Knab migratie van 2FA -> 1FA ?

Dat is toch gewoon 2FA?

https://www.knab.nl/knab-lab/inloggen-met-qr
Hoe werkt het?
* Ga naar Knab.nl en klik op inloggen.
* Klik op ‘Toon QR-code’.
* Open de Knab Bankieren App en klik in het menu ‘Scan QR’ (je hoeft niet eerst in te loggen).
* Scan de QR-code op je beeldscherm.
* Bevestig het verzoek met je code, vingerafdruk of gezichtsherkenning.
* Klaar!

Je telefoon met werkende Knab Bankieren App is de ene factor, je code/vingerafdruk/gezichtsherkenning is de tweede factor.

Als iemand je telefoon jat heeft die alleen de eerste factor, maar nog niet de tweede.

[ Voor 11% gewijzigd door Vloris op 16-09-2019 16:01 ]

Als iemand je telefoon hackt heeft hij wel beide.

Sissors schreef op maandag 16 september 2019 @ 16:21:
Als iemand je telefoon hackt heeft hij wel beide.

Dit is dé reden waarom ik niet de ING app op mijn telefoon heb staan om transacties te doen of te bevestigen.
Ook kan je zonder de app nooit je geld kwijt zijn van je rekening als je overvallen wordt en gedwongen wordt om geld over te maken. (je scanner om te bevestigen ligt thuis en is uniek.)

[ Voor 26% gewijzigd door Ernemmer op 16-09-2019 16:27 ]

Sissors schreef op maandag 16 september 2019 @ 16:21:
Als iemand je telefoon hackt heeft hij wel beide.

Als hij ook de code die je zelf invoert in je app kan bemachtigen ja.

Sissors schreef op maandag 16 september 2019 @ 16:21:
Als iemand je telefoon hackt heeft hij wel beide.

Op iOS worden de vingerafdrukken als 'goed genoeg' gezien door banken.

Ernemmer schreef op maandag 16 september 2019 @ 16:22:
Dit is dé reden waarom ik niet de ING app op mijn telefoon heb staan om transacties te doen of te bevestigen.
Ook kan je zonder de app nooit je geld kwijt zijn van je rekening als je overvallen wordt en gedwongen wordt om geld over te maken. (je scanner om te bevestigen ligt thuis en is uniek.)

Onnodig om je daar zo druk over te maken. Als zo iets gebeurt krijg je je geld terug van de bank.

[ Voor 52% gewijzigd door Hydra op 16-09-2019 16:36 ]

Jrz schreef op maandag 16 september 2019 @ 16:51:
[...]

Bij een laptop is dat precies hetzelfde toch. En een wachtwoord is 1, password is 2.
Het gaat er juist om dat die 2 factors van elkaar ontkoppeld zijn.


[...]


Dat is dus niet waar. + je wil gewoon dat gezeur niet.
Ik vind het 1) vervelend om altijd maar mn telefoon te moeten pakken om inzage te krijgen, en 2) Als iemand mn telefoon/code heeft, kan hij alles doen.

Je telefoon heb je toch goed beveiligd neem ik aan? Dus een goede code of faceID o.i.d. De app zelf is ook apart beveiligd met een code en faceID o.i.d.

Ga je dan 2x dezelfde code gebruiken dan is dat een ander verhaal.

Vervelend dat je last ondervindt van het moeten gebruiken van je telefoon, maar dat is imo een ander verhaal wat niets met de veiligheid te maken heeft. En daar hebben we het nu over, toch?

Jrz schreef op maandag 16 september 2019 @ 16:51:
Dat is dus niet waar.

Heb bij de ING gewerkt en dat is gewoon wel zo.

Hydra schreef op maandag 16 september 2019 @ 16:35:
[...]


Op iOS worden de vingerafdrukken als 'goed genoeg' gezien door banken.


[...]


Onnodig om je daar zo druk over te maken. Als zo iets gebeurt krijg je je geld terug van de bank.

Ik maak me er niet druk om, ik vind het alleen niet echt fijn dat al mijn geld met alleen mijn vingerafdruk beschikbaar kan zijn.

Bij de Rabobank is iemand een keer zijn spaargeld kwijtgeraakt, omdat ze niet goed oplette met het betalen bij een kaartautomaat van de NS. Ze hebben toen de pas en pincode bemachtigd en ze heeft het geld maar voor een deel teruggekregen.
https://www.at5.nl/artike...t-slechts-een-kwart-terug

Geen idee wat het precieze beleid is bij ING, maar die van de Rabobank is niet zo fijn.

[ Voor 34% gewijzigd door Ernemmer op 16-09-2019 17:45 ]

@Ernemmer er zit ongetwijfeld meer achter het verhaal. De banken zitten allemaal ongeveer op een lijn kwa beleid en er is no way dat je 'even' 50k kwijtraakt omdat je pinpas omgewisseld wordt. Je kunt niet vanaf een spaarrekening pinnen en je kunt zonder app ook niet zomaar even dat geld van een spaarrekening overhevelen.

Het klopt dat er veel naar één apparaat getrokken wordt, en dat daar een dubbele 2FA uitgevoerd wordt. Je moet je mobiel aanmelden (en je mobiel wordt veilig geacht), je biedt biometrie aan, en je hebt je pin.

That said: als je je mobiel root of niet update, dan wordt het wat hariger. Maar laat je getekend hebben dat je je shit update en niet root

Een bankpas en een pincode is bij de rabobank genoeg om al het geld er af te halen inclusief spaarrekening.
Geen idee of dat met de app ook kan, maar het verhaal toont wel dat het niet allemaal verzekerd is.

@TS misschien even je eigen signature ter harte nemen.

Ernemmer schreef op maandag 16 september 2019 @ 17:39:
[...]


Ik maak me er niet druk om, ik vind het alleen niet echt fijn dat al mijn geld met alleen mijn vingerafdruk beschikbaar kan zijn.

Bij de Rabobank is iemand een keer zijn spaargeld kwijtgeraakt, omdat ze niet goed oplette met het betalen bij een kaartautomaat van de NS. Ze hebben toen de pas en pincode bemachtigd en ze heeft het geld maar voor een deel teruggekregen.
https://www.at5.nl/artike...t-slechts-een-kwart-terug

Dat is precies de reden dat een app op je telefoon (fysiek item, twee toegangsmechanismen) veiliger is dan je pinpas (fysiek item, één toegangsmechanisme). Een vingerafdruk kun je bovendien niet 'afkijken'.

[ Voor 6% gewijzigd door Cocytus op 16-09-2019 19:43 ]

Cocytus schreef op maandag 16 september 2019 @ 19:41:
@TS misschien even je eigen signature ter harte nemen.


[...]


Dat is precies de reden dat een app op je telefoon (fysiek item, twee toegangsmechanismen) veiliger is dan je pinpas (fysiek item, één toegangsmechanisme). Een vingerafdruk kun je bovendien niet 'afkijken'.

Om die reden zit ik dan ook niet bij de Rabobank maar bij ING en doe ik alles via de computer ipv de app.
Bij de app is een vingerafdruk genoeg en via de computer zijn er 3 verschillende wachtwoorden (computer inlog, mijning gebruikersnaam en wachtwoord en scanner wachtwoord) nodig en een dedicated scanner. Voor zakelijk is er bij de mijning inlog zelfs ook nog een SMS bericht nodig om in te loggen.

[ Voor 10% gewijzigd door Ernemmer op 16-09-2019 20:11 ]

Ernemmer schreef op maandag 16 september 2019 @ 20:08:
[...]


Om die reden zit ik dan ook niet bij de Rabobank maar bij ING en doe ik alles via de computer ipv de app. Bij de app is een vingerafdruk genoeg en via de computer zijn er 2 verschillende wachtwoorden nodig en een dedicated scanner.

Dat ligt eraan hoe je het zelf configureert. Als jij een smartphone én bankier-app hebt die met een (dezelfde) vingerafdruk toegankelijk is, is dat je eigen keuze. Ik kan mijn telefoon ontgrendelen met een code of met een vingerafdruk, maar voor mijn bankieren-app is een (andere) code nodig. Dat is dus 3FA, net zoals jouw computer. De kans dat iemand én mijn telefoon steelt én over mijn vingerafdruk beschikt én mijn bankier-app code weet is gewoon nul. Hierover zeuren doet me denken aan:



Omgekeerd zijn er genoeg mensen die hun wachtwoorden opslaan in de password-manager van hun browser (= geen beveiliging als je toegang hebt tot de betreffende PC) en hun Windows-account niet met een wachtwoord beveiligen (en overigens is een wachtwoord op je Windows-account in feite geen beveiliging als je je wachtwoord opslaat in de password-manager van je browser, want die gegevens worden dan gewoon onversleuteld opgeslagen). Dat is dan dus 1FA. Bij de meeste banken is de identifier/scanner ook niet uniek maar generiek.

Cocytus schreef op maandag 16 september 2019 @ 20:15:
[...]


Dat ligt eraan hoe je het zelf configureert. Als jij een smartphone én bankier-app hebt die met een (dezelfde) vingerafdruk toegankelijk is, is dat je eigen keuze. Ik kan mijn telefoon ontgrendelen met een code of met een vingerafdruk, maar voor mijn bankieren-app is een (andere) code nodig. Dat is dus 3FA, net zoals jouw computer. De kans dat iemand én mijn telefoon steelt én over mijn vingerafdruk beschikt én mijn bankier-app code weet is gewoon nul. Hierover zeuren doet me denken aan:

[Afbeelding]

Omgekeerd zijn er genoeg mensen die hun wachtwoorden opslaan in de password-manager van hun browser (= geen beveiliging als je toegang hebt tot de betreffende PC) en hun Windows-account niet met een wachtwoord beveiligen (en overigens is een wachtwoord op je Windows-account in feite geen beveiliging als je je wachtwoord opslaat in de password-manager van je browser, want die gegevens worden dan gewoon onversleuteld opgeslagen). Dat is dan dus 1FA. Bij de meeste banken is de identifier/scanner ook niet uniek maar generiek.

Er zijn inderdaad veel verschillende manieren van inloggen en beveiligen, maar een vingerafdruk of face-id vind ik niet echt veilig. Ik vind het wel fijn dan de ING afgestapt is van de TAN codes en nu een unieke scanner gebruikt.

Als jij een derde code hebt is wel fijn, maar volgens mij heeft de ING app dat niet en is een vingerafdruk samen met de telefoon genoeg om de bankrekening leeg te halen.

[ Voor 5% gewijzigd door Ernemmer op 16-09-2019 20:29 ]

Ernemmer schreef op maandag 16 september 2019 @ 16:22:
[...]


Dit is dé reden waarom ik niet de ING app op mijn telefoon heb staan om transacties te doen of te bevestigen.
Ook kan je zonder de app nooit je geld kwijt zijn van je rekening als je overvallen wordt en gedwongen wordt om geld over te maken. (je scanner om te bevestigen ligt thuis en is uniek.)

Bij knab heb je alsnog de reader nodig dan