft tijd terug getest of ze vingerafdruk-scanners konden neppen (met wat dingen buiten het beeld), maar dit bleek niet eens zo moeilijk te zijn. (goed, de techniek zal wel verder zijn gegaan).

Daarnaast, wat als je vinger/iris veranderd? snee in je vinger of permanente schade, operatie in extreme vorm aan je oog, of erger.. je raakt em kwijt. Of we gaan extremer, Minority report met z'n 'oog in het zakje'?

Ik vind het koppelen van inlog aan iets wat zo uniek is en nooit aanpasbaar (of je vind self-mutilation leuk), lijkt me toch niet een fijne omgeving in te werken.

keon891
@Anoniem: 526466 • 23 april 2014 20:59

Over 10 jaar kan men ook beter klonen...jou of een onderdeel ervan. Ze hoeven alleen aan jouw DNA profiel te komen, van een haartje bijvoorbeeld. Ik ben dus hier niet echt gerust over.

.oisyn

Marktontwikkelingen

@keon891 • 23 april 2014 22:43

Een vingerafdruk staat niet gecodeerd in je DNA en is dus ook niet te clonen op de door jou gesuggereerde manier.

Enai
@keon891 • 24 april 2014 10:28

Dat zou zo het begin van een Shadowrun-plot over een techno-witchdoctor oid kunnen zijn...

Bedankt voor de inspiratie.

kimborntobewild
@Anoniem: 526466 • 24 april 2014 02:37

Wat mij stoort aan authenticering via iris/vinger/(dna?) scan
wat als ze dit paswoord ooit tepakken krijgen? Het is er geen die je even kan aanpassen nadat er een lek in een bepaalde software is blootgesteld of servers worden gekraakt..
En ze kunnen dit dan gebruiken voor alle services die dit vereisen

Een authenticitatiesysteem gebaseerd op iets persoonlijks wat je niet zelf kan veranderen, is fout. Dat is al vele jaren bekend in de security-wereld.

[Reactie gewijzigd door kimborntobewild op 24 april 2014 02:37]

Random IT Man
23 april 2014 18:41

PayPal biedt dat aan, maar verplicht dat niet, in tegenstelling tot de Nederlandse banken.

Volgens mij niet in Nederland, alleen in de US. Alleen daar kan je een Authenticator of SMS toevoegen. Ook één van de redenen waarom ik niet aan PayPal wil. Het voelt gewoon heel erg..onveilig en weird. Maar hey, iedereen zijn ding!

[Reactie gewijzigd door Random IT Man op 23 april 2014 18:41]

Soldaatje
@Random IT Man • 23 april 2014 18:44

Als je een beetje internationaal wil shoppen dan ontkom je er bijna niet aan, behalve creditcard misschien, is ook niet super veilig.
Mijn account is overigens ook gekoppeld aan mijn bankrekening zonder two-factor authenticatie; hopelijk vergoeden ze dat dan ook als mijn hele betaalrekening geplunderd wordt?

[Reactie gewijzigd door Soldaatje op 23 april 2014 18:45]

Random IT Man
@Soldaatje • 23 april 2014 18:54

Mwah, over het algemeen zijn er in Nederland genoeg alternatieven te vinden. Okee, je kan niet op EBay shoppen maar daar ben ik dan ook niet in geintresseerd. En dat van het vergoeden..ehm..goede vraag. Bij Credit Card maatschappijen krijg je over het algemeen alles wel terug (tenminste, heb ik gehoord) of dat in dit geval ook gebeurd...?

Het grootste gevaar is gewoon dat je primaire bank-rekening wordt geplunderd en dat je dan opeens in een willekeurige supermarkt staat en je niet kan betalen. -Dat- lijkt mij pas vervelend. Enige alternatief is dan dat je een aparte bank-rekening gebruikt om de boel veilig te houden. Maar dan zelfs zijn er risico's.

[Reactie gewijzigd door Random IT Man op 23 april 2014 19:52]

Toff
@Random IT Man • 23 april 2014 23:28

Enige alternatief is dan dat je een aparte bank-rekening gebruikt om de boel veilig te houden. Maar dan zelfs zijn er risico's.

Ik gebruik inderdaad al jaren een extra rekening, die is gekoppeld aan PayPal. Het risico is niet groter dan het saldo op die rekening, dat niet groter is dan een paar euro. Pas als ik daadwerkelijk iets wil kopen, verhoog ik via internetbankieren het saldo van de betreffende rekening tot het bedrag wat nodig is. Extra risico's? Ik zie ze niet.

Verdere info: Aangezien deze extra rekening (ING) prima kan bestaan zonder betaalpassen, zijn de kosten voor mij tot nu toe nihil. Een aanrader dus!

Random IT Man
@Toff • 23 april 2014 23:45

Volgens mij is het extra risico als je een tijdje je PayPal niet bekijkt. Wederom, ik ben een buitenstaander, heb er alleen over gelezen. =P

Als iemand je PayPal hackt en er vervolgens enorme bedragen afschrijft worden dit soort dingen als een 'uitgestelde betaling' gedaan. Dan duurt het wat langer voordat het geld van je rekening wordt afgeschreven. Op een gegeven moment moet dat geld toch worden afgeschreven, vervolgens sta je op je PayPal in het rood aangezien er niks van je betaalrekening gehaald kan worden.

Nu schijnt PayPal redelijk coulant te zijn maar dan nog..lijkt mij een hoop gedoe.

Toff
@Random IT Man • 23 april 2014 23:50

Volgens mij wordt een Paypalbetaling gewoon niet uitgevoerd, als het saldo niet toereikend is. Dit is mij weleens gebeurd, wanneer ik niet snel genoeg was met het aanvullen van het benodigde saldo. "Rood" staan bij Paypal kan dus niet, volgens mijn ervaring.

Ircghost
@Toff • 25 april 2014 01:02

Wanneer iemand zijn pay pal is gekoppeld kan het enkele dagen duren voordat het daadwerkelijk afgeboekt wordt op je rekening (bij een bank), het kan dus prima voorkomen dat je geen geld op je bankrekening hebt en dat paypal dan allerlei bedragen probeert af te boeken.

Dus wat Harsh Critic zegt kan prima voorkomen.

Toff
@Ircghost • 25 april 2014 01:33

Ja, en dan krijg je vervolgens een melding van Paypal dat de betreffende transactie NIET kon worden uitgevoerd en dat deze dus NIET is verricht. Rood staan bij Paypal kan dus NIET, zoals ik eerder aangaf...

Jeroen
@Random IT Man • 23 april 2014 23:55

Het is inderdaad lastig als ze je rekening zouden plunderen, maar volgens mij is PayPal heel erg consument-gericht wat betreft bescherming. Ze zullen het (uiteindelijk) allemaal vergoeden. Als consument voel ik me meestal wel veilig bij het gebruik van PayPal.

Als verkoper doe ik er echter niet meer aan tenzij ik goede ervaringen heb met een koper, naar aanleiding van allerlei doemverhalen die ik heb gelezen over het onterecht terugeisen van het aankoopbedrag vanuit de koper, welk bedrag vervolgens maandenlang vast wordt gehouden door PayPal terwijl de verkoper zijn best doet om het probleem meteen te verhelpen. Dat en als je ineens een hele hoop van iets verkoopt dan houden ze je geld ook onterecht enorm lang vast (een probleem bij dingen als crowdfunding, of virale dingen).

Floor
@Jeroen • 24 april 2014 09:30

Dat terugeisen valt wel mee, Paypal is niet erger dan de Creditcard maffia. Integendeel. Bij de creditcard maffia krijg je zelfs voor aantoonbaar onterechte terugboeking kosten. Ik heb het meegemaakt dat een klant zich vergiste in een webshop die niet geleverd had en vervolgens onterecht bij ons geld terugeiste. Na contact met klant en overleggen van documenten van levering en pakbon kwam de reactie "ojee, ik zit bij de verkeerde". Contact met de CCmaffia en ik kon alsnog een bedrag van 50 euro's aan kosten aftikken om niks. Nee, de CCmaatschappijen zijn de grootste boeven die er zijn .Let ook maar eens op wanneer je de transacties bekijkt. Je ziet in eerste instantie alleen transacties die reeds verlopen zijn en waar je rente op betaald. Wat nog openstaat en waar je geen rente over betaald omdat het binnen de termijn zit is heel sneaky op een ander tabblad gezet. Je krijgt pas een melding dat er wat openstaat op het moment dat een termijn vervallen is.
Tel daarbij de hoge fees en je kan zeggen dat CC iedereen naait, de consument en de winkelier. Ik weiger die dingen dan ook zoveel mogelijk te gtebruiken.

Paypal is ideaal bij veilingsite en marktplaats. Paypal heeft namelijk zicht op wat er aangeboden wordt en kan simpel controleren of een claim terecht is. Daar biedt paypal dan ook kopersbescherming. Koop je met paypal bij een willekeurige webshop dan is er verminderde kopersbescherming, PP kan namelijk niet 100% controleren wat er is aangeboden. Overigens heeft paypal mbt beveiliging zijn zaken wel in orde. Ik kan me geen grote berichten herinneren van massaal gekaapte wachtwoorden en plunderingen. Best knap, gezien het gebruikersgemak wat Paypal biedt.

[Reactie gewijzigd door Floor op 24 april 2014 09:35]

Jeroen
@Floor • 24 april 2014 11:35

Wat beveiliging betreft; zoek maar eens het verhaal op over de overname van het twitteraccount @N

Floor
@Jeroen • 24 april 2014 17:25

Er is altijd wat te vinden maar in vergelijking met ING (of voorheen postbank) en soortgelijke drama's doet Paypal het niet slecht.

fantafriday
@Soldaatje • 23 april 2014 19:29

Ja helaas is nederlanderd een van de weinige gekken die de creditcard/paypal niet gebruikt (de meeste mensen niet allemaal)

Mentalist
@Soldaatje • 24 april 2014 08:02

Als je een beetje internationaal wil shoppen dan ontkom je er bijna niet aan, behalve creditcard misschien, is ook niet super veilig.
Mijn account is overigens ook gekoppeld aan mijn bankrekening zonder two-factor authenticatie; hopelijk vergoeden ze dat dan ook als mijn hele betaalrekening geplunderd wordt?

Tip: je kan ook https://www.money2.nl gebruiken (officiëel ondersteund door paypal), daarmee kan je via iDeal saldo op je paypal account zetten. Je bankrekening kan je dan gewoon ontkoppelen.

Zo heb je geen extra bankrekening nodig en het risico is beperkt tot het bedrag wat je als saldo op je paypalaccount zet.

[edit]Tip voor mezelf: lees eerst de reacties onder je voor je een dubbelpost neerzet.

[Reactie gewijzigd door Mentalist op 24 april 2014 08:03]

skatebiker
@Random IT Man • 23 april 2014 19:57

Onzin. Zolang je Paypal niet aan je bankrekening of CC koppelt, maar gewoon af en toe een bedrag overmaakt via money2.nl kan er weinig misgaan. Als het wordt gekraakt, ben je alleen je bedrag kwijt dat op Paypal staat. Net zo'n risico al portemonnee verliezen.

haarbal
@skatebiker • 23 april 2014 21:11

Idd, zolang ik niet aan een bankrekening hoef te koppelen heb ik er weinig problemen mee.

beun92

@Random IT Man • 23 april 2014 19:10

Ik denk dat ze hier mee bedoelen dat je bij de Rabobank je reader nodig hebt en bij de ING een SMS service hebt en andere banken hebben ook zo hun manieren

Avathar
@Random IT Man • 24 april 2014 02:28

Je hebt gelijk Paypal is DE vertegenwoordiger van schijnveiligheid. ze geven ook een garantie, allee is die helemaal niks, nada, niente, zip, nop waard

loki504
@Random IT Man • 24 april 2014 08:20

en dan kraken ze mijn paypal. wouwy dan hebben 5 euro kunnen jatten. als ik weer iets koop zet ik er weer geld op. als ik mij druk moet gaan maken om 5 euro die ze kunnen stelen. gaat er iets goed mis.

Enai
@Random IT Man • 24 april 2014 10:12

Koppel je Paypal dan ook niet aan je bankrekening en zorg gewoon dat je eenmaal per maand wat geld naar je Paypal overschrijft. Dan kun je niet meer dan dat verliezen.

R1
23 april 2014 21:18

ik ben het met Paypal eens, dat moet toch slimmer kunnen binnen 10 jaar.

Een veelbelovende en unieke startup vind ik Nymi, en heb hem in de pre-order:
http://www.getnymi.com/

Werkt middels een armband op het het hartslag patroon van een persoon, welke uniek is.

Trommelrem
@R1 • 23 april 2014 22:15

ik ben het met Paypal eens, dat moet toch slimmer kunnen binnen 10 jaar.

Ik ben het ook met Paypal eens, maar het zouden zomaar eens oude technieken kunnen worden die wachtwoorden vervangen: certificaten.

Bor
@Trommelrem • 24 april 2014 08:53

Een certificaat is slechts 1 factor , namelijk iets wat je hebt. 1 factor is heden ten dage niet meer genoeg om veilig te kunnen werken. Om het wachtwoord systeem (iets wat je weet) te vervangen door een andere losse factor die ook nog eens via elektronische weg te bemachtigen / stelen is, lijkt mij niet zinvol. Het hele diginotar debacle heeft als het goed is doen inzien dat ook dat systeem niet onfeilbaar is (en wellicht ook aan vervanging toe is).

geekeep
@R1 • 24 april 2014 12:31

ik ben het met Paypal eens, dat moet toch slimmer kunnen binnen 10 jaar.

Een veelbelovende en unieke startup vind ik Nymi, en heb hem in de pre-order:
http://www.getnymi.com/

Werkt middels een armband op het het hartslag patroon van een persoon, welke uniek is.

De armband werkt m.b.v. Bluetooth. Leuke gadget, maar voor serieuze beveiligingsdoeleinden niet serieus te nemen.

Pepsichoco
@R1 • 24 april 2014 18:11

Een hartslag is te beïnvloeden door medicatie. Zodat je als het nodig is, plots geen betaling of iets anders kan doen.

Montu
23 april 2014 18:42

Alhoewel ik het er wel mee eens ben dat wachtwoorden moeten worden vervangen door een beter alternatief, zie ik dit de komende 10 jaar nog niet gebeuren.

badflower
@Montu • 23 april 2014 20:14

Het is dan ook wel een beetje een non-artikel / non-news. Developer bij Paypal verwacht dat binnen 10 jaar wachtwoorden zijn verdwenen, maar heeft geen idee waardoor ze vervangen worden

Vinger of stem, hoe bedenkt hij het...

Ik geloof zelf meer in een systeem dat patronen herkent in je routine-matige gedrag. Zo ben ik er vrij zeker van dat ik altijd bepaalde handelingen verricht om ergens in te loggen, met een bepaalde snelheid en mouse-movements (of swipes).

Martinspire
@badflower • 24 april 2014 08:16

En toen kocht je een andere muis en kon je niet meer inloggen?

1 2 3 ... 7 Volgende

Op dit item kan niet meer gereageerd worden.

PayPal: wachtwoorden verdwijnen binnen tien jaar

Lees meer

IT Banen

Reacties (201)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden